Neue Hackergruppe Industrial Spy

Ransomware ist ein erfolgreiches Geschäftsmodell und zieht immer mehr Akteure an. Die Sicherheitsforscher des ThreatLabZ-Teams von Zscaler haben eine neue Ransomware-Gruppierung mit Namen Industrial Spy Ransomware entdeckt. Erste Spuren dieser neuen Gruppe tauchten im April 2022 auf und seither ist Industrial Spyware mit unterschiedlichen Methoden aufgefallen. Die Gruppe startete ihre Aktivitäten als Marktplatz für Cyberkriminelle und bot darüber gestohlene Daten großer Unternehmen zum Verkauf an.  Nach den anfänglichen Kampagnen führte die Bedrohungsgruppe ihre eigene Ransomware ein und setze auf Double Extortion-Angriffe, die Datendiebstahl mit Dateiverschlüsselung kombinierten. Die Gruppe nutzt Loader und Infostealer wie SmokeLoader, GuLoader und Redline Stealer.

Die Ransomware-Familie ist relativ einfach aufgebaut, und Teile des Codes scheinen sich immer noch in der Entwicklung zu befinden. Industrial Spy verwendet nur sehr wenige Verschleierungsmethoden außer dem Aufbau von Strings auf dem Stack zur Runtime. Der Ransomware fehlen auch viele der Funktionen, die in modernen Ransomware-Familien üblich sind (z. B. Anti-Debug, Anti-Sandbox usw.), obwohl sich dies in Zukunft ändern könnte.

Technische Details

Diese Malware ist sehr einfach und führt die folgenden Aktionen aus, bevor sie sich selbst löscht:

1. Anzeige einer textbasierten Notiz, die für die Industrial Spy-Datenleck-Site wirbt.

2. Zählt die Pfade unter dem Registrierungsschlüssel SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList auf und legt die Datei readme.txt rekursiv unter allen Pfaden mit demselben Hinweisinhalt ab.

3. Ändert das Hintergrundbild, um für den Industrial Spy-Marktplatz für Datenlecks zu werben.

Derzeit sind noch nicht viele Industrial Spy Ransomware-Samples „in the wild“ beobachtet worden. Allerdings fügt die Gruppe pro Monat zwei neue Organisationen auf ihrem Datenleak-Portal hinzu, die ihren Angriffen zum Opfer gefallen sind. Das erste Opfer auf der Leak-Site wurde am 15.03.2022 aufgeführt. Die Gesamtzahl der Opfer auf dem Portal betrug am 25. Juli 2022 37.

Industrial Spy verkauft hauptsächlich einzelne Dateien anstelle von Dateibündeln in einer Preisspanne von einem US-Dollar bis zu Zehntausenden von US-Dollar. Es ist zu vermuten, dass die Gruppe die erbeuteten Dateien überprüft, bevor sie sensible Dateien mit einem hohen Preisschild versieht und den Rest der Dateien mit einem Preisschild von einem bis zwei US-Dollar verramscht. ThreatLabz hat beobachtet, dass Betriebssystemdateien mit begrenztem Wert wie desktop.ini und thumbs.db für zwei US-Dollar angeboten werden.

Deepen Desai, CISO und VP of Security Research bei Zscaler kommentiert: „In den letzten Jahren ist die Ransomware-Bedrohung immer gefährlicher geworden. Neue Methoden wie Double Extortion und DDoS-Angriffe machen es Cyberkriminellen leicht, Unternehmen zu sabotieren und deren Ruf nachhaltig zu schädigen. Mit zunehmender Beliebtheit von RaaS wenden Cyberkriminelle doppelte Erpressungsmethoden an, die neben der ungewollten Verschlüsselung sensibler Daten auch die Exfiltration der wichtigsten Dateien beinhalten, um Lösegeld zu erpressen. Selbst wenn die betroffenen Unternehmen in der Lage sind, die Daten aus Backups wiederherzustellen, droht ihnen immer noch die öffentliche Preisgabe ihrer gestohlenen Daten durch die Angreifer, um der Lösegeldforderung Nachdruck zu verleihen.“

Newcomer im Ransomware-Markt

Industrial Spy ist ein Neueinsteiger im Ransomware-Ökosystem. Die Malware ist derzeit nicht sehr umfangreich ausgestattet, aber die Dateiverschlüsselung ist funktional, was sie zu einer gefährlichen Bedrohung macht, was die wachsende Anzahl an Opfern belegt. Auf dem Ransomware-Markt gibt es viele Akteure, die kommen und gehen, und es ist schwierig, die Gruppen zu bestimmen, die sich langfristig durchsetzen werden. Es ist jedoch wahrscheinlich, dass diese Bedrohungsgruppe zumindest in naher Zukunft bestehen bleibt und weitere Ransomware-Updates und Funktionen folgen werden.