Dies geht aus einem aktuellen Bericht zu Ransomware-Aktivitäten und -Trends von Check Point Research (CPR) hervor. RansomHub hat sich zur am schnellsten wachsenden Ransomware-Gruppe entwickelt, die über Ransomware-as-a-Service (RaaS) operiert. Im September 2024 waren 19 Prozent aller auf Ransomware-Shame-Seiten veröffentlichten Betroffenen ein Opfer der Gruppe RansomHub gewesen, was eine Verschiebung in der Landschaft der Cyber-Kriminalität markiert. Auf diesen Shame-Seiten machen Hacker öffentlich bekannt, welche Organisationen sie erfolgreich mit Ransomware infiltriert haben, um sie bloßzustellen. Lockbit, die einst dominierende Ransomware-Gruppe, hat einen deutlichen Rückgang verzeichnet und ist nur noch für 5 Prozent der neuen Opfer verantwortlich, von denen viele bereits zum wiederholten Male attackiert wurden.
Die hohe Erfolgsquote von RansomHub liegt vor allem darin begründet, dass sie sich der fortschrittlichen Methode der Fernverschlüsselung bedienen. Diese gefährliche Innovation wurde von Check Point erstmals 2023 beobachtet und hat sich im Jahr 2024 rasant ausgebreitet. Dem Angreifer reicht bei dieser Taktik ein einziger ungeschützter Endpunkt, beispielsweise ein Mobiltelefon, um Daten auf anderen Geräten im selben Netzwerk zu verschlüsseln. Die Hacker rufen dabei die Daten über das ungeschützte Gerät ab, verschlüsseln sie und ersetzen die Originaldateien durch die verschlüsselten.
Der Clou: Bisher versuchten Hacker, die Dateien direkt vom verwalteten und geschützten Endpunkt aus zu verschlüsseln. Bei einer Fernverschlüsselung wird keine Malware/Ransomware direkt auf dem verschlüsselten Gerät ausgeführt, sondern nur auf dem einen, infizierten Endpunkt. Von dort erfolgt die Verschlüsselung im restlichen Netzwerk. Die Cyber-Kriminellen müssen keine Ransomware mehr durch die Netzwerke hüpfen lassen. Angreifer suchen daher im Unternehmensnetzwerk ungesicherte Geräte oder Server, und führen von diesem Gerät die Verschlüsselung im gesamten Netzwerk aus. Das bedeutet, dass mehrere Geräte/Server im Netzwerk ohne eine geeignete Endpunktlösung ein erhebliches Risiko für das gesamte Netzwerk darstellen. Da die betroffenen Geräte ungesichert sind, ist es erheblich schwerer, diese Angriffe zu erkennen und unschädlich zu machen.
Aufstieg von RansomHub
Seit seiner Gründung im Februar 2024 ist RansomHub schnell gewachsen und hat es auf Unternehmen in den USA abgesehen. Obwohl die Gruppe zunächst erklärte, gemeinnützige Organisationen und Krankenhäuser zu meiden, sind unter den Opfern auch bekannte Namen aus dem Gesundheitswesen. Die Gruppe betreibt ein RaaS-Modell, was es Dritten erlaubt, Angriffe mit ihren Tools und ihrer Infrastruktur durchzuführen, und hat so bedeutende Erfolge erzielt.
Lockbits Niedergang
Während Lockbit in den Jahren 2022 und 2023 noch für satte 40 Prozent aller Ransomware-Opfer verantwortlich war, liegt der Anteil der Gruppe heute nur noch bei 5 Prozent. Fast die Hälfte der benannten Opfer sind jedoch Namen, die die Gruppe in der Vergangenheit bereits angegriffen hat, was darauf hindeutet, dass Größe und Ressourcen der Bande erheblich zurückgegangen sind. CPR vermutet, dass die Täter sich entweder mit fremden Federn schmücken und Betroffene anderer Gruppen als ihre eigenen deklarieren oder ihre vorherigen Opfer erneut in den Mittelpunkt rücken, um die Fassade andauernder Operationen aufrechtzuerhalten.
Meow Ransomware Entwicklung
Anstatt Dateien zu verschlüsseln und ein Lösegeld für die Entschlüsselung zu verlangen, stiehlt Meow jetzt sensible Daten und stellt das Opfer vor die Wahl: Lösegeld zahlen, um die Veröffentlichung der Daten zu verhindern, oder zulassen, dass die Daten an andere Hacker verkauft werden. Auf der Meow-Leak-Website werden derzeit gestohlene Daten mit Preisen zwischen 500 und 200 000 US-Dollar (461 bis 184 520 Euro) aufgeführt.
Auswirkungen auf Industrie, Bildungs- und Gesundheitswesen
Die Industrieproduktion ist der am stärksten von Ransomware-Angriffen betroffene Sektor, da veralte Systeme und die Kombination von IT- und OT-Netzwerken gefährliche Schwachstellen bieten. Diese Unternehmen speichern wertvolle Daten, deren Verlust finanzielle Schäden und Störungen in globalen Lieferketten verursachen kann. Die Bildungseinrichtungen sind ebenfalls stark gefährdet, da ihre umfangreichen Netzwerke oft unzureichend gesichert sind und sensible persönliche Daten enthalten. Auch der Gesundheitssektor bleibt ein häufiges Ziel, da überlebenswichtige Patientendaten und die Notwendigkeit, den Betrieb aufrechtzuerhalten, hohe Lösegeldzahlungen wahrscheinlich machen.
Von mindestens einer Schwachstelle geht ein hohes Sicherheitsrisiko aus. Betroffen sind Chrome für Windows, macOS…
Digitale Währungen haben in nur kurzer Zeit die komplette Finanzlandschaft auf den Kopf gestellt. Mit…
Mindestens eine Anfälligkeit erlaubt eine Remotecodeausführung. Angreifbar sind alle unterstützten Versionen von Android.
Ein einziges IT-Problem kann ein gesamtes Unternehmen zum Stillstand bringen. Insbesondere sicherheitsrelevante Vorfälle bedrohen dabei…
Viele Sicherheitsanwendungen erkennen die absichtlich beschädigte Dokumente nicht als gefährliche Dateien. Die Hintermänner haben es…
Ab einem Alter von 10 Jahren haben die meisten ein eigenes Smartphone. Hälfte zwischen 6…