[datensicherheit.de, 27.03.2025] Der IT-Sicherheitshersteller ESET veröffentlicht heute eine umfassende Analyse zur aktuellen Ransomware-Landschaft. Im Zentrum steht die Gruppe RansomHub, die sich innerhalb kürzester Zeit zur dominierenden Kraft unter den sogenannten Ransomware-as-a-Service (RaaS)-Anbietern entwickelt hat. RansomHub trat anscheinend in Erscheinung, nachdem internationale Strafverfolgungsmaßnahmen die Aktivitäten der früheren „Marktführer“ LockBit und BlackCat weitgehend zum Erliegen brachten.

Die Forschungsergebnisse wurden auf der diesjährigen ESET World präsentiert.

„2024 markierte gleich zwei Wendepunkte – der Niedergang der beiden größten Ransomware-Gruppen und ein Rückgang der Lösegeldzahlungen um rund 35 Prozent“, so ESET Forscher Jakub Souček, der die Untersuchungen leitet. „Gleichzeitig stieg jedoch die Zahl öffentlich gemeldeter Opfer um 15 Prozent. Ein Großteil davon geht auf das Konto von RansomHub.“

Schematischer Überblick über die Verbindungen zwischen Medusa, RansomHub, BianLian und Play , Bild: ESET

EDR-Killer: Maßgeschneidertes Tool gegen Sicherheitssoftware im Einsatz

Eine zentrale Rolle spielt ein gefährliches, besonders perfides Tool: EDRKillShifter. Dabei handelt es sich um einen sogenannter EDR-Killer (Endpoint-Detection-&-Response), der gezielt Sicherheitslösungen auf kompromittierten Rechnern ausschaltet. Hierzu missbraucht die Schadsoftware einen fehlerhaften Treiber im System des Zielgeräts. Unternehmen, die ESET Lösungen nutzen, sind vor solchen EDR-Killern sicher.

EDRKillShifter – Werkzeug wurdevon RansomHub selbst entwickelt

Entwickelt wurde das Werkzeug von RansomHub selbst, was eine Seltenheit im Bereich der RaaS-Angebote ist. Es wird den Partnern der Gruppe bereitgestellt, um Sicherheitsmaßnahmen gezielt auszuhebeln. Laut ESET findet der EDRKillShifter mittlerweile auch in Angriffen anderer Ransomware-Gruppen wie Play, Medusa und BianLian Verwendung.

Die Verbindung zwischen diesen Gruppen ist ein brisanter Befund. „Es ist bekannt, dass einige Affiliates – also Partner, die im Auftrag der Betreiber arbeiten – gleichzeitig für mehrere Gangs aktiv sind. Dass sie intern entwickelte Tools gruppenübergreifend einsetzen, zeigt: Selbst in der Welt der Ransomware gibt es keine vollständige Abschottung“, so Souček weiter.

Ransomware als Geschäft – mit ungewöhnlichen Geschäftsmodellen

Wie jede aufstrebende RaaS-Gruppe mussten auch in diesem Fall Partnerangeworben werden, die die Dienste der Gruppe anmieten. Die Gruppe rekrutierte seine ersten Partner Anfang 2024 über das russischsprachige RAMP-Forum, nur acht Tage bevor die ersten Opfer gemeldet wurden. Auffällig: Partner dürfen die gesamte Lösegeldsumme behalten – lediglich eine freiwillige Beteiligung von zehn Prozent wird an die Entwickler erwartet. Ein Vertrauensmodell, das in der Cybercrime-Szene als ungewöhnlich gilt.

Ungewöhnlich ist zudem, dass einzelne Akteure von RansomHub gleichzeitig für drei rivalisierende Banden arbeiten: Play, Medusa und BianLian. Eine plausible Erklärung hierfür ist, dass vertrauenswürdige Mitglieder von Play und BianLian nebenbei mit anderen Gruppen wie RansomHub zusammenarbeiten und dabei Werkzeuge, die sie dort erhalten, auch für ihre eigenen Angriffe verwenden.

Angriffe auf Ziele in Russland, Nordkorea, China und Kuba sind bei RansomHub untersagt – ein Muster, das auf politische Rücksichten oder geografische Ursprünge hinweist. ESET sieht in RansomHub keinen bloßen Nachfolger von LockBit, sondern einen neuen Schlüsselakteur, der das Machtgefüge im Ransomware-Markt neu ordnet – mit eigener Toolentwicklung, aggressiver Partnerpolitik und zunehmender Sichtbarkeit.

Weitere Informationen zum Thema:

welivesecurity by ESET
RansomHubs EDRKillShifter: Ein Werkzeug geht auf Reisen

[datensicherheit.de, 26.08.2021] Im Rahmen der Verpflichtung, Ransomware-Angriffe zu stoppen, führt die „Unit 42“ von Palo Alto Networks nach eigenen Angaben sogenannte Ransomware-Jagdaktionen durch, um sicherzustellen, dass Kunden vor neuen und sich entwickelnden Ransomware-Varianten geschützt werden können. Demnach werden die Aktivitäten bestehender Gruppen überwacht, Leak-Sites im Darkweb und „Fresh-Onion-Sites“ gesucht, aufstrebende Akteure identifiziert und Taktiken, Techniken sowie Verfahren untersucht. Die „Unit 42“ habe zuletzt vier aufkommende Ransomware-Gruppen beobachtet, welche derzeit Unternehmen angriffen und Anzeichen dafür aufwiesen, dass sie sich in Zukunft weiter ausbreiten könnten:

AvosLocker – Ransomware as a Service (RaaS)

Seit Ende Juni 2021 in Betrieb. Diese Gruppe verwende ein blaues Käfer-Logo, um sich in der Kommunikation mit Opfern und in „Pressemitteilungen“ zu identifizieren, welche darauf abzielten, neue Partner zu rekrutieren. „AvosLocker“ sei dabei beobachtet worden, in Diskussionsforen im Darkweb und anderen Foren für sein RaaS-Programm zu werben und nach Partnern zu suchen. „Wie viele seiner Konkurrenten bietet ,AvosLocker‘ technischen Support an, um den Opfern bei der Sanierung zu helfen, nachdem sie mit einer Verschlüsselungssoftware angegriffen wurden.“
Von dieser behaupte die Gruppe, sie sei „ausfallsicher“, habe niedrige Erkennungsraten und sei in der Lage, große Dateien zu verarbeiten. Diese Ransomware habe auch eine Erpresser-Website, „die behauptet, sechs Unternehmen und Institutionen in den folgenden Ländern angegriffen zu haben: USA, Großbritannien, Vereinigte Arabische Emirate, Belgien, Spanien und Libanon“. Die „Unit 42“ habe erste Lösegeldforderungen zwischen 50.000 und 75.000 US-Dollar beobachtet.

Hive – Ransomware mit doppelter Erpressung

Im Juni 2021 in Betrieb genommen, habe „Hive“ 28 Unternehmen und Institutionen befallen, „die auf der Erpresser-Website der Gruppe aufgelistet sind, darunter eine europäische Fluggesellschaft und drei Unternehmen und Institutionen in den USA“.
„Hive“ nutze alle verfügbaren Erpressungstools, um Druck auf das Opfer auszuüben, einschließlich des Datums der ersten Kompromittierung, eines Countdowns, des Datums, an dem der Leak tatsächlich auf der Website veröffentlicht wurde, und sogar der Option, den veröffentlichten Leak in Sozialen Medien zu teilen.

HelloKitty – bereits im Jahr 2020 entdeckte Ransomware-Gruppe

„HelloKitty“ habe ich hauptsächlich gegen „Windows“-Systeme gerichtet – im Juli 2021 habe die „Unit 42“ jedoch eine „Linux“-Variante von „HelloKitty“ beobachtet, welche auf den „ESXi-Hypervisor“ von „VMware“ abziele, welcher in „Cloud“- und „On-Premises“-Rechenzentren weit verbreitet sei. Die Forscher hätten auch zwei Aktivitätscluster beobachtet.
„Bei den beobachteten Beispielen bevorzugten einige Bedrohungsakteure die E-Mail-Kommunikation, während andere ,TOR‘-Chats für die Kommunikation mit den Opfern nutzten.“ Die beobachteten Varianten hätten fünf Unternehmen bzw. Institutionen in Italien, Australien, Deutschland, den Niederlanden und den USA betroffen.
„Die höchste Lösegeldforderung dieser Gruppe belief sich auf zehn Millionen US-Dollar, aber zum Zeitpunkt der Erstellung dieses Berichts haben die Bedrohungsakteure nur drei Transaktionen erhalten, die sich auf etwa 1,48 Millionen US-Dollar belaufen.“

LockBit 2.0 (früher bekannt als ABCD Ransomware)

Ein drei Jahre alter RaaS-Betreiber, welcher in letzter Zeit mit einigen hochkarätigen Angriffen in Verbindung gebracht worden sei, „nachdem er im Juni eine ausgeklügelte Marketingkampagne zur Anwerbung neuer Partner gestartet hatte“.
Er behaupte, die schnellste Verschlüsselung auf dem Ransomware-Markt anzubieten. „LockBit 2.0“ habe sich auf mehrere Branchen ausgewirkt – 52 Opfer seien auf der Leak-Site der Gruppe aufgeführt. Zu den Opfern gehörten Unternehmen und Institutionen in den USA, Mexiko, Belgien, Argentinien, Malaysia, Australien, Brasilien, der Schweiz, Deutschland, Italien, Österreich, Rumänien und Großbritannien.

Schlussfolgerungen aus der Analyse von Ransomware-Gruppen

Große Ransomware-Gruppen wie „REvil“ und „Darkside“ zögen sich zurück oder würden sich umbenennen, „um der Aufmerksamkeit der Strafverfolgungsbehörden und der Medien zu entgehen“. Daher würden neue Gruppen auftauchen, welche diejenigen ersetzten, die nicht mehr aktiv auf Opfer abzielten. Die „Unit 42“ habe Informationen über einige der beobachteten bösartigen Aktivitäten der Ransomware-Gruppen zusammengestellt, welche versuchten, die nächsten Hauptakteure zu werden.„LockBit“ und „HelloKitty“ seien zwar schon früher aktiv gewesen, aber ihre jüngste Entwicklung sei ein gutes Beispiel dafür, wie alte Gruppen wieder auftauchten und eine anhaltende Bedrohung darstellen könnten. Die „Unit 42“ werde diese Ransomware-Familien – und neue, die in Zukunft auftauchen könnten – weiterhin überwachen.
„Kunden von Palo Alto Networks sind gegen diese Ransomware-Familien mit ,Cortex XDR‘ oder der Next-Generation-Firewall mit ,Threat Prevention‘- und ,WildFire Security‘-Abonnements geschützt.“ Kunden könnten „AutoFocus“ verwenden, um verwandte Entitäten mit den Tags „AvosLocker“, „Hive“, „LockBit“ bzw. „HelloKitty“ zu verfolgen. Eine vollständige Visualisierung der beobachteten Techniken könne im „ATOM-Viewer“ der „Unit 42“ eingesehen werden. Palo Alto Networks habe diese Ergebnisse, einschließlich Dateimustern und Indikatoren für eine Kompromittierung, mit den anderen Mitgliedern der Cyber Threat Alliance (CTA) geteilt. Die CTA-Mitglieder nutzten diese Erkenntnisse, um ihren Kunden schnell Schutzmaßnahmen zu bieten und böswillige Cyber-Akteure systematisch zu stören.

Weitere Informationen zum Thema:

paloalto NETWORKS, UNIT42, Doel Santos & Ruchna Nigam, 24.08.2021
Ransomware Groups to Watch: Emerging Threats

CYBER THREAT ALLIANCE
What is the Cyber Threat Alliance?

datensicherheit.de, 26.08.2021
Ransomware-Trends: Mehrfach-Erpressungen / Double, Triple und Quadruple Extortion nach Ransomware-Angriffen

datensicherheit.de, 24.08.2021
Sophos: Ransomware-Report 2021 mit Fakten, Auswirkungen und Trends / Unternehmen, öffentliche Einrichtungen und andere Organisationen weiterhin fest im Griff der Ransomware

datensicherheit.de, 14.08.2021
Accenture von LockBit-Ransomware-Angriff betroffen / LockBit-Ransomware seit September 2019 beobachtet

datensicherheit.de, 10.08.2021
Für Varonis steht Ransomware exemplarisch für Bedrohung der Datensicherheit / Varonis positioniert sich beim Schutz der Daten vor Ransomware, Exfiltration und anderen Attacken