RansomHub hebt Datenerpressung auf höhere Stufe

Dies geht aus einem aktuellen Bericht zu Ransomware-Aktivitäten und -Trends von Check Point Research (CPR) hervor. RansomHub hat sich zur am schnellsten wachsenden Ransomware-Gruppe entwickelt, die über Ransomware-as-a-Service (RaaS) operiert. Im September 2024 waren 19 Prozent aller auf Ransomware-Shame-Seiten veröffentlichten Betroffenen ein Opfer der Gruppe RansomHub gewesen, was eine Verschiebung in der Landschaft der Cyber-Kriminalität markiert. Auf diesen Shame-Seiten machen Hacker öffentlich bekannt, welche Organisationen sie erfolgreich mit Ransomware infiltriert haben, um sie bloßzustellen. Lockbit, die einst dominierende Ransomware-Gruppe, hat einen deutlichen Rückgang verzeichnet und ist nur noch für 5 Prozent der neuen Opfer verantwortlich, von denen viele bereits zum wiederholten Male attackiert wurden.

Die hohe Erfolgsquote von RansomHub liegt vor allem darin begründet, dass sie sich der fortschrittlichen Methode der Fernverschlüsselung bedienen. Diese gefährliche Innovation wurde von Check Point erstmals 2023 beobachtet und hat sich im Jahr 2024 rasant ausgebreitet. Dem Angreifer reicht bei dieser Taktik ein einziger ungeschützter Endpunkt, beispielsweise ein Mobiltelefon, um Daten auf anderen Geräten im selben Netzwerk zu verschlüsseln. Die Hacker rufen dabei die Daten über das ungeschützte Gerät ab, verschlüsseln sie und ersetzen die Originaldateien durch die verschlüsselten.

Verschlüsselung über einen infizierten Endpunkt

Der Clou: Bisher versuchten Hacker, die Dateien direkt vom verwalteten und geschützten Endpunkt aus zu verschlüsseln. Bei einer Fernverschlüsselung wird keine Malware/Ransomware direkt auf dem verschlüsselten Gerät ausgeführt, sondern nur auf dem einen, infizierten Endpunkt. Von dort erfolgt die Verschlüsselung im restlichen Netzwerk. Die Cyber-Kriminellen müssen keine Ransomware mehr durch die Netzwerke hüpfen lassen. Angreifer suchen daher im Unternehmensnetzwerk ungesicherte Geräte oder Server, und führen von diesem Gerät die Verschlüsselung im gesamten Netzwerk aus. Das bedeutet, dass mehrere Geräte/Server im Netzwerk ohne eine geeignete Endpunktlösung ein erhebliches Risiko für das gesamte Netzwerk darstellen. Da die betroffenen Geräte ungesichert sind, ist es erheblich schwerer, diese Angriffe zu erkennen und unschädlich zu machen.

RansomHub, Lockbit und Meeow

Aufstieg von RansomHub
Seit seiner Gründung im Februar 2024 ist RansomHub schnell gewachsen und hat es auf Unternehmen in den USA abgesehen. Obwohl die Gruppe zunächst erklärte, gemeinnützige Organisationen und Krankenhäuser zu meiden, sind unter den Opfern auch bekannte Namen aus dem Gesundheitswesen. Die Gruppe betreibt ein RaaS-Modell, was es Dritten erlaubt, Angriffe mit ihren Tools und ihrer Infrastruktur durchzuführen, und hat so bedeutende Erfolge erzielt.

Lockbits Niedergang
Während Lockbit in den Jahren 2022 und 2023 noch für satte 40 Prozent aller Ransomware-Opfer verantwortlich war, liegt der Anteil der Gruppe heute nur noch bei 5 Prozent. Fast die Hälfte der benannten Opfer sind jedoch Namen, die die Gruppe in der Vergangenheit bereits angegriffen hat, was darauf hindeutet, dass Größe und Ressourcen der Bande erheblich zurückgegangen sind. CPR vermutet, dass die Täter sich entweder mit fremden Federn schmücken und Betroffene anderer Gruppen als ihre eigenen deklarieren oder ihre vorherigen Opfer erneut in den Mittelpunkt rücken, um die Fassade andauernder Operationen aufrechtzuerhalten.

Meow Ransomware Entwicklung
Anstatt Dateien zu verschlüsseln und ein Lösegeld für die Entschlüsselung zu verlangen, stiehlt Meow jetzt sensible Daten und stellt das Opfer vor die Wahl: Lösegeld zahlen, um die Veröffentlichung der Daten zu verhindern, oder zulassen, dass die Daten an andere Hacker verkauft werden. Auf der Meow-Leak-Website werden derzeit gestohlene Daten mit Preisen zwischen 500 und 200 000 US-Dollar (461 bis 184 520 Euro) aufgeführt.

Auswirkungen auf Industrie, Bildungs- und Gesundheitswesen
Die Industrieproduktion ist der am stärksten von Ransomware-Angriffen betroffene Sektor, da veralte Systeme und die Kombination von IT- und OT-Netzwerken gefährliche Schwachstellen bieten. Diese Unternehmen speichern wertvolle Daten, deren Verlust finanzielle Schäden und Störungen in globalen Lieferketten verursachen kann. Die Bildungseinrichtungen sind ebenfalls stark gefährdet, da ihre umfangreichen Netzwerke oft unzureichend gesichert sind und sensible persönliche Daten enthalten. Auch der Gesundheitssektor bleibt ein häufiges Ziel, da überlebenswichtige Patientendaten und die Notwendigkeit, den Betrieb aufrechtzuerhalten, hohe Lösegeldzahlungen wahrscheinlich machen.

Roger Homrich

Recent Posts

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

12 Stunden ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

12 Stunden ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

1 Tag ago

Chrome 131 schließt zwölf Sicherheitslücken

Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…

1 Tag ago

DeepL Voice mit KI für Sprach- übersetzungen

DeepL Voice ermöglicht Live‑Übersetzung von Meetings und Gesprächen in 13 Sprachen.

1 Tag ago

November-Patchday: Microsoft schließt Zero-Day-Lücken in Windows

Betroffen sind Windows und Windows Server. Microsoft patcht aber auch Schwachstellen in Excel, Word und…

1 Tag ago