Keine Entwarnung: Neue Ransomware-Trends des Jahres 2022

Sophos kommt in seinem 2023 Threat Report zur Cybersicherheit zu einem ernüchternden Fazit: Ransomware ist nach wie vor eine der größten Bedrohungen für Unternehmen im Bereich Internetkriminalität. Tatsächlich haben die Bedrohungsakteure nicht nur ihre Erpressersoftware, sondern auch ihre Strategien im Lauf des Jahres stetig verbessert und so die Gefahr für Unternehmen weiter erhöht.

Innovationen führen zu größeren Angriffsflächen

Einfallsreichtum bewiesen die Erpresser in den vergangenen Monaten schon bei der Auswahl der Programmiersprache für ihre Ransomware. So setzten die Gruppen BlackCat und Hive inzwischen auf Rust, während die Hintermänner von BlackByte Go (GoLang) für sich entdeckten. Neue Programmiersprachen erschweren eine Erkennung und erleichtern die Ausführung der Schadsoftware auf unterschiedlichen Betriebssystemen und Plattformen.

Mit der Diversifizierung der Programmiersprachen einher ging dann auch die Neuausrichtung auf andere Betriebssysteme. Nahmen Cybererpresser früher bevorzugt Windows-Systeme ins Visier, gibt es inzwischen Ransomware-Familien, die für mehrere OS geeignet sind. Beispiele dafür sind RedAlert (N13V) und LockBit, die auch für Linux ESXi erhältlich sind. Die dadurch vergrößerte Angriffsfläche erhöht wiederum den Druck auf mögliche Opfer. Ein weiterer Nebeneffekt: viele Maßnahmen zur Abwehr von Erpressersoftware sind auf Windows ausgerichtet.

DLL-Sideloading: Harmlose Apps verbreiten auch Ransomware

Auch bei der Verbreitung von Ransomware zeigten sich Cyberkriminelle in diesem Jahr innovativ. So verwendeten die Ransomware-Familien Darkside und Exx eigentlich vollkommen harmlose Anwendungen, um per DLL-Sideloading ihren Schadcode auszuliefern. Im Fall von Darkside kam eine Antivirensoftware zum Einsatz – Exx missbrauchte einen Google-Updater. Vorteil des DLL-Sideloading: Da die schädlichen Aktivitäten im Kontext eines harmlosen Prozesses ausgeführt werden, steigt wie Wahrscheinlichkeit, dass die eigentliche Erpressersoftware unerkannt ihre Aufgaben erfüllen kann.

Ein allgemeiner Malware-Trend, der auch Ransomware betrifft, ist der Missbrauch legitimer Software-Tools. Unter anderem fand Sophos bei Angriffen die Open-Source-Werkzeugsammlung Impacket. Dabei handelt es sich um Python Classes für Netzwerk-Protokolle. Sie werden beispielsweise benutzt, um Ransomware in einem Netzwerk zu verbreiten. In anderen Fällen kam das Pentest-Werkzeug Brute Ratel zum Einsatz, um Schadcode einzuschleusen. „Die Zunahme des Missbrauchs legitimer Sicherheitstools durch Angreifer macht es erforderlich, dass die Verteidiger genau wissen, was in ihrem Netzwerk eingesetzt wird (und warum), und wer die Rechte dazu hat“, kommentiert Sophos diese Entwicklung.

Erpressung 2.0: Mehr Druck auf Opfer beschert Hintermännern mehr Geld

Ebenfalls weiterentwickelt wurde das Double-Extortion-Geschäftsmodell: weigert sich ein Opfer, Lösegeld für die Entschlüsselung seiner Daten zu bezahlen, drohen die Cybererpresser mit der Veröffentlichung der zuvor auf eigene Server kopierten Daten. Vorreiter war hier die LockBit-Gruppe. Deren Leak-Website wurde im Lauf des Jahres, zusammen mit dem Update auf LockBit 3.0, mit neuen Funktionen ausgestattet. So können Besucher der Website – das muss nicht zwingend das eigentliche Opfer sein – eine Kopie der gestohlenen Daten erwerben oder auch für deren Zerstörung bezahlen. LockBit nimmt sogar Geld für die Verlängerung der Zahlungsfrist für das Lösegeld.

Auf diesen Zug sprangen zuletzt auch die Gruppen Karakurt und AvosLocker auf, indem sie Auktionen für von ihnen gestohlene Daten einführten. Eine Gruppe mit dem Namen Snatch wiederum kündigte ein Abo Modell für Datenleaks an. Andere Akteure gehen laut Sophos sogar so weit, dass sie ihren Opfer bei Zahlung eines Lösegelds nicht nur die Entschlüsselung ihrer Dateien und die Löschung gestohlener Daten versprechen, sondern auch Verschwiegenheit zum Einbruch an sich. Das wiederum könnte Opfer dazu verleiten, in ihren Ländern geltende Regeln für die Offenlegung von Sicherheitsvorfällen nicht zu beachten.

Sicherheitsprämien für bessere Ransomware

Eine weitere Neuerung, die Sophos im Bereich Ransomware erstmalig bei LockBit beobachtete, ist ein Bug-Bounty-Programm. Über die Leak-Website von LockBit können vertraulich Fehler in der Malware sowie der Website gemeldet werden. Die LockBit-Betreiber loben dort Prämien von 1000 bis eine Million Dollar aus. Gezahlt wird unter anderem für Ideen zur Verbesserung der LockBit-Ransomware oder für Schwachstellen im TOX Messenger, der von LockBit und anderen Bedrohungsakteuren verwendet wird.

Die laut Sophos aktivste Ransomware-Gruppe des Jahres 2022 war LockBit, gefolgt von BlackCat, Phobos, Conti und Hive. Sophos weist ausdrücklich darauf hin, dass die Ransomware-Anbieter außerhalb der Top Ten auf einen Anteil von mehr als 20 Prozent kommen. „Die Ransomware-Landschaft ist keineswegs nur auf einige wenige bekannte Familien beschränkt.“