Ransomware: Neue Akteure und Taktiken

Das Thema Ransomware beherrscht auch im ersten Quartal 2021 die Cybersecurity-Landschaft. Die Threat-Intelligence Experten von Digital Shadows haben einen Blick auf aktuelle Ransomware-Aktivitäten geworfen und dabei neue wie alte Gruppen und TTPs (Techniken, Taktiken und Prozeduren) gefunden.

Die Threat-Intelligence Experten von Digital Shadows schildern in ihrem Bericht „Q1 Ransomware Roundup“, wie sich das Geschäft mit Erpresser-Software in den ersten drei Monaten des Jahres 2021 verändert hat.

 Nach einer kurzen Verschnaufpause über die Weihnachtsfeiertage startete das Ransomware-Jahr 2021 am 3. Januar mit einer neuen Variante namens „Babuk Locker“. Wie ihre Vorgänger nutzt auch Babuk einen starken Verschlüsselungsmechanismus, zielt auf große, umsatzstarke Unternehmen ab und droht damit, die gestohlenen Daten bei Nichtzahlung des Lösegeld zu veröffentlichen. Auf cyberkriminellen Foren fanden sich schon bald entsprechende Datenleaks. Nur zwei Wochen später stellten die Akteure die Darknet-Seite „Babuk Locker Leaks“ vor, auf der seitdem alle erbeuteten Daten von zahlungsunwilligen Opfern veröffentlicht werden.

Zahlreiche weitere Ransomware-Gruppen mit ähnlichem Modus Operandi sind seitdem auf der Bildfläche erschienen, darunter „Cuba“ und „Phoenix CryptoLocker“. Jede neue Variante bringt eine Welle von Nachahmern hervor, wobei die Methoden weiter verfeinert werden. Die von „Egregor“ im letzten Jahr eingeführte zweistufige Angriffstaktik, bei der die erbeuteten Daten nicht nur verschlüsselt, sondern auch veröffentlicht werden, scheint mittlerweile zum Standard zu gehören. Die meisten dieser Varianten bzw. Gruppen können eine Zeitlang ungestört auf Beutezug gehen, ehe ihnen von strafrechtlicher Seite ein Riegel vorgeschoben wird.

 Erfolge der Behörden: Egregor & NetWalker

Tatsächlich kann sich die Ermittlungsarbeit von Europol, FBI & Co. im Kampf gegen Ransomware-Betreiber im ersten Quartal durchaus sehen lassen. Erschwert wird die Strafverfolgung und Abschaltung von Marktplätzen im Darknet dadurch, dass die Angreifer in der Regel aus mehreren Einzelgruppen bestehen, die von verschiedenen Ländern aus operieren.

 

  • Am 27. Januar 2021 gelang es Ermittlern in Bulgarien und den USA die Infrastruktur hinter der Ransomware „NetWalker“ zu stören. Dabei beschlagnahmten die Behörden die Server, die zum Hosten von Seiten im Dark Web genutzt wurden – entweder um mit den Opfern in Kontakt zu treten und das Lösegeld auszuhandeln oder um die erbeuteten Daten öffentlich zu machen. Die Aktion zeigte Wirkung: Zumindest sind die Aktivitäten rund um NetWalker seitdem deutlich zurückgegangen. Die Seite mit Datenleaks der Opfer ist noch immer inaktiv.

 

  • Am 12. Februar 2021 kam es in der Ukraine zur Verhaftung von Mitgliedern der Ransomware „Egregor“. Die Behörden waren über verdächtige Bitcoin-Transaktionen auf die Spur der Cyberkriminellen gekommen. Ähnlich wie bei NetWalker konnte auch hier die Datenleak-Seite von Egregor zumindest für eine Zeitlang deaktiviert werden.

 

Sowohl Egregor als auch NetWalker gehörten im 4. Quartal 2020 zu den aktivsten Ransomware-Gruppen. Beide haben jedoch in diesem Jahr kräftig Konkurrenz bekommen. Digital Shadows beobachtete von Januar bis März 2021 unter anderem verstärkte Ransomware-Aktivitäten von „Conti“, „Avaddon“, „Sodinokibi“, „DoppelPaymer“, „DarkSide“ und „Clop“.

Wachsende Professionalisierung

Insgesamt hat der Ransomware-Sektor nach Einschätzung der Threat Intelligence-Experten einen hohen Reifegrad erreicht. Aus kleinen Cyberkriminellen der Anfangszeit sind professionelle und gut organisierte Netzwerke entstanden, die auf ein breites Spektrum an Angriffs-Tools und Partnern zurückgreifen. Dabei werben sie auf Social Media mit eigenen Kampagnen und beauftragen laut Berichten sogar Call-Center, um Ransomware-Opfer systematisch unter Druck setzen. Das Outsourcing krimineller Dienstleistungen, zum Beispiel Domain-Registrierung und Bulletproof-Hosting, tut ein Übriges, um Ransomware-Angriffe zu verschleiern und das Ökosystem Cyberkriminalität aufrechtzuhalten.

 

Die zunehmende Professionalisierung hat die Kluft zwischen organisierten cyberkriminellen Gruppen und staatlich unterstützten APT-Gruppen (Advanced Persistent Threats) verringert. Dies geht so weit, dass Ransomware-Betreiber nun beginnen, die TTPs von APTs nachzuahmen. Dabei gerät vor allem die Supply Chain von Unternehmen ins Visier größerer Ransomware-Gruppen.

 

Deutlich wird dies an den Exploits der Sicherheitslücken im Microsoft Exchange Server. Sowohl die Ransomware-Variante „Black Kingdom“ als auch „DearCry“ nutzten die Zero-Day-Schwachstelle aus. Das ist für Ransomware-Gruppen zwar nicht ungewöhnlich, das Ausmaß ist jedoch neu. Im März 2021 forderte die Gruppe um „Sodinokibi“ (auch bekannt als REvil) ein Lösegeld in Höhe von 50 Millionen US-Dollar von der Technologiefirma Acer. Das ist in der Geschichte der Ransomware eine bislang einmalige Summe. Eine offizielle Bestätigung gibt es nicht, doch Experten gehen davon aus, dass auch das Exploit von Acer auf ein Microsoft Exchange-Exploit zurückgeht.

Neue Taktiken, Techniken und Prozesse (TTPs)

Das Photon Research Team von Digital Shadows hat in den ersten drei Monaten 2021 zahlreiche neue Angriffsstrategien und Methoden im Rahmen von Ransomware-Kampagnen verzeichnet. Zu den drei gefährlichsten (und skurrilsten) zählen:

  • Ransomware x DDoS

Schlimmer geht immer. Ransomware-Betreiber haben begonnen, Distributed-Denial-of-Service (DDoS) in ihre Angriffe einzubauen. Erstmals beobachtet wurde diese Methode im Oktober 2020 bei der Ransomware-Variante „SunCrypt“. Im ersten Quartal 2021 setzten sowohl „Avaddon“ als auch „Sodinokibi“ auf diese perfide Kombination. DDoS-Attacken können die Mitigation-Maßnahmen nach einem Ransomware-Angriff deutlich erschweren. Damit haben Angreifer einen neuen Weg gefunden, die Daumenschrauben bei Unternehmen anzulegen – insbesondere, wenn diese sich weigern, ein Lösegeld zu zahlen.

  • „Ghost“-Zugangsdaten
    Kein Konto ist zu 100% vor einer Kompromittierung sicher – auch nicht das von verstorbenen Mitarbeitern. Der Ransomware-Gruppe „Nefilim“ gelang es im Januar, das Konto eines Mitarbeiters zu hacken, der nur drei Monate vorher verstorben war. Sobald der Zugang gesichert war, machten sich die Angreifer daran Systeminformationen zu sammeln und das Unternehmensnetzwerk zu nutzen, um die Ransomware-Payload auszuliefern. Eines von vielen Beispielen, das zeigt, dass Unternehmen Mitarbeiterkonten mit Administratorrechten unter keinen Umständen unbeobachtet lassen sollten.

 Rückzahlung des Lösegelds

Die Ransomware „Ziggy“ stellte im Februar offiziell ihren Betrieb ein, veröffentlichte 922 Decryption Keys und zahlte ihren Opfern das Lösegeld zurück. Vom Ungewöhnlichen zum Bizarren: Die Betreiber von Ziggy erklärten, dass sie die Seiten wechseln wollen und ab sofort selbst auf die Jagd nach Ransomware-Gruppen gehen. Ob hier tatsächlich das schlechte Gewissen oder eher der wachsende Druck auf Ransomware-Akteure von Seiten der Strafverfolgung zu einem Gesinnungswandel geführt haben, bleibt offen. Da die Gruppe jedoch nur die ursprüngliche Lösegeldsumme zurückerstattet und der Bitcoin-Kurs in der Zwischenzeit gestiegen ist, können sich die Betreiber von Ziggy noch immer über einen Gewinn freuen.

 

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

Themenseiten: Digital Shadows, Ransomware

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Ransomware: Neue Akteure und Taktiken

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *