{"id":26560,"date":"2021-04-26T07:57:10","date_gmt":"2021-04-26T05:57:10","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=26560"},"modified":"2022-05-05T14:20:56","modified_gmt":"2022-05-05T12:20:56","slug":"top5-ransomware-groups","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/top5-ransomware-groups\/26560\/","title":{"rendered":"Unternehmensj\u00e4ger: Die Top 5 Ransomware-Gruppen"},"content":{"rendered":"

In den letzten f\u00fcnf Jahren hat sich Ransomware von einer Bedrohung f\u00fcr einzelne Computer zu einer ernsthaften Gefahr f\u00fcr Unternehmensnetzwerke entwickelt<\/a>. Anstatt so viele Computer wie m\u00f6glich zu infizieren, nehmen Cyberkriminelle jetzt gro\u00dfe Opfer ins Visier. Angriffe auf gewerbliche Organisationen und Beh\u00f6rden erfordern zwar sorgf\u00e4ltige Planung, aber damit k\u00f6nnen Gewinne in Millionenh\u00f6he erzielt werden.<\/p>\n

Ransomware-Gangs ermitteln die Finanzkraft der Unternehmen, die in der Regel wesentlich h\u00f6her ist, als die von einem normalen Benutzer. Moderne Ransomware-Gruppen stehlen au\u00dferdem vor der Verschl\u00fcsselung die Daten und k\u00f6nnen damit drohen diese zu ver\u00f6ffentlichen, um mehr Druck auf das Opfer auszu\u00fcben. F\u00fcr das betroffene Unternehmen stellt das eine Gro\u00dfzahl an Risiken dar \u2013 von Rufsch\u00e4digung \u00fcber Probleme mit Stakeholdern bis hin zu Bu\u00dfgeldern von Aufsichtsbeh\u00f6rden (die oft h\u00f6her sind als das L\u00f6segeld).<\/p>\n

Nach unseren Daten trat die Wende 2016 ein. In nur wenigen Monaten verdreifachten<\/a> sich die Ransomware-Cyberangriffe auf Unternehmen: W\u00e4hrend wir im Januar 2016 durchschnittlich einen Vorfall alle zwei Minuten verzeichneten, sank dieses Intervall gegen Ende September auf 40 Sekunden.<\/p>\n

Seit 2019 beobachteten Experten einen h\u00e4ufigeren Einsatz von gezielten Kampagnen, die auf einem Ansatz basieren, der als Big Game Hunting bekannt ist. Die Angriffsstatistiken sind auf den Websites der Malware-Betreiber zu finden. Anhand dieser Daten haben wir ein Ranking der aktivsten Cybergangs erstellt.<\/p>\n

<\/strong><\/p>\n

1. Maze (alias ChaCha-Ransomware)<\/h2>\n

Die Maze-Ransomware, die 2019 entdeckt wurde<\/a>, kletterte schnell die Rangliste dieser Malware-Kategorie hoch. Die ChaCha-Ransomware ist f\u00fcr ein Drittel der Gesamtopferzahl verantwortlich. Die Gruppe, die hinter Maze steckt, war eine der ersten, die vor der Verschl\u00fcsselung die Daten stahl<\/a>. Wenn das Opfer sich weigerte das L\u00f6segeld zu zahlen, drohen die Online-Verbrecher damit, die gestohlenen Dateien zu ver\u00f6ffentlichen. Diese Technik stellte sich als besonders effektiv heraus und wurde von vielen anderen Ransomware-Betreibern \u00fcbernommen, darunter auch REvil und DoppelPaymer, auf die wir weiter unten noch eingehen werden.<\/p>\n

Ein weiterer Trend unter den Cyberkriminellen ist die Berichterstattung \u00fcber Angriffe in den Medien. Gegen Ende 2019 erz\u00e4hlte die Maze-Gruppe Bleeping Computer von einem Hackerangriff auf das Unternehmen Allied Universal<\/a> und f\u00fcgte einige gestohlene Dateien als Beweis hinzu. Im E-Mail-Austausch mit den Redakteuren der Website, drohte die Gruppe damit Spam \u00fcber den Servern von Allied Universal zu verschicken und sp\u00e4ter ver\u00f6ffentlichten sie die vertraulichen Daten des Unternehmens im Forum von Bleeping Computer.<\/p>\n

Ab September 2020 begannen die T\u00e4tigkeiten der Maze-Gruppe zur\u00fcckzugehen<\/a>. Allerdings hatte die Cybergang bis dahin einige internationale Unternehmen, eine Staatsbank in S\u00fcdamerika und ein Stadtinformationssystem in den USA angegriffen. Die Maze-Betreiber verlangten in den oben genannten F\u00e4llen mehrere Millionen Dollar von ihren Opfern.<\/p>\n

2. Conti (alias IOCP-Ransomware)<\/h2>\n

Conti tauchte 2019 auf und 2020 nahm die Intensit\u00e4t der Aktivit\u00e4ten stark zu \u2013 in diesem Zeitraum waren sie f\u00fcr 13 % der Ransomware-Opfer verantwortlich. Die Conti-Gr\u00fcnder sind auch heute noch aktiv.<\/p>\n

Ein interessantes Detail der Conti-Angriffe ist, dass die Cyberverbrecher den Zielunternehmen als Gegenleistung f\u00fcr das L\u00f6segeld Hilfe mit der Unternehmenssicherheit anbieten. Das Angebot lautet<\/a> in etwa so: \u201eWir werden Ihnen Anleitungen zum Schlie\u00dfen der Sicherheitsl\u00fccke geben und Ihnen erkl\u00e4ren wie Sie solche Probleme in der Zukunft vermeiden k\u00f6nnen. Dar\u00fcber hinaus werden wir Ihnen spezielle Software empfehlen, die die Arbeit von Hackern besonders erschwert.\u201c<\/p>\n

Genau wie bei Maze, verschl\u00fcsselt diese Ransomware nicht nur die Daten, sondern schickt auch Kopien der Dateien von den gehackten Systemen an die Ransomware-Betreiber. Die Online-Verbrecher drohen dann damit die gestohlenen Daten zu ver\u00f6ffentlichen, falls das Opfer die L\u00f6segeldzahlung verweigert. Einer der spektakul\u00e4rsten Conti-Angriffe war ein Hackerangriff auf eine Schule in den USA<\/a>, bei dem ein L\u00f6segeld von 40 Millionen Dollar verlangt wurde. (Die Verwaltungsbeh\u00f6rde gab bekannt, dass sie gewillt war 500.000 $ zu zahlen, aber diesen Betrag nicht 80-mal verhandeln w\u00fcrde.)<\/p>\n

<\/strong><\/p>\n

3. REvil (alias Sodin oder Sodinokibi-Ransomware)<\/h2>\n

Die ersten bekannten Angriffe von REvil-Ransomware fanden Anfang 2019 in Asien statt. Die Malware zog schnell die Aufmerksamkeit<\/a> von Experten auf sich, aufgrund der technischen Leistungsf\u00e4higkeit, wie beispielsweise der Einsatz von legitimen CPU-Funktionen, um Sicherheitssysteme zu umgehen. Dar\u00fcber hinaus lie\u00df der Code darauf schlie\u00dfen, dass es sich um eine leasingf\u00e4hige Malware handelt.<\/p>\n

In der Gesamtstatistik machen die REvil-Opfer 11 % aus. Die Malware war in knapp 20 Branchen t\u00e4tig. Die gr\u00f6\u00dfte Opferzahl wurde im Bereich Entwicklung und Herstellung mit 30 % verzeichnet. Darauf folgen der Finanzsektor mit 14 %, der Service f\u00fcr Unternehmen und Verbraucher mit 9 %, die Rechtsbranche mit 7 % sowie die Informations- und Telekommunikationsbranche mit 7 %. Im Bereich IT und Telekommunikation fand einer der Angriffe statt, der 2019 am meisten Aufsehen erregte \u2013 es wurden mehrere Managed Service Provider (MPS) gehackt<\/a> und die Ger\u00e4te deren Kunden wurden mit dem Erpressertrojaner Sodinokibi infiziert.<\/p>\n

Aktuell halten die REvil-Gruppe den Rekord f\u00fcr die bisher bekannte h\u00f6chste L\u00f6segeldforderung<\/a>: 50 Millionen USD von Acer im M\u00e4rz 2021.<\/p>\n

4. Netwalker (alias Mailto-Ransomware)<\/h2>\n

Netwalker ist f\u00fcr 10 % der Gesamtopferzahl verantwortlich. Unter den Angriffszielen befinden sich Logistikriesen, Industriegruppen, Energieversorger und andere gro\u00dfe Unternehmen. Die Cyberverbrecher schafften es in 2020, innerhalb von nur wenigen Monaten, \u00fcber 25 Million USD einzukassieren<\/a>.<\/p>\n

Die Entwickler von Netwalker scheinen fest dazu entschlossen zu sein, diese Ransomware f\u00fcr die Massennutzung einzusetzen<\/a>. Sie boten einzelnen Betr\u00fcgern die Benutzung der Malware gegen einen Anteil des Profits der Angriffe an. Laut Bleeping Computer erhielten die Verteiler der Ransomware bis zu 70 %<\/a> des L\u00f6segeldes, obwohl in der Regel bei solchen Leasing-Abkommen f\u00fcr Ransomware wesentlich weniger gezahlt wird.<\/p>\n

Als Beweis ihrer Absicht ver\u00f6ffentlichten die Cyberverbrecher Screenshots von hohen Geld\u00fcberweisungen. Zur Vereinfachung des Leasing-Vorgangs erstellten sie eine Website auf der, nach dem die Frist f\u00fcr die L\u00f6segeldzahlung abgelaufen ist, die gestohlenen Daten automatisch ver\u00f6ffentlicht werden.<\/p>\n

Im Januar 2021 beschlagnahmte<\/a> die Polizei die Darkweb-Ressourcen von Netwalker und beschuldigte den kanadischen Staatsb\u00fcrger Sebastien Vachon-Desjardins 27,6 Millionen Dollar von Ransomware-Opfern erpresst zu haben. Die Aufgabe von Vachon-Desjardins bestand darin, geeignete Opfer zu finden, ihre Systeme zu hacken und dann Netwalker darauf zu installieren. Durch international koordinierte Strafverfolgungsma\u00dfnahmen konnte die Netwalker-Ransomware letztendlich erfolgreich zerschlagen werden.<\/p>\n

5. DoppelPaymer-Ransomware<\/h2>\n

Der letzte B\u00f6sewicht unter unseren Top 5 sind die Betreiber der DoppelPaymer-Ransomware, die laut den Statistiken 9 % der Angriffe verbuchen. Die Entwickler haben sich auch mit anderer Malware einen Namen gemacht, wie z. B. mit dem Banking-Trojaner Dridex und der inzwischen stillgelegten Ransomware BitPaymer (alias FriedEx), die als Vorg\u00e4ngerversion von DopplePaymer betrachtet wird<\/a>. Dementsprechend ist die Anzahl der Opfer dieser Gruppe in Wirklichkeit wesentlich h\u00f6her.<\/p>\n

Zu den gewerblichen Organisationen, die von DoppelPaymer betroffen<\/a> waren, z\u00e4hlen Elektronik- und Automobilhersteller sowie gro\u00dfe lateinamerikanische \u00d6lkonzerne. Die Betreiber von DoppelPaymer nehmen auch h\u00e4ufig staatliche Organisationen auf der ganzen Welt<\/a> ins Visier, darunter Dienstleister aus dem Gesundheits-, Rettungs- und Bildungswesen. Die Gruppe hat auch mit Angriffen in Bundesstaaten der USA Schlagzeilen gemacht, als sie Daten von W\u00e4hlern<\/a> ver\u00f6ffentlichten, die in Hall County, Georgia gestohlen wurden und als sie 500.000 USD vom Delaware County in Pennsylvanien erhielten<\/a>. DoppelPaymer wird auch heute noch aktiv verwendet: Im Februar dieses Jahres berichtete<\/a> eine europ\u00e4ische Forschungseinrichtung von einem Hackerangriff.<\/p>\n

<\/strong><\/p>\n

Methoden f\u00fcr gezielte Angriffe<\/h2>\n

Jeder gezielte Angriff auf ein gro\u00dfes Unternehmen ist das Ergebnis einer langen Vorbereitung, bei der u. a. die Schwachstellen ausfindig gemacht und die passenden Tools ausgesucht werden und anschlie\u00dfend eine Strategie ausgearbeitet wird. Dann dringen die Cyberverbrecher in das System ein und verbreiten die Malware im Unternehmensnetzwerk. Die Verbrecher spionieren manchmal mehrere Monate lang das Netzwerk aus, bevor die Daten verschl\u00fcsselt und das L\u00f6segeld gefordert wird.<\/p>\n

Meistens erhalten Cyberkriminelle \u00fcber Folgendes Zugriff auf die Infrastrukturen:<\/p>\n