Im Jahr 2024 bleibt Ransomware weiterhin eine der zentralen Bedrohungen im Bereich der Cybersecurity. Bereits 2023 wurde laut des US-amerikanischen Cyberspezialisten Cyberint ein Anstieg von über 55% bei Ransomware-Angriffen im Vergleich zu 2022 verzeichnet. Dabei haben sich die drei Gruppen Lockbit3, Alphv und Clop als führende Akteure herauskristallisiert, wobei Lockbit3 allein für 1.047 erfolgreiche Angriffe verantwortlich war. Für das Jahr 2024 prognostizieren Experten das Aufkommen neuer Gruppierungen, die signifikant zu den Ransomware-Angriffen beitragen könnten. Eine weitere Zunahme dieser Angriffsform ist daher für 2024 zu erwarten: Das sind die Newcomer.
Christoph Sammer
LockBit 3.0 behielt mit 1.047 Opfern den Platz an der Spitze – das wurde vor allem durch Angriffe auf Boeing und Royal Mail erreicht. Alphv und Cl0p erzielten mit 445 bzw. 384 Opfern im Jahr 2023 deutlich weniger Erfolg. Diese drei Gruppen haben wesentlich zum Anstieg der Ransomware-Angriffe in 2023 beigetragen. Allerdings: Sie waren nicht die einzigen verantwortlichen Gruppen. Viele Angriffe gingen auf das Konto neu aufkommender Ransomware-Banden wie 8Base, Rhysida, 3AM, Malaslocker, BianLian, Play, Akira und andere.
Neueinsteiger in der Ransomware-Industrie
Rhysida Ransomware
Die Rhysida Ransomware-Gruppe trat im Sommer 2023 in Erscheinung, als sie ein Opfer-Support-Chat-Portal auf ihrer TOR (.onion) Seite einrichteten. Sie behaupten, ein "Cybersicherheitsteam" zu sein, das im besten Interesse ihrer Opfer handelt, indem es deren Systeme angreift und Schwachstellen aufzeigt.
Im Juni erregte Rhysida Aufmerksamkeit, nachdem sie gestohlene chilenische Arm-Dokumente von ihrer Datenleckseite öffentlich machten. Die Gruppe hat durch ihre Angriffe auf Gesundheitseinrichtungen, einschließlich der Prospect Medical Holdings, Aufmerksamkeit erregt. Sie haben mehrere hochkarätige Einrichtungen angegriffen, darunter die British Library und Insomniac Games.
Bekannte TTPs der Rhysida Ransomware:
Werkzeuge: Privilegienerhöhung, Verteidigungsvermeidung, Entdeckung, Initiale Zugriffe, Sammlung, Ressourcenentwicklung, Ausführung, Aufklärung.
Die Akira-Gruppe
Die Akira-Gruppe wurde im März 2023 entdeckt und hat bisher 81 Opfer gefordert. Vorläufige Untersuchungen deuten auf eine starke Verbindung zwischen der Gruppe und der berüchtigten Ransomware-Gruppe Conti hin. Die Veröffentlichung des Conti-Quellcodes hat dazu geführt, dass mehrere Bedrohungsakteure Contis Code nutzen, um ihren eigenen zu konstruieren oder anzupassen.
Akira bietet Ransomware-as-a-Service an und betrifft sowohl Windows- als auch Linux-Systeme. Sie nutzen ihre offizielle DLS (Data Leak Site), um Informationen über ihre Opfer und Updates zu ihren Aktivitäten zu veröffentlichen. Die Bedrohungsakteure konzentrieren sich hauptsächlich auf die USA, zielen aber auch auf das Vereinigte Königreich, Australien und andere Länder ab.
Bekannte TTPs der Akira-Gruppe:
Werkzeuge: Exfiltration, Initiale Zugriffe, Sammlung, Auswirkung, Verteidigungsvermeidung, Entdeckung, Privilegienerhöhung, Persistenz.
3AM Ransomware
Der 2023 entdeckte Ransomware-Strain 3AM hat im abgelaufenen Jahr nur wenig Einfluss: Nur 20 Organisationen (hauptsächlich in den USA) wurden geschädigt. Bekanntheit erlangte die Ransomware-Truppe dennoch: Nachdem der Versuch, die Ransomware "LockBit" im Zielnetzwerk zu verwenden, gescheitert ist, verwendeten die Angreifer 3AM.
Auch die Wahl der Technologie ist spektakulär: Sicherheitsforscher haben gezeigt, dass die 3AM-Ransomware-Bande ein uraltes PHP-Skript, Yugeon Web Clicks v0.1, das bereits 2004 veröffentlicht wurde, zur Überwachung der Seitenaufrufe auf ihrer Website verwendet. Die Verwendung des Yugeon Web Clicks-Skripts aus 2004 mag zunächst verwirrend erscheinen. Es wirft Fragen auf, warum eine aufstrebende Ransomware-Gruppe eine solch veraltete Technologie einsetzt. Mögliche Gründe könnten die Unauffälligkeit älterer Skripte und Technologien, ihre Einfachheit oder ein Übermaß an Selbstvertrauen der Gruppe sein. Es ist jedoch zu beachten, dass diese Wahl die Gruppe bestimmten Risiken aussetzt.
Die Bedrohungsakteure begannen mit dem Einsatz des gpresult-Befehls, um Richtlinieneinstellungen auf dem Computer für einen bestimmten Benutzer zu extrahieren. Danach führten sie verschiedene Komponenten von Cobalt Strike aus und versuchten, die Privilegien auf dem Computer mit PsExec zu erhöhen. Sie führten Aufklärung durch und identifizierten andere Server für die laterale Bewegung. Zudem richteten sie ein neues Benutzerkonto ein und nutzten das Wput-Tool, um die Dateien der Opfer auf ihren FTP-Server zu übertragen.
Bekannte TTPs der 3AM Ransomware:
Werkzeuge: Ressourcenentwicklung, Datensammlung, Datenspeicher-Manipulation, Archivierung gesammelter Daten, Daten von lokalen Systemen
Opfer haben übrigens kaum Chancen: Die Entschlüsselung von Dateien ohne die Hilfe der Angreifer ist in der Regel sehr schwierig. Die Opfer haben zwei gute Möglichkeiten, ihre Dateien ohne Zahlung eines Lösegelds zurückzubekommen: Sie können Datensicherungen verwenden oder online nach Entschlüsselungswerkzeuge suchen.
Die Ransomware-Industrie wächst weiter und zieht neue und kühne Gruppen an, die sich einen Namen machen wollen, indem sie hochwertige Ransomware-Dienste und -Werkzeuge entwickeln. Cyberint erwartet, dass einige dieser neueren Gruppen ihre Fähigkeiten im Jahr 2024 verbessern und sich neben Veteranengruppen wie LockBit 3.0, Cl0p und AlphV als dominierende Akteure in der Branche etablieren werden.