Die Threat-Intelligence Experten von Digital Shadows schildern in ihrem Bericht „Q1 Ransomware Roundup“, wie sich das Geschäft mit Erpresser-Software in den ersten drei Monaten des Jahres 2021 verändert hat.
Nach einer kurzen Verschnaufpause über die Weihnachtsfeiertage startete das Ransomware-Jahr 2021 am 3. Januar mit einer neuen Variante namens „Babuk Locker“. Wie ihre Vorgänger nutzt auch Babuk einen starken Verschlüsselungsmechanismus, zielt auf große, umsatzstarke Unternehmen ab und droht damit, die gestohlenen Daten bei Nichtzahlung des Lösegeld zu veröffentlichen. Auf cyberkriminellen Foren fanden sich schon bald entsprechende Datenleaks. Nur zwei Wochen später stellten die Akteure die Darknet-Seite „Babuk Locker Leaks“ vor, auf der seitdem alle erbeuteten Daten von zahlungsunwilligen Opfern veröffentlicht werden.
Zahlreiche weitere Ransomware-Gruppen mit ähnlichem Modus Operandi sind seitdem auf der Bildfläche erschienen, darunter „Cuba“ und „Phoenix CryptoLocker“. Jede neue Variante bringt eine Welle von Nachahmern hervor, wobei die Methoden weiter verfeinert werden. Die von „Egregor“ im letzten Jahr eingeführte zweistufige Angriffstaktik, bei der die erbeuteten Daten nicht nur verschlüsselt, sondern auch veröffentlicht werden, scheint mittlerweile zum Standard zu gehören. Die meisten dieser Varianten bzw. Gruppen können eine Zeitlang ungestört auf Beutezug gehen, ehe ihnen von strafrechtlicher Seite ein Riegel vorgeschoben wird.
Erfolge der Behörden: Egregor & NetWalker
Tatsächlich kann sich die Ermittlungsarbeit von Europol, FBI & Co. im Kampf gegen Ransomware-Betreiber im ersten Quartal durchaus sehen lassen. Erschwert wird die Strafverfolgung und Abschaltung von Marktplätzen im Darknet dadurch, dass die Angreifer in der Regel aus mehreren Einzelgruppen bestehen, die von verschiedenen Ländern aus operieren.
Sowohl Egregor als auch NetWalker gehörten im 4. Quartal 2020 zu den aktivsten Ransomware-Gruppen. Beide haben jedoch in diesem Jahr kräftig Konkurrenz bekommen. Digital Shadows beobachtete von Januar bis März 2021 unter anderem verstärkte Ransomware-Aktivitäten von „Conti“, „Avaddon“, „Sodinokibi“, „DoppelPaymer“, „DarkSide“ und „Clop“.
Wachsende Professionalisierung
Insgesamt hat der Ransomware-Sektor nach Einschätzung der Threat Intelligence-Experten einen hohen Reifegrad erreicht. Aus kleinen Cyberkriminellen der Anfangszeit sind professionelle und gut organisierte Netzwerke entstanden, die auf ein breites Spektrum an Angriffs-Tools und Partnern zurückgreifen. Dabei werben sie auf Social Media mit eigenen Kampagnen und beauftragen laut Berichten sogar Call-Center, um Ransomware-Opfer systematisch unter Druck setzen. Das Outsourcing krimineller Dienstleistungen, zum Beispiel Domain-Registrierung und Bulletproof-Hosting, tut ein Übriges, um Ransomware-Angriffe zu verschleiern und das Ökosystem Cyberkriminalität aufrechtzuhalten.
Die zunehmende Professionalisierung hat die Kluft zwischen organisierten cyberkriminellen Gruppen und staatlich unterstützten APT-Gruppen (Advanced Persistent Threats) verringert. Dies geht so weit, dass Ransomware-Betreiber nun beginnen, die TTPs von APTs nachzuahmen. Dabei gerät vor allem die Supply Chain von Unternehmen ins Visier größerer Ransomware-Gruppen.
Deutlich wird dies an den Exploits der Sicherheitslücken im Microsoft Exchange Server. Sowohl die Ransomware-Variante „Black Kingdom“ als auch „DearCry“ nutzten die Zero-Day-Schwachstelle aus. Das ist für Ransomware-Gruppen zwar nicht ungewöhnlich, das Ausmaß ist jedoch neu. Im März 2021 forderte die Gruppe um „Sodinokibi“ (auch bekannt als REvil) ein Lösegeld in Höhe von 50 Millionen US-Dollar von der Technologiefirma Acer. Das ist in der Geschichte der Ransomware eine bislang einmalige Summe. Eine offizielle Bestätigung gibt es nicht, doch Experten gehen davon aus, dass auch das Exploit von Acer auf ein Microsoft Exchange-Exploit zurückgeht.
Neue Taktiken, Techniken und Prozesse (TTPs)
Das Photon Research Team von Digital Shadows hat in den ersten drei Monaten 2021 zahlreiche neue Angriffsstrategien und Methoden im Rahmen von Ransomware-Kampagnen verzeichnet. Zu den drei gefährlichsten (und skurrilsten) zählen:
Schlimmer geht immer. Ransomware-Betreiber haben begonnen, Distributed-Denial-of-Service (DDoS) in ihre Angriffe einzubauen. Erstmals beobachtet wurde diese Methode im Oktober 2020 bei der Ransomware-Variante „SunCrypt“. Im ersten Quartal 2021 setzten sowohl „Avaddon“ als auch „Sodinokibi“ auf diese perfide Kombination. DDoS-Attacken können die Mitigation-Maßnahmen nach einem Ransomware-Angriff deutlich erschweren. Damit haben Angreifer einen neuen Weg gefunden, die Daumenschrauben bei Unternehmen anzulegen – insbesondere, wenn diese sich weigern, ein Lösegeld zu zahlen.
Rückzahlung des Lösegelds
Die Ransomware „Ziggy“ stellte im Februar offiziell ihren Betrieb ein, veröffentlichte 922 Decryption Keys und zahlte ihren Opfern das Lösegeld zurück. Vom Ungewöhnlichen zum Bizarren: Die Betreiber von Ziggy erklärten, dass sie die Seiten wechseln wollen und ab sofort selbst auf die Jagd nach Ransomware-Gruppen gehen. Ob hier tatsächlich das schlechte Gewissen oder eher der wachsende Druck auf Ransomware-Akteure von Seiten der Strafverfolgung zu einem Gesinnungswandel geführt haben, bleibt offen. Da die Gruppe jedoch nur die ursprüngliche Lösegeldsumme zurückerstattet und der Bitcoin-Kurs in der Zwischenzeit gestiegen ist, können sich die Betreiber von Ziggy noch immer über einen Gewinn freuen.
Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…