Ransomware – Das sind die aktiven Gruppen 

Ransomware - Das sind die aktiven Gruppen Bild: Bing - KI

Beitrag teilen

Die Welt der Cyberkriminellen in Sachen Ransomware steht niemals still. Ein ständiger Wandel bringt regelmäßig neue Akteure hervor, die durch immer ausgefeiltere Technologien und Taktiken auffallen. Hier eine Übersicht, über die aktivsten Gruppen und ihre Ziele.

Besonders dynamisch ist die Ransomware-Szene, in der verschiedene Gruppen miteinander im Wettbewerb um Affiliates (also kriminelle „Subunternehmer“, welche ihre Erpressungs-Tools und -Dienste einsetzen) und die attraktivsten Angriffsziele stehen. So verschwand im März dieses Jahres mit ALPHV (auch Blackcat genannt) eine der bisherigen Top-Gruppen überraschend von der Bildfläche, nachdem sie zuvor ihre Komplizen um 22 Millionen Euro geprellt hatte und Teile ihrer Infrastruktur vom FBI beschlagnahmt worden waren.

Anzeige

Auch LockBit, der bisherige Platzhirsch, wurde durch eine konzertierte Aktion von Polizeibehörden weltweit empfindlich getroffen. In der Folge beobachten die Sicherheitsexperten von Trend Micro aktuell eine gleichmäßigere Verteilung von „Marktanteilen“ und einen Wettbewerb mehrerer kleinerer Akteure um die Vorherrschaft im Ransomware-Bereich. Welche Gruppen aktuell besonders gefährlich sind, haben sie hier analysiert.

Die Reinkarnation: RansomHub

Die Gruppe, die momentan am meisten von diesen Polizeioperationen zu profitieren scheint, nennt sich RansomHub. Seit ihrer ersten Aktivität im Februar hat sie sich zur am stärksten verbreiteten Ransomware entwickelt. Nachdem sie zunächst aktiv um frühere ALPHV-Affiliates geworben hatte, macht sie inzwischen auch LockBit den Rang streitig. Technologisch ist RansomHub ein alter Bekannter: Analysen zufolge handelt es sich um eine aktualisierte und umbenannte Version der früheren „Knight“-Ransomware, die zwischenzeitlich im Darknet zum Verkauf stand.

RansomHub nutzt bekannte Schwachstellen wie ZeroLogon, um in Systeme einzudringen. Im Anschluss setzt sie verschiedene Tools für Remote Access und Netzwerk-Scanning ein, bevor sie Daten mit ausgefeilten Methoden verschlüsselt. Neben Windows-Systemen zählen auch MacOS- und Linux-Umgebungen zu ihren Zielen. Die Gruppe ist weltweit aktiv, unter anderem in Europa, Nord- und Lateinamerika.

Bekannter Spieler mit neuer Technik: Play

Die Play-Ransomware-Gruppe wurde erstmals im Juni 2022 entdeckt und zeichnet sich durch eine doppelte Erpressungstaktik, ausgefeilte Umgehungstechniken und speziell entwickelte Tools aus. In jüngster Zeit hat die Gruppe die Fähigkeiten ihrer Schadsoftware erweitert und nimmt nun besonders VMWare ESXi-Umgebungen ins Visier. Diese Umgebungen werden von Unternehmen häufig zur Ausführung mehrerer virtueller Maschinen verwendet. Sie hosten oft wichtige Anwendungen und Daten und enthalten normalerweise integrierte Backup-Lösungen. Eine Kompromittierung dieser Umgebungen kann den Geschäftsbetrieb erheblich stören. Sogar Backups werden verschlüsselt, was die Möglichkeiten des Opfers einschränkt, Daten wiederherzustellen.

Es steht zu befürchten, dass die Gruppe ihre Angriffsfähigkeiten auch auf weitere Linux-Systeme ausdehnt, um die Anzahl der Opfer zu erhöhen und den Druck in Lösegeldverhandlungen zu verstärken. Play verursacht aktuell besonders in Nordamerika erhebliche Schäden, aber auch Unternehmen in West- und Mitteleuropa zählen zu ihren Zielen.

Die Etablierten: Akira

Die Akira-Gruppe machte vergangenen Herbst mit dem verheerenden Angriff auf den Dienstleister Südwestfalen-IT von sich reden und hat sich seitdem zu einer festen Größe in der Ransomware-Szene entwickelt. Hinter dem noch recht neuen Namen scheinen altbekannte Kriminelle zu stecken: Analysen des Schadcodes lassen darauf schließen, dass es sich um die früheren Strippenzieher hinter der Conti-Ransomware handelt. Sicherheitsbehörden wie das FBI, Europol und weitere warnen in einer Mitteilung vom April, dass die Angreifer innerhalb eines Jahres über 250 Unternehmen erfolgreich angegriffen und dabei mehr als 42 Millionen US-Dollar Lösegeld erbeutet hätten.

Akira greift Linux-Systeme ebenso an wie Windows und nutzt größtenteils etablierte Angriffstechniken, wie die Ausnutzung bekannter Schwachstellen in VPN-Diensten ohne Multifaktor-Authentifizierung. Auch diese Gruppe setzt auf doppelte Erpressung mittels Datendiebstahl und -verschlüsselung und hat besonders Unternehmen in Europa, Nordamerika und Australien im Visier.

Der Aufsteiger: Cactus

Die gleichen Eintrittsvektoren nutzt auch die Cactus-Gruppe, die seit 2023 beobachtet wird und aktuell besonders aktiv ist. Sie greift bevorzugt große Unternehmen an, die die nötigen finanziellen Ressourcen besitzen, um auch höhere Lösegeldforderungen zu bezahlen. In diesem Jahr zählte unter anderem der führende französische Elektrotechnik-Konzern, eine schwedische Supermarktkette und andere Großunternehmen in Europa und Nordamerika zu ihren Opfern.

Cactus setzt keine besonders ausgefallenen Techniken ein, ist mit seinen Angriffen aber dennoch äußerst erfolgreich. Die anscheinend erfahrenen Angreifer sind sehr gut darin, sich innerhalb des Netzwerks auszubreiten und einer Erkennung durch vorhandene Sicherheitslösungen zu entgehen. Unternehmen sollten diese Gruppe und ihre Methoden deshalb besonders beachten, um sich vor ihren Angriffen zu schützen.

Der Absteiger: LockBit

Nachdem LockBit mehrere Jahre lang die Ransomware-Szene beherrschte, zwang eine konzertierte Aktion von Strafverfolgungsbehörden und Sicherheitsunternehmen die Gruppe im April in die Knie. Die Polizei konnte das gesamte Ökosystem der LockBit-Gruppe empfindlich treffen, indem sie nicht nur die technischen Infrastrukturen übernahm, sondern auch die Identitäten wichtiger Akteure aufdeckte und auch die Affiliates, welche die LockBit-Ransomware einsetzten, persönlich ansprach. Die Zahl ihrer Angriffe brach daraufhin schlagartig ein.

Zwar zeigt die Gruppe auf ihren Leak-Seiten noch immer eine hohe Aktivität. Bei den veröffentlichten Daten handelt es sich aber größtenteils um Ergebnisse früherer Angriffe, die nun erneut genutzt werden, sowie um Informationen aus den Leaks anderer Ransomware-Gruppen oder nicht verifizierte Opfer. Nach Einschätzung der Sicherheitsexperten versuchen die Hintermänner den Anschein zu wahren, sie hätten alles unter Kontrolle, während sie im Hintergrund ihre Infrastruktur neu aufbauen. Ob sich LockBit von diesem Schlag erholen wird, bleibt abzuwarten, da sich zahlreiche ihrer Affiliates inzwischen anderen Gruppen zugewandt haben dürften.

Fazit: Es bleibt spannend

Tobias Grabitz, PR & Communications Manager DACH bei Trend Micro (Bild Trend Micro).

Die Ransomware-Landschaft ist auch weiterhin hochdynamisch: Mehrere Operationen internationaler Polizeibehörden konnten einige der gefährlichsten Akteure mindestens vorübergehend ausschalten und den Druck auf die Kriminellen erhöhen. Gleichzeitig eröffnet dies neuen oder neu formierten Gruppen die Möglichkeit, ihre Aktivitäten auszuweiten. Denn das „Geschäft“ mit der virtuellen Erpressung bleibt lukrativ.

Die Analyse der aktivsten Gruppen zeigt, dass Unternehmen jeder Größe gefährdet sind und dringend ihre Security-Hausaufgaben machen müssen: Grundlegende Maßnahmen wie das konsequente Schließen von bekannten Schwachstellen (gerade in so gefährdeten Systemen wie VPNs), breite Einführung von Multifaktor-Authentifizierung und sichere Backups können häufig schon das Schlimmste verhindern. Zudem kommt gerade der Sicherung des Netzwerks als wichtigstem Ausbreitungsweg von Ransomware-Angriffen eine besondere Bedeutung zu.

Mehr bei TrendMicro.com

 


Über Trend Micro

Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können..


 

Passende Artikel zum Thema

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Ransomware Helldown nutzt Schwachstellen in Zyxel Firewalls aus

Wie das BSI meldet, gab es vermehrt Angriffe mit der Ransomware Helldown auf Unternehmensnetzwerke über eine Schwachstelle in Zyxel Firewalls. ➡ Weiterlesen

Gefährliche Lücken: Studie zu ICS und OT Cybersecurity

Das SANS Institute hat die Ergebnisse seiner Studie 2024 State of ICS/OT Cybersecurity veröffentlicht. Sie zeigt erhebliche Fortschritte bei der ➡ Weiterlesen