RansomHub, Play, Akira: Die gefährlichsten Ransomware-Banden

Foto: structuresxx – shutterstock.com

Auch in der internationalen Ransomware-Szene gibt es einen dynamischen Wettbewerb. Verschiedene Cyberbanden werben um sogenannte Affiliates, also kriminelle “Subunternehmer” für die eigenen Erpressungs-Tools und -Dienste. Dass es im Hacker-Business wie zu erwarten nicht immer ehrlich zugeht, zeigt das Beispiel von ALPHV: Im März dieses Jahres verschwand die auch unter dem Namen Blackcat bekannte Bande überraschend von der Bildfläche, nachdem sie zuvor ihre Komplizen um 22 Millionen Euro geprellt hatte und Teile ihrer Infrastruktur vom FBI beschlagnahmt worden waren.

Auch LockBit, der bisherige Platzhirsch, wurde durch eine konzertierte Aktion von Polizeibehörden weltweit empfindlich getroffen. Sicherheitsexperten von Trend Micro beobachten infolgedessen aktuell eine gleichmäßigere Verteilung von Marktanteilen und einen Wettbewerb mehrerer kleinerer Akteure um die Vorherrschaft im Ransomware-Markt. Folgende Gruppen sind aktuell aus Sicht von Trend Micro besonders gefährlich:

1. RansomHub

Die Gruppe, die momentan am meisten von den Polizeioperationen gegen ALPHV und Lockbit zu profitieren scheint, nennt sich RansomHub. Seit ersten Aktivitäten im Februar 2024 hat sich die Gruppe zur derzeit wohl am stärksten verbreiteten Ransomware entwickelt. Die Cybergangster werben aktiv um frühere ALPHV-Affiliates und wollen inzwischen auch LockBit Kunden abspenstig machen. Technologisch handelt es sich bei RansomHub um eine aktualisierte und umbenannte Version der früheren “Knight”-Ransomware.

RansomHub nutzt bekannte Schwachstellen wie ZeroLogon, um in Systeme einzudringen. Im Anschluss setzt die Malware verschiedene Tools für Remote Access und Netzwerk-Scanning ein, bevor sie Daten mit ausgefeilten Methoden verschlüsselt. Neben Windows-Systemen zählen auch MacOS- und Linux-Umgebungen zu ihren Zielen. Die Gruppe ist weltweit aktiv, unter anderem in Europa, Nord- und Lateinamerika.

2. Play

Die Play-Ransomware-Gruppe wurde erstmals im Juni 2022 beobachtet und zeichnet sich Trend Micro zufolge durch eine doppelte Erpressungstaktik, ausgefeilte Umgehungstechniken und speziell entwickelte Tools aus. Zuletzt haben die Hacker die Fähigkeiten ihrer Schadsoftware noch einmal erweitert und nehmen nun besonders VMWare ESXi-Umgebungen ins Visier. Unternehmen hosten hier oft wichtige Anwendungen und Daten. Eine Kompromittierung dieser Umgebungen kann den Geschäftsbetrieb daher erheblich stören. Sogar Backups werden durch die Malware verschlüsselt, was die Möglichkeiten des Opfers einschränkt, Daten wiederherzustellen.

Die Experten von Trend Micro befürchten, dass die Cyberkriminellen ihre Angriffe auch auf andere Linux-Systeme ausdehnen. Play verursacht aktuell besonders in Nordamerika erhebliche Schäden, aber auch Unternehmen in West- und Mitteleuropa zählen zu ihren Zielen.

3. Akira

Die Akira-Gruppe machte im Herbst 2023 mit dem verheerenden Angriff auf den Dienstleister Südwestfalen-IT von sich reden und hat sich seitdem zu einer festen Größe in der Ransomware-Szene entwickelt. Analysen des Schadcodes lassen darauf schließen, dass es sich um alte Bekannte der Conti-Ransomware handelt. Sicherheitsbehörden wie das FBI und Europol hatten bereits im April gewarnt, dass die Hacker innerhalb eines Jahres schon über 250 Unternehmen erfolgreich angegriffen und dabei mehr als 42 Millionen Dollar Lösegeld erbeutet hätten.

Akira nimmt Linux- wie Windows-Systeme aufs Korn. Die Malware verwendet größtenteils etablierte Angriffstechniken, wie die Ausnutzung bekannter Schwachstellen in VPN-Diensten ohne Multifaktor-Authentifizierung. Auch diese Gruppe setzt auf doppelte Erpressung mittels Datendiebstahl und -verschlüsselung und hat besonders Unternehmen in Europa, Nordamerika und Australien im Visier.

4. Cactus

Die gleichen Eintrittsvektoren nutzt laut den Security-Experten auch die Cactus-Gruppe, die seit 2023 beobachtet wird und momentan besonders aktiv ist. Die Hacker greifen bevorzugt große Unternehmen an, wohl in der Hoffnung, dass diese auch höhere Lösegeldforderungen bezahlen können. Zu den Opfern in diesem Jahr zählten unter anderem ein führender französischer Elektrotechnik-Konzern, eine schwedische Supermarktkette und andere Großunternehmen in Europa und Nordamerika.

Cactus setzt keine besonders ausgefallenen Techniken ein, ist mit seinen Angriffen aber dennoch äußerst erfolgreich. Die Spezialität der Hacker: Sie sind sehr gut darin, sich innerhalb eines Netzwerks auszubreiten, und können ihre Missetaten vor den eingesetzten Sicherheitslösungen effektiv verschleiern. Unternehmen sollten diese Gruppe und ihre Methoden deshalb besonders im Auge behalten.

5. LockBit

Nachdem LockBit mehrere Jahre lang die Ransomware-Szene beherrschte, zwang eine konzertierte Aktion von internationaler Polizei und Sicherheitsunternehmen die Gruppe im April 2024 in die Knie. Dabei übernahmen die Behörden die technische Infrastruktur der Bande und deckten auch die Identitäten wichtiger Akteure sowie von Affiliates auf, welche die LockBit-Ransomware einsetzten. Die Zahl der LockBit-Angriffe brach daraufhin schlagartig ein.

Zwar zeigt die Gruppe Trend Micro zufolge auf ihren Leak-Seiten noch immer eine hohe Aktivität. Bei den veröffentlichten Daten handelt es sich aber größtenteils um Ergebnisse früherer Angriffe sowie um Informationen aus den Leaks anderer Ransomware-Gruppen oder nicht verifizierter Opfer. Nach Einschätzung der Sicherheitsexperten versuchen die Hintermänner ihre Infrastruktur neu aufzubauen. Ob sich LockBit jedoch von diesem Schlag erholen wird, bleibt abzuwarten, zumal sich viele Kunden inzwischen anderen Hackergruppen zugewandt haben dürften.

Fazit: Ransomware-Gruppen formieren sich immer wieder neu

Von Entspannung in Sachen Ransomware kann also keine Rede sein. Auch wenn Polizeibehörden einige der gefährlichsten Akteure vorübergehend ausschalten konnten, eröffnet dies neuen oder neu formierten Cyberbanden die Möglichkeit, ihre eigenen Aktivitäten auszuweiten. Das “Geschäft” mit der virtuellen Erpressung bleibt lukrativ.

Um sich vor einem Angriff zu wappnen, gilt es die Security-Hausaufgaben zu erledigen: Bekannte Schwachstellen, gerade in so gefährdeten Systemen wie VPNs, schließen, Multifaktor-Authentifizierung in der Fläche einführen, funktionierende Backups etablieren und vor allem das Netzwerk als wichtigsten Ausbreitungsweg von Ransomware-Angriffen absichern. Damit lasse sich Trend Micro zufolge häufig zumindest das Schlimmste verhindern.