Cybererpressung

Das sind die gefährlichsten Ransomware-Banden

Uhr
von Gayathri Albert und tme

Immer mehr Unternehmen fallen Cybererpressungen zum Opfer. Die Ransomware-Gruppen Lockbit, Alphv (Blackcat) und Play gehören aktuell zu den aktivsten Playern, wie eine Analyse der Sicherheitsforscher von Cisco Talos zeigt.

(Source: Clint Patterson/Unsplash.com)
(Source: Clint Patterson/Unsplash.com)

Meldungen zu erfolgreichen Ransomware-Angriffen nehmen nicht ab - ganz im Gegenteil. Sie häufen sich insbesondere im industriellen Sektor, im Gesundheitswesen und in der Finanzbranche. In Anbetracht der Anzahl Opfer gilt Lockbit derzeit als die gefährlichste Gruppe, wie eine Analyse der Sicherheitsforschenden von Cisco Talos zeigt. Zu den Top 5 gehören ebenfalls die Gruppen Alphv (Blackcat), Play, 8base und Black Basta, die alle als RaaS (Ransom-as-a-Service) fungieren. 

Aufgrund ihrer Aktivitäten sei Lockbit bereits verstärkt in den Fokus der Strafverfolgungsbehörden gerückt. Doch obwohl im Februar sowie Mai 2024 bereits zwei  "Takedowns" erfolgten, seien diese Zerschlagungen nur von kurzer Dauer, heisst es weiter. Lockbit und seine Partner seien in der Lage, sich schnell neu zu formieren. 

Cisco Talos - Ranking Ransomware

Ransomware-Gruppen nach Anzahl ihrer Opfer auf Leak-Seiten. (Source: zVg)

Taktiken, Techniken und Prozesse

Laut Cisco Talos lassen sich verschiedene Taktiken, Techniken und Prozesse (TTP) der Akteure ausmachen. Mit dem Auftauchen neuer Gruppen im vergangenen Jahr, die jeweils sehr individuelle Ziele, operative Strukturen oder Opferprofile aufweisen, habe sich die Ransomware-Welt grundlegend geändert. Die Forschenden sprechen von einer Verschiebung hin zu immer individuelleren Cyberaktivitäten. Ransomware-Gruppen wie Hunters International, Cactus oder Akira besetzen demnach spezifische Nischen und unterscheiden sich stark in ihren Zielen und stilistischen Vorgehensweisen.

Black Basta, Lockbit und Rhysida wiederum haben die Spielregeln hinter Ransomware verändert, wie es weiter heisst. Statt einer reinen Datenverschlüsselung seien sie dazu übergegangen, Opfersysteme zu zerstören, um den Druck auf die Unternehmen zu erhöhen. Alphv (Blackcat) oder Rhysida setzten hingegen auf taktische Vielfalt in ihren Angriffen und nutzten das breiteste Spektrum an TTPs. 

Cisco Talos beobachte mit Sorge, dass die Angreifer dazu übergehen, Daten primär zu exfiltrieren – allerdings gebe es keine Möglichkeit der Wiederherstellung. Es entstehen immer mehr kleinere und spezialisierte Banden, was die Verteidigung wesentlich schwieriger mache. 

 

 

Übrigens: Der Downloader Fakeupdates verharrt im Juni weiterhin auf Platz Eins des Malware-Rankings von Check Point. Die am häufigsten ausgenutzte Sicherheitslücke im vergangenen Monat war die "Check Point VPN Information Disclosure". Mehr dazu lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
hbnAJKFS