Unit-42-Bericht von Palo Alto Networks

Aufkommende Ransomware-Gruppen

25. August 2021, 12:00 Uhr   |  Wilhelm Greiner

Aufkommende Ransomware-Gruppen
© Palo Alto Networks

Große Ransomware-Gruppen wie REvil und Darkside ziehen sich derzeit zurück oder benennen sich um, wohl um der Aufmerksamkeit der Strafverfolgungsbehörden und der Medien zu entgehen. Vor diesem Hintergrund hat Palo Alto Networks’ Threat-Research-Team Unit 42 vier aufstrebende Ransomware-Akteure beobachtet, die Unternehmen angreifen und sich in Zukunft weiter ausbreiten könnten.

Die RaaS-Gruppierung (Ransomware as a Service) AvosLocker nahm Ende Juni ihren Betrieb auf. Ihr Erkennungszeichen: ein blaues Käferlogo (siehe oben). Dieses Logo nutzt der Bedrohungsakteur, um sich in der Kommunikation mit Opfern und in „Pressemitteilungen“ zu erkennen zu geben und neue Partner zu rekrutieren. Unit 42 hat die Gruppierung dabei beobachtet, wie sie in Diskussionsforen im Dark Web und anderen Foren für ihr RaaS-Programm warb und nach Partnern suchte.

Wie auch viele seiner Konkurrenten bietet AvosLocker technischen Support an, um den Opfern nach dem Ransomware-Angriff bei der Wiederherstellung des Normalzustands zu helfen. Die Gruppe behauptet von ihrer Erpressersoftware, sie sei „ausfallsicher“, habe niedrige Erkennungsraten und sei in der Lage, große Dateien zu verarbeiten. Auf ihrer Erpresser-Website gibt die Gruppierung an, man habe bereits sechs Unternehmen und Institutionen angegriffen, und zwar in den USA, Großbritannien, den Vereinigten Arabischen Emiraten, Belgien, Spanien und im Libanon. Die Lösegeldforderungen lagen dabei laut Unit 42 zwischen 50.000 und 75.000 Dollar.

Hive ist eine Ransomware mit doppelter Erpressung, die ebenfalls im Juni in Erscheinung trat. Seither hat Hive 28 Unternehmen und Institutionen befallen, die auf der Erpresser-Website der Gruppe aufgelistet sind. Darunter befinden sich eine europäische Fluggesellschaft sowie drei Unternehmen und Institutionen in den USA. Hive nutzt alle verfügbaren Erpressungstools, um Druck auf das Opfer auszuüben, zum Beispiel einen Countdown-Zähler oder die Drohung, geleakte Daten in sozialen Medien zu teilen.

Bei HelloKitty hingegen handelt es sich eigentlich nicht um eine neue Ransomware-Gruppe. Sie ist bereits 2020 aufgefallen und zielte damals hauptsächlich auf Windows-Systeme. Im Juli beobachtete Unit 42 allerdings eine Linux-Variante von HelloKitty, die auf VMwares ESXi-Hypervisor abzielt, der in Cloud- und Unternehmens-Rechenzentren weit verbreitet ist. Die Bedrohungsakteure nutzen für die Kommunikation mit den Opfern mal E-Mails, mal Tor-Chats. Die beobachteten Varianten betrafen fünf Unternehmen und Institutionen in Italien, Australien, Deutschland, den Niederlanden und den USA. Die höchste Lösegeldforderung der Gruppe belief sich auf zehn Millionen Dollar. Zum Zeitpunkt der Erstellung des Reports hatten die Bedrohungsakteure aber nur drei Transaktionen erhalten, insgesamt knapp 1,5 Millionen Dollar.

LockBit 2.0 (früher als ABCD Ransomware bekannt) ist seit drei Jahren als RaaS-Betreiber tätig. In letzter Zeit steht er mit einigen hochkarätigen Angriffen in Verbindung, nachdem er im Juni eine ausgeklügelte Marketingkampagne zur Anwerbung neuer Partner gestartet hatte. Der Bedrohungsakteur wirbt damit, die schnellste Verschlüsselung auf dem Ransomware-Markt zu bieten. 52 Opfer aus unterschiedlichen Branchen sind auf der Leak-Site der Gruppe aufgeführt, darunter Unternehmen und Institutionen in den USA, Mexiko, Belgien, Argentinien, Malaysia, Australien, Brasilien, der Schweiz, Deutschland, Italien, Österreich, Rumänien und Großbritannien.

LockBit und HelloKitty waren zwar schon früher aktiv, aber ihre jüngste Entwicklung ist laut Unit 42 ein Beispiel dafür, wie alte Gruppen wiederauftauchen und eine anhaltende Bedrohung darstellen können.

Palo Alto Networks betont, Anwender der Lösung Cortex XDR und der hauseigenen Next-Generation Firewalls seien gut gegen Ransomware geschützt. Ein Anwenderunternehmen könne eine vollständige Visualisierung der beobachteten Techniken im Atom-Viewer von Unit 42 einsehen. Zudem habe man diese Ergebnisse einschließlich Dateimustern und Angriffsindikatoren mit den anderen Mitgliedern der Cyber Threat Alliance (CTA) geteilt. Die CTA-Mitglieder nutzen solche Erkenntnisse laut Angaben von Palo Alto Networks, um ihren Anwenderunternehmen schnell Schutzmaßnahmen zu bieten und böswillige Akteure systematisch zu stören.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Palo Alto Networks GmbH

Cybercrime

Ransomware