Sechs Ransomware-Gruppen attackieren 2021 mehr als 290 Unternehmen

Jede Woche gibt es eine neue Organisation, die mit einem Ransomware-Angriff konfrontiert wird. Ein neuer Bericht des Sicherheitsforschungsteams von eSentire und des Dark-Web-Forschers Mike Mayes besagt, dass die Vorfälle, die wir in den Nachrichten sehen, nur einen kleinen Ausschnitt der wahren Opferzahl darstellen.

Laut dem eSentire Ransomware Report haben allein im Jahr 2021 sechs Ransomware-Gruppen zwischen dem 1. Januar und dem 30. April 292 Unternehmen kompromittiert. Der Bericht schätzt, dass die Gruppen durch diese Angriffe mindestens 45 Millionen US-Dollar einnehmen konnten und beschreibt mehrere Vorfälle, die nie gemeldet wurden.

Das eSentire-Team und Mayes konzentrierten sich ausschließlich auf die Ransomware-Gruppen Ryuk/Conti, Sodin/REvil, CLOP und DoppelPaymer sowie auf zwei aufstrebende, aber bemerkenswerte Gangs: DarkSide und Avaddon.

Jede Bande konzentriert sich auf bestimmte Branchen und Regionen der Welt, so der Bericht. Die Ryuk/Conti-Gang hat seit 2018 352 und in diesem Jahr 63 Unternehmen angegriffen, wobei sie sich hauptsächlich auf Fertigungs-, Bau- und Transportunternehmen konzentriert.

Dutzende ihrer Opfer wurden nie veröffentlicht, aber zu den bemerkenswertesten Organisationen, die angegriffen wurden, gehören der Broward County School District und die französische Tassenfirma CEE Schisler, die beide die exorbitanten Lösegelder nicht bezahlt haben, so der Bericht.

Neben dem produzierenden Gewerbe machte die Gruppe im Jahr 2020 von sich reden, weil sie die IT-Systeme kleinerer Regierungen in den Vereinigten Staaten angriff, darunter Jackson County, Georgia, Riviera Beach, Florida, und LaPorte County, Indiana. Alle drei Kommunalverwaltungen zahlten die Lösegelder, die zwischen 130.000 und fast 600.000 US-Dollar lagen. Die Gruppe verübte auch einen Großteil des Jahres 2020 Überfälle auf örtliche Krankenhäuser in den USA.

Wie die Ryuk/Conti-Bande konzentrieren sich auch die Hintermänner der Sodin/REvil-Ransomware auf Organisationen des Gesundheitswesens sowie auf Angriffe auf Laptop-Hersteller. Von ihren 161 Opfern waren 52 im Jahr 2021 betroffen. Internationale Schlagzeilen machten sie mit Angriffen auf Acer und Quanta, zwei der größten Technologiehersteller der Welt.

Quanta, das Apple-Notebooks herstellt, wurde mit einer Lösegeldforderung von 50 Millionen Dollar konfrontiert. Das Unternehmen weigerte sich, zu zahlen, woraufhin die Sodin/REvil-Gang detaillierte Entwürfe eines Apple-Produkts durchsickern ließ. Die Bande drohte damit, weitere Dokumente zu veröffentlichen, zog aber die Fotos und jeden anderen Hinweis auf den Angriff im Mai zurück, so der Bericht, der anmerkt, dass Apple sich seitdem nicht mehr zu dem Eindringen geäußert hat.

Die DoppelPaymer/BitPaymer haben sich einen Namen gemacht, indem sie es auf Regierungseinrichtungen und Schulen abgesehen haben. Das FBI veröffentlichte im Dezember eine Mitteilung speziell über die Ransomware und wies darauf hin, dass sie für Angriffe auf kritische Infrastrukturen wie Krankenhäuser und Notdienste verwendet wird.

Der Bericht fügt hinzu, dass die meisten der 59 Opfer der Gruppe in diesem Jahr noch nicht öffentlich identifiziert wurden, mit Ausnahme des Büros des Generalstaatsanwalts von Illinois, das am 29. April angegriffen wurde.

Die Clop-Bande hat ihre Bemühungen darauf konzentriert, die weithin bekannte Schwachstelle im Dateiübertragungssystem von Accellion zu missbrauchen. Das eSentire-Team und Mayes erklären, dass die Gruppe die Schwachstelle ausgiebig nutzte und die Universität von Kalifornien, die US-Bank Flagstar, die globale Anwaltskanzlei Jones Day, den kanadischen Flugzeughersteller Bombardier, die Stanford University, den niederländischen Ölgiganten Royal Shell, die Universität von Colorado, die Universität von Miami, die Tankstellenfirma RaceTrac und viele mehr angriff.

Clop hat im Oktober 2020 die Darmstädter Software AG attackiert und forderte ein Lösegeld von 20 Millionen Dollar. Der zweitgrößte deutsche Software-Hersteller weigerte sich zu zahlen.

Der Bericht stellt fest, dass die Clop-Bande dafür berüchtigt wurde, dass sie angeblich die Dateien eines Unternehmens durchkämmt und Kunden oder Partner kontaktiert, um das Opfer zur Zahlung eines Lösegelds zu zwingen.

Die DarkSide-Gang ist in letzter Zeit durch ihren Angriff auf die Colonial Pipeline in die Schlagzeilen geraten, der einen politischen Feuersturm in den USA und einen Ansturm auf Tankstellen in Städten entlang der amerikanischen Ostküste auslöste.

Die Gruppe ist eine der jüngsten unter den führenden Ransomware-Gruppen, die laut dem Bericht Ende 2020 auftauchte. Aber sie sind bereits sehr aktiv und haben seit November 59 Opfer und in diesem Jahr 37 Opfer attackiert.

Der Bericht stellt fest, dass die DarkSide-Gruppe eine der wenigen ist, die als Ransomware-as-a-Service-Betrieb operiert und die Verantwortung an Auftragnehmer abgibt, die Ziele angreifen und das Lösegeld aufteilen. eSentire sagte, dass ihre Nachforschungen darauf hindeuten, dass die Leute hinter DarkSide nichts von der Colonial-Attacke wussten, bevor sie stattfand, und erst aus den Nachrichten davon erfuhren. Sie machten letzte Woche von sich reden, als sie angeblich alle ihre Operationen aufgrund der verstärkten Kontrolle durch die Strafverfolgungsbehörden einstellten.

Die Ransomware war in mehrere Angriffe auf Energieerzeuger verwickelt, wie z. B. auf eines der größten brasilianischen Stromversorgungsunternehmen, Companhia Paranaense de Energia, das sie im Februar angriff.

Die letzte untersuchte Gruppe ist die Avaddon-Bande, die diese Woche wegen ihres Angriffs auf das große europäische Versicherungsunternehmen AXA in den Nachrichten war. Der Angriff war bemerkenswert, weil AXA Dutzende von Unternehmen mit Cyberversicherungen versorgt und sich verpflichtet hat, ihren Kunden in Frankreich kein Lösegeld mehr zu erstatten.

Neben AXA hat die Gruppe in diesem Jahr bereits 46 Unternehmen angegriffen und arbeitet wie DarkSide als Ransomware-as-a-Service-Betrieb. Dem Bericht zufolge zeichnet sich die Gruppe dadurch aus, dass sie eine Countdown-Uhr auf ihrer Dark-Web-Site anzeigt und zusätzlich mit einer DDoS-Attacke droht, wenn das Lösegeld nicht gezahlt wird.

Auf der Liste ihrer Opfer stehen Gesundheitsorganisationen wie das Capital Medical Center in Olympia, Washington und Bridgeway Senior Healthcare in New Jersey.

Das eSentire-Team und Mayes fügten hinzu, dass die hohe Dunkelziffer der Angriffe darauf hindeutet, dass diese Banden viel mehr Einrichtungen schädigen, als die Öffentlichkeit wahrnimmt.

„Eine weitere ernüchternde Erkenntnis ist, dass keine einzelne Branche vor dieser Ransomware-Plage gefeit ist“, so der Bericht. „Diese lähmenden Angriffe finden in allen Regionen und Branchen statt, und es ist zwingend erforderlich, dass alle Unternehmen und privaten Organisationen Sicherheitsvorkehrungen treffen, um die Schäden zu mindern, die durch einen Ransomware-Angriff entstehen.“

Im Folgenden finden Sie einige grundlegende Sicherheitsschritte, die jedes Unternehmen zur Abwehr von Ransomware-Angriffen durchführen sollte:

– Erstellen Sie eine Sicherungskopie aller kritischen Dateien und stellen Sie sicher, dass es sich um Offline-Backups handelt. Backups, die mit den infizierten Systemen verbunden sind, sind im Falle eines Ransomware-Angriffs unbrauchbar.

– Fordern Sie eine Multi-Faktor-Authentifizierung für den Zugriff auf das virtuelle private Netzwerk (VPN) oder die Remote-Desktop-Protokoll-Dienste (RDP) Ihres Unternehmens.

– Erlauben Sie nur Administratoren den Zugriff auf Netzwerk-Appliances über einen VPN-Dienst.

– Domänencontroller sind ein Hauptziel für Ransomware-Akteure, also stellen Sie sicher, dass Ihr Sicherheitsteam Einblick in Ihre IT-Netzwerke mithilfe von EDR-Agenten (Endpoint Detection and Response) und zentraler Protokollierung auf Domain Controllern (DCs) und anderen Servern.

– Setzen Sie bei Ihren Mitarbeitern das Prinzip der geringsten Berechtigung ein.

– Implementieren Sie eine Netzwerksegmentierung.

– Deaktivieren Sie RDP, wenn es nicht verwendet wird.

– Führen Sie regelmäßig Patches für Ihre Systeme durch, wobei Sie die wichtigsten IT-Systeme priorisieren.

– Benutzerschulungen sollten für alle Mitarbeiter des Unternehmens obligatorisch sein und sich auf Folgendes konzentrieren

– das Herunterladen und Ausführen von Dateien aus nicht verifizierten Quellen

– kostenlose Versionen von kostenpflichtiger Software zu meiden

– vor dem Herunterladen von Dateien die vollständige URL zu prüfen, um sicherzustellen, dass sie zur Quelle passt (z. B. Microsoft Teams sollte von einer Microsoft-Domäne stammen)

– Prüfen Sie immer die Dateierweiterungen. Vertrauen Sie nicht allein dem Dateityp-Logo. Eine ausführbare Datei kann als PDF oder Office-Dokument getarnt sein.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

1 Tag ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

1 Tag ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago