11 ruinöse Ransomware-Bedrohungen

Ransomware bleibt branchenübergreifend auf dem Vormarsch und entwickelt sich beständig weiter – vereinzelten behördlichen Erfolgen zum Trotz. Das ist unter anderem auch folgenden Trends zuzuschreiben:

• Ransomware-as-a-Service (RaaS)-Angebote senken die Zugangsbarrieren.
• Neue Erpressungstaktiken versprechen noch mehr kriminelle Gewinne.
• Künstliche Intelligenz (KI) wird bei Cyberkriminellen immer beliebter.

Davon abgesehen, kommen für jeden Bedrohungsakteur, der von der Bildfläche verschwindet, (mindestens) zwei neue nach. Die Angreifer, die Ransomware einsetzen, entstammen inzwischen unterschiedlichen „Kasten“ des Cybercrime-Untergrunds – vom technisch eher nicht versierten Einzeltäter über professionell organisierte Cybercrime-Banden bis hin zu Bedrohungsakteuren, die in staatlichem Auftrag operieren.

Die folgenden elf (aktiven) Ransomware-as-a-Service-Bedrohungen sind für Sicherheitsentscheider und ihre Unternehmen besonders unheilvoll.

1. Akira

Hintergrund: Bei Akira handelt es sich um eine ausgeklügelte RaaS-Operation, die erstmals Anfang 2023 aufgetaucht ist.

Funktionsweise: Um die IT-Systeme von Unternehmen anzugreifen, konzentrieren sich Cybercrime-Gruppen, die die Akira-Ransomware einsetzen, häufig auf:

• Authentifizierungsschwachstellen in VPN-Appliances,
• offene RDP-Clients und
• kompromittierte Anmeldedaten.

Ziele: Mit Akira werden insbesondere kleine und mittelgroße Unternehmen in Nordamerika, Europa und Australien angegriffen. Laut den Experten von Unit 42 (Palo Alto Networks), stehen dabei in erster Linie Unternehmen aus dem verarbeitenden Gewerbe, dem Dienstleistungssektor, der ITK-Branche sowie den Bereichen Technologie und Pharma im Visier.   

Attribution: Einige Indizien deuten auf Verbindungen nach Russland hin, beziehungsweise zur nicht mehr existenten Ransomware-Bande Conti. Gesicherte Informationen dazu gibt es jedoch bislang nicht.

2. Black Basta

Hintergrund: Die Ransomware-Gang Black Basta hat sich erstmals Anfang 2022 in Szene gesetzt und gilt als Ableger der berüchtigten Conti-Bande.

Funktionsweise: Wird ein Unternehmensnetzwerk von der Black-Basta-Malware heimgesucht, geschieht das im Regelfall über:

• bekannte Schwachstellen oder
• Social-Engineering-Kampagnen.

Ziele: Laut einer Analyse des Cloud-Sicherheitsanbieters Qualys werden vor allem Ziele in den USA mit Black Basta angegriffen. Dabei stehen vornehmlich der Manufacturing-Bereich, sowie der Dienstleistungs-, Retail- und High-Tech-Sektor im Fokus der Angreifer.

Attribution: Einige Sicherheitsexperten bringen Black Basta mit der russischen APT-Gruppe FIN7 in Verbindung. Das begründet sich in technischen Parallelen, wenn es darum geht, Endpunkt-Lösungen auszutricksen.  

3. BlackLock

Hintergrund: Nach Einschätzung von ReliaQuest ist BlackLock (auch bekannt als El Dorado) aktuell der Ransomware-Betreiber, der weltweit am schnellsten wächst. Wie die Sicherheitsexperten prognostizieren, könnte BlackLock 2025 zur aktivsten Ransomware-, beziehungsweise RaaS-Gruppe werden – obwohl sie erst im März 2024 erstmals aufgetaucht ist. 

Funktionsweise: Die Gruppe zeichnet sich vor allem dadurch aus, dass sie proprietäre, maßgeschneiderte Malware entwickelt und einsetzt. Diese zielt insbesondere auf VMware ESXi-Umgebungen ab. Um ihre erpresserische Malware auszuliefern, nutzen die Cyberkriminellen und ihre Affiliates zum Beispiel:

• RDP-Protokolle,
• Social Engineering,
• bekannte Schwachstellen, oder
• gestohlene Zugangsdaten.

Ziele: Mit der BlackLock-Ransomware wurden bereits diverse Unternehmen angegriffen – vornehmlich in den Vereinigten Staaten. Mit Blick auf die Branchen, die hierbei im Fokus stehen, sind vor allem die Immobilienbranche, das produzierende Gewerbe sowie der Healtcare-Sekktor hervorzuheben.

Attribution: Obwohl im Fall der Mitglieder der BlackLock-Gang keine eindeutige Zuordnung getroffen werden kann, gibt es auch hier Verbindungen zu Russland: Die RaaS-Gang rekrutiert Kunden und Partner über das russischsprachige Untergrundforum RAMP.

4. Cl0p

Hintergrund: Die Cl0p-Ransomware sucht Systeme bereits seit dem Jahr 2019 heim. Auch Cl0p ist sowohl eine Ransomware-Gruppe als auch eine Malware, die als Service vertrieben wird.

Funktionsweise: Die Cl0p-Bande zeichnet sich durch besonders raffinierte Taktiken aus und nutzt für ihre Angriffskampagnen im Regelfall Zero-Day-Schwachstellen aus. Von Partnern wird die Ransomware auch gerne verbreitet über:

• Social Engineering und
• gefälschte Webseiten.  

Ziele: Cl0p nimmt in erster Linie große Unternehmen ins Visier, vornehmlich aus der Finanz-, Healthcare- und Manufacturing-Branche sowie der Medienindustrie. Die wahrscheinlich bekannteste Cl0p-Angriffskampagne fand 2023 im Rahmen eines Supply-Chain-Angriffs statt: Dabei wurden diverse Unternehmen weltweit über eine Lücke in der Datentransfersoftware MOVEit angegriffen.

Attribution: Die Cl0p-Ransomware wird mit mehreren, hauptsächlich russischsprachigen Cybercrime-Gruppen in Verbindung gebracht – insbesondere den APT-Gruppen TA505 und FIN11.

5. Funksec

Hintergrund: Bei FunkSec handelt es sich um eine neue RaaS-Bande, die erst Ende 2024 die Cybercrime-Bühne betreten und trotzdem bereits zahlreiche Angriffe gefahren hat.  

Funktionsweise: Die hohe Angriffsfrequenz ist nach der Einschätzung von Sicherheitsexperten insbesondere auf den Einsatz von KI zurückzuführen. Demnach erstellen die Cyberkriminellen (die auch Hacktivism-Verbindungen erkennen lassen) ihre erpresserische Malware gezielt mit KI.

Ziele: Mit derFunkSec-Ransomware wurden bislang vor allem Unternehmen und Organisationen in den USA und in Indien angegriffen.

Attribution: Wie Forscher von CheckPoint herausgefunden haben, führen die Spuren des führenden FunkSec-Mitglieds nach Algerien.

6. LockBit

Hintergrund: LockBit gehört in Sachen Ransomware-as-a-Service zu den Vorreitern und hat dieses Vertriebsmodell ab 2019 maßgeblich mitentwickelt. Obwohl die Gruppe Anfang 2024 vermeintlich zerschlagen wurde, steht ein Comeback im Raum – zumindest einzelne Mitglieder scheinen weiterhin aktiv zu sein.

Funktionsweise: Die LockBit-Ransomware ist berüchtigt für ihre effiziente Verschlüsselung und die damit verknüpfte „Double Extortion“-Erpressungstaktik. Eingeschleust wird die Ransomware zum Beispiel über:

• ungepatchte Schwachstellen,
• Zero-Day-Exploits oder
• kompromittierte Zugangsdaten.

Ziele: LockBit hat nach Informationen des US-Justizministeriums bereits mehr als 2.000 Unternehmen und Organisationen aus diversen Branchen und Sektoren erpresst – darunter zum Beispiel Continental, Boeing und die Deutsche Energie-Agentur.

Attribution: Auch im Fall von LockBit führen die Spuren nach Russland: Mit Dmitry Khoroshev wurde ein russischer Staatsbürger als führender Lockbit-Admin und Entwickler enttarnt und von den Behörden zur Rechenschaft gezogen.

7. Lynx

Hintergrund: Die Lynx-Ransomware ist erstmals Mitte 2024 in Erscheinung getreten. Auch hierbei handelt es sich um ein RaaS-Angebot. Laut Unit42 sind weite Teile des Quellcodes dieser Ransomware identisch mit dem der Malware INC. Da diese seit 2024 im Cybercrime-Untergrund verkauft wird, könnte es sich also sowohl um ein „Rebranding“ als auch um eine eigenständige Weiterentwicklung handeln.

Funktionsweise: Die Lynx-Ransomware wird zum Beispiel über Social Engineering „an den Mann gebracht“. Einmal im Netzwerk, stiehlt und verschlüsselt die Malware Daten – und löscht zudem Sicherungskopien.

Ziele: Die Ransomware-Bande hat sich nach eigener Aussage darauf festgelegt, keine Regierungsinstitutionen, Krankenhäuser oder Non-Profit-Organisationen anzugreifen. Getroffen hat es dafür – vornehmlich in den USA – unter anderem Unternehmen aus dem Energiesektor.

Attribution: –

8. Medusa

Hintergrund: DieRansomware-as-a-Service-OperationMedusa tauchte erstmals im Jahr 2023 auf. Besondere Aufmerksamkeit erregt die Hackergruppe, weil sie auch im Clearnet Leak-Seiten betreibt und zudem über Social-Media-Plattformen wie X und Facebook kommuniziert.

Funktionsweise: Die Ransomware wird entweder über Schwachstellen in öffentlich zugänglichen Ressourcen eingeschleust – oder per Social Engineering.

Ziele: Laut den Experten von Bitdefender handelt es sich bei Medusa um eine opportunistische Hackerbande, die nicht auf bestimmte Branchen oder geografische Regionen festgelegt ist. Bislang wurden etwa verschiedene europäische und nordamerikanische Organisationen aus dem Gesundheits- und Bildungswesen, sowie dem Fertigungs- und Retail-Sektor angegriffen.

Attribution: Aktivitäten in russischsprachigen Cybercrime-Foren deuten darauf hin, dass die führenden Mitglieder von Medusa aus Russland oder seinen osteuropäischen Nachbarländern stammen könnten.

9. Play

Hintergrund: Die Ransomware Play bedroht seit Juni 2022 Unternehmen und Institutionen – und steht seit Ende 2023 auch als RaaS zur Verfügung.

Funktionsweise: Laut den Experten von Sentinel One nehmen Play-Bedrohungsakteure ihre Opfer vor allem über Schwachstellen ins Visier, beispielsweise in:

• RDP-Protokollen oder
• Devices mit Fortinets FortiOS.

Ziele: Die Play-Ransomware-Gang nimmt in erster Linie große Unternehmen ins Visier und agiert dabei branchenübergreifend. Bislang hat es bereits Organisationen aus dem Gesundheitswesen, der ITK-Branche, dem Finanzsektor sowie dem öffentlichen Dienst getroffen.

Attribution: Play weist nach Informationen von Unit 42 Verbindungen zu nordkoreanischen APT-Gruppen auf. Die Sicherheitsforscher konnten feststellen, dass beispielsweise die nordkoreanische Hackergruppe APT45 auf die Play-Ransomware setzt.

10. Qilin

Hintergrund: Die Ransomware-as-a-Service-Operation Qilin ist auch unter der Bezeichnung Agenda bekannt und seit Mitte 2022 aktiv.

Funktionsweise: Die Qilin-Ransomware nimmt in erster Linie Windows- und Linux-Systeme ins Visier. In Unternehmensnetze hält die Malware meist Einzug über:

• legitime (gestohlene oder gekaufte) Zugangsdaten und
• Social-Engineering-Angriffe.

Ziele: Qilin greift insbesondere Unternehmen in den USA und Europa an – mit Ausnahme der GUS-Staaten. Dabei stehen Industrie- und Dienstleistungsunternehmen im Fokus.

Attribution: Die Mitglieder von Qilin sind nach wie vor unbekannt, Sicherheitsexperten gehen jedoch aufgrund einschlägiger Foreneinträge davon aus, dass zumindest Verbindungen nach Russland bestehen.

11. RansomHub

Hintergrund: RansomHub wurde erstmals im Februar 2024 beobachtet und hat sich seither zu einer der größten, neuen Ransomware-Bedrohungen entwickelt. Das könnte auch daran liegen, dass die Gruppe (die ebenfalls ein RaaS-Modell betreibt) angeblich Mitglieder anderer Cybercrime-Banden verpflichten konnte – darunter LockBit und BlackCat.

Funktionsweise: Initialen Zugang zu Systemen verschaffen sich die Cyberkriminellen im Regelfall durch:

• Spear Phishing,
• Bekannte Schwachstellen oder
• Password Spraying.

Ziele: RansomHub wird bereits mit mehr als 200 Angriffen auf diverse Unternehmen und Organisationen aus verschiedenen Sektoren in Verbindung gebracht. Darunter auch Regierungsbehörden und KRITIS-Betreiber in den USA und Europa.

Attribution: Indizien deuten auf eine organisierte, russischsprachige Cybercrime-Operation hin – mit Verbindungen zu anderen, etablierten Ransomware-Akteuren. (fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.