Tobias Grabitz, PR & Communications Manager DACH bei Trend Micro, erklärt, auf welche Ransomware-Gruppen Sie jetzt achten sollten. | Tobias Grabitz, PR & Communications Manager DACH at Trend Micro, explains which ransomware groups to watch out for. |
Die Welt der Cyberkriminellen steht nie still. Ein stetiger Wandel bringt regelmäßig neue Akteure hervor, die sich durch immer raffiniertere Technologien und Taktiken auszeichnen. Besonders dynamisch ist die Ransomware-Szene, in der verschiedene Gruppen um Affiliates (kriminelle „Subunternehmer“, die ihre Erpressungs-Tools und -Dienste einsetzen) und die attraktivsten Angriffsziele konkurrieren. So verschwand im März dieses Jahres mit ALPHV (auch Blackcat genannt) eine der bis dahin führenden Gruppen überraschend von der Bildfläche, nachdem sie ihre Komplizen um 22 Millionen Euro geprellt hatte und Teile ihrer Infrastruktur vom FBI beschlagnahmt worden waren. Auch der bisherige Platzhirsch LockBit wurde durch eine konzertierte Aktion der Polizeibehörden weltweit empfindlich getroffen. In der Folge beobachten die Sicherheitsexperten von Trend Micro derzeit eine gleichmäßigere Verteilung der „Marktanteile“ und einen Wettbewerb mehrerer kleinerer Akteure um die Vorherrschaft im Ransomware-Bereich. Welche Gruppen derzeit besonders gefährlich sind, haben sie hier analysiert.
Die Gruppe, die derzeit am meisten von den Polizeiaktionen zu profitieren scheint, heißt RansomHub. Seit ihrer ersten Aktivität im Februar hat sie sich zur am weitesten verbreiteten Ransomware entwickelt. Nachdem RansomHub zunächst aktiv um ehemalige ALPHV-Affiliates geworben hat, macht sie nun auch LockBit den Rang streitig. Technologisch gesehen ist RansomHub ein alter Bekannter: Analysen zufolge handelt es sich um eine aktualisierte und umbenannte Version der früheren „Knight“-Ransomware, die zwischenzeitlich im Darknet zum Kauf angeboten wurde. RansomHub nutzt bekannte Schwachstellen wie ZeroLogon, um in Systeme einzudringen. Anschließend werden verschiedene Remote-Access- und Netzwerk-Scanning-Tools eingesetzt, bevor die Daten mit ausgefeilten Methoden verschlüsselt werden. Neben Windows-Systemen werden auch MacOS- und Linux-Umgebungen anvisiert. Die Gruppe ist weltweit aktiv, unter anderem in Europa, Nord- und Lateinamerika.
Die Ransomware-Gruppe Play wurde erstmals im Juni 2022 entdeckt und zeichnet sich durch eine doppelte Erpressungstaktik, ausgefeilte Umgehungstechniken und speziell entwickelte Tools aus. In jüngster Zeit hat die Gruppe die Fähigkeiten ihrer Malware erweitert und zielt nun insbesondere auf VMWare ESXi-Umgebungen ab. Diese Umgebungen werden von Unternehmen häufig verwendet, um mehrere virtuelle Maschinen auszuführen. Sie beherbergen oft wichtige Anwendungen und Daten und verfügen in der Regel über integrierte Backup-Lösungen. Eine Kompromittierung dieser Umgebungen kann den Geschäftsbetrieb erheblich stören. Selbst Backups werden verschlüsselt, was die Möglichkeiten des Opfers, Daten wiederherzustellen, einschränkt. Es ist zu befürchten, dass die Gruppe ihre Angriffsfähigkeiten auch auf andere Linux-Systeme ausweitet, um die Zahl der Opfer zu erhöhen und den Druck bei Lösegeldverhandlungen zu verstärken. Play richtet derzeit vor allem in Nordamerika großen Schaden an, aber auch Unternehmen in West- und Mitteleuropa gehören zu den Angriffszielen.
Die Akira-Gruppe machte im vergangenen Herbst mit dem verheerenden Angriff auf den Dienstleister Südwestfalen-IT von sich reden und hat sich seitdem zu einer festen Größe in der Ransomware-Szene entwickelt. Hinter dem noch recht neuen Namen scheinen sich altbekannte Kriminelle zu verbergen: Analysen des Schadcodes lassen darauf schließen, dass es sich um die alten Strippenzieher hinter der Conti-Ransomware handelt. Sicherheitsbehörden wie das FBI, Europol und andere warnen in einer Mitteilung vom April, dass die Angreifer innerhalb eines Jahres über 250 Unternehmen erfolgreich angegriffen und mehr als 42 Millionen US-Dollar Lösegeld erbeutet haben. Akira greift sowohl Linux- als auch Windows-Systeme an und bedient sich weitgehend etablierter Angriffstechniken, wie etwa der Ausnutzung bekannter Schwachstellen in VPN-Diensten ohne Multi-Faktor-Authentifizierung. Auch diese Gruppe setzt auf doppelte Erpressung durch Datendiebstahl und Verschlüsselung und hat es vor allem auf Unternehmen in Europa, Nordamerika und Australien abgesehen.
Dieselben Einfallstore nutzt auch die Cactus-Gruppe, die seit 2023 beobachtet wird und derzeit besonders aktiv ist. Sie greift bevorzugt große Unternehmen an, die über die nötigen finanziellen Ressourcen verfügen, um auch höhere Lösegeldforderungen zu bezahlen. Zu ihren Opfern zählten in diesem Jahr unter anderem der führende französische Elektronikkonzern, eine schwedische Supermarktkette und weitere Großunternehmen in Europa und Nordamerika. Cactus verwendet keine besonders ausgefeilten Techniken, ist aber mit seinen Angriffen sehr erfolgreich. Die offenbar erfahrenen Angreifer sind sehr gut darin, sich im Netzwerk zu verbreiten und der Erkennung durch vorhandene Sicherheitslösungen zu entgehen. Unternehmen sollten daher dieser Gruppe und ihren Methoden besondere Aufmerksamkeit widmen, um sich vor ihren Angriffen zu schützen.
Nachdem LockBit mehrere Jahre lang die Ransomware-Szene dominiert hatte, zwang eine konzertierte Aktion von Strafverfolgungsbehörden und Sicherheitsunternehmen die Gruppe im April in die Knie. Der Polizei gelang es, das gesamte Ökosystem der LockBit-Gruppe empfindlich zu treffen, indem sie nicht nur die technische Infrastruktur übernahm, sondern auch die Identitäten der Hauptakteure herausfand und die Affiliates, die die LockBit-Ransomware verwendeten, persönlich kontaktierte. Die Zahl ihrer Angriffe brach daraufhin schlagartig ein. Zwar zeigt die Gruppe immer noch eine hohe Aktivität auf ihren Leak-Seiten. Bei den veröffentlichten Daten handelt es sich jedoch größtenteils um Ergebnisse früherer Angriffe, die nun wiederverwendet werden, sowie um Informationen aus Leaks anderer Ransomware-Gruppen oder von nicht verifizierten Opfern. Sicherheitsexperten gehen davon aus, dass die Hintermänner versuchen, den Eindruck zu erwecken, alles unter Kontrolle zu haben, während sie im Hintergrund ihre Infrastruktur wieder aufbauen. Ob sich LockBit von diesem Schlag erholen wird, bleibt abzuwarten, da sich viele ihrer Affiliates inzwischen anderen Gruppen zugewandt haben dürften. Fazit: Es bleibt spannend Die Ransomware-Landschaft bleibt hochdynamisch: Mehrere Operationen internationaler Polizeibehörden konnten einige der gefährlichsten Akteure zumindest vorübergehend ausschalten und den Druck auf die Kriminellen erhöhen. Gleichzeitig eröffnet dies neuen oder neu formierten Gruppen die Möglichkeit, ihre Aktivitäten auszuweiten. Denn das „Geschäft“ mit der virtuellen Erpressung bleibt lukrativ. Die Analyse der aktivsten Gruppen zeigt, dass Unternehmen jeder Größe gefährdet sind und dringend ihre Sicherheitshausaufgaben machen müssen: Grundlegende Maßnahmen wie das konsequente Schließen bekannter Schwachstellen (insbesondere in so gefährdeten Systemen wie VPNs), die flächendeckende Einführung von Multi-Faktor-Authentifizierung und sichere Backups können oft schon das Schlimmste verhindern. Darüber hinaus kommt gerade der Absicherung des Netzwerks als wichtigster Verbreitungsweg von Ransomware-Angriffen eine besondere Bedeutung zu. | The world of cybercriminals never stands still. Constant change means that new players regularly emerge with increasingly sophisticated technologies and tactics. The ransomware scene is particularly dynamic, with different groups competing for affiliates (criminal „subcontractors“ who use their extortion tools and services) and the most attractive targets. In March this year, for example, ALPHV (also known as Blackcat), one of the leading groups, suddenly disappeared from the scene after fleecing its accomplices of €22 million and having parts of its infrastructure seized by the FBI. The previous top dog, LockBit, was also hit hard by a concerted action by police authorities worldwide. As a result, the security experts at Trend Micro are currently seeing a more even distribution of „market shares“ and competition between several smaller players for dominance in the ransomware sector. They have analyzed which groups are currently most dangerous.
The group that currently seems to be benefiting the most from the police actions is called RansomHub. Since its first activity in February, it has become the most widespread ransomware. After first actively recruiting former ALPHV members, RansomHub is now challenging LockBit. Technologically, RansomHub is an old acquaintance: According to analysis, it is an updated and renamed version of the former „Knight“ ransomware, which has since been offered for sale on the darknet. RansomHub uses known vulnerabilities such as ZeroLogon to infiltrate systems. It then uses various remote access and network scanning tools before encrypting data using sophisticated methods. In addition to Windows systems, MacOS and Linux environments are also targeted. The group operates worldwide, including Europe, North America and Latin America.
The Play ransomware group was first discovered in June 2022 and is characterized by a dual extortion tactic, sophisticated evasion techniques and specially developed tools. Recently, the group has expanded the capabilities of its malware to specifically target VMWare ESXi environments. These environments are commonly used by organizations to run multiple virtual machines. They often house critical applications and data, and typically have built-in backup solutions. A compromise of these environments can have a significant impact on business operations. Even backups are encrypted, limiting the victim’s ability to recover data. It is feared that the group will expand its attack capabilities to other Linux systems in order to increase the number of victims and pressure in ransom negotiations. Play is currently causing significant damage in North America, but companies in Western and Central Europe have also been targeted.
The Akira group made a name for itself last fall with the devastating attack on service provider Südwestfalen-IT and has since become a fixture on the ransomware scene. Well-known criminals appear to be hiding behind the relatively new name: analysis of the malicious code suggests that they are the old masterminds behind the Conti ransomware. Security authorities such as the FBI, Europol and others warned in a statement in April that the attackers had successfully attacked more than 250 companies within a year and had stolen more than $42 million in ransom money. Akira attacks both Linux and Windows systems and relies heavily on established attack techniques, such as exploiting known vulnerabilities in VPN services without multi-factor authentication. This group also relies on double extortion through data theft and encryption, and primarily targets companies in Europe, North America, and Australia.
The Cactus group, which has been observed since 2023 and is currently very active, also uses the same gateways. It prefers to attack large companies that have the financial resources to pay even higher ransoms. This year, its victims include the leading French electronics group, a Swedish supermarket chain and other large companies in Europe and North America. Cactus does not use particularly sophisticated techniques, but is very successful in its attacks. These seemingly experienced attackers are very good at spreading through the network and evading detection by existing security solutions. Organizations should pay special attention to this group and their methods in order to protect themselves from their attacks.
After dominating the ransomware scene for several years, a concerted effort by law enforcement and security companies brought LockBit to its knees in April. The police managed to hit the entire ecosystem of the LockBit group hard, not only by taking over the technical infrastructure, but also by finding out the identities of the main players and personally contacting the affiliates that used the LockBit ransomware. As a result, the number of their attacks plummeted. The group still shows a high level of activity on its leak sites. However, the data published is largely the result of previous attacks that are now being repurposed, as well as information from leaks by other ransomware groups or unverified victims. Security experts believe that those behind the attacks are trying to give the impression that they are in control while rebuilding their infrastructure in the background. It remains to be seen whether LockBit will recover from this blow, as many of its affiliates have likely moved on to other groups in the meantime. Conclusion: It remains exciting The ransomware landscape remains highly dynamic: several operations by international law enforcement agencies have at least temporarily eliminated some of the most dangerous players and increased the pressure on criminals. At the same time, this opens up opportunities for new or newly formed groups to expand their activities. After all, the business of virtual extortion remains lucrative. |
Arne Lehfeldt, Systems Engineer und CTO Ambassador bei Dell Technologies, erklärt im Podcast Security, Storage und Channel Germany mit Carolina Heyder, warum Unternehmen keine Angst vor KI haben sollten. | Arne Lehfeldt, Systems Engineer and CTO Ambassador at Dell Technologies, explains why companies shouldn’t be afraid of AI in the Security, Storage and Channel Germany podcast with Carolina Heyder. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de