Analyse von Trend Micro

Diese Ransomware-Gruppen sind aktuell besonders bedrohlich

Uhr
von Joël Orizet und ahu

Mehrere kleine Bedrohungsakteure liefern sich einen Wettbewerb um die Vorherrschaft im Ransomware-Bereich. Trend Micro hat die aktivsten Gruppen analysiert und zeigt auf, welche von ihnen derzeit besonders gefährlich sind.

(Source: Jaruwan photo / stock.adobe.com)
(Source: Jaruwan photo / stock.adobe.com)

Ransomware-Gruppen konkurrieren untereinander - nicht nur um die attraktivsten Angriffsziele, sondern auch um Affiliates, das heisst um kriminelle "Subunternehmer", die ihre Erpressungs-Tools und -Dienste einsetzen. Und auch im Geschäft mit Cyberkriminalität gilt: Konkurrenz bringt Bewegung in den Markt. 

Nach und nach tauchen neue Akteure auf, die durch immer ausgefeiltere Technologien und Taktiken auffallen. Andere wiederum verschwinden von der Bildfläche, wobei einige von ihnen unter anderem Namen erneut aus der Versenkung auftauchen. Der japanische Anbieter von Cybersecurity-Lösungen Trend Micro hat die aktuell aktivsten Ransomware-Gruppierungen analysiert und zeigt auf, welche von ihnen Unternehmen besonders im Auge behalten sollten. 

"Knight" kehrt zurück

Die aktuell am weitesten verbreitete Ransomware ist gemäss Trend Micro jene einer Gruppierung, die sich nun Ransomhub nennt. Es handle sich um eine aktualisierte und umbenannte Version der früheren "Knight"-Ransomware, die zwischenzeitlich im Darknet zum Verkauf gestanden habe, teilt der Anbieter mit. 

Ransomhub nutzt demnach bekannte Schwachstellen wie Zerologon, um in Systeme einzudringen. Im Anschluss setzt sie verschiedene Tools für Remote Access und Netzwerk-Scanning ein, bevor sie Daten mit ausgefeilten Methoden verschlüsselt. Abgesehen von Windows-Systemen zählen auch MacOS- und Linux-Umgebungen zu ihren Zielen. Die Gruppe ist weltweit aktiv, unter anderem in Europa, Nord- und Lateinamerika.

"Play" lernt neue Tricks

Die Play-Ransomware-Gruppe wurde erstmals im Juni 2022 entdeckt und zeichnet sich durch eine doppelte Erpressungstaktik, ausgefeilte Umgehungstechniken und speziell entwickelte Tools aus. In jüngster Zeit hat die Gruppe die Fähigkeiten ihrer Schadsoftware erweitert und nimmt nun besonders VMWare-ESXi-Umgebungen ins Visier, wie Trend Micro feststellt. Unternehmen nutzen diese Umgebungen häufig zur Ausführung mehrerer virtueller Maschinen. Sie hosten oft wichtige Anwendungen und Daten und enthalten normalerweise integrierte Backup-Lösungen. 

Eine Kompromittierung dieser Umgebungen kann den Geschäftsbetrieb erheblich stören. Sogar Backups würden verschlüsselt, was die Möglichkeiten des Opfers zur Datenwiederherstellung einschränke. Es sei zu befürchten, dass die Gruppe ihre Angriffsmethoden auch auf weitere Linux-Systeme ausdehnt, um die Anzahl der Opfer zu erhöhen und den Druck in Lösegeldverhandlungen zu verstärken, heisst es in der Analyse. Play verursacht aktuell besonders in Nordamerika erhebliche Schäden, aber auch Unternehmen in West- und Mitteleuropa zählen zu ihren Zielen.

"Akira" treibt sein Unwesen

Die Akira-Gruppe machte vergangenen Herbst mit dem verheerenden Angriff auf den deutschen Dienstleister Südwestfalen-IT von sich reden und hat sich seitdem zu einer festen Grösse in der Ransomware-Szene entwickelt. Analysen des Schadcodes lassen laut Trend Micro darauf schliessen, dass es sich um die früheren Strippenzieher hinter der Conti-Ransomware handelt. Sicherheitsbehörden wie das FBI, Europol und weitere warnten in einer Mitteilung vom April, dass die Angreifer innerhalb eines Jahres über 250 Unternehmen erfolgreich angegriffen und dabei mehr als 42 Millionen US-Dollar Lösegeld erpresst hätten.

Akira greift Linux-Systeme ebenso an wie Windows und nutzt grösstenteils etablierte Angriffstechniken, beispielsweise die Ausnutzung bekannter Schwachstellen in VPN-Diensten ohne Multifaktor-Authentifizierung. Auch diese Gruppe setzt auf doppelte Erpressung mittels Datendiebstahl und -verschlüsselung und hat besonders Unternehmen in Europa, Nordamerika und Australien im Visier.

"Cactus" macht sich breit

Die gleichen Eintrittsvektoren nutze auch die Cactus-Gruppe, die aktuell besonders aktiv sei, merkt Trend Micro an. Die Gruppierung greift demnach vorzugsweise grosse Unternehmen an, die die nötigen finanziellen Ressourcen besitzen, um auch höhere Lösegeldforderungen zu bezahlen. In diesem Jahr zählten unter anderem ein französischer Elektrotechnik-Konzern, eine schwedische Supermarktkette und andere Grossunternehmen in Europa und Nordamerika zu ihren Opfern.
 
Die anscheinend erfahrenen Angreifer sind laut Mitteilung sehr gut darin, sich innerhalb von Netzwerken auszubreiten und einer Erkennung durch vorhandene Sicherheitslösungen zu entgehen. Unternehmen sollten diese Gruppe und ihre Methoden deshalb besonders beachten, um sich vor ihren Angriffen zu schützen.

"Lockbit" kämpft ums Überleben

Lockbit hatte die Ransomware-Szene mehrere Jahre lang beherrscht - im vergangenen April zwangen Strafverfolgungsbehörden die Gruppe jedoch in die Knie, wie Trend Micro mitteilt. Dank Rechtshilfeersuchen des Kantons Zürich konnte Ende Juli ein Lockbit-Täter verurteilt werden, der auch an Attacken in der Schweiz beteiligt war.

Zwar zeige die Gruppe auf ihren Leak-Seiten noch immer eine hohe Aktivität, bei den veröffentlichten Daten handle es sich aber grösstenteils um Ergebnisse früherer Angriffe, die nun erneut genutzt würden, sowie um Informationen aus den Leaks anderer Ransomware-Gruppen oder nicht verifizierte Opfer, heisst es in der Analyse weiter. 
Die Hintermänner versuchen gemäss Trend Micro den Anschein zu wahren, sie hätten alles unter Kontrolle, während sie im Hintergrund ihre Infrastruktur neu aufbauen. Ob sich Lockbit von diesem Schlag erholen wird, bleibt abzuwarten, da sich zahlreiche ihrer Affiliates inzwischen anderen Gruppen zugewandt haben dürften.


Bezüglich des Gefahrenpotenzials von Lockbit kommt Cisco Talos allerdings zu einer anderen Einschätzung: Der Cybersecurity-Arm des US-amerikanischen Netzwerkausrüsters geht davon aus, dass Lockbit auch dieses Jahr zu den gefährlichsten Ransomware-Gruppierungen gehört. Mehr dazu lesen Sie hier

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
 

Webcode
CkKfQUDB