Unternehmensjäger: Die Top 5 Ransomware-Gruppen

Die aktivsten Gruppen für gezielte Angriffe auf Unternehmen, Datenverschlüsselung und Lösegelderpressung.

In den letzten fünf Jahren hat sich Ransomware von einer Bedrohung für einzelne Computer zu einer ernsthaften Gefahr für Unternehmensnetzwerke entwickelt. Anstatt so viele Computer wie möglich zu infizieren, nehmen Cyberkriminelle jetzt große Opfer ins Visier. Angriffe auf gewerbliche Organisationen und Behörden erfordern zwar sorgfältige Planung, aber damit können Gewinne in Millionenhöhe erzielt werden.

Ransomware-Gangs ermitteln die Finanzkraft der Unternehmen, die in der Regel wesentlich höher ist, als die von einem normalen Benutzer. Moderne Ransomware-Gruppen stehlen außerdem vor der Verschlüsselung die Daten und können damit drohen diese zu veröffentlichen, um mehr Druck auf das Opfer auszuüben. Für das betroffene Unternehmen stellt das eine Großzahl an Risiken dar – von Rufschädigung über Probleme mit Stakeholdern bis hin zu Bußgeldern von Aufsichtsbehörden (die oft höher sind als das Lösegeld).

Nach unseren Daten trat die Wende 2016 ein. In nur wenigen Monaten verdreifachten sich die Ransomware-Cyberangriffe auf Unternehmen: Während wir im Januar 2016 durchschnittlich einen Vorfall alle zwei Minuten verzeichneten, sank dieses Intervall gegen Ende September auf 40 Sekunden.

Seit 2019 beobachteten Experten einen häufigeren Einsatz von gezielten Kampagnen, die auf einem Ansatz basieren, der als Big Game Hunting bekannt ist. Die Angriffsstatistiken sind auf den Websites der Malware-Betreiber zu finden. Anhand dieser Daten haben wir ein Ranking der aktivsten Cybergangs erstellt.

1. Maze (alias ChaCha-Ransomware)

Die Maze-Ransomware, die 2019 entdeckt wurde, kletterte schnell die Rangliste dieser Malware-Kategorie hoch. Die ChaCha-Ransomware ist für ein Drittel der Gesamtopferzahl verantwortlich. Die Gruppe, die hinter Maze steckt, war eine der ersten, die vor der Verschlüsselung die Daten stahl. Wenn das Opfer sich weigerte das Lösegeld zu zahlen, drohen die Online-Verbrecher damit, die gestohlenen Dateien zu veröffentlichen. Diese Technik stellte sich als besonders effektiv heraus und wurde von vielen anderen Ransomware-Betreibern übernommen, darunter auch REvil und DoppelPaymer, auf die wir weiter unten noch eingehen werden.

Ein weiterer Trend unter den Cyberkriminellen ist die Berichterstattung über Angriffe in den Medien. Gegen Ende 2019 erzählte die Maze-Gruppe Bleeping Computer von einem Hackerangriff auf das Unternehmen Allied Universal und fügte einige gestohlene Dateien als Beweis hinzu. Im E-Mail-Austausch mit den Redakteuren der Website, drohte die Gruppe damit Spam über den Servern von Allied Universal zu verschicken und später veröffentlichten sie die vertraulichen Daten des Unternehmens im Forum von Bleeping Computer.

Ab September 2020 begannen die Tätigkeiten der Maze-Gruppe zurückzugehen. Allerdings hatte die Cybergang bis dahin einige internationale Unternehmen, eine Staatsbank in Südamerika und ein Stadtinformationssystem in den USA angegriffen. Die Maze-Betreiber verlangten in den oben genannten Fällen mehrere Millionen Dollar von ihren Opfern.

2. Conti (alias IOCP-Ransomware)

Conti tauchte 2019 auf und 2020 nahm die Intensität der Aktivitäten stark zu – in diesem Zeitraum waren sie für 13 % der Ransomware-Opfer verantwortlich. Die Conti-Gründer sind auch heute noch aktiv.

Ein interessantes Detail der Conti-Angriffe ist, dass die Cyberverbrecher den Zielunternehmen als Gegenleistung für das Lösegeld Hilfe mit der Unternehmenssicherheit anbieten. Das Angebot lautet in etwa so: „Wir werden Ihnen Anleitungen zum Schließen der Sicherheitslücke geben und Ihnen erklären wie Sie solche Probleme in der Zukunft vermeiden können. Darüber hinaus werden wir Ihnen spezielle Software empfehlen, die die Arbeit von Hackern besonders erschwert.“

Genau wie bei Maze, verschlüsselt diese Ransomware nicht nur die Daten, sondern schickt auch Kopien der Dateien von den gehackten Systemen an die Ransomware-Betreiber. Die Online-Verbrecher drohen dann damit die gestohlenen Daten zu veröffentlichen, falls das Opfer die Lösegeldzahlung verweigert. Einer der spektakulärsten Conti-Angriffe war ein Hackerangriff auf eine Schule in den USA, bei dem ein Lösegeld von 40 Millionen Dollar verlangt wurde. (Die Verwaltungsbehörde gab bekannt, dass sie gewillt war 500.000 $ zu zahlen, aber diesen Betrag nicht 80-mal verhandeln würde.)

3. REvil (alias Sodin oder Sodinokibi-Ransomware)

Die ersten bekannten Angriffe von REvil-Ransomware fanden Anfang 2019 in Asien statt. Die Malware zog schnell die Aufmerksamkeit von Experten auf sich, aufgrund der technischen Leistungsfähigkeit, wie beispielsweise der Einsatz von legitimen CPU-Funktionen, um Sicherheitssysteme zu umgehen. Darüber hinaus ließ der Code darauf schließen, dass es sich um eine leasingfähige Malware handelt.

In der Gesamtstatistik machen die REvil-Opfer 11 % aus. Die Malware war in knapp 20 Branchen tätig. Die größte Opferzahl wurde im Bereich Entwicklung und Herstellung mit 30 % verzeichnet. Darauf folgen der Finanzsektor mit 14 %, der Service für Unternehmen und Verbraucher mit 9 %, die Rechtsbranche mit 7 % sowie die Informations- und Telekommunikationsbranche mit 7 %. Im Bereich IT und Telekommunikation fand einer der Angriffe statt, der 2019 am meisten Aufsehen erregte – es wurden mehrere Managed Service Provider (MPS) gehackt und die Geräte deren Kunden wurden mit dem Erpressertrojaner Sodinokibi infiziert.

Aktuell halten die REvil-Gruppe den Rekord für die bisher bekannte höchste Lösegeldforderung: 50 Millionen USD von Acer im März 2021.

4. Netwalker (alias Mailto-Ransomware)

Netwalker ist für 10 % der Gesamtopferzahl verantwortlich. Unter den Angriffszielen befinden sich Logistikriesen, Industriegruppen, Energieversorger und andere große Unternehmen. Die Cyberverbrecher schafften es in 2020, innerhalb von nur wenigen Monaten, über 25 Million USD einzukassieren.

Die Entwickler von Netwalker scheinen fest dazu entschlossen zu sein, diese Ransomware für die Massennutzung einzusetzen. Sie boten einzelnen Betrügern die Benutzung der Malware gegen einen Anteil des Profits der Angriffe an. Laut Bleeping Computer erhielten die Verteiler der Ransomware bis zu 70 % des Lösegeldes, obwohl in der Regel bei solchen Leasing-Abkommen für Ransomware wesentlich weniger gezahlt wird.

Als Beweis ihrer Absicht veröffentlichten die Cyberverbrecher Screenshots von hohen Geldüberweisungen. Zur Vereinfachung des Leasing-Vorgangs erstellten sie eine Website auf der, nach dem die Frist für die Lösegeldzahlung abgelaufen ist, die gestohlenen Daten automatisch veröffentlicht werden.

Im Januar 2021 beschlagnahmte die Polizei die Darkweb-Ressourcen von Netwalker und beschuldigte den kanadischen Staatsbürger Sebastien Vachon-Desjardins 27,6 Millionen Dollar von Ransomware-Opfern erpresst zu haben. Die Aufgabe von Vachon-Desjardins bestand darin, geeignete Opfer zu finden, ihre Systeme zu hacken und dann Netwalker darauf zu installieren. Durch international koordinierte Strafverfolgungsmaßnahmen konnte die Netwalker-Ransomware letztendlich erfolgreich zerschlagen werden.

5. DoppelPaymer-Ransomware

Der letzte Bösewicht unter unseren Top 5 sind die Betreiber der DoppelPaymer-Ransomware, die laut den Statistiken 9 % der Angriffe verbuchen. Die Entwickler haben sich auch mit anderer Malware einen Namen gemacht, wie z. B. mit dem Banking-Trojaner Dridex und der inzwischen stillgelegten Ransomware BitPaymer (alias FriedEx), die als Vorgängerversion von DopplePaymer betrachtet wird. Dementsprechend ist die Anzahl der Opfer dieser Gruppe in Wirklichkeit wesentlich höher.

Zu den gewerblichen Organisationen, die von DoppelPaymer betroffen waren, zählen Elektronik- und Automobilhersteller sowie große lateinamerikanische Ölkonzerne. Die Betreiber von DoppelPaymer nehmen auch häufig staatliche Organisationen auf der ganzen Welt ins Visier, darunter Dienstleister aus dem Gesundheits-, Rettungs- und Bildungswesen. Die Gruppe hat auch mit Angriffen in Bundesstaaten der USA Schlagzeilen gemacht, als sie Daten von Wählern veröffentlichten, die in Hall County, Georgia gestohlen wurden und als sie 500.000 USD vom Delaware County in Pennsylvanien erhielten. DoppelPaymer wird auch heute noch aktiv verwendet: Im Februar dieses Jahres berichtete eine europäische Forschungseinrichtung von einem Hackerangriff.

Methoden für gezielte Angriffe

Jeder gezielte Angriff auf ein großes Unternehmen ist das Ergebnis einer langen Vorbereitung, bei der u. a. die Schwachstellen ausfindig gemacht und die passenden Tools ausgesucht werden und anschließend eine Strategie ausgearbeitet wird. Dann dringen die Cyberverbrecher in das System ein und verbreiten die Malware im Unternehmensnetzwerk. Die Verbrecher spionieren manchmal mehrere Monate lang das Netzwerk aus, bevor die Daten verschlüsselt und das Lösegeld gefordert wird.

Meistens erhalten Cyberkriminelle über Folgendes Zugriff auf die Infrastrukturen:

  • Unzureichend abgesicherte Remote-Verbindungen.Sicherheitslücken im Remote Desktop Protocol (RDP) werden so häufig zur Infizierung mit Malware verwendet, dass Gruppen auf dem Schwarzmarkt spezielle Dienstleistungen anbieten, um diese auszunutzen. Als ein Großteil der Welt auf Heimarbeit umstellte, stiegen die Zahlen dieser Angriffe sprunghaft an. Das ist der Modus Operandi von Ryuk, Revil und anderen Ransomware-Kampagnen.
  • Sicherheitslücken bei Server-Applikationen. Über Angriffe auf Server-Side-Software erhalten Cyberverbrecher Zugriff auf besonders sensible Daten. Eins der jüngsten Beispiele hierfür fand im März statt, als die Ransomware DearCry für einen Angriff auf Microsoft Exchange über eine Zero-Day-Sicherheitslücke verwendet wurde. Server-Side-Software, die nicht ausreichend geschützt ist, kann als Zugangspunkt für gezielte Angriffe dienen. Auch bei VPN-Servern von Unternehmen kam es zu Sicherheitsvorfällen kommen, wie wir an einigen Beispielen im letzten Jahr gesehen haben.
  • Auf Botnet basierte Lieferungen. Ransomware-Betreiber verwenden Botnets, damit ihnen noch mehr Opfer ins Netz gehen und um den Profit zu erhöhen. Die Betreiber von Zombie-Netzwerken ermöglichen anderen Cyberverbrechern den Zugriff auf tausende von kompromittierten Geräten, die automatisch nach anfälligen Systemen suchen und Ransomware darauf installieren können. Auf diese Art und Weise hat sich beispielsweise die Conti- und DoppelPaymer-Ransomware verbreitet.
  • Supply-Chain-Angriffe. Die REvil-Kampagne ist das beste Beispiel für diese Art von Gefahrenüberträger: Die Gruppe kompromittierte einen IT-Dienstleister (MSP) und installierte dann die Ransomware auf den Netzwerken der Kunden des Unternehmens.
  • Bösartige Anhänge. E-Mail-Anhänge in Form von Word-Dateien mit bösartigen Makros sind immer noch eine gängige Methode zur Lieferung von Malware. Einer unserer Top 5 Verbrecher, NetWalker, verwendetet bösartige Anhänge, um Opfer einzufangen – die Betreiber dieser Ransomware verschicken E-Mails in denen „COVID-19“ in der Betreffzeile angegeben ist.

So können Unternehmen sich schützen

  • Schulungen zu digitaler Hygiene. Mitarbeiter sollten wissen was Phishing ist und niemals auf verdächtige Links in E-Mails klicken oder Dateien auf dubiosen Seiten herunterladen. Auch die Erstellung, das Erinnern und die Speicherung von starken Passwörtern will gelernt sein. Führen Sie regelmäßige Weiterbildungen für IT-Sicherheit durch. Dadurch wird zum einen das Risiko verringert und zum anderen der Schaden reduziert, falls Angreifer es doch schaffen sollten in das Netzwerk einzudringen.
  • Aktualisieren Sie regelmäßig alle Betriebssysteme und Applikationen, um maximalen Schutz vor Angriffen über bekannte Schwachstellen zu gewährleisten. Denken Sie daran sowohl die Server-Side-Software als auch die Client-Side-Software auf dem aktuellsten Stand zu halten.
  • Führen Sie Sicherheitsaudits durch, überprüfen Sie die Sicherheit der Geräte und behalten Sie im Auge, welche Ports offen und über das Internet zugänglich sind. Verwenden Sie ausschließlich sichere Verbindungen für Remote-Work. Beachte Sie allerdings, dass selbst virtuelle private Netzwerke (VPN) anfällig sein können.
  • Machen Sie Sicherheitskopien von den Unternehmensdaten. Sicherheitskopien sind nicht nur nützlich, um Ausfallzeiten zu verkürzen und die Unternehmensprozesse schnellstmöglich wieder in Gang zu bringen, sondern sind auch hilfreich bei eintönigen Vorfällen, wie Hardwarefehlfunktionen.
  • Verwenden Sie eine professionelle Sicherheitslösung, die Verhaltensanalysen durchführt und über Technologien zum Schutz vor Ransomware verfügt.
  • Implementieren Sie ein IT-Sicherheitssystem, das Anomalien in der Netzwerk-Infrastruktur entdecken kann, wie Beispielsweise die Untersuchung von Ports oder Zugriffsanfragen für Systeme, die nicht zu den Standartsystemen gehören. Wenn Sie kein eigenes IT-Sicherheitsteam habe, das Ihr Unternehmensnetzwerk überwacht, ist es empfehlenswert den Service von externen Expertedafür in Anspruch zu nehmen.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.