Ransomware-Report: LockBit, Black Basta und sogar REvil

Ransomware-Report: LockBit, Black Basta und sogar REvil

Beitrag teilen

Der Ransomware-Report für den Juli 2022 von Malwarebytes zeigt nur wenige Neuigkeiten. LockBit und Black Basta sind weiter führend in der Angriffs-Statistik. Neu alldings ist das auftauchen der totgeglaubten Ransomware REvil (auch bekannt als Sodinokibi).

LockBit bleibt, wie bereits in den Vormonaten, die mit Abstand aktivste Ransomware. Das Threat-Intelligence-Team von Malwarebytes konnte der Ransomware-Gruppe im Juli 2022 61 Angriffe zuschreiben (im Vergleich zu 44 Angriffen im Juni 2022 und 73 Angriffen im Mai 2022). Black Basta, eine relativ neue Ransomware-Variante, die erstmals im April 2022 auftauchte, folgt LockBit mit 35 Angriffen im vergangenen Monat. Die Ransomware-Gruppe wird in engem Zusammenhang mit der Conti-Bande gebracht und kommt der Gruppe als möglicher Nachfolger am nächsten. Zwei weitere Ransomware-Gruppen, die mit Conti in Verbindung stehen, sind Hive und Karakurt. Beide waren im Juli 2022 ebenfalls sehr aktiv – mit jeweils 26 und 19 Angriffen.

Ransomware: USA weiterhin am meisten betroffen

🔎 Bekannte Ransomware-Angriffe nach Ländern, Juli 2022 (Bild: Malwarebytes)

Bei der Verteilung der Ransomware-Angriffe nach Ländern, war die USA im Juli 2022 wiederholt mit Abstand am häufigsten von Ransomware-Angriffen betroffen. 93 Angriffe bringt Malwarebytes mit den Vereinigten Staaten in Verbindung. 14 Angriffe erfolgten in Frankreich, 12 Angriffe im Vereinigten Königreich und 11 Angriffe in Deutschland.

Bei den Industrien landet im Juli 2022 erneut der Dienstleistungssektor auf dem ersten Platz. Fast ein Viertel der insgesamt erkannten, internationalen Ransomware-Angriffe schreibt das Threat-Intelligence-Team von Malwarebytes dieser Branche zu. Auf den Dienstleistungssektor folgen IT-Services mit 20 Angriffen, Handel mit 19 Angriffen und Versorgungsunternehmen mit 18 Angriffen.

LockBit: Verbindung zu DarkSide/BlackMatter

🔎 Bekannte Ransomware-Angriffe nach Branchen, Juli 2022 (Bild: Malwarebytes)

Im Ransomware-Report Juni hat Malwarebytes ausführlich über LockBit und den Start von LockBit 3.0 berichtet. Der Erfolg der Gruppe schien zum Teil darauf zurückzuführen zu sein, dass sie sich voll und ganz auf ihr Geschäft konzentrierte, während andere Banden mit aufmerksamkeitsheischenden Aktionen beschäftigt waren. Diese Interpretation erfolgte jedoch möglicherweise zu früh.

Im Juli gab LockBit in einem Interview mit Red Hot Cyber seine Ansicht zum Besten, dass kriminelle Hackerinnen und Hacker zur Sicherheit beitragen: „Wir sind gewöhnliche Pentester und machen die Welt sicherer, dank uns können Unternehmen eine Lektion in Sachen Sicherheit lernen und Schwachstellen schließen.“ Das Interview enthielt jedoch auch einige nützliche Informationen – zum Beispiel, dass zwischen zehn und 50 Prozent der LockBit-Opfer das Lösegeld bezahlen. Die Angriffszahlen, über die Malwarebytes in seinen monatlichen Ransomware-Reports berichtet, beziehen sich ausschließlich auf Opfer, die auf Leak-Seiten auftauchen, weil sie das Lösegeld nicht bezahlt haben.

Im Interview bestätigte LockBit auch die vermutete Beziehung zwischen LockBit 3.0 (auch bekannt als LockBit Black) und der DarkSide/BlackMatter-Ransomware. Der Befragte verriet, dass LockBit für den DarkSide-Quellcode bezahlt hat und auf dessen Grundlage LockBit 3.0 entwickelt wurde.

Bei DarkSide handelt es sich um die Ransomware, die bei dem Angriff auf Colonial Pipeline im Mai 2021 verwendet wurde. Die DarkSide-Gruppe verschwand kurz nach dem Angriff, angeblich aufgrund des Drucks der USA. Im Juli 2021 tauchte sie als BlackMatter wieder auf, bevor sie im Oktober 2021 erneut verschwand.

Black Basta: Verbindung zu Conti

🔎 Bekannte Angriffe von Conti und Black Basta, Februar-Juli 2022 (Bild: Malwarebytes)

Black Basta tauchte erstmals im April 2022 mit 11 Angriffen im Ransomware-Report von Malwarebytes auf. Im Mai belegte die Gruppe bereits den zweiten Platz mit 22 Angriffen, im Juni den dritten Platz mit 18 Angriffen und im Juli nun erneut den zweiten Platz mit 35 Angriffen. Die Tatsache, dass die Ransomware-Gruppe bereits im April so viele Opfer hatte, veranlasste einige zu der Vermutung, dass es sich hier um das Werk einer bereits etablierten Bande mit einem Netzwerk erfahrener Partner handeln müsse. Seitdem wird Black Basta mit Conti in Verbindung gebracht.

Die Conti-Gruppe hat in diesem Jahr den Plan geschmiedet, ihren eigenen Tod vorzutäuschen. Die Annäherung der Gruppe an den russischen Staat führte wohl dazu, dass Lösegeldzahlungen versiegten. Die Mitglieder der Gruppe wurden daraufhin angeblich auf andere „Marken“ von Conti oder auch auf andere Ransomware-Gruppen, mit denen Conti in Verbindung steht, verteilt.

Zu den offensichtlichen Nutznießern zählen drei von fünf der im Juli am häufigsten verbreiteten Ransomware-Varianten: Black Basta, Hive und KaraKurt.

REvil kehrt zurück

Neben LockBit und Black Basta war der Juli auch durch das Wiederauftauchen von REvil (auch bekannt als Sodinokibi) gekennzeichnet. Zum ersten Mal seit Mai erschien im Juli ein Opfer auf der Tor-Leak-Webseite der Gruppe. Auch wenn viele andere Gruppen weitaus aktiver waren, sorgt der Ruf dieser Ransomware-Gruppe dafür, dass jedes Lebenszeichen ernst genommen werden muss.

REvil ist für zwei der bedeutendsten Ransomware-Angriffe der Geschichte verantwortlich, beide erfolgten in 2021: für den Angriff auf JBS, den größten Fleischproduzenten der Welt, sowie für den Angriff auf die Lieferkette von Kaseya VSA. Der Angriff auf Kaseya wurde beendet, als das Unternehmen bekannt gab, den Entschlüsselungsschlüssel erworben zu haben, der für die Befreiung der Opfer erforderlich war, ohne die Lösegeldforderung von REvil in Höhe von 70 Millionen US-Dollar zu bezahlen. Später stellte sich heraus, dass das FBI die Quelle für den Schlüssel war.

Seitdem hat REvil ein unstetes Leben geführt. Unter dem Druck der US-Strafverfolgungsbehörden verschwand die Gruppe im Juli 2021 von der Bildfläche. Ein paar Monate später tauchte sie wieder auf, bevor sie letztlich im Oktober vom Netz genommen wurde, als ihre Infrastruktur von einer länderübergreifenden Strafverfolgungsoperation gekapert wurde. Im Januar 2022 verhaftete das FSB acht ihrer Mitglieder. Doch selbst das reichte nicht aus, um die Bande lange am Boden zu halten.

Neue Ransomware-Gruppen tauchen auf

Im Juli tauchten darüber hinaus zahlreiche neue Ransomware-Gruppen auf. Zu den Neuzugängen zählen BianLian, Yanluowang, RedAlert, Omega und Cheers. Mit 11 bekannten Opfern ist das Debüt von BianLian von der Größe her vergleichbar mit dem Erscheinen von Black Basta im April 2022. Malwarebytes wird die Gruppe daher im Auge behalten.

Mehr bei Malwarebytes.com

 


Über Malwarebytes

Malwarebytes schützt Privatanwender und Unternehmen vor gefährlichen Bedrohungen, Ransomware und Exploits, die von Antivirenprogrammen nicht erkannt werden. Malwarebytes ersetzt dabei vollständig andere Antivirus-Lösungen, um moderne Cybersecurity-Bedrohungen für Privatanwender und Unternehmen abzuwenden. Mehr als 60.000 Unternehmen und Millionen Nutzer vertrauen Malwarebytes innovativen Machine-Learning-Lösungen und seinen Sicherheitsforschern, um aufkommende Bedrohungen abzuwenden und Malware zu beseitigen, die antiquierte Security-Lösungen nicht entdecken. Mehr Informationen finden Sie auf www.malwarebytes.com.


 

Passende Artikel zum Thema

Cybergefahr: HTML-Schmuggel

Bei HTML-Schmuggel wird die bösartige Datei erst auf dem Rechner des Users erstellt. Deshalb erkennen herkömmliche Anti-Malware-Programme und Sandboxen den ➡ Weiterlesen

Bösartige Software am Starten hindern

Ein Cyberschutz-Anbieter hat seine Sicherheitsplattform um eine neue Funktion erweitert. Sie verbessert die Cybersicherheit indem sie den Start bösartiger oder ➡ Weiterlesen

I-Soon: Chinas staatliche Auslands-Hacker enttarnt 

Intern ist es bestimmt der größte Verrat an China: Ein Mitarbeiter der Firma I-Soon hat Daten und Dienste preisgegeben mit ➡ Weiterlesen

Pikabot: tarnen und täuschen

Pikabot ist ein hochentwickelter und modularer Backdoor-Trojaner, der Anfang 2023 erstmals aufgetaucht ist. Seine bemerkenswerteste Eigenschaft liegt in der Fähigkeit ➡ Weiterlesen

Ransomware-resistente WORM-Archive zur Datensicherung 

Ein Datenarchiv ist ein Muss für jedes Unternehmen. Nur wenige wissen: Ein aktives WORM-Archiv kann helfen, die Datensicherung zu verschlanken, ➡ Weiterlesen

Ein Comeback von Lockbit ist wahrscheinlich

Für Lockbit ist es elementar wichtig, schnell wieder sichtbar zu sein. Opfer sind mutmaßlich weniger zahlungsfreudig, solange es Gerüchte gibt, ➡ Weiterlesen

LockBit lebt

Vor wenigen Tagen ist internationalen Strafverfolgungsbehörden ein entscheidender Schlag gegen Lockbit gelungen. Laut einem Kommentar von Chester Wisniewski, Director, Global ➡ Weiterlesen

Wachsende Bedrohungen im letzten Jahr

2023 haben Bedrohungen deutlich zugenommen. Angriffe über verschlüsselte Kanäle sind um 24 Prozent gestiegen. Die Fertigungsindustrie steht wieder an der ➡ Weiterlesen

[starbox id=USER_ID] <🔎> ff7f00