15 Beispiele für aktuelle Ransomware-Angriffe

Werden Sie nicht zum nächsten Ziel — Trend Micro hilft Ihnen, Ransomware zu stoppen

15 Beispiele für Ransomware

Ransomware ist eine Form von Malware. Sie wird eingesetzt, um die Daten eines Opfers zu verschlüsseln und dann eine Lösegeldzahlung für den Entschlüsselungscode zu verlangen. Was Ransomware besonders zerstörerisch macht, ist ihre Fähigkeit, den Zugriff auf Daten vollständig zu blockieren. Ohne aktuelle Backups ist eine Wiederherstellung oft unmöglich. Selbst wenn Lösegeld gezahlt wird, erhalten die Opfer möglicherweise nie einen funktionierenden Schlüssel.

Ransomware hat sich zu einem Cybercrime-as-a-Service-Modell entwickelt, das als Ransomware-as-a-Service (RaaS) bekannt ist und ihre Reichweite erweitert hat. Dieser neue Ansatz ermöglicht es Ransomware-Entwicklern, ihre Ransomware-Tools an Partner zu vermieten, die dann weitere Angriffe durchführen.

Jedes Jahr tauchen mehr Ransomware-Gruppen auf – jede mit unterschiedlichen Taktiken, Zielen und Auswirkungen. Nachfolgend finden Sie 15 Beispiele für Ransomware, die die Vielfalt und Entwicklung dieser hartnäckigen Cyberbedrohung verdeutlichen.

RansomHub

RansomHub ist eine Ransomware-as-a-Service(RaaS)-Gruppe, die erstmals im Februar 2024 entdeckt wurde. Durch ihre Strategie, große Unternehmen anzugreifen, die eher bereit sind, hohe Lösegeldsummen zu zahlen, erlangte sie schnell traurige Berühmtheit. RansomHub, von Trend Micro als „Water Bakunawa“ bezeichnet, nutzt Schwachstellen in Cloud-Speicher-Backups und falsch konfigurierten Amazon S3-Instanzen aus. Dabei macht sich die Gruppe das Vertrauensverhältnis zwischen Anbietern und Kunden zunutze, um ihre Erpressungstaktiken zu verbessern.

Rhysida

Rhysida ist eine Ransomware-Gruppe, die Anfang 2023 bekannt wurde. Sie wendet eine Taktik der doppelten Erpressung an, indem sie die Daten der Opfer verschlüsselt und mit deren Veröffentlichung droht, sofern keine Lösegeldzahlung in Bitcoin erfolgt. Sie gibt sich als Cybersicherheitsteam aus und bietet ihren Opfern Hilfe an, wobei sie Sicherheitslücken in deren Netzwerken und Systemen aufzeigt. Rhysida nutzt Phishing-Angriffe, um sich initial Zugang zu verschaffen, und setzt Cobalt Strike-Beacons ein, um sich in den kompromittierten Rechnern lateral zu bewegen, bevor sie ihre Ransomware platziert.

Figure 1: The RansomHub ransomware observed infection chain

Abbildung 1: Infektionskette der Ransomware von RansomHub

Akira

Akira entwickelte sich Anfang 2023 und etablierte sich schnell zu einer der berüchtigtsten Ransomware-Familien. Akira nutzt Taktiken der doppelten Erpressung, ein Ransomware-as-a-Service(RaaS)-Modell und unkonventionelle Zahlungsoptionen – ein Ansatz, der zu ihrem operativen Erfolg beigetragen hat. Akira ist dafür bekannt, hohe Lösegeldzahlungen zu fordern, die zwischen 200.000 und über 4 Millionen US-Dollar liegen können.

WannaCry

Der Ransomware-Angriff WannaCry im Mai 2017 nutzte eine Sicherheitslücke in Microsoft Windows aus und infizierte über 200.000 Systeme in mehr als 150 Ländern. Die Malware verschlüsselte Dateien und forderte Lösegeldzahlungen in Bitcoin für die Entschlüsselungscodes. Eines der größten Opfer des WannaCry-Angriffs war der britische National Health Service (NHS) mit bis zu 70.000 infizierten Geräten und etwa 19.000 medizinischen Terminen oder Verfahren, die abgesagt wurden.

Figure 2. Infection diagram

Abbildung 2: Infektionsdiagramm

Clop

Die Ransomware Clop, die manchmal auch als Cl0p bezeichnet wird, ist seit 2019 aktiv. Sie ist bekannt für ihre mehrstufigen Erpressungstaktiken und hochkarätigen Angriffe, bei denen zwischen 2019 und 2021 über 500 Millionen US-Dollar erpresst wurden. Clop hat auch Schwachstellen in weit verbreiteter Software wie Accellions File Transfer Appliance ausgenutzt, um die eigene Reichweite zu maximieren.

8Base

8Base ist eine Ransomware-Gruppe, die sich als Penetrationstester ausgibt und hauptsächlich kleine Unternehmen ins Visier nimmt. Sie verfolgt eine Strategie der doppelten Erpressung, indem sie Daten verschlüsselt und damit droht, sensible Informationen offenzulegen, wenn die Opfer kein Lösegeld zahlen. 8Base setzt auf eine Taktik der öffentlichen Bloßstellung (Name-and-Shame) und behauptet, ausschließlich Organisationen ins Visier zu nehmen, die den Datenschutz vernachlässigt haben. Ziel ist es, den Ruf der Opfer durch die Veröffentlichung vertraulicher Informationen zu schädigen.

Trigona

Die Ransomware-Gruppe Trigona hat sich schnell entwickelt, indem sie mehrere Versionen mit unterschiedlichen Funktionen veröffentlicht hat. Dazu gehören Kommandozeilenbefehle für eine angepasste Verschlüsselung. Das Unternehmen warb aggressiv mit hohen Umsatzbeteiligungen von 20 bis 50 % für Partner, was auf ein lukratives Geschäft schließen ließ. Ihre Aktivitäten wurden jedoch im Oktober 2023 abrupt eingestellt, als ihre Leak-Website geschlossen wurde. Ihr operativer Status ist seitdem ungewiss.

Figure 3. Trigona ransomware’s infection chain

Abbildung 3: Infektionskette der Ransomware Trigona

LockBit

LockBit ist eine bekannte Ransomware-Gruppe, die nach einem Ransomware-as-a-Service(RaaS)-Modell arbeitet. Sie veröffentlichte mehrere Versionen, darunter LockBit 2.0 und 3.0, und bietet Funktionen wie Taktiken der doppelten Erpressung und benutzerdefinierte Verschlüsselungsmethoden. Im Februar 2024 gelang es im Rahmen der Operation Cronos, einer koordinierten internationalen Strafverfolgungsaktion, die Aktivitäten von LockBit erheblich zu stören. Dabei wurde die Infrastruktur der Organisation beschlagnahmt, und wichtige Mitglieder wurden festgenommen. Trotz dieser Rückschläge bleibt LockBit eine erhebliche Bedrohung in der Ransomware-Landschaft.

BlackCat

BlackCat, auch bekannt als ALPHV oder AlphaVM, ist eine hoch entwickelte Ransomware-Gruppe, die seit Ende 2021 auf Basis eines Ransomware-as-a-Service(RaaS)-Modells arbeitet. Im Fokus standen verschiedene Branchen, darunter der Finanzsektor und professionelle Dienstleister, mit einer erheblichen Anzahl von Opfern in den Vereinigten Staaten. BlackCat bedient sich fortschrittlicher Techniken wie Malvertising und der Ausnutzung von Schwachstellen wie Log4J, um sich initialen Zugang zu verschaffen. Sie ist auch für ihre öffentliche Leak-Website bekannt, über die sie Druck auf die Opfer ausübt, um Lösegeldforderungen durchzusetzen.

Ryuk Ransomware

Ryuk ist eine Ransomware-Variante, die mit der Cyberkriminellen-Gruppe Wizard Spider in Verbindung steht. Im Jahr 2019 forderte Ryuk Lösegeld in Höhe von bis zu 12,5 Millionen US-Dollar, darunter einige der höchsten Lösegeldforderungen des Jahres in Höhe von 5,3 Millionen US-Dollar und 9,9 Millionen US-Dollar. Die Opfer kamen aus verschiedenen Bereichen, darunter Regierungsbehörden, Gesundheitswesen und Medien. Die Gruppe steht auch in Verbindung mit anderer Malware wie TrickBot und Emotet. Dies erleichtert die initiale Kompromittierung von Systemen.

Source: Malwarebytes

Quelle: Malwarebytes

Black Basta

Black Basta ist eine Ransomware-Gruppe, die als Ransomware-as-a-Service (RaaS) agiert. Sie erlangte schnell Bekanntheit in der Ransomware-Landschaft, indem sie eine Vielzahl von Branchen und kritischen Infrastrukturen weltweit ins Visier nahm. Die Gruppe wurde dabei beobachtet, wie sie Schwachstellen wie QakBot, Brute Ratel und Cobalt Strike ausnutzte, um in Netzwerke einzudringen und sensible Daten zu stehlen.

Royal

Royal, eine seit Anfang 2022 aktive Ransomware-Gruppe, gewann durch aggressive Taktiken und hohe Lösegeldforderungen zwischen 250.000 und über 2 Millionen US-Dollar schnell an Bekanntheit. Royal wendet die Methode der doppelten Erpressung an, indem es Daten verschlüsselt und exfiltriert. Die Gruppe hat ihre Aktivitäten auf Linux-basierte Systeme ausgeweitet, darunter auch ESXi-Server. Ihre Opfer kommen aus verschiedenen Branchen, wobei ein Großteil davon in Nordamerika zu finden ist.

Figure 5. Royal ransomware’s attack flow

Abbildung 5: Angriffsablauf der Ransomware Royal

Water Ouroboros

Water Ouroboros, aufgetaucht im Oktober 2023, agiert als Ransomware-as-a-Service(RaaS)-Gruppe. Sie soll sich aus der Hive Ransomware entwickelt haben, nachdem diese im Januar 2023 vom FBI zerschlagen wurde. Water Ouroboros legt mehr Wert auf Datendiebstahl als auf Verschlüsselung. Sie nutzt Schwachstellen aus, führt Credential Dumping durch und setzt hochentwickelte Malware ein, die in Sprachen wie Rust geschrieben ist. Ihre Hauptziele sind die USA, Kanada, das Vereinigte Königreich, Frankreich, Deutschland und Italien.

Hive

Hive ist eine Ransomware-as-a-Service(RaaS)-Gruppe, die 2021 entstanden ist. Sie zielt auf verschiedene Branchen weltweit ab, darunter das Gesundheitswesen, das Finanzwesen und die Fertigungsindustrie. Sie wendet Taktiken der doppelten Erpressung an, verschlüsselt Daten und droht mit der Veröffentlichung sensibler Informationen, sofern kein Lösegeld gezahlt wird. Im Januar 2023 vereitelte das FBI die Aktivitäten von Hive, doch die Gruppe ist weiterhin unter verschiedenen Decknamen aktiv. ​

Trend Micro Ransomware Protection

Vergangenes Jahr waren 83 % der Organisationen von mehreren Sicherheitsverletzungen betroffen, die jeweils 4,4 Millionen US-Dollar kosteten. Gleichzeitig führte die Reduzierung des Risikopotenzials zu durchschnittlichen Einsparungen von 1,3 Millionen US-Dollar.

Cyber Risk Exposure Management ist Teil von Trend Vision One™, der Cybersicherheitsplattform für Unternehmen. Es reduziert Cyberrisiken erheblich, indem es kontinuierlich Schwachstellen aufspürt, Echtzeitbewertungen durchführt und automatisierte Abhilfemaßnahmen in Cloud-, Hybrid- und lokalen Umgebungen umsetzt.

Related Research

Related Article