Ransomware ist ein erfolgreiches Geschäftsmodell und zieht immer mehr Akteure an. Die Sicherheitsforscher des ThreatLabZ-Teams von Zscaler haben eine neue Ransomware-Gruppierung mit Namen Industrial Spy Ransomware entdeckt. Erste Spuren dieser neuen Gruppe tauchten im April 2022 auf und seither ist Industrial Spyware mit unterschiedlichen Methoden aufgefallen. Die Gruppe startete ihre Aktivitäten als Marktplatz für Cyberkriminelle und bot darüber gestohlene Daten großer Unternehmen zum Verkauf an. Nach den anfänglichen Kampagnen führte die Bedrohungsgruppe ihre eigene Ransomware ein und setze auf Double Extortion-Angriffe, die Datendiebstahl mit Dateiverschlüsselung kombinierten. Die Gruppe nutzt Loader und Infostealer wie SmokeLoader, GuLoader und Redline Stealer.
Die Ransomware-Familie ist relativ einfach aufgebaut, und Teile des Codes scheinen sich immer noch in der Entwicklung zu befinden. Industrial Spy verwendet nur sehr wenige Verschleierungsmethoden außer dem Aufbau von Strings auf dem Stack zur Runtime. Der Ransomware fehlen auch viele der Funktionen, die in modernen Ransomware-Familien üblich sind (z. B. Anti-Debug, Anti-Sandbox usw.), obwohl sich dies in Zukunft ändern könnte.
Technische Details
Diese Malware ist sehr einfach und führt die folgenden Aktionen aus, bevor sie sich selbst löscht:
Derzeit sind noch nicht viele Industrial Spy Ransomware-Samples „in the wild“ beobachtet worden. Allerdings fügt die Gruppe pro Monat zwei neue Organisationen auf ihrem Datenleak-Portal hinzu, die ihren Angriffen zum Opfer gefallen sind. Das erste Opfer auf der Leak-Site wurde am 15.03.2022 aufgeführt. Die Gesamtzahl der Opfer auf dem Portal betrug am 25. Juli 2022 37.
Industrial Spy verkauft hauptsächlich einzelne Dateien anstelle von Dateibündeln in einer Preisspanne von einem US-Dollar bis zu Zehntausenden von US-Dollar. Es ist zu vermuten, dass die Gruppe die erbeuteten Dateien überprüft, bevor sie sensible Dateien mit einem hohen Preisschild versieht und den Rest der Dateien mit einem Preisschild von einem bis zwei US-Dollar verramscht. ThreatLabz hat beobachtet, dass Betriebssystemdateien mit begrenztem Wert wie desktop.ini und thumbs.db für zwei US-Dollar angeboten werden.
Deepen Desai, CISO und VP of Security Research bei Zscaler kommentiert: „In den letzten Jahren ist die Ransomware-Bedrohung immer gefährlicher geworden. Neue Methoden wie Double Extortion und DDoS-Angriffe machen es Cyberkriminellen leicht, Unternehmen zu sabotieren und deren Ruf nachhaltig zu schädigen. Mit zunehmender Beliebtheit von RaaS wenden Cyberkriminelle doppelte Erpressungsmethoden an, die neben der ungewollten Verschlüsselung sensibler Daten auch die Exfiltration der wichtigsten Dateien beinhalten, um Lösegeld zu erpressen. Selbst wenn die betroffenen Unternehmen in der Lage sind, die Daten aus Backups wiederherzustellen, droht ihnen immer noch die öffentliche Preisgabe ihrer gestohlenen Daten durch die Angreifer, um der Lösegeldforderung Nachdruck zu verleihen.“
Newcomer im Ransomware-Markt
Industrial Spy ist ein Neueinsteiger im Ransomware-Ökosystem. Die Malware ist derzeit nicht sehr umfangreich ausgestattet, aber die Dateiverschlüsselung ist funktional, was sie zu einer gefährlichen Bedrohung macht, was die wachsende Anzahl an Opfern belegt. Auf dem Ransomware-Markt gibt es viele Akteure, die kommen und gehen, und es ist schwierig, die Gruppen zu bestimmen, die sich langfristig durchsetzen werden. Es ist jedoch wahrscheinlich, dass diese Bedrohungsgruppe zumindest in naher Zukunft bestehen bleibt und weitere Ransomware-Updates und Funktionen folgen werden.
Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…
Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.
Tenable vergibt für beide Schwachstellen einen CVSS-Basis-Score von 9,8. Zwei Use-after-free-Bugs erlauben möglicherweise das Einschleusen…
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.