Ransomware-Datenbank

Das ABC der schlimmsten Erpressungstrojaner

05.01.2022
Von 


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Diese Ransomware-Familien haben Unternehmen in aller Welt befallen und dabei Milliardenschäden verursacht. Ein Überblick über die schlimmsten Erpressungstrojaner.
Die Ransomware-Landschaft blüht. Wir zeigen Ihnen die schlimmsten Erpressungstrojaner aller Zeiten.
Die Ransomware-Landschaft blüht. Wir zeigen Ihnen die schlimmsten Erpressungstrojaner aller Zeiten.
Foto: nexusby - shutterstock.com

Ransomware hat eine lange Historie, die bis in die späten 1980er Jahre zurückreicht. Heute "erwirtschaften" die kriminellen Banden, die hinter den Erpressungstrojanern stehen, mit ihrer Malware Milliardenbeträge. Den Erpressungsopfern entstehen in jedem Fall Wiederherstellungskosten - selbst wenn sie ein Lösegeld bezahlen. Laut Sophos lagen die durchschnittlichen Kosten eines Ransomware-Angriffs für betroffene Unternehmen im Jahr 2020 bei fast 1,5 Millionen Dollar - wenn ein Lösegeld bezahlt wurde. Wenn nicht, summieren sich die durchschnittlichen Kosten auf etwa 732.000 Dollar.

Angesichts der finanziellen Verlockungen für die Angreifer ist es nicht verwunderlich, dass sich Ransomware-Banden und ihre Malware immer weiter ausgebreitet haben. Die Zahl der Ransomware-Bedrohungsakteure, die in der Lage sind, Schadcode zu entwickeln und zu verbreiten, steigt. Dabei sind sogenannte "Affiliates", die Ransomware-as-a-Service (RaaS)-Angebote in Anspruch nehmen, noch gar nicht berücksichtigt.

Im Folgenden finden Sie eine Liste der wichtigsten Ransomware-Malware und -Gruppen, die keinen Anspruch auf Vollständigkeit erhebt. Einige der aufgeführten Ransomware-Gruppen beziehungsweise -Familien sind inzwischen nicht mehr aktiv - das ist allerdings keine Garantie dafür, dass sie nicht irgendwann in neuer Form wieder auftauchen.

Cerber

Historie: Die RaaS-Plattform Cerber tauchte erstmals im Jahr 2016 auf und bescherte Cyberkriminellen im Juli desselben Jahres Einnahmen von rund 200.000 Dollar.

Funktionsweise: Cerber nutzt eine Microsoft-Schwachstelle aus, um Netzwerke zu infizieren und funktioniert ähnlich wie andere Ransomware-Bedrohungen: Die Dateien auf dem Zielrechner werden mit dem AES-256-Algorithmus verschlüsselt - dabei zielt der Erpressungstrojaner auf verschiedene Dateitypen ab, darunter Dokumente, Bilder, Audiodateien, Videos, Archive und Backups. Cerber kann auch nach verfügbaren Netzwerkfreigaben suchen und diese verschlüsseln - selbst dann, wenn sie nicht einem Laufwerksbuchstaben zugeordnet sind. Im letzten Schritt platziert der Erpressungstrojaner drei Dateien auf dem Desktop des Opfers, die die Lösegeldforderung und Anweisungen zur Zahlung beinhalten.

Opferprofil: Als RaaS-Plattform ist Cerber eine Bedrohung für Unternehmen wie Privatpersonen.

Attribution: Die Schöpfer von Cerber offerieren ihre RaaS-Plattform über ein privates, russischsprachiges Forum.

Conti

Historie: Die im Mai 2020 erstmals aufgetauchte RaaS-Plattform Conti gilt als Nachfolgerin der Ryuk-Ransomware. Bis Januar 2021 soll Conti mehr als 150 Unternehmen infiziert und seinen kriminellen Entwicklern und deren Partnern Millionenbeträge eingebracht haben. Seit dem ersten Auftauchen wurden mindestens drei neue Versionen von Conti entdeckt.

Funktionsweise: Conti setzt auf eine doppelte Bedrohung und verschlüsselt nicht nur Daten, sondern droht auch damit, diese weiterzuverkaufen oder zu veröffentlichen. Dazu haben die Betreiber eine eigene Webseite namens "ContiNews" eingerichtet, auf der die Opfer und deren gestohlene Daten geleakt werden. Sobald die Malware ein System infiziert hat, bewegt sie sich in aller Ruhe lateral durch das Netzwerk, mit dem Ziel, Zugang zu sensiblen Systemen zu erhalten. Bekannt ist Conti vor allem dafür, Dateien durch den Einsatz von Multithreading besonders schnell zu verschlüsseln.

Opferprofil: Als RaaS-Plattform stellt Conti eine Bedrohung für jedermann dar - allerdings zielte eine Reihe von Infektionen im Januar 2021 auf Regierungsorganisationen ab. Die kriminelle Hackergruppe Wizard Spider soll Conti bei ihrem Ransomware-Angriff auf den irischen National Health Service und mindestens 16 US-amerikanische Healthcare- und Notfallnetzwerke verwendet haben.

Attribution: Unbekannt

CryptoLocker

Historie: CryptoLocker wird erstmals bei einem Angriff im Jahr 2013 entdeckt und läutet das moderne Ransomware-Zeitalter ein. Zu seiner Blütezeit infiziert die Ransomware bis zu 500.000 Windows-Rechner. Der Erpressungstrojaner ist auch unter dem Namen TorrentLocker bekannt. Im Juli 2014 erklärt das US-Justizministerium, CryptoLocker "neutralisiert" zu haben.

Funktionsweise: CryptoLocker war ein Trojaner, der infizierte Computer nach zu verschlüsselnden Dateien durchsuchte - inklusive interner oder mit dem Netzwerk verbundener Speichergeräte. Verbreitet wurde die Ransomware in der Regel über Phishing-E-Mails mit maliziösen Dateianhängen. Sobald diese geöffnet wurden, aktivierte das einen Downloader und die Infektion nahm ihren Lauf.

Opferprofil: CryptoLocker schien nicht auf bestimmte Branchen, Unternehmen oder Bereiche abzuzielen.

Attribution: CryptoLocker wurde von der gleichen kriminellen Hackerband entwickelt, die auch den Banking-Trojaner Gameover Zeus in die Welt gesetzt hat.

CryptoWall

Historie: CryptoWall, auch bekannt als CryptoBit oder CryptoDefense, erschien erstmals 2014 und wurde populär, nachdem CryptoLocker abgeschaltet wurde. Diese Ransomware hat mehrere "Überarbeitungen" durchlaufen.

Funktionsweise: CryptoWall wird über Spam oder Exploit-Kits verbreitet. Seine Entwickler scheinen raffinierte Methoden zu vermeiden und verfolgen stattdessen einen einfachen, aber sehr effektiven, klassischen Ransomware-Ansatz. In den ersten sechs Monaten seiner Existenz infizierte CryptoWall 625.000 Rechner.

Opferprofil: Der Erpressungstrojaner hat weltweit Zehntausende von Unternehmen aller Branchen infiziert - russischsprachige Länder waren allerdings nicht betroffen.

Attribution: Bei dem Entwickler von CryptoWall handelt es sich sehr wahrscheinlich um eine kriminelle Bande, die aus dem russischsprachigen Raum stammt. Die Version 3.0 der Ransomware erkennt, ob ein Computer in Weißrussland, der Ukraine, Russland, Kasachstan, Armenien oder Serbien betrieben wird und deinstalliert sich dann automatisch.

CTB-Locker

Historie: CTB-Locker wurde erstmals im Jahr 2014 beobachtet und ist ein weiteres RaaS-Angebot, das für seine hohe Infektionsrate bekannt ist. Im Jahr 2016 zielte eine neue Version von CTB-Locker auf Webserver ab.

Funktionsweise: Affiliates zahlen für den Zugriff auf den gehosteten Ransomware-Code eine monatliche Gebühr an die Entwickler von CTB-Locker. Die Ransomware verwendet elliptische Kurven-Kryptografie zur Verschlüsselung der Daten. Sie ist auch für ihre multilinguale Natur bekannt, wodurch sich die Zahl der potenziellen Opfer erhöht.

Opferprofil: Aufgrund seines RaaS-Modells stellt CTB-Locker eine Bedrohung für jede Organisation dar. Die Tier-1-Länder in Westeuropa, Nordamerika und Australien werden am häufigsten angegriffen, insbesondere, wenn in der Vergangenheit bereits Lösegeld gezahlt wurde.

Attribution: Unbekannt

DarkSide

Historie: DarkSide ist mindestens seit August 2020 aktiv und rückte im Mai 2021 mit dem Ransomware-Angriff auf die Colonial Pipeline ins Rampenlicht.

Funktionsweise: DarkSide funktioniert nach dem RaaS-Modell über ein Partnerprogramm und setzt auf die Kombination von Datenverschlüsselung und Datendiebstahl. Verbreitet wird die Ransomware in der Regel mit manuellen Hacking-Techniken. Die DarkSide-Betreiber verstehen scheinbar auch etwas von Pressearbeit: Über eine eigene Webseite können sich Journalisten registrieren, um Vorabinformationen zu Datenschutzverletzungen oder Datenleaks zu erhalten. Die Cyberkriminellen versprechen schnelle Antworten auf alle Medienanfragen.

Opferprofil: Die Hackerbande hinter DarkSide behauptet, keine medizinischen Einrichtungen und Unternehmen, gemeinnützige Organisationen, Bildungseinrichtungen oder Regierungsorganisationen anzugreifen. Nach dem Angriff auf die Colonial Pipeline gaben die Verantwortlichen öffentlich bekannt, dass sie die potenziellen Opfer überprüft, bevor Angriffe gestartet werden.

Attribution: Es steht die Vermutung im Raum, dass die Cyberkriminellen hinter DarkSide von Russland aus operieren und ehemalige Mitglieder der REvil-Gruppe sind.

DoppelPaymer

Historie: DoppelPaymer tauchte erstmals im Juni 2019 auf und ist immer noch aktiv. Die Cyberabteilung des FBI gab im Dezember 2020 eine entsprechende Warnung aus. Der September 2020 markierte einen traurigen Höhepunkt in der DoppelPaymer-Geschichte: Nachdem die Uniklinik Düsseldorf von der Ransomware befallen wurde, musste ein Notfallpatient an eine andere Klinik verwiesen werden, was zu dessen Tod führte.

Funktionsweise: Die Cyberkriminellen hinter DoppelPaymer wenden die ungewöhnliche Taktik an, ihre Opfer über gefälschte US-Telefonnummern anzurufen, um eine Lösegeldzahlung zu verlangen. Diese beträgt in der Regel 50 Bitcoin. Neben der Verschlüsselung der Daten drohen die Erpresser auch damit, die gestohlenen Informationen weiterzugeben oder zu verkaufen. In einigen Fällen wurde Mitarbeitern von betroffenen Unternehmen auch körperliche Gewalt angedroht. DoppelPaymer basiert in Teilen auf der BitPaymer-Ransomware, weist jedoch einige wesentliche Unterschiede auf - etwa die Verwendung von Threaded File Encryption für eine bessere Verschlüsselungsrate. Außerdem verwendet DoppelPaymer im Gegensatz zu BitPaymer ein Tool namens Process Hacker, das Sicherheits-, E-Mail-Server-, Backup- und Datenbankprozesse und -dienste beendet, um Abwehrmaßnahmen zu schwächen und den Verschlüsselungsprozess nicht zu gefährden.

Opferprofil: DoppelPaymer zielt auf KRITIS-Betreiber in den Bereichen Gesundheitswesen, Notfalldienste und Bildung ab.

Attribution: Unbekannt - es gibt jedoch Hinweise darauf, dass ein Ableger der Hackerbande TA505 (unter anderem bekannt für den Banking-Trojaner Dridex) für DoppelPaymer verantwortlich zeichnet.

Egregor

Historie: Egregor tauchte erstmals im September 2020 auf und legte rasantes Wachstum vor. Am 9. Februar 2021 verhafteten US-amerikanische, ukrainische und französische Behörden in einer gemeinsamen Aktion eine Reihe von Mitgliedern und Affiliates der Egregor-Gruppe und nahm deren Website vom Netz.

Funktionsweise: Egregor folgt dem Trend der "Double Extortion" - der Erpressungstrojaner verschlüsselt Daten und droht damit, sensible Informationen preiszugeben, wenn das Lösegeld nicht gezahlt wird. Die Codebasis von Egregor ist relativ ausgeklügelt - die Ransomware ist in der Lage, Detektionsmaßnahmen mit Verschleierungs- und Anti-Analyse-Techniken zu umgehen.

Opferprofil: Bis Ende November wurden mindestens 71 Unternehmen in 19 Branchen weltweit Opfer von Egregor.

Attribution: Das Aufkommen von Egregor fällt mit der Auflösung der Ransomware-Bande Maze zusammen. Die Mitglieder dieser Gruppe scheinen zu Egregor übergegangen zu sein. Es handelt sich um eine Variante der Sekhmet-Ransomware-Familie, die mit der Qakbot-Malware in Verbindung gebracht wird.

FONIX

Historie: FONIX war ein RaaS-Angebot, das erstmals im Juli 2020 entdeckt wurde. Es durchlief schnell eine Reihe von Code-Revisionen, wurde aber im Januar 2021 plötzlich abgeschaltet. Die Cyberkriminellen hinter FONIX veröffentlichten daraufhin ihren Master Encryption Key.

Funktionsweise: Die FONIX-Bande warb in Cybercrime-Foren und im Dark Web für ihre Dienste. Kunden schickten den Kriminellen eine E-Mail-Adresse und ein Passwort und bekamen den Ransomware-Payload frei Haus. Die Cyberkriminellen streichen einen Anteil von 25 Prozent der gezahlten Lösegeldsumme ein.

Opferprofil: Da es sich bei FONIX um RaaS handelt, kommt Jedermann als Opfer in Betracht.

Attribution: Unbekannt

GandCrab

Historie: GandCrab könnte das lukrativste Ransomware-as-a-Service-Angebot aller Zeiten sein. Seine Entwickler behaupten, von Januar 2018 bis Juli 2019 mehr als zwei Milliarden Dollar erbeutet zu haben.

Funktionsweise: GandCrab ist ein Ransomware-Affiliate-Programm für Cyberkriminelle - die Entwickler erhalten einen Teil des eingenommenen Lösegelds. Die Malware wird in der Regel über bösartige Microsoft-Office-Dokumente beziehungsweise Phishing-E-Mails verbreitet. Variationen von GandCrab haben beispielsweise Schwachstellen in Software wie Atlassian Confluence ausgenutzt.

Opferprofil: GandCrab hat weltweit Unternehmen verschiedener Branchen infiziert, ist jedoch darauf konzipiert, Systeme in russischsprachigen Regionen zu meiden.

Attribution: GandCrab wird mit dem russischen Hacker Igor Prokopenko in Verbindung gebracht.

GoldenEye

Historie: GoldenEye tauchte 2016 auf und basiert vermutlich auf der Petya-Ransomware.

Funktionsweise: Dieser Erpressungstrojaner wird initial über gefälschte Bewerbungsschreiben und Lebensläufe verbreitet. Nach erfolgter Infektion führt GoldenEye ein Makro aus, das Dateien auf dem Computer verschlüsselt und jedem File eine zufällig gewählte 8-Zeichen-Kombination anhängt. Anschließend ersetzt die Ransomware den Master-Boot-Datensatz der Festplatte mit einem benutzerdefinierten Boot-Loader.

Opferprofil: GoldenEye richtet sich in seinen Phishing-E-Mails zunächst an deutschsprachige Benutzer.

Attribution: Unbekannt

Grief

Historie: Die Ransomware Grief, auch bekannt als "Pay or Grief", wird als Nachfolger von DoppelPaymer "gehandelt" und tauchte im Mai 2021 auf. Zwischen Mai und Oktober hat die Gruppe nach eigenen Angaben 41 Unternehmen und Organisationen kompromittiert, die meisten davon in Europa. Schätzungen zufolge sollen sich die Einnahmen der Cyberkriminellen in diesem Zeitraum auf mehr als elf Millionen Dollar belaufen haben. Ende Oktober behauptete die Hackergruppe hinter der Ransomware, die US-amerikanische National Rifle Association angegriffen und dabei Daten gestohlen zu haben.

Funktionsweise: Bei Grief handelt es sich um Ransomware-as-a-Service, die im Affiliate-Modell vertrieben wird - die Entwickler streichen einen Teil der Lösegeldzahlung ein. Auch Grief setzt auf doppelte Erpressung: Die Daten von Opferorganisationen werden nicht nur gestohlen, sondern auch mit deren Veröffentlichung auf einer zugehörigen Leak-Site gedroht. Inzwischen informiert die Cybercrime-Bande ihre Opfer auch darüber, dass betroffene Systeme gelöscht werden, sollten Strafverfolgungsbehörden, Ransomware-Vermittler oder Datenwiederherstellungsspezialisten hinzugezogen werden.

Die Quellcode-Unterschiede zwischen DoppelPaymer und Grief sind gering: Die eingebetteten ProcessHacker-Binärdateien, die DoppelPaymer verwendete, um verschiedene Prozesse zu beenden, wurden bei Grief entfernt - der in der Verschlüsselungsroutine verwendete RC4-Schlüssel von 40 auf 48 Byte erhöht. Ansonsten bleiben die Verschlüsselungsalgorithmen gleich: 2048-Bit RSA und 256-Bit AES.

Opferprofil: Grief konnte verschiedene Unternehmen, Apotheken, Gaststätten, Bildungs- und Verwaltungseinrichtungen infizieren.

Attribution: Es steht die Vermutung im Raum, dass die Grief-Ransomware von Evil Corp betrieben wird. Diese Cybercrime-Bande ist unter anderem für das Dridex-Botnet sowie die Ransomware-Operationen WastedLocker und DoppelPaymer bekannt und eine der Gruppen, die auf der Sanktionsliste des US-Finanzministeriums geführt werden. Zwei angebliche Mitglieder stehen zudem auf der "Most Wanted"-Liste des FBI.

Jigsaw

Historie: Jigsaw tauchte erstmals im Jahr 2016 auf - allerdings veröffentlichten Security-Forscher schon nach relativ kurzer Zeit ein Entschlüsselungstool.

Funktionsweise: Ein bemerkenswerter Aspekt von Jigsaw ist, dass die Ransomware zunächst einige Dateien verschlüsselt, ein Lösegeld fordert und dann nach und nach Dateien löscht. Für 72 Stunden wird eine Datei pro Stunde gelöscht, danach alle verbleibenden.

Opferprofil: Jigsaw schien keine bestimmte Opfergruppe ins Visier zu nehmen.

Attribution: Unbekannt

KeRanger

Historie: KeRanger wurde im Jahr 2016 entdeckt und ist vermutlich die erste einsatzfähige Ransomware, die für MacOS-X-Anwendungen entwickelt wurde.

Funktionsweise: KeRanger wurde über einen legitimen, aber kompromittierten BitTorrent-Client verbreitet, der sich durch ein gültiges Zertifikat der Detektion entziehen konnte.

Opferprofil: Mac-User

Attribution: Unbekannt

Leakerlocker

Historie: Leakerlocker wurde erstmals im Jahr 2017 in zwei Android-Anwendungen entdeckt: "Booster & Cleaner" und "Wallpaper Blur HD". Google entfernte die Apps kurz danach aus seinem Store.

Funktionsweise: Die Opfer laden eine scheinbar legitime App herunter. Diese bittet dann um Berechtigungen, die der Malware den erforderlichen Zugriff gewähren. Anstatt Dateien zu verschlüsseln, sperrt diese Ransomware den Startbildschirm des Geräts, um den Zugriff auf die Daten zu verhindern und droht damit, sensible Daten und die Browser-Historie mit der auf dem Gerät hinterlegten Kontaktliste zu teilen.

Opferprofil: Android-Nutzer

Attribution: Unbekannt

LockerGoga

Historie: LockerGoga tauchte 2019 im Rahmen einer Angriffswelle auf, die auf Industrieunternehmen abzielte. Trotzdem die Angreifer ein Lösegeld forderten, schien die Ransomware darauf ausgelegt zu sein, eine Zahlung zu erschweren. Deshalb vermuteten einige Security-Spezialisten, dass der Erpressungstrojaner nicht zu monetären, sondern zu disruptiven Zwecken zum Einsatz kam.

Funktionsweise: LockerGoga nutzte eine Phishing-Kampagne mit bösartigen Dokumentanhängen, um Systeme zu infizieren. Die Dateianhänge waren mit gültigen Zertifikaten signiert und konnten so die Sicherheitsmaßnahmen umgehen.

Opferprofil: LockerGoga wurde vor allem gegen europäische Industrieunternehmen eingesetzt. Das prominenteste Beispiel ist der Aluminium-Produzent Norsk Hydro, der nach einem Befall mit einem weltweiten IT-Ausfall zu kämpfen hatte.

Attribution: Einige Security-Forscher gehen davon aus, dass LockerGoga Teil eines staatlich gelenkten Hackerangriffs war.

Locky

Historie: Locky verbreitete sich erstmals im Jahr 2016 und nutzte einen Angriffsmodus, der der Banking-Malware Dridex ähnelte. Locky stand darüber hinaus Pate für eine Reihe weiterer Varianten, darunter Osiris und Diablo6.

Funktionsweise: Die Opfer erhalten in der Regel eine E-Mail mit einem Microsoft-Word-Dokument - angeblich eine Rechnung. Das Dokument enthält ein bösartiges Makro. Wenn Makros aktiviert sind, wird der Download von Locky initiiert. Dridex verwendet dieselbe Technik, um Online-Banking-Kontodaten zu stehlen.

Opferprofil: Frühe Locky-Angriffe zielten auf Krankenhäuser ab, spätere Kampagnen waren jedoch breiter angelegt und nicht auf bestimmte Bereiche beschränkt.

Attribution: Es ist wahrscheinlich, dass die Cyberkriminellen, die für Locky verantwortlich sind, zumindest teilweise mit einer der Hackerbanden verbunden sind, denen Dridex zugeschrieben wird.

Maze

Historie: Maze trat erstmals im Mai 2019 in Erscheinung. Die Cyberkriminellen hinter der Ransomware waren dafür bekannt, gestohlene Daten zu leaken, wenn die Opfer der Lösegeldforderung nicht nachkamen. Die Verantwortlichen gaben im September 2020 bekannt, ihren "Betrieb" einzustellen.

Funktionsweise: Maze-Angreifer verschafften sich in der Regel per Fernzugriff Zugang zu Netzwerken und nutzen dabei legitime Login-Daten. Diese wurden entweder schlicht erraten oder über Phishing-Kampagnen erbeutet. Die Maze-Ransomware scannte das Netzwerk mit Open-Source-Tools, um Schwachstellen zu entdecken und Details zu erkunden. Anschließend bewegte sie sich lateral durch das Netzwerk - auf der Suche nach weiteren Anmeldeinformationen zum Zweck der Privilege Escalation. Fand die Malware dabei die Anmeldedaten des Domänenadministrators, konnte sie auf das gesamte Netzwerk zugreifen und alle Dateien verschlüsseln.

Opferprofil: Maze operierte weltweit und in allen Branchen.

Attribution: Hinter Maze standen vermutlich mehrere kriminelle Gruppen, die ihre Spezialgebiete miteinander teilen - nicht nur eine einzelne Bande.

Mespinoza (aka PYSA)

Historie: Die Mespinoza-Gruppe wurde erstmals 2019 identifiziert. Ihre Mitglieder stehen im Ruf, besonders arrogant und schrullig aufzutreten. Einem Report von Palo Alto Softwares Unit 42 zufolge, bezeichnet die Bande ihre Opfer als "Partner" und gibt ihnen Ratschläge, um das Management von der Zahlung des Lösegelds zu überzeugen.

Funktionsweise: Trotz seiner Macken geht Mespinoza nach Angaben von Unit 42 diszipliniert vor. Die Bande kundschaftet ihre potenziellen Opfer im Vorfeld aus, um die Personen mit den wertvollsten Assets gezielt ins Visier zu nehmen. Beim Angriff selbst kommt RDP zum Einsatz, um sich Zugang zum Netzwerk zu verschaffen - Open-Source- und integrierte Systemtools ermöglichen es, sich lateral durchs Netz zu bewegen und Anmeldedaten zu sammeln. Um eine Hintertür zu erzeugen, installiert sich eine Malware namens "Gasket". Diese verfügt über eine Funktion namens "MagicSocks", die einen Tunnel für den Fernzugriff erstellt. Auch diese kriminelle Hackergruppe setzt auf den doppelten Erpressungsansatz, und droht bei ausbleibender Lösegeldzahlung mit der Veröffentlichung sensibler Daten.

Opferprofil: Mespinoza operiert auf globaler Ebene und hat es auf große Unternehmen in verschiedenen Branchen abgesehen. Inzwischen wurden auch Bildungseinrichtungen in den USA und Großbritannien angegriffen.

Attribution: Unbekannt

Netwalker

Historie: Netwalker ist seit 2019 aktiv und setzt ebenfalls auf "Double Extortion". Ende Januar 2021 konnte das US-Justizministerium die Ransomware-Kampagne jedoch im Rahmen einer globalen Aktion vorerst stoppen. Wie lange diese Unterbrechung andauern wird, ist nicht abzusehen.

Funktionsweise: Aus technischer Sicht ist Netwalker eine relativ gewöhnliche Ransomware. Sie fasst über Phishing-E-Mails Fuß, verschlüsselt und exfiltriert Daten und sendet eine Lösegeldforderung. Die zweite Bedrohung, nämlich die Offenlegung sensibler Daten, macht den Erpressungstrojaner allerdings noch gefährlicher: Es ist bekannt, dass er gestohlene Daten in einem passwortgeschützten Verzeichnis im Dark Web ablegt und den Schlüssel dann öffentlich zugänglich macht.

Opferprofil: Netwalker betraf (bisher) vor allem Healthcare- und Bildungseinrichtungen.

Attribution: Vermutlich steht hinter Netwalker eine kriminelle Bande namens "Circus Spider" (PDF).

NotPetya

Historie: NotPetya tauchte erstmals 2016 auf und ist eigentlich eine Malware, die Daten zerstört - also ein Wiper, der sich als Ransomware tarnt.

Funktionsweise: NotPetya ähnelt oberflächlich betrachtet Petya - verschlüsselt Dateien und fordert ein Lösegeld in Bitcoin. Bei Petya muss das Opfer den Payload allerdings über eine Spam-E-Mail herunterladen, starten und Administratorrechte erteilen. NotPetya kann sich ohne menschliches Zutun verbreiten. Der ursprüngliche Infektionsvektor scheint über eine Hintertür in M.E.Doc - einer Buchhaltungssoftware, die von fast allen Unternehmen in der Ukraine verwendet wird - eingeschleust worden zu sein. Nachdem NotPetya Computer auf den Servern von M.E.Doc infiziert hatte, nutzte er eine Reihe von Techniken, um sich auf andere Computer zu verbreiten - darunter EternalBlue und EternalRomance. NotPetya kann auch die Vorteile von Mimikatz nutzen, um Anmeldeinformationen für die Netzwerkverwaltung im Speicher des infizierten Computers zu finden und dann die Windows-Tools PsExec und WMIC verwenden, um aus der Ferne auf andere Computer im lokalen Netzwerk zuzugreifen und diese zu infizieren.

Opferprofil: Der Angriff konzentrierte sich hauptsächlich auf die Ukraine.

Attribution: NotPetya wird - inoffiziell - der russischen Hackergruppe "Sandworm" zugeschrieben.

Petya

Historie: Der Name Petya leitet sich von einem Satelliten ab, der Teil der finsteren Verschwörung im James-Bond-Film GoldenEye (1995) war. Ein Twitter-Konto, das vermutlich dem Autor der Malware gehört, verwendete ein Bild des Schauspielers Alan Cumming als Avatar, der im Film den Bösewicht spielte. Die erste Version von Petya begann sich im März 2016 auszubreiten.

Funktionsweise: Petya kommt auf dem Computer des Opfers als E-Mail-Anhang - angeblich der Lebenslauf eines Bewerbers. Es handelt sich um ein Paket mit zwei Dateien: Ein Archivbild eines jungen Mannes und eine ausführbare Datei, oft mit "PDF" im Dateinamen. Beim Klick auf die Datei wird der Malware-Download angestoßen.

Opferprofil: Jedes Windows-System; der Schwerpunkt der Angriffswelle lag jedoch in der Ukraine.

Attribution: Unbekannt

PureLocker

Historie: Die Ransomware-as-a-Service-Plattform PureLocker wurde erstmals 2019 entdeckt und zielt auf Enterprise Production Server mit Linux und Windows ab. Der Name der Malware rührt von dem Umstand, dass sie in PureBasic geschrieben wurde.

Funktionsweise: PureLocker setzt nicht auf Phishing-Versuche, sondern nutzt die more_eggs-Backdoor-Malware, um sich Zugang zu verschaffen. Dabei zielen die Angreifer auf Rechner ab, die bereits kompromittiert wurden. PureLocker analysiert anschließend den Rechner und verschlüsselt selektiv Daten.

Opferprofil: Security-Forscher gehen davon aus, dass sich nur wenige kriminelle Banden PureLocker leisten können - der Einsatz dürfte deshalb auf hochrangige Ziele beschränkt bleiben.

Attribution: Der Malware-as-a-Service-Anbieter, der hinter der more_eggs-Backdoor steckt, ist wahrscheinlich auch für PureLocker verantwortlich.

RobbinHood

Historie: RobbinHood ist eine weitere Ransomware-Variante, die den EternalBlue Exploit ausnutzt. Der Erpressungstrojaner hat 2019 mit Baltimore eine ganze Stadt in die Knie gezwungen.

Funktionsweise: Das Einzigartige an RobbinHood ist die Art und Weise, wie der Payload die Endpunktsicherheit umgeht. Dieser besteht aus fünf Teilen:

  • einer ausführbaren Datei, die Prozesse und Dateien von Sicherheitsprodukten beendet;

  • Code zum Bereitstellen eines signierten Treibers eines Drittanbieters und eines bösartigen, unsignierten Kernel-Treibers;

  • einem veralteten, von Authenticode signierten Treiber, der eine Schwachstelle aufweist;

  • einem bösartigen Treiber zum Beenden von Prozessen und Löschen von Dateien aus dem Kernel-Bereich sowie

  • einer Textdatei mit einer Liste von Anwendungen, die beendet und gelöscht werden sollen.

Der veraltete, signierte Treiber weist einen bekannten Fehler auf, den die Malware nutzt, um die Detektion zu umgehen und dann ihren eigenen, unsignierten Treiber unter Windows 7, Windows 8 und Windows 10 zu installieren.

Opferprofil: Die Ransomware nimmt Behörden und Verwaltungsinsititutionen in den USA ins Visier.

Attribution: Unbekannt

Ryuk

Historie: Ryuk tauchte erstmals im August 2018 auf, basiert aber auf einer älteren Ransomware namens Hermes, die 2017 in Cybercrime-Foren feilgeboten wurde.

Funktionsweise: Ryuk wird oft in Kombination mit anderer Malware wie TrickBot eingesetzt. Die Kriminellen hinter Ransomware sind dafür bekannt, manuelle Hacking-Techniken und Open-Source-Tools einzusetzen, um sich lateral durch private Netzwerke zu bewegen und administrativen Zugriff auf so viele Systeme wie möglich zu erlangen, bevor sie die Dateiverschlüsselung einleiten. Ryuk verlangt von Opfern hohe Lösegeldzahlungen, die in der Regel zwischen 15 und 50 Bitcoin liegen.

Opferprofil: Ryuk nimmt vor allem Unternehmen, Krankenhäuser und Regierungsorganisationen ins Visier.

Attribution: Zunächst wurde Ryuk der nordkoreanischen Lazarus-Gruppe zugeschrieben, die Hermes bei einem Angriff auf die taiwanesische Far Eastern International Bank (FEIB) im Oktober 2017 einsetzte. Heute wird angenommen, dass Ryuk die Kreation einer russischsprachigen Cybercrime-Gang ist, die sich Zugang zu Hermes verschafft hat. Die Ryuk-Bande, die manchmal auch Wizard Spider oder Grim Spider genannt wird, betreibt auch TrickBot. Einige Experten sind auch der Überzeugung, Ryuk sei die Kreation des ursprünglichen Hermes-Autors.

SamSam

Historie: SamSam trat erstmals 2015 auf und nahm in erster Linie Organisationen des Gesundheitswesens ins Visier.

Funktionsweise: Auch SamSam war ein RaaS-Angebot, dessen Anbieter zuvor ausgewählte Ziele auf Schwachstellen untersuchten. SamSam hat eine Reihe von Schwachstellen in allen Bereichen von IIS über FTP bis hin zu RDP ausgenutzt. Sobald die Angreifer in das System eingedrungen sind, nutzen sie Privilege Escalation, um sicherzustellen, dass der Angriff möglichst schädlich ist, wenn die Verschlüsselung von Dateien beginnt.

Opferprofil: Am stärksten betroffen waren von SamSam in den USA ansässige Healthcare-Organisationen, Regierungs- und Verwaltungsinstitutionen, darunter das Colorado Department of Transportation und die Stadt Atlanta.

Attribution: Ursprünglich wurde angenommen, SamSam habe seinen Ursprung in Osteuropa. Ende 2018 erhob das US-Justizministerium Anklage gegen zwei Iraner, die hinter den Ransomware-Angriffen stecken sollen.

SimpleLocker

Historie: SimpleLocker wurde 2014 entdeckt und war der erste weit verbreitete Ransomware-Angriff, der sich auf mobile Devices - insbesondere Android-Geräte - konzentrierte.

Funktionsweise: SimpleLocker infiziert Geräte über eine bösartige App. Die Malware durchsucht die SD-Karte des Geräts nach bestimmten Dateitypen und verschlüsselt diese. Anschließend wird die Lösegeldforderung - und Anweisungen zur Zahlung - über den Bildschirm ausgespielt.

Opferprofil: Da die Lösegeldforderung in russischer Sprache verfasst waren und die Zahlung in ukrainischer Währung verlangt wurde, ist davon auszugehen, dass die Angreifer ursprünglich auf diese Region abzielten.

Attribution: SimpleLocker wurde vermutlich von denselben kriminellen Hackern geschrieben, die auch andere russische Malware wie SlemBunk und GM Bot entwickelt haben.

Sodinokibi/REvil

Historie: Sodinokibi, auch bekannt als REvil, ist eine weitere RaaS-Plattform. Die trat erstmals im April 2019 in Erscheinung und ist offenbar mit GandCrab verwandt. Auch diese Ransomware deaktiviert sich automatisch in Russland und mehreren angrenzenden Ländern. Sodinokibi legte mehrere Kleinstädte in Texas und in der Silvesternacht 2019 auch den britischen Finanzdienstleister Travelex lahm. Zuletzt wurde die Ransomware REvil beim Angriff auf den US-Fleischverarbeiter JBS eingesetzt. Darüber hinaus war der Erpressungstrojaner auch für den Angriff auf Kaseya verantwortlich, von dem Tausende Kunden des Managed Service Providers betroffen waren. Kurz nach dem Angriff auf Kaseya verschwanden die Websites von REvil von der Bildfläche.

Funktionsweise: Sodinokibi verbreitet sich auf verschiedene Weise, unter anderem über Schwachstellen in Oracle-WebLogic-Servern oder dem Pulse Connect Secure VPN. Die Ransomware zielt auf Windows-Systeme ab und verschlüsselt alle Dateien mit Ausnahme von Konfigurations-Files. Sind die Opfer nicht zahlungsbereit, drohen die Cyberkriminellen damit, die erbeuteten Daten zu verkaufen oder zu veröffentlichen.

Opferprofil: Sodinokibi hat weltweit diverse Unternehmen und Organisationen infiziert.

Attribution: Unbekannt

TeslaCrypt

Historie: TeslaCrypt ist ein Erpressungstrojaner, der erstmals im Jahr 2015 entdeckt wurde und auf Spieler von (Windows-)Computerspielen abzielte. Mehrere neuere Versionen erschienen kurz nacheinander, allerdings stellten die Entwickler den Betrieb im Mai 2016 ein und veröffentlichten den Master Decryption Key.

Funktionsweise: Die Opfer wurden in der Regel auf eine gehackte Webseite gelotst. Dort wartete ein Exploit Kit, dass den Rechner infizierte und nach Spielständen, aufgezeichneten Wiederholungen und Benutzerprofilen suchte und diese verschlüsselte. Für die Entschlüsselung der Dateien verlangten die Cyberkriminellen 500 Dollar in Bitcoin.

Opferprofil: Gamer

Attribution: Unbekannt

Thanos

Historie: Das Thanos-RaaS wurde Ende 2019 entdeckt. Es ist der erste Erpressungstrojaner, der die "RIPlace"-Technik verwendet, mit deren Hilfe die meisten Anti-Ransomware-Maßnahmen umgangen werden können.

Funktionsweise: Thanos, das in Untergrundforen und anderen geschlossenen Kanälen beworben wird, ist ein maßgeschneidertes Tool zur Erstellung von Ransomware-Payloads. Viele der Funktionen, die es bietet, sind so konzipiert, dass sie sich der Detektion entziehen. Die Thanos-Entwickler haben mehrere Versionen veröffentlicht, die Funktionen wie die Deaktivierung von Drittanbieter-Backups, die Entfernung von Windows-Defender-Signaturdateien und Funktionen zur Erschwerung der IT-Forensik enthalten.

Opferprofil: Da es sich um eine RaaS-Plattform handelt, kommen Unternehmen jeder Art als Opfer in Betracht.

Attribution: Unbekannt

Wannacry

Historie: Der WannaCry-Wurm verbreitete sich im Mai 2017 dank einer zuerst von der NSA entwickelten und dann von Hackern gestohlenen Sicherheitslücke rasant auf der ganzen Welt und infizierte Millionen von Windows-Rechnern.

Funktionsweise: WannaCry besteht aus mehreren Komponenten. Es kommt auf dem infizierten Computer in Form eines Droppers an, einem eigenständigen Programm, das die anderen in ihm eingebetteten Anwendungskomponenten extrahiert, darunter:

  • eine Anwendung, die Daten verschlüsselt und entschlüsselt;

  • Dateien mit Encryption Keys;

  • eine Kopie von Tor.

Sobald WannaCry gestartet ist, versucht es, auf eine fest codierte URL zuzugreifen. Wenn dies nicht gelingt, sucht die Malware nach Dateien in wichtigen Formaten, von Dokumenten bis hin zu MP3s und MKVs, und verschlüsselt diese. Anschließend wird eine Lösegeldforderung ausgegeben, in der ein Bitcoin-Betrag zur Entschlüsselung der Dateien gefordert wird.

Opferprofil: Der WannaCry-Angriff betraf Unternehmen auf der ganzen Welt, darunter namhafte Organisationen aus den Bereichen Gesundheitswesen, Energie, Transport und Kommunikation.

Attribution: WannaCry wird der nordkoreanischen Lazarus-Gruppe zugeschrieben.

WastedLocker

Historie: WastedLocker befällt Unternehmen seit Mai 2020 und ist eines der raffinierteren Beispiele für Ransomware. Ihre Schöpfer sind dafür bekannt, besonders hohe Lösegeldforderungen zu stellen.

Funktionsweise: Die Malware verwendet ein JavaScript-basiertes Angriffs-Framework namens "SocGholish", das in Form einer ZIP-Datei über ein gefälschtes Browser-Update verbreitet wird. Nach der Aktivierung lädt WastedLocker PowerShell-Skripte und eine Backdoor namens "Cobalt Strike". Die Malware erkundet anschließend das Netzwerk und setzt Tools ein, um Anmeldeinformationen zu stehlen und sich Zugang zu wichtigen Systemen zu verschaffen. Anschließend verschlüsselt sie die Daten mit einer Kombination aus AES- und RSA-Algorithmen.

Opferprofil: WastedLocker konzentriert sich auf hochrangige Ziele, die in der Lage sind, die hohen Lösegeldforderungen zu erfüllen - vor allem in Nordamerika und Westeuropa.

Attribution: Auch WastedLocker ist vermutlich das Werk von Evil Corp, die etwa für die Dridex-Malware und das gleichnamige Botnetz bekannt sind.

WYSIWYE

Historie: Die 2017 entdeckte RaaS-Plattform WYSIWYE (What You See Is What You Encrypt) zielt auf Windows-Systeme ab.

Funktionsweise: Die Ransomware scannt das Internet nach offenen RDP-Servern. Anschließend führt sie Anmeldeversuche mit Standard- oder schwachen Anmeldeinformationen aus, um auf Systeme zuzugreifen und sich im Netzwerk zu verbreiten. Kriminelle, die WYSIWYE-Services einkaufen, können wählen, welche Art von Dateien verschlüsselt werden soll und ob die Originaldateien nach der Verschlüsselung gelöscht werden sollen.

Opferprofil: WYSIWYE-Angriffe traten zuerst in Deutschland, Belgien, Schweden und Spanien auf.

Attribution: Unbekannt

Zeppelin

Historie: Zeppelin tauchte erstmals im November 2019 auf und ist ein Nachkomme des RaaS-Angebots Vega oder VegasLocker.

Funktionsweise: Zeppelin verfügt über mehr Funktionen als seine Vorgänger - insbesondere was die Konfigurierbarkeit angeht. Die Ransomware kann auf verschiedene Arten bereitgestellt werden, zum Beispiel als .exe- oder .dll-Datei sowie als PowerShell-Loader. Einige Angriffe erfolgten auch über kompromittierte Managed Security Service Provider.

Opferprofil: Zeppelin ist so konzipiert, dass er nicht auf Computern in Russland, der Ukraine, Weißrussland oder Kasachstan anspringt. Die meisten Opfer waren Healthcare- und Technologieunternehmen in Nordamerika und Europa.

Attribution: Sicherheitsexperten gehen davon aus, dass ein neuer - wahrscheinlich in Russland zu verortender - Bedrohungsakteur die Codebasis von Vega verwendet, um Zeppelin zu entwickeln.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.