RansomHub hebt Datenerpressung auf höhere Stufe

Dies geht aus einem aktuellen Bericht zu Ransomware-Aktivitäten und -Trends von Check Point Research (CPR) hervor. RansomHub hat sich zur am schnellsten wachsenden Ransomware-Gruppe entwickelt, die über Ransomware-as-a-Service (RaaS) operiert. Im September 2024 waren 19 Prozent aller auf Ransomware-Shame-Seiten veröffentlichten Betroffenen ein Opfer der Gruppe RansomHub gewesen, was eine Verschiebung in der Landschaft der Cyber-Kriminalität markiert. Auf diesen Shame-Seiten machen Hacker öffentlich bekannt, welche Organisationen sie erfolgreich mit Ransomware infiltriert haben, um sie bloßzustellen. Lockbit, die einst dominierende Ransomware-Gruppe, hat einen deutlichen Rückgang verzeichnet und ist nur noch für 5 Prozent der neuen Opfer verantwortlich, von denen viele bereits zum wiederholten Male attackiert wurden.

Die hohe Erfolgsquote von RansomHub liegt vor allem darin begründet, dass sie sich der fortschrittlichen Methode der Fernverschlüsselung bedienen. Diese gefährliche Innovation wurde von Check Point erstmals 2023 beobachtet und hat sich im Jahr 2024 rasant ausgebreitet. Dem Angreifer reicht bei dieser Taktik ein einziger ungeschützter Endpunkt, beispielsweise ein Mobiltelefon, um Daten auf anderen Geräten im selben Netzwerk zu verschlüsseln. Die Hacker rufen dabei die Daten über das ungeschützte Gerät ab, verschlüsseln sie und ersetzen die Originaldateien durch die verschlüsselten.

Verschlüsselung über einen infizierten Endpunkt

Der Clou: Bisher versuchten Hacker, die Dateien direkt vom verwalteten und geschützten Endpunkt aus zu verschlüsseln. Bei einer Fernverschlüsselung wird keine Malware/Ransomware direkt auf dem verschlüsselten Gerät ausgeführt, sondern nur auf dem einen, infizierten Endpunkt. Von dort erfolgt die Verschlüsselung im restlichen Netzwerk. Die Cyber-Kriminellen müssen keine Ransomware mehr durch die Netzwerke hüpfen lassen. Angreifer suchen daher im Unternehmensnetzwerk ungesicherte Geräte oder Server, und führen von diesem Gerät die Verschlüsselung im gesamten Netzwerk aus. Das bedeutet, dass mehrere Geräte/Server im Netzwerk ohne eine geeignete Endpunktlösung ein erhebliches Risiko für das gesamte Netzwerk darstellen. Da die betroffenen Geräte ungesichert sind, ist es erheblich schwerer, diese Angriffe zu erkennen und unschädlich zu machen.

RansomHub, Lockbit und Meeow

Aufstieg von RansomHub
Seit seiner Gründung im Februar 2024 ist RansomHub schnell gewachsen und hat es auf Unternehmen in den USA abgesehen. Obwohl die Gruppe zunächst erklärte, gemeinnützige Organisationen und Krankenhäuser zu meiden, sind unter den Opfern auch bekannte Namen aus dem Gesundheitswesen. Die Gruppe betreibt ein RaaS-Modell, was es Dritten erlaubt, Angriffe mit ihren Tools und ihrer Infrastruktur durchzuführen, und hat so bedeutende Erfolge erzielt.

Lockbits Niedergang
Während Lockbit in den Jahren 2022 und 2023 noch für satte 40 Prozent aller Ransomware-Opfer verantwortlich war, liegt der Anteil der Gruppe heute nur noch bei 5 Prozent. Fast die Hälfte der benannten Opfer sind jedoch Namen, die die Gruppe in der Vergangenheit bereits angegriffen hat, was darauf hindeutet, dass Größe und Ressourcen der Bande erheblich zurückgegangen sind. CPR vermutet, dass die Täter sich entweder mit fremden Federn schmücken und Betroffene anderer Gruppen als ihre eigenen deklarieren oder ihre vorherigen Opfer erneut in den Mittelpunkt rücken, um die Fassade andauernder Operationen aufrechtzuerhalten.

Meow Ransomware Entwicklung
Anstatt Dateien zu verschlüsseln und ein Lösegeld für die Entschlüsselung zu verlangen, stiehlt Meow jetzt sensible Daten und stellt das Opfer vor die Wahl: Lösegeld zahlen, um die Veröffentlichung der Daten zu verhindern, oder zulassen, dass die Daten an andere Hacker verkauft werden. Auf der Meow-Leak-Website werden derzeit gestohlene Daten mit Preisen zwischen 500 und 200 000 US-Dollar (461 bis 184 520 Euro) aufgeführt.

Auswirkungen auf Industrie, Bildungs- und Gesundheitswesen
Die Industrieproduktion ist der am stärksten von Ransomware-Angriffen betroffene Sektor, da veralte Systeme und die Kombination von IT- und OT-Netzwerken gefährliche Schwachstellen bieten. Diese Unternehmen speichern wertvolle Daten, deren Verlust finanzielle Schäden und Störungen in globalen Lieferketten verursachen kann. Die Bildungseinrichtungen sind ebenfalls stark gefährdet, da ihre umfangreichen Netzwerke oft unzureichend gesichert sind und sensible persönliche Daten enthalten. Auch der Gesundheitssektor bleibt ein häufiges Ziel, da überlebenswichtige Patientendaten und die Notwendigkeit, den Betrieb aufrechtzuerhalten, hohe Lösegeldzahlungen wahrscheinlich machen.

Roger Homrich

Recent Posts

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

33 Minuten ago

Internet-Tempo in Deutschland: Viel Luft nach oben

Höchste Zeit für eine schnelle Kupfer-Glas-Migration. Bis 2030 soll in Deutschland Glasfaser flächendeckend ausgerollt sein.

1 Stunde ago

Erste Entwickler-Preview von Android 16 verfügbar

Schon im April 2025 soll Android 16 den Status Plattformstabilität erreichen. Entwicklern gibt Google danach…

1 Stunde ago

Kaspersky warnt vor Cyberangriff auf PyPI-Lieferkette

Die Hintermänner setzen KI-Chatbot-Tools als Köder ein. Opfer fangen sich den Infostealer JarkaStealer ein.

18 Stunden ago

Digitale Produkte „cyberfit“ machen

Vernetzte Produkte müssen laut Cyber Resilience Act über Möglichkeiten zur Datenverschlüsselung und Zugangsverwaltung verfügen.

19 Stunden ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Das jüngste Update für Windows, macOS und Linux stopft drei Löcher. Eine Anfälligkeit setzt Nutzer…

23 Stunden ago