Die Welt der Cyberkriminellen steht niemals still. Ein ständiger Wandel bringt regelmäßig neue Akteure hervor, die durch immer ausgefeiltere Technologien und Taktiken auffallen. Besonders dynamisch ist die Ransomware-Szene, in der verschiedene Gruppen miteinander im Wettbewerb um Affiliates (also kriminelle „Subunternehmer“, welche ihre Erpressungs-Tools und -Dienste einsetzen) und die attraktivsten Angriffsziele stehen.
So verschwand im März dieses Jahres mit ALPHV (auch Blackcat genannt) eine der bisherigen Top-Gruppen überraschend von der Bildfläche, nachdem sie zuvor ihre Komplizen um 22 Millionen Euro geprellt hatte und Teile ihrer Infrastruktur vom FBI beschlagnahmt worden waren. Auch LockBit, der bisherige Platzhirsch, wurde durch eine konzertierte Aktion von Polizeibehörden weltweit empfindlich getroffen. In der Folge beobachten die Sicherheitsexperten von Trend Micro aktuell eine gleichmäßigere Verteilung von „Marktanteilen“ und einen Wettbewerb mehrerer kleinerer Akteure um die Vorherrschaft im Ransomware-Bereich. Welche Gruppen aktuell besonders gefährlich sind, haben sie hier analysiert.
1. Die Reinkarnation: RansomHub
Die Gruppe, die momentan am meisten von diesen Polizeioperationen zu profitieren scheint, nennt sich RansomHub. Seit ihrer ersten Aktivität im Februar hat sie sich zur am stärksten verbreiteten Ransomware entwickelt. Nachdem sie zunächst aktiv um frühere ALPHV-Affiliates geworben hatte, macht sie inzwischen auch LockBit den Rang streitig. Technologisch ist RansomHub ein alter Bekannter: Analysen zufolge handelt es sich um eine aktualisierte und umbenannte Version der früheren „Knight“-Ransomware, die zwischenzeitlich im Darknet zum Verkauf stand.
RansomHub nutzt bekannte Schwachstellen wie ZeroLogon, um in Systeme einzudringen. Im Anschluss setzt sie verschiedene Tools für Remote Access und Netzwerk-Scanning ein, bevor sie Daten mit ausgefeilten Methoden verschlüsselt. Neben Windows-Systemen zählen auch MacOS- und Linux-Umgebungen zu ihren Zielen. Die Gruppe ist weltweit aktiv, unter anderem in Europa, Nord- und Lateinamerika.
2. Bekannter Spieler mit neuer Technik: Play
Die Play-Ransomware-Gruppe wurde erstmals im Juni 2022 entdeckt und zeichnet sich durch eine doppelte Erpressungstaktik, ausgefeilte Umgehungstechniken und speziell entwickelte Tools aus. In jüngster Zeit hat die Gruppe die Fähigkeiten ihrer Schadsoftware erweitert und nimmt nun besonders VMWare ESXi-Umgebungen ins Visier. Diese Umgebungen werden von Unternehmen häufig zur Ausführung mehrerer virtueller Maschinen verwendet. Sie hosten oft wichtige Anwendungen und Daten und enthalten normalerweise integrierte Backup-Lösungen. Eine Kompromittierung dieser Umgebungen kann den Geschäftsbetrieb erheblich stören. Sogar Backups werden verschlüsselt, was die Möglichkeiten des Opfers einschränkt, Daten wiederherzustellen.
Es steht zu befürchten, dass die Gruppe ihre Angriffsfähigkeiten auch auf weitere Linux-Systeme ausdehnt, um die Anzahl der Opfer zu erhöhen und den Druck in Lösegeldverhandlungen zu verstärken. Play verursacht aktuell besonders in Nordamerika erhebliche Schäden, aber auch Unternehmen in West- und Mitteleuropa zählen zu ihren Zielen.
3. Die Etablierten: Akira
Die Akira-Gruppe machte vergangenen Herbst mit dem verheerenden Angriff auf den Dienstleister Südwestfalen-IT von sich reden und hat sich seitdem zu einer festen Größe in der Ransomware-Szene entwickelt. Hinter dem noch recht neuen Namen scheinen altbekannte Kriminelle zu stecken: Analysen des Schadcodes lassen darauf schließen, dass es sich um die früheren Strippenzieher hinter der Conti-Ransomware handelt. Sicherheitsbehörden wie das FBI, Europol und weitere warnen in einer Mitteilung vom April, dass die Angreifer innerhalb eines Jahres über 250 Unternehmen erfolgreich angegriffen und dabei mehr als 42 Millionen US-Dollar Lösegeld erbeutet hätten.
Akira greift Linux-Systeme ebenso an wie Windows und nutzt größtenteils etablierte Angriffstechniken, wie die Ausnutzung bekannter Schwachstellen in VPN-Diensten ohne Multifaktor-Authentifizierung. Auch diese Gruppe setzt auf doppelte Erpressung mittels Datendiebstahl und -verschlüsselung und hat besonders Unternehmen in Europa, Nordamerika und Australien im Visier.
4. Der Aufsteiger: Cactus
Die gleichen Eintrittsvektoren nutzt auch die Cactus-Gruppe, die seit 2023 beobachtet wird und aktuell besonders aktiv ist. Sie greift bevorzugt große Unternehmen an, die die nötigen finanziellen Ressourcen besitzen, um auch höhere Lösegeldforderungen zu bezahlen. In diesem Jahr zählte unter anderem der führende französische Elektrotechnik-Konzern, eine schwedische Supermarktkette und andere Großunternehmen in Europa und Nordamerika zu ihren Opfern.
Cactus setzt keine besonders ausgefallenen Techniken ein, ist mit seinen Angriffen aber dennoch äußerst erfolgreich. Die anscheinend erfahrenen Angreifer sind sehr gut darin, sich innerhalb des Netzwerks auszubreiten und einer Erkennung durch vorhandene Sicherheitslösungen zu entgehen. Unternehmen sollten diese Gruppe und ihre Methoden deshalb besonders beachten, um sich vor ihren Angriffen zu schützen.
5. Der Absteiger: LockBit
Nachdem LockBit mehrere Jahre lang die Ransomware-Szene beherrschte, zwang eine konzertierte Aktion von Strafverfolgungsbehörden und Sicherheitsunternehmen die Gruppe im April in die Knie. Die Polizei konnte das gesamte Ökosystem der LockBit-Gruppe empfindlich treffen, indem sie nicht nur die technischen Infrastrukturen übernahm, sondern auch die Identitäten wichtiger Akteure aufdeckte und auch die Affiliates, welche die LockBit-Ransomware einsetzten, persönlich ansprach. Die Zahl ihrer Angriffe brach daraufhin schlagartig ein.
Zwar zeigt die Gruppe auf ihren Leak-Seiten noch immer eine hohe Aktivität. Bei den veröffentlichten Daten handelt es sich aber größtenteils um Ergebnisse früherer Angriffe, die nun erneut genutzt werden, sowie um Informationen aus den Leaks anderer Ransomware-Gruppen oder nicht verifizierte Opfer. Nach Einschätzung der Sicherheitsexperten versuchen die Hintermänner den Anschein zu wahren, sie hätten alles unter Kontrolle, während sie im Hintergrund ihre Infrastruktur neu aufbauen. Ob sich LockBit von diesem Schlag erholen wird, bleibt abzuwarten, da sich zahlreiche ihrer Affiliates inzwischen anderen Gruppen zugewandt haben dürften.
Fazit: Es bleibt spannend
Die Ransomware-Landschaft ist auch weiterhin hochdynamisch: Mehrere Operationen internationaler Polizeibehörden konnten einige der gefährlichsten Akteure mindestens vorübergehend ausschalten und den Druck auf die Kriminellen erhöhen. Gleichzeitig eröffnet dies neuen oder neu formierten Gruppen die Möglichkeit, ihre Aktivitäten auszuweiten. Denn das „Geschäft“ mit der virtuellen Erpressung bleibt lukrativ.
Die Analyse der aktivsten Gruppen zeigt, dass Unternehmen jeder Größe gefährdet sind und dringend ihre Security-Hausaufgaben machen müssen: Grundlegende Maßnahmen wie das konsequente Schließen von bekannten Schwachstellen (gerade in so gefährdeten Systemen wie VPNs), breite Einführung von Multifaktor-Authentifizierung und sichere Backups können häufig schon das Schlimmste verhindern. Zudem kommt gerade der Sicherung des Netzwerks als wichtigstem Ausbreitungsweg von Ransomware-Angriffen eine besondere Bedeutung zu.
Abbildung: TrendMicro