Diese Ransomware-Gruppen sind 2024 besonders gefährlich

Immer mehr Ransomware-As-a-Service und immer öfter auch kleinere Ziele – so beschreibt Cybersecurity-Anbieter Trend Micro, wie sich die Welt der Ransomwareangriffe verändert. Diese Trends dürften im Jahr 2024 weiter anhalten, teilt Trend Micro mit. Das Aufkommen von Ransomware-as-a-Service (RaaS) beflügle Bedrohungsakteure weltweit. Jetzt könnten auch Kriminelle ohne tiefes technisches Verständnis modernste Technologie nutzen. Kleinere Unternehmen werden dabei immer häufiger das Ziel der Angriffe, weil diese weniger gut geschützt seien.

In seiner Mitteilung hebt Trend Micro vier Ransomware-Gruppen hervor, vor denen man sich 2024 besonders in Acht nehmen sollte. Eine bezeichnet Trend Micro als Newcomer, obwohl diese Gruppierung schon einmal aktiv war, wenn auch unter anderem Namen.

• Lockbit: Diese Gruppierung ist bereits seit 2019 aktiv und gelte als aktuell grösste Ransomware-Bedrohung, schreibt Trend Micro. Softwareanbieter beruft sich dabei auf eigene Erhebungen sowie auf Aussagen von Sicherheitsbehörden. So habe das hiesige Nationale Zentrum für Cybersicherheit (NCSC) in seinem Bericht zum 1. Halbjahr 2023 Lockbit als führend bei den Ransomwarefällen ausgewiesen. Zu den Opfern von Lockbit sollen etwa die US-Tochter einer chinesischen Grossbank oder Flugzeugbauer Boeing gehören. Was ein Insider über Lockbit berichtet, lesen Sie hier.

• Blackcat (auch ALPHV): Diese Malware wurde zunächst dadurch bekannt, weil es die erste professionelle Ransomware-Familie war, die in der Programmiersprache Rust entwickelt wurde. Die Sprache gilt als besonders sicher und beherrscht parallele Verarbeitung, wie Trend Micro erklärt. Am berüchtigsten sei Blackcat für ihre dreifache Erpressungstechnik. Ransomware-Akteure, die die dreifache Erpressungstechnik anwenden, drohen nicht nur mit der Offenlegung exfiltrierter Daten, sondern kombinieren Datendiebstahl zudem mit Distributed-Denial-of-Service-Angriffen (DDos) auf die Infrastruktur ihrer Opfer. Dies erhöhe den Druck zur Zahlung des Lösegelds immens. Mitte November 2023 beschritten die Kriminellen erstmals einen neuen Weg, um ein Opfer zur Zahlung zu bewegen: Sie reichten gegen den von ihnen angegriffenen Finanztechnologie-Anbieter MeridianLink Beschwerde bei der US-Finanzaufsicht SEC ein, da das Unternehmen seiner Meldepflicht für den Angriff nicht nachgekommen sei. Zu weiteren Opfern der Gruppierung gehören USAs bekannteste Casino- und Hotelkette sowie die Community-Plattform Reddit.

• Clop (manchmal auch Cl0p): Sie erlangte zuerst Berühmtheit, weil die Gruppe mit mehrstufigen Erpressungstechniken hochrangige Organisationen in verschiedenen Branchen kompromittierte. In jüngerer Zeit konzentriere sie sich verstärkt auf den Diebstahl von Daten und damit verbundene Erpressungsmodelle, schreibt Trend Micro. Eine ganze Reihe von Opfern fand Clop, indem die Gruppierung Schwachstellen in der Dateiübertragungssoftware Moveit ausnutzte. Die dabei erbeuteten Daten stellten sie nicht nur ins Darknet, sondern boten sie auch über regulär erreichbare Websites an.

• Akira: Eine Gruppierung diesen namens erlangte laut Trend Micro erstmals mit einem angriff auf den deutschen Dienstleister Südwestfalen-IT allgemeine Aufmerksamkeit. Der Angriff sorgte bei Verwaltungen bei rund 70 deutschen Gemeinden für Ausfälle die zum Teil noch immer andauern. Allerdings scheinen die Akteure hinter dem neuen Namen bereits länger tätig zu sein, wie Trend Micro anmerkt. Denn Prozess-Analysen des seit März 2023 zirkulierenden Schadcodes liessen auf die früheren Strippenzieher von Conti schliessen. Zu den Ähnlichkeiten mit Conti gehören etwa die Verschleierung von Strings, die Verschlüsselungsweise von Daten und das Vermeiden bestimmter Dateiendungen. Akira habe es bisher zumeist auf Ziele in Frankreich (53 Prozent) oder in den USA abgesehen und greife vermehrt kleine und mittelgrosse Unternehmen an.

Kaspersky prognostiziert für 2024 einige neue Trends bezüglich finanzieller Cybergefahren und Crimeware. Cyberangriffe sollen dank künstlicher Intelligenz (KI) und verstärkter Automatisierung insgesamt zunehmen, wie Sie hier lesen können.