TOP 5 Online Ransomware
 TOP 5 Online Ransomware |
TOP 5 Online Ransomware
Wir haben die aktivsten Gruppierungen untersucht, die Unternehmen hacken, Daten verschlüsseln und Lösegeld verlangen.
Top 5 der gefährlichsten Verschlüssler. In den letzten fünf Jahren Malware-Programmierer haben aus dem Personal-Computer in ernste Gefahr für Unternehmensnetzwerke. Die Kriminellen hörten auf, die Anzahl der infizierten Computer zu verfolgen und wechselten stattdessen zu großen Zielen. Angriffe auf kommerzielle Organisationen und Regierungsstrukturen müssen sorgfältig geplant werden, aber im Erfolgsfall erreichen die Lösegeldsummen Dutzende Millionen Dollar.
Ransomware nutzt die Tatsache, dass Unternehmen viel mehr finanzielle Möglichkeiten haben als normale Benutzer. Darüber hinaus stehlen viele moderne Erpresser Daten, bevor sie sie verschlüsseln, und drohen mit der Veröffentlichung. So erscheint dem betroffenen Unternehmen die Aussicht auf Reputationskosten, Probleme mit den Aktionären und Strafen von Aufsichtsbehörden, die sich oft als schrecklicher Abschottung erweisen.
Nach unseren Angaben war das entscheidende Jahr 2016, als sich die Zahl der erpresserischen Cyberangriffe auf Unternehmen innerhalb weniger Monate verdreifachte: Wenn wir im Januar 2016 alle zwei Minuten einen Fall aufgezeichnet haben, vergingen bis Ende September nur 40 Sekunden zwischen den Vorfällen.
Ab 2019 beobachten Experten regelmäßige Kampagnen einer ganzen Reihe von gezielten Verschlüsselern (sogenannte »Big Game hunting Ransomware"). Ihre Betreiber veröffentlichen auf ihren Ressourcen Statistiken zu den durchgeführten Angriffen. Wir haben diese Daten verwendet, um eine Rangliste der aktivsten Cybergruppen zu erstellen.
1. Maze (auch bekannt als ChaCha)
Der bösartige Erpresser von Maze wurde erstmals im Jahr 2019 entdeckt und brach schnell in die Führung unter seinen eigenen Leuten aus. Von der Gesamtzahl der Opfer entfielen mehr als ein Drittel der Angriffe auf diesen Verschlüssler. Eines der charakteristischen Merkmale von Maze ist die dahinter stehende Gruppierung eines der ersten, die anfing, Daten vor der Verschlüsselung zu stehlen. Wenn sich die Betroffenen weigerten, das Lösegeld zu zahlen, drohten die Täter, die gestohlenen Dateien zu veröffentlichen. Später wurde diese Technik von vielen anderen Ransomware aufgegriffen, darunter REvil und DoppelPaymer, die wir unten besprechen werden. Eine weitere Neuerung ist, dass die Täter die Medien über ihre Angriffe berichteten. Ende 2019 kontaktierten die Maze-Angreifer die Redaktion von Bleeping Computer, erzählten ihnen von einem Einbruch bei Allied Universal und legten als Bestätigung mehrere gestohlene Dateien bei. Während einer Korrespondenz mit der Redaktion drohten sie, Spam von den Servern von Allied Universal zu verschicken, und veröffentlichten später vertrauliche Daten des gehackten Unternehmens im Bleeping Computer Forum. Die Maze-Angriffe dauerten bis zum Herbst 2020 an — im September begann die Gruppierung, ihre Aktivitäten einzustellen. Zu dieser Zeit litten mehrere internationale Konzerne, die Staatsbank eines lateinamerikanischen Landes und das Informationssystem einer US-Stadt unter ihren Aktivitäten. In jedem Fall forderten die Erpresser von den Opfern eine Summe von mehreren Millionen Dollar.
2. Conti (auch bekannt als IOCP ransomware)
Diese Malware erschien Ende 2019 und war während des gesamten Jahres 2020 sehr aktiv: Sie zählte in diesem Zeitraum mehr als 13% aller Opfer von Ransomware-Programmen auf. Die Conti-Macher setzen ihre Aktivitäten auch jetzt fort. Ein interessantes Detail bei den Conti—Angriffen ist, dass Angreifer ihren Opfern Hilfe bei der Stärkung der Sicherheit anbieten, wenn das Unternehmen zustimmt, das Lösegeld zu zahlen. «Sie erhalten Anweisungen, wie Sie die Schutzlöcher patchen können. Wir empfehlen Ihnen auch eine spezielle Software, die Einbrechern die größten Probleme bereitet», versichern die Täter. Wie bei Maze haben die Ransomware nicht nur verschlüsselt, sondern sich auch eine Kopie der Dateien von gehackten Systemen gesichert. Die Täter drohten dann, alle extrahierten Informationen im Internet zu veröffentlichen, sollte das Opfer ihre Forderungen nicht erfüllen. Zu den lautesten Conti—Angriffen gehört der Hacking einer Schule in den USA, nach der die Verwaltung 40 Millionen Dollar forderte. Vertreter der Institution stellten fest, dass sie bereit waren, 500.000 Dollar zu zahlen, aber als sie den Betrag 80-mal mehr hörten, lehnten sie Verhandlungen ab.
3. REvil (auch bekannt als Sodin, Sodinokibi)
Die ersten Angriffe dieses Verschlüsselers wurden Anfang 2019 in asiatischen Ländern entdeckt. Die Malware hat mit ihren technischen Merkmalen schnell die Aufmerksamkeit von Experten auf sich gezogen — zum Beispiel nutzt sie legitime Prozessorfunktionen, um Schutzsysteme zu umgehen. Außerdem gab es in seinem Code charakteristische Anzeichen dafür, dass der Erpresser für die Vermietung erstellt wurde. In der Gesamtstatistik machen die REvil-Opfer 11% aus. In fast 20 Geschäftszweigen wurde der Schaden festgestellt. Der größte Anteil (30%) seiner Opfer sind Industrieunternehmen, gefolgt von Finanzorganisationen (14%), Dienstleistern (9%), Anwaltskanzleien (7%) sowie Telekommunikations- und IT-Unternehmen (7%). Einer der lautesten Angriffe des Verschlüsselers fiel auf die letztere Kategorie: 2019 haben Kriminelle mehrere IT-Anbieter gehackt und Sodinokibi-Teile ihrer Kunden installiert. Dieser Gruppe gehört heute der Rekord für die Größe des angeforderten Lösegeldes — im März 2021 forderten Angreifer von Acer $ 50 Millionen.
4. Netwalker (auch bekannt als Mailto ransomware)
Von der Gesamtzahl der Opfer entfielen mehr als 10% der Opfer auf Netwalker. Zu den Zielen der Ransomware gehören Logistikriesen, Industriekonzerne, Energiekonzerne und andere große Organisationen. In nur wenigen Monaten des Jahres 2020 überstiegen die Einnahmen der Kriminellen $ 25 Millionen. Die Macher der Malware scheinen sich entschieden zu haben, Cybermobbing in die Massen zu bringen. Sie boten Einzeltäter an, Netwalker zu mieten und im Falle eines erfolgreichen Angriffs einen soliden Teil des Gewinns zu erhalten. Laut Bleeping Computer konnte der Anteil des Malware-Verteilers 70% des Lösegeldes erreichen, obwohl die Darsteller in solchen Systemen normalerweise viel weniger erhalten. Zur Bestätigung der Ernsthaftigkeit ihrer Absichten veröffentlichten die Täter Screenshots großer Geldtransfers. Um die Miete des Verschlüsselers so einfach wie möglich zu machen, haben sie eine Website eingerichtet, die die gestohlenen Daten automatisch nach Ablauf der für das Lösegeld festgelegten Frist veröffentlicht. Im Januar 2021 übernahmen die Strafverfolgungsbehörden die Kontrolle über die Netwalker-Infrastruktur und erhoben Anklage gegen den kanadischen Staatsbürger Sebastien Vachon-Desjardins. Der Mann soll den Ermittlungen zufolge Geld für die Suche nach Opfern und die Verbreitung eines Verschlüsselers auf ihren Computern erhalten haben. Nach diesen Ereignissen wurde die Aktivität von Netwalker abgebrochen.
5. DoppelPaymer
Der letzte "Held" unserer Rezension ist der DoppelPaymer—Ransomware. Seine Opfer machen in der Gesamtstatistik etwa 9% aus. Seine Schöpfer haben auch andere Malware bemerkt, einschließlich des Bankbots Dridex und des bereits verstorbenen BitPaymer-Verschlüsselers (Fridex), der als eine frühere Version von DopplePaymer gilt. Die Gesamtzahl der Opfer der Gruppierung ist also viel größer. Unter den kommerziellen Organisationen von DoppelPaymer sind Elektronik- und Automobilhersteller, ein großer Ölkonzern aus Lateinamerika, betroffen. Von DoppelPaymer sind häufig auch staatliche Organisationen auf der ganzen Welt betroffen, einschließlich Bildung und Gesundheitswesen. Nach der Veröffentlichung der Wahlergebnisse in Georgia (USA) und dem Erhalt eines Lösegeldes in Höhe von 500.000 US-Dollar aus dem Pennsylvania County (USA) kam die Gruppierung auch in die Nachrichten. Die DoppelPaymer-Angriffe gehen jetzt weiter - im Februar gab eine europäische wissenschaftliche Organisation den Hack bekannt.
Methoden gezielter Cyberangriffe. Jeder Angriff auf ein großes Unternehmen ist das Ergebnis einer langen Arbeit von Cyberkriminellen, die nach Schwachstellen in der Infrastruktur suchen, ein Szenario durchdenken und Werkzeuge auswählen. Dann wird bösartiger Code über die Infrastruktur des Unternehmens gehackt und verteilt. Kriminelle können sich mehrere Monate im Firmennetzwerk befinden, bevor sie ihre Dateien verschlüsseln und ihre Forderungen stellen.
Die wichtigsten Mittel, die helfen, in die Infrastruktur einzudringen. Schlecht gesicherte DFÜ-Verbindungen. Anfällige RDP-Verbindungen (engl. Remote Desktop Protocol (Remote Desktop Protocol) ist so beliebt als Mittel zur Lieferung von Malware, dass es ganze Gruppen auf dem Schwarzmarkt gibt, die Hacking durch sie als Service anbieten. Als die ganze Welt in den Remote-Modus wechselte, stieg das Volumen solcher Angriffe sprunghaft an. So führen Ryuk-, REvil- und andere Verschlüsselungs-Kampagnen aus.
Sicherheitsanfälligkeiten in Serveranwendungen. Angriffe auf Serversoftware eröffnen Kriminellen den Zugriff auf die sensibelsten Daten. Ein aktuelles Beispiel für einen solchen Angriff ist der März—Angriff des DearCry-Verschlüsselers auf E-Mail-Server-Clients über eine Zero-Day-Sicherheitslücke in Microsoft Exchange. Wenn Ihre Organisation eine ungeschützte Version der Serversoftware verwendet, kann sie als Einstiegspunkt für gezielte Angriffe dienen. Sicherheitsbedenken werden auch bei Verbindungssicherungsdiensten erkannt — im vergangenen Jahr haben wir bereits Beispiele gesehen.
Lieferung über Botnets. Um noch mehr Opfer zu erreichen und die Gewinne zu erhöhen, greifen Ransomware auf Botnets zurück. Die Betreiber von Zombie-Netzwerken gewähren anderen Kriminellen Zugang zu Tausenden von gehackten Geräten, die automatisch nach anfälligen Systemen suchen und ein Ransomware-Programm in sie laden. So verbreiteten sich zum Beispiel die Verschlüsselungsprogramme Conti und DoppelPaymer.
Angriffe auf Lieferketten (supply Chain attack). Die Bedrohung dieses Vektors zeigt am besten die REvil-Kampagne: Der Verschlüssler hat den MSP-Anbieter kompromittiert, von wo aus er in die Netzwerke seiner Kunden gelangt ist. Gefährliche Anlagen. Word-Dokumente mit bösartigen Makros, die per E—Mail verschickt werden, sind immer noch eine aktuelle Methode, um Malware zu liefern. Unter den »Helden" unserer Hitparade lockte der NetWalker die Opfer so an - die Täter nutzten Newsletter mit dem Thema COVID—19.