Vier Ransomware-Gruppen auf dem Vormarsch
Eine Untersuchung von Palo Alto Networks hat vier aufstrebende Ransomware-Akteure identifiziert, welche die Aufmerksamkeit der Strafverfolgungsbehörden auf sich ziehen.
Palo Alto Networks hat eine neue Studie herausgegebenen, die vier zunehmende Ransomware-Gruppen hindeutet. Betroffen von illegalen Datenoffenlegungen waren schon 151 Unternehmen in den USA. Auch die Bereitschaft, Lösegelder an Unternehmen zu zahlen, habe zugenommen. Der Höchstwert für Zahlungen auf Ransomware-Forderungen sei 2020 gegenüber den früheren Jahren (2015-2019) von 15 auf 30 Millionen gestiegen.
Dies deutet darauf hin, dass Verschlüsselungs-Trojaner noch wie vor ein florierendes Geschäft sind und die Erpressungsmaschen immer dreister werden. Insgesamt führt der «Unit 42 Ransomware Threat Report» vier neue Gruppen auf, deren Bedrohungsmuster auf dem Vormarsch sind.
AvosLocker: Diese Gruppe bietet im Darknet auch technischen Support an, um Opfern nach einem Ransomware-Angriff bei der Wiederherstellung eines Systems zu helfen. Sie vermarkten ihre Software als eine Ransomware-as-a-Service (Raas) und schmücken sich mit Trophäen erpresster Unternehmen in den USA, Grossbritannien und in den Vereinigiten Arabischen Emiraten. Nach eigenen Angaben lagen Lösegeldsummen bislang schon zwischen 50’000 und 70’000 Dollar.
Hive: Bei «Hive» handelt es sich um eine Gruppe, die auf doppelte Erpressung setzt, die wie AvosLocker seit Juni 2021 in Erscheinung tritt. Hive nutzt alle möglichen Erpressungstools, attackierte schon Fluggesellschaften und verschiedene Institutionen in den USA. Charakteristisch sind etwa Countdown-Zähler oder verschiedene Druckmittel, die erpressten Daten in sozialen Netzwerken weiterzuverbreiten. Aufgefallen ist die «Hive» schon im Juni 2021.
HelloKitty: Bei HelloKitty handelt es sich nicht um eine neue Ransomware-Gruppe. Damals hatten die Angreifer hauptsächlich Windows-Systeme im Visier. Im Juli beobachtete Palo Alto jedoch auch eine Linux-Variante von HelloKitty, die besonders auf Cloud- und Rechenzentrum ausgelegt ist. Mit den Opfern wird meist über Mail oder über Tor-Chats kommuniziert. Die höchste Lösegeldforderung der Gruppe belief sich bislang auf zehn Millionen Dollar.
Lockbit 2.0: Auch diese Gruppe ist als Raas-Anbieter im Darknet tätig und schon seit drei Jahren aufgefallen. Eine Zunahme ausgeklügelter Angriffe ist jedoch zu beobachten. Der Ransomware-Anbieter wirbt damit, die schnellste Verschlüsselung auf dem Markt anzubieten. Auf der Leak-Site der Gruppe sind 52 Opfer aus verschiedenen Ländern der ganzen Welt aufgeführt, darunter auch die Schweiz.
Quelle: Palo Alto Networks
