15 Beispiele für aktuelle Ransomware-Angriffe
Trend Micro: Ransomware-Risiken durch proaktives Angriffsflächen-Risikomanagement (ASM) verringern
15 Beispiele für Ransomware
Ransomware ist Malware, die wichtige Dateien im lokalen und Netzwerkspeicher verschlüsselt und ein Lösegeld verlangt, um die Dateien zu entschlüsseln. Hacker entwickeln diese Art von Malware, um durch digitale Erpressung Geld zu verdienen.
Die Verschlüsselung durch Ransomware kann nur mit dem passenden Schlüssel rückgängig gemacht werden. Die einzige Alternative zur Wiederherstellung der Daten ist ein Backup.
Die Funktionsweise von Ransomware ist besonders effektiv. Bei anderen Arten von Malware, die Daten zerstören oder entwenden, gibt es weitere Möglichkeiten der Wiederherstellung. Haben Sie kein Backup, ist die Bezahlung des Lösegelds meist der einzige Weg, die Daten wiederherzustellen. Es kommt auch vor, dass Unternehmen das Lösegeld zahlen, der Angreifer aber keinen Schlüssel sendet.
RansomHub
RansomHub ist eine junge Ransomware-as-a-Service (RaaS)-Gruppe, die erstmals im Februar 2024 erkannt und von Trend Micro als Water Bakunawa verfolgt wurde. Sie erlangte schnell Bekanntheit für ihre „Big Game Jagd“-Taktik. Sie berauben Opfer, die mit größerer Wahrscheinlichkeit große Lösegelder zahlen, um die Ausfallzeiten bei Geschäftsbetrieben zu minimieren, die durch einen Ransomware-Angriff verursacht werden. Sie zielen auf Cloud-Storage-Backups und falsch konfigurierte Amazon S3-Instanzen ab, um Backup-Anbieter mit Datenlecks zu bedrohen und das Vertrauen zwischen Anbietern und ihren Kunden zu nutzen.
Rhysida
Rhysidas Betreiber nutzen Phishing-Angriffe bekanntlich als Mittel für den ersten Zugriff, woraufhin Cobalt Strike für seitliche Bewegungen in infizierten Maschinen verwendet wird. Im Juli 2023 hat unsere Telemetrie festgestellt, dass die Rhysida-Ransomware PsExec verwendet, um ein als SILENTKILL erkanntes Skript bereitzustellen, um Antivirenprogramme zu beenden.
Figure 1: The RansomHub ransomware observed infection chain
Akira
Akira Ransomware kam im März 2023 auf und ist bekannt für Zielunternehmen mit Sitz in den USA und Kanada.
Die Tor-Leckstelle hat einen einzigartigen Retro-Look, der laut einem Bericht von Sophos an „Green-Screen-Konsolen der 1980er Jahre“ erinnert, die durch Eingabe bestimmter Befehle navigiert werden können.
WannaCry
WannaCry wurde erstmals im April entdeckt, wo es im Rahmen seiner Ausbreitungsmethode mithilfe des File Hosting Service Dropbox entdeckt wurde.
Die „WannaCry“-Ausbrüche gelten in der ersten Jahreshälfte 2017 als die schädlichsten globalen Cybersicherheitsvorfälle. Diese massiven Ransomware-Angriffe beeinträchtigten die Netzwerke von Krankenhäusern, Fabriken und Eisenbahnen in vielen verschiedenen Ländern mit schwerwiegenden Folgen.
WannaCry soll mehr als 200.000 Computer gelähmt haben, darunter jene, die die deutsche Nationalbahn und das Krankenhausnetzwerk des Vereinigten Königreichs betreiben.
Der Infektionsfluss der Ransomware ist in diesem Diagramm dargestellt:
Figure 2: Infection diagram
Klopfe
Clop (manchmal stilisiert als „Cl0p“) war eine der erfolgreichsten Ransomware-Familien zwischen 2020 und 2023. Das Unternehmen hat sich für die Kompromittierung hochkarätiger Unternehmen in verschiedenen Branchen weltweit mit mehrstufigen Erpressungstechniken, die zu enormen Auszahlungen führten, die bis November 2021 auf 500 Millionen US-Dollar geschätzt wurden, ins Unglaube gerückt.
8Base
Erstmalig erkannt im März 2022, ist 8Base eine aktive Ransomware-Gruppe, die sich als „einfache Penetrationstester“ positioniert, um seine Doppelerpressungsstrategie zu rechtfertigen, die die Verschlüsselung von Daten und die Bedrohung der Offenlegung sensibler Informationen beinhaltet. Die Bande wendet eine „Name and Shame“-Taktik an, die sich auf ihrer Leak Site ausschließlich auf Organisationen konzentriert, die „den Datenschutz und die Bedeutung der Daten ihrer Mitarbeiter und Kunden vernachlässigt haben“ und vertrauliche Daten offenlegt, um die Marke und den Ruf ihres Opfers potenziell zu schädigen.
Trigona
Die Trigona Ransomware, die erstmals von Trend Micro als Water Ungaw verfolgt wurde, kam im Oktober 2022 heraus. Binärdateien der Ransomware wurden jedoch bereits im Juni desselben Jahres gesehen. Während es aktiv war, positionierte sich die Gruppe als lukratives System und startete globale Angriffe und Werbeeinnahmen von bis zu 20 % bis 50 % für jeden erfolgreichen Angriff. Die Gruppe wurde auch als Kommunikation mit Netzwerkzugangsmaklern gemeldet, die über interne Chats des Forums Russian Anonymous Marketplace (RAMP) kompromittierte Zugangsdaten bereitstellen und die beschafften Informationen verwenden, um ersten Zugriff auf Ziele zu erhalten.
Figure 3: Trigona ransomware’s infection chain
LockBit
LockBit entwickelte sich erstmals im September 2019 zur ABCD-Ransomware, die verbessert wurde, um eine der erfolgreichsten Ransomware-Familien von heute zu werden.
LockBit-Bediener konnten durch ihre professionellen Abläufe und ihr starkes Affiliate-Programm nachweisen, dass sie langfristig daran beteiligt waren. Daher wird es Unternehmen helfen, ihre Abwehrmechanismen für aktuelle und zukünftige Ransomware-Angriffe zu stärken.
Am 19. Februar 2024 verursachte Operation Cronos, eine gezielte Strafverfolgungsmaßnahme, Ausfälle auf LockBit-verbundenen Plattformen, wodurch die Vorgänge der berüchtigten Ransomware-Gruppe gestört wurden.
BlackCat
BlackCat (auch bekannt als AlphaVM, AlphaV oder ALPHV) wurde erstmals Mitte November 2021 von Forschern des MalwareHunterTeams beobachtet. Es handelt sich um die erste große professionelle Ransomware-Familie, die in Rust geschrieben wurde, einer plattformübergreifenden Sprache, die es bösartigen Akteuren ermöglicht, Malware ganz einfach für verschiedene Betriebssysteme wie Windows und Linux anzupassen und somit eine Vielzahl von Unternehmensumgebungen zu ermöglichen.
Ryuk Ransomware
Ransomware Ryuk, ausgesprochen ree-yook, ist eine Ransomware-Familie, die erstmals Mitte bis Ende 2018 auftauchte. Im Dezember 2018 berichtete die New York Times, dass Tribune Publishing mit Ryuk infiziert worden war, wodurch der Druckbetrieb in San Diego und Florida unterbrochen wurde. Die New York Times und das Wall Street Journal nutzten eine gemeinsame Druckanlage in Los Angeles. Auch sie waren von dem Angriff betroffen, was für Distributionsprobleme bei den Samstagsausgaben der beiden Zeitungen sorgte.
Ryuk ist eine Variante der älteren Hermes-Ransomware und führt die Liste der gefährlichsten Ransomware-Angriffe an. Laut CrowdStrike Global Threat Report 2020 ist Ryuk für drei der zehn größten Lösegeldforderungen des Jahres verantwortlich: 5,3 Millionen, 9,9 Millionen und 12,5 Millionen US-Dollar. Ryuk hat erfolgreich Branchen und Unternehmen auf der ganzen Welt angegriffen. Hacker nennen die Praxis, große Unternehmen anzugreifen, „Big Game Hunting“ (BGH), also Großwildjagd.
Unter RyukReadMe.txt und UNIQUE_ID_DO_NOT_REMOVE.txt hinterlassen die Hacker Lösegeldforderungen mit folgendem Inhalt:
Source: Malwarebytes
Schwarzer Basta
Black Basta ist eine Ransomware-Gruppe, die als Ransomware-as-a-Service (RaaS) betrieben wird und ursprünglich im April 2022 entdeckt wurde. Seitdem hat sich das Unternehmen als eine erhebliche Bedrohung erwiesen, was sich durch die Verwendung von Doppelerpressungstaktiken und die Erweiterung seines Angriffsarsenals um Tools wie Qakbot Trojan und PrintNightmare Exploit zeigt.
Königlich
Royal Ransomware hat im September 2022 in Forscherkreisen auf sozialen Medien die Runden gemacht, nachdem eine Cybersicherheitsnachrichtenseite einen Artikel veröffentlicht hatte, in dem berichtet wurde, wie Bedrohungsakteure hinter der Ransomware-Gruppe mehrere Unternehmen durch gezielte Rückruf-Phishing-Techniken anvisiert haben.
Figure 5: Royal ransomware’s attack flow
Petya
Petya ist eine alte, bestehende Ransomware, die erstmals im Jahr 2016 auftauchte. Es ist bekannt, den Master Boot Record (MBR) des Systems zu überschreiben und Benutzer mit einem blauen Bildschirm für Tod (BSoD) von ihren Maschinen zu sperren. In Petyas Fall wird der BSoD-Bildschirm verwendet, um die Lösegeldnotiz anzuzeigen.
Hive
Am 15. August 2021 haben die Ransomware-Angriffe von Hive gegen ein gemeinnütziges integriertes Gesundheitssystem den klinischen und finanziellen Betrieb von drei Krankenhäusern in Ohio und West Virginia stark gestört. Die Attacke führte zu Umleitungen in die Notaufnahme und zur Aufhebung dringender Operationsfälle und radiologischer Untersuchungen. Die Verschlüsselung von Dateien zwingte das Krankenhauspersonal, Papierdiagramme zu verwenden. Neben den drei Krankenhäusern betreibt die betroffene Non-Profit-Organisation auch mehrere ambulante Servicestandorte und Kliniken mit einer Belegschaft von insgesamt 3.000 Mitarbeitern.
Trend Micro Ransomware Protection
Vergangenes Jahr waren 83 % der Organisationen von mehreren Sicherheitsverletzungen betroffen, die jeweils 4,4 Millionen US-Dollar kosteten. Gleichzeitig führte die Reduzierung der Risikoexposition zu durchschnittlichen Einsparungen von 1,3 Millionen US-Dollar.
Trend Vision One™ – Attack Surface Risk Management (ASRM) reduziert das Cyberrisiko drastisch: durch kontinuierliche Erkennung, Echtzeitbewertungen und automatische Schadensbegrenzung in Cloud-, Hybrid- oder On-Premises-Umgebungen.
Related Research
Related Article