15 Beispiele für aktuelle Ransomware-Angriffe

Trend Micro: Ransomware-Risiken durch proaktives Angriffsflächen-Risikomanagement (ASM) verringern

15 Beispiele für Ransomware

Ransomware ist eine Art Malware, die entwickelt wurde, um die Daten eines Opfers zu verschlüsseln und eine Lösegeldzahlung im Austausch für den Entschlüsselungsschlüssel zu verlangen. Besonders zerstörerisch macht Ransomware die Möglichkeit, den Zugriff auf Daten vollständig zu blockieren, wodurch die Wiederherstellung oft ohne kürzliche Backups unmöglich wird. Selbst wenn Lösegelder bezahlt werden, erhalten Opfer möglicherweise nie einen Arbeitsschlüssel.

Ransomware hat sich zu einem Cybercrime-as-a-Service-Modell entwickelt, das als Ransomware-as-a-Service (RaaS) bekannt ist und ihre Reichweite erweitert hat. Dieser neue Ansatz ermöglicht es Ransomware-Entwicklern, ihre Ransomware-Tools an Partner zu vermieten, was zu mehr Angriffen führt.

Jedes Jahr sind immer mehr Ransomware-Gruppen entstanden – jeweils mit unterschiedlichen Taktiken, Zielen und Auswirkungen. Nachfolgend finden Sie 15 Ransomware-Beispiele, die die Vielfalt und Entwicklung dieser anhaltenden Cyberbedrohung hervorheben.

RansomHub

RansomHub ist eine Ransomware-as-a-Service (RaaS)-Gruppe, die erstmals im Februar 2024 entdeckt wurde und sich schnell für seine „Big Game Hunting“-Strategie einen Namen gemacht hat, indem sie große Unternehmen anvisiert, die mit größerer Wahrscheinlichkeit erhebliche Lösegelder zahlen. RansomHub wurde von Trend Micro als Water Bakunawa verfolgt und nutzt Schwachstellen in Cloud-Storage-Backups und falsch konfigurierte Amazon S3-Instanzen. Das Vertrauen zwischen Anbietern und Kunden wurde genutzt, um ihre Erpressungstaktiken zu verbessern.

Rhysida

Rhysida ist eine Ransomware-Gruppe, die Anfang 2023 auf den Markt kam und doppelte Erpressungstaktiken einsetzte, indem sie sowohl die Daten der Opfer verschlüsselte als auch drohte, sie zu veröffentlichen, es sei denn, es wird eine Lösegeldforderung in Bitcoin bezahlt. Sie masquerieren sich als Cybersicherheitsteam, das ihren Opfern hilft, indem es Sicherheitsschwächen in ihren Netzwerken und Systemen hervorhebt. Sie nutzen Phishing-Angriffe, um sich einen ersten Zugriff zu verschaffen und Cobalt Strike-Beacons für seitliche Bewegungen in gefährdeten Maschinen zu nutzen, bevor sie ihre Ransomware einsetzen.

 

Figure 1: The RansomHub ransomware observed infection chain

Figure 1: The RansomHub ransomware observed infection chain

Akira

Akira entwickelte sich Anfang 2023 schnell zu einer der bekanntesten Ransomware-Familien. Akira nutzt doppelte Erpressungstaktiken, ein Ransomware-as-a-Service (RaaS)-Bereitstellungsmodell und unkonventionelle Zahlungsoptionen – ein Ansatz, der zu seinem operativen Erfolg beigetragen hat. Akira verlangt große Lösegeldzahlungen, die von 200.000 bis über 4 Millionen US-Dollar reichen können.

WannaCry

Der WannaCry Ransomware-Angriff im Mai 2017 nutzte eine Microsoft Windows-Schwachstelle, die mehr als 200.000 Systeme in mehr als 150 Ländern infizierte. Malware-verschlüsselte Dateien und angeforderte Lösegeldzahlungen in Bitcoin für Entschlüsselungsschlüssel. Eines der größten Opfer des WannaCry-Angriffs war der britische National Health Service (NHS) mit bis zu 70.000 infizierten Geräten und etwa 19.000 medizinischen Terminen oder Verfahren, die abgesagt wurden.

Figure 2. Infection diagram

Figure 2: Infection diagram

Klopfe

Clop Ransomware, manchmal Cl0p genannt, ist seit 2019 aktiv und ist bekannt für seine mehrstufigen Erpressungstaktiken und hochkarätigen Angriffe, die zwischen 2019 und 2021 über 500 Millionen US-Dollar erpressen. Clop hat auch Schwachstellen in weit verbreiteter Software ausgenutzt, wie z. B. Accellions File Transfer Appliance, um seine Reichweite zu maximieren.

8Base

8Baseist eine Ransomware-Gruppe, die sich als Penetrationstester ausgibt und sich hauptsächlich an kleine Unternehmen richtet. Sie verfolgen eine Doppelerpressungsstrategie, verschlüsseln Daten und drohen, vertrauliche Informationen offenzulegen, es sei denn, Opfer zahlen ein Lösegeld. 8Base verfolgt eine „Namens-und-Scham“-Taktik und behauptet, ausschließlich Organisationen anzusprechen, die den Datenschutz vernachlässigt haben, um den Ruf ihrer Opfer zu schädigen, indem vertrauliche Informationen offengelegt werden.

Trigona

Die Ransomware-Gruppe Trigona hat sich schnell weiterentwickelt, indem mehrere Versionen mit unterschiedlichen Funktionen veröffentlicht wurden, einschließlich Befehlszeilenargumenten für eine angepasste Verschlüsselung. Das Unternehmen warb aggressiv für hohe Umsatzanteile von 20 % bis 50 % für verbundene Unternehmen, was auf einen lukrativen Betrieb hindeutet. Allerdings wurden ihre Aktivitäten im Oktober 2023 abrupt eingestellt, als ihre Leckagestelle abgeschafft wurde, was ihren Betriebsstatus unsicher machte.

Figure 3. Trigona ransomware’s infection chain

Figure 3: Trigona ransomware’s infection chain

LockBit

LockBit ist eine bekannte Ransomware-Gruppe, die auf einem Ransomware-as-a-Service (RaaS)-Modell arbeitet. Sie haben mehrere Versionen veröffentlicht, darunter LockBit 2.0 und 3.0, und bieten Funktionen wie Doppelerpressungstaktiken und benutzerdefinierte Verschlüsselungsmethoden. Im Februar 2024 hat Operation Cronos, eine koordinierte internationale Strafverfolgungsbemühung, LockBits Betrieb erheblich gestört, indem sie ihre Infrastruktur nutzte und wichtige Mitglieder festnahm. Trotz dieser Rückschläge bleibt LockBit eine erhebliche Bedrohung in der Ransomware-Landschaft.

BlackCat

BlackCat, auch bekannt als ALPHV oder AlphaVM, ist eine hochentwickelte Ransomware-Gruppe, die seit Ende 2021 auf einem Ransomware-as-a-Service (RaaS)-Modell arbeitet. Sie haben verschiedene Branchen angesprochen, darunter Finanzen und professionelle Dienstleistungen, mit einer erheblichen Anzahl von Opfern in den Vereinigten Staaten. BlackCat nutzt fortschrittliche Techniken wie Malvertising und Ausnutzung von Schwachstellen wie Log4J, um einen ersten Zugriff zu erhalten. Sie sind auch für ihre öffentliche Datenleckstelle bekannt, die Opfer unter Druck setzt, Lösegeldforderungen zu erfüllen.

Ryuk Ransomware

Ryuk ist eine Ransomware-Variante, die mit der Cyberkriminalitätsgruppe Wizard Spider verbunden ist. Im Jahr 2019 verlangte Ryuk Lösegelder von bis zu 12,5 Millionen US-Dollar und war für einige der größten Lösegeldforderungen des Jahres verantwortlich, darunter 5,3 Millionen US-Dollar und 9,9 Millionen US-Dollar. Die Opfer umfassten verschiedene Sektoren, darunter Regierung, Gesundheitswesen und Medien. Die Gruppe ist auch mit anderer Malware wie TrickBot und Emotet verbunden, um anfängliche Systemkompromittierungen zu erleichtern.

Source: Malwarebytes

Source: Malwarebytes

Schwarzer Basta

Black Basta ist eine Ransomware-Gruppe, die als Ransomware-as-a-Service (RaaS) tätig ist und schnell an Bedeutung in der Ransomware-Landschaft gewinnt, indem sie auf eine Vielzahl von Branchen und kritische Infrastrukturen auf der ganzen Welt abzielt. Die Gruppe wurde beobachtet, indem Schwachstellen wie QakBot, Brute Ratel und Cobalt Strike ausgenutzt wurden, um Netzwerke und sensible Daten zu infiltrieren.

Königlich

Royal, eine Ransomware-Gruppe, die seit Anfang 2022 aktiv ist, hat sich schnell für ihre aggressiven Taktiken und hohen Lösegeldforderungen von 250.000 bis über 2 Millionen US-Dollar Bekanntheit erlangt. Royal setzt doppelte Erpressungsmethoden ein, verschlüsselt und exfiltriert Daten und hat seinen Betrieb auf Linux-basierte Systeme, einschließlich ESXi-Server, ausgeweitet. Ihre Opfer erstrecken sich über verschiedene Sektoren, mit einer signifikanten Konzentration in Nordamerika.

Figure 5. Royal ransomware’s attack flow

Figure 5: Royal ransomware’s attack flow

Wasser Ouroboros

Water Ouroboros, im Oktober 2023 neu, agiert als Ransomware-as-a-Service (RaaS)-Gruppe, die sich angeblich nach der Unterbrechung durch das FBI im Januar 2023 von Hive Ransomware entwickelt. Sie konzentrieren sich mehr auf Datendiebstahl als auf Verschlüsselung, nutzen Schwachstellen, führen Anmeldedaten-Dumping durch und verwenden erweiterte Malware, die in Sprachen wie Rust geschrieben ist. Ihre Hauptziele sind die USA, Kanada, Großbritannien, Frankreich, Deutschland und Italien.

Hive

Hive ist eine Ransomware-as-a-Service (RaaS)-Gruppe, die 2021 auf verschiedene Branchen weltweit ausgerichtet ist, einschließlich Gesundheitswesen, Finanzen und Fertigung. Sie verwenden Taktiken mit doppelter Erpressung, verschlüsseln Daten und drohen mit der Freigabe sensibler Informationen, es sei denn, es wird ein Lösegeld bezahlt. Im Januar 2023 hat das FBI die Geschäftstätigkeit von Hive unterbrochen, aber die Gruppe ist weiterhin unter verschiedenen Aliasen tätig.

Trend Micro Ransomware Protection

Vergangenes Jahr waren 83 % der Organisationen von mehreren Sicherheitsverletzungen betroffen, die jeweils 4,4 Millionen US-Dollar kosteten. Gleichzeitig führte die Reduzierung der Risikoexposition zu durchschnittlichen Einsparungen von 1,3 Millionen US-Dollar.

Das Cyber Risk Exposure Management, Teil von Trend Vision One™, Cybersicherheitsplattform für Unternehmen, senkt das Cyberrisiko drastisch. Es erlaubt kontinuierliche Erkennung, Analysen in Echtzeit und automatisierte Behebung in Cloud-, Hybrid-Cloud- und On-Premises-Umgebungen.

Related Research

Related Article