Trend Micro benennt die vier bedrohlichsten Ransomware-Gruppen 2024

Trend Micro stellt vier Ransomware-Familien vor, die anhand aktueller Bedrohungsanalysen im nächsten Jahr eine besondere Gefahr darstellen werden. [...]

Auch 2024 wird Ransomware zu den größten Gefahren für österreichische Unternehmen zählen. (c) Unsplash
Auch 2024 wird Ransomware zu den größten Gefahren für österreichische Unternehmen zählen. (c) Unsplash

Auch 2024 wird Ransomware zu den größten Gefahren für österreichische Unternehmen zählen. Insbesondere das Aufkommen von RaaS (Ransomware-as-a-Service) beflügelt Bedrohungsakteure weltweit, denn nun können auch Kriminelle ohne tiefes technisches Verständnis modernste Technologie nutzen.

Die Welt der Ransomware ist im stetigen Wandel. Untersuchungen durch Trend Micro zeigen etwa, dass es viele Ransomware-as-a-Service-Gruppen nicht mehr nur auf „große Ziele“ abgesehen haben. Stattdessen konzentrieren sie sich auf kleinere Unternehmen, die weniger gut geschützt sind. Dieser besorgniserregende Trend zu kleineren und „weicheren“ Zielen wird sich wohl auch ins nächste Jahr ziehen. Die aktuelle Bedrohungsanalyse lässt dabei den Schluss zu, dass insbesondere die bekannten Ransomware-Familien LockBit, BlackCat und Clop auch 2024 weiterhin sehr umtriebig sein werden. Zudem sind Newcomer wie die Gruppe „Akira“ auf dem Vormarsch. Letztere schaffte es erst kürzlich, mit einem Ransomware-Angriff auf den kommunalen deutschen IT-Dienstleister Südwestfalen-IT zahlreiche Gemeinden in Nordrhein-Westfalen lahmzulegen und kam so ins Rampenlicht.

In der ersten Jahreshälfte entfiel über ein Viertel aller von Trend Micro erfassten RaaS-Angriffe auf LockBit, während BlackCat und Clop jeweils für rund 10 Prozent aller Attacken verantwortlich waren. Damit Unternehmen in Zukunft vermeiden können, Opfer dieser höchst aktiven Cyberkriminellen zu werden, braucht es ein besseres Verständnis des Modus Operandi der Bedrohungsakteure.

Hier ist ein Steckbrief von vier Ransomware-Gruppen, die Unternehmen im nächsten Jahr besonders im Auge behalten sollten:

LockBit

LockBit ist bereits seit 2019 aktiv und nach Einschätzung von Cybersicherheitsbehörden weltweit die aktuell größte Ransomware-Bedrohung. Trend Micro meldete ganze 1.844 LockBit-Erkennungen in der ersten Hälfte des Jahres 2023, was sie zur am häufigsten erfassten Ransomware macht. Laut dem aktuellen Cybercrime Report des Bundeskriminalamts ist LockBit auch bei den Ransomware-Fällen in Österreich führend. Eine Vielzahl von unterschiedlichen Malware-Versionen und Affiliates, die diese einsetzen, erschwert es Unternehmen, sich zu schützen. Die aktuellste Version, die seit Januar 2023 im Umlauf ist, wird als „Lockbit Green“ bezeichnet.

Im April deckte Trend Micro auf, wie böswillige Akteure LockBit als Schad-Payload bei der Ausnutzung von zwei Schwachstellen in der weit verbreiteten Druckverwaltungslösung PaperCut einsetzten. Im Juni 2023 nahm LockBit-Bande einen Lieferanten des weltweit größten Auftrags-Chipherstellers TSMC ins Visier und griff auf die Daten des Unternehmens zu. Die LockBit-Akteure verlangten von TSMC ein Lösegeld in Höhe von 70 Millionen US-Dollar, andernfalls drohten sie mit der Veröffentlichung der gestohlenen Daten. Zuletzt machte die Gruppe mit dem erfolgreichen Angriff auf den US-Flugzeughersteller Boeing Schlagzeilen, infolgedessen sie viele Gigabyte mutmaßlich gestohlener Daten veröffentlichte.

BlackCat

BlackCat (auch ALPHV) wurde zunächst dadurch bekannt, weil es die erste professionelle Ransomware-Familie war, die in der Programmiersprache Rust entwickelt wurde. Die Sprache gilt als besonders sicher und beherrscht parallele Verarbeitung.

Am berüchtigsten sind BlackCat für ihre dreifache Erpressungstechnik. Ransomware-Akteure, die die dreifache Erpressungstechnik anwenden, drohen nicht nur mit der Offenlegung exfiltrierter Daten, sondern kombinieren Datendiebstahl zudem mit Distributed-Denial-of-Service-Angriffen (DDos) auf die Infrastruktur ihrer Opfer. Dies erhöht immens den Druck zur Zahlung des Lösegelds.

Mitte November beschritten die Kriminellen erstmals einen neuen Weg, um ein Opfer zur Zahlung zu bewegen: Sie reichten gegen den von ihnen angegriffenen Finanztechnologie-Anbieter MeridianLink Beschwerde bei der US-Finanzaufsicht SEC ein, da das Unternehmen seiner Meldepflicht für den Angriff nicht nachgekommen sei. Zwar sind für MeridianLink keine rechtlichen Konsequenzen zu erwarten, da die besagte Meldepflicht erst am 15. Dezember diesen Jahres in Kraft tritt. Leider steht jedoch zu erwarten, dass dieses Vorgehen Schule macht und künftig häufiger zu beobachten sein wird, um angegriffene Unternehmen noch stärker unter Druck zu setzen.

Zu weiteren prominenten Opfern von BlackCat zählen neben den Hotelketten MotelOne und MGM Resorts auch die Kärntner Landesregierung sowie die Online-Plattform Reddit.

Clop

Clop, manchmal auch als Cl0p bezeichnet, erlangte zuerst Berühmtheit, weil die Gruppe mit mehrstufigen Erpressungstechniken hochrangige Organisationen in verschiedenen Branchen kompromittierte. In jüngerer Zeit konzentriert sie sich verstärkt auf den Diebstahl von Daten und damit verbundene Erpressungsmodelle.

Die Bedrohungsakteure hinter der Ransomware behaupten, 130 Organisationen unter Ausnutzung einer Sicherheitslücke in der GoAnywhere-Dateiübertragungssoftware von Fortra kompromittiert zu haben. Zu den Opfern des Massenangriffs soll unter anderem die Stadt Toronto zählen.

Die Clop-Gruppe war auch für einen weit verbreiteten Datendiebstahl-Angriff verantwortlich, bei dem eine Zero-Day-Schwachstelle in MOVEit Transfer, einer Plattform für die sichere Datenübertragung, ausgenutzt wurde. Der Angriff betraf über 2.000 Unternehmen und mehr als 62 Millionen Kunden. Berichten vom Juli zufolge sollen die Kriminellen im Rahmen dieser Angriffs-Serie mittlerweile über 100 Millionen Dollar erbeutet haben.

Akira

Mit dem verheerenden Angriff auf den Dienstleister Südwestfalen-IT, der seit Ende Oktober über 70 Kommunen in deutschen Bundesland Nordrhein-Westfalen lahmlegt, trat Akira ins Rampenlicht der Cybersecurity-Branche. Die Cyberattacke brachte die Verwaltung von betroffenen Behörden zum Stillstand, manche Bürgerbüros mussten komplett geschlossen werden. Die Arbeiten zum Wiederaufbau laufen zwar, gehen aber nur langsam voran, weshalb in den betroffenen Kommunen noch immer zahlreiche staatliche Dienstleistungen eingeschränkt sind.

Die Bedrohungsakteure hinter dem neuen Namen scheinen hingegen Altbekannte aus der Szene zu sein. So lassen Prozess-Analysen des seit März 2023 zirkulierenden Schadcodes auf die früheren Strippenzieher von Conti schließen. Zu den Ähnlichkeiten mit Conti gehören etwa die Verschleierung von Strings, die Verschlüsselungsweise von Daten und das Vermeiden bestimmter Dateiendungen. Akira hat es bisher zumeist auf Ziele in Frankreich (53 Prozent) oder in den USA abgesehen, wobei vor allem kleine und mittlere Unternehmen im Fokus stehen. Mit 508 Erkennungen im Monat ist die Angriffsrate im Juni 2023 deutlich angestiegen. Wie die meisten anderen Gruppen setzt Akira auf doppelte Erpressungstaktiken, die Lösegeldforderungen liegen dabei zwischen 200.000 und mehreren Millionen Dollar.

Fazit: Mehr Angriffe auf weichere Ziele

Die Cyberkriminellen weltweit professionalisieren sich und bieten ihre Dienste als RaaS auch Bedrohungsakteuren mit weniger technischem Sachverstand an. Dies in Kombination mit einer Konzentrationsverschiebung auf „weiche“ Ziele führt dazu, dass Ransomware auch im nächsten Jahr zu den größten wirtschaftlichen Bedrohungen für den österreichischen Mittelstand zählen wird.

Gerade altbekannte Akteure wie LockBit und Co haben mittlerweile eine hochvernetzte und professionelle Infrastruktur, deren Zerschlagung noch in den Sternen steht. Und auch wenn Ransomware-Gruppen ausgeschaltet werden, so können sie sich einige Zeit später einfach neuformieren, wie etwa die Conti-Ähnlichkeiten im Akira-Code nahelegen. Unternehmen sollten sich dementsprechend gut vorbereiten und ihre derzeit bestehende Sicherheitsarchitektur dringend auf Schwachstellen überprüfen und nachbessern, wo es noch geht. Denn die Bedrohungsakteure planen sicherlich schon ihre nächsten Coups.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*