Eine aktuelle Untersuchung von Palo Alto Networks Unit 42 hat vier neue Ransomware-Gruppen identifiziert, die das Potenzial haben, in Zukunft zu einem größeren Problem zu werden.

"Da sich die großen Ransomware-Gruppen wie REvil und Darkside zurückziehen oder umbenennen, um sich der Aufmerksamkeit von Strafverfolgungsbehörden und Medien zu entziehen, nehmen neue Gruppen ihren Platz ein", heißt es im Bericht.

In der Studie beschreiben die beiden Sicherheitsexperten Doel Santos und Ruchna Nigam detailliert das Verhalten von vier Ransomware-Gruppen, die erhöhtes Gefahrenpotenzial für die Zukunft aufweisen. Wir haben die Infos zu den aufstrebenden Hackerbanden für Sie zusammengestellt:

AvosLocker

Diese Ransomware wurde erstmals im Juli 2021 beobachtet und funktioniert im Rahmen eines Ransomware-as-a-Service-Modells. Dieses steht unter der Kontrolle der Hackergruppe Avos, die ihre Dienste im Darkweb-Forum "Dread" feilbietet. Die Namen betroffener Unternehmen und Organisationen werden auf einer Leak-Seite in Form von "Pressemeldungen" veröffentlicht:

Die Lösegeldforderung enthält Informationen und eine ID zur Identifizierung der Opfer und weist diese an, die AvosLocker-Tor-Seite zu besuchen, um ihre Daten wiederherzustellen. Den Untersuchungen zufolge lagen die Lösegeldforderungen zwischen 50.000 und 75.000 Dollar in der Kryptowährung Monero. Betroffen waren sieben Organisationen, die rund um den Globus verteilt waren.

Hive Ransomware

Die im Juni 2021 in Betrieb genommene Ransomware wurde den Sicherheitsforschern zufolge bei Healthcare-Organisationen und anderen Unternehmen entdeckt, die besonders schlecht für Cyberangriffe gerüstet waren. Die Hackergruppe veröffentlichte Daten zu ihrem ersten Opfer auf ihrer Leak-Site, bevor sie Details zu 28 weiteren Opfern bekannt gab. "Wenn diese Ransomware ausgeführt wird, legt sie zwei Batch-Skripte ab", schreiben die Forscher. "Das erste Skript, hive.bat, versucht, sich selbst zu löschen, das zweite ist dafür zuständig, die Schattenkopien des Systems (shadow.bat) zu löschen. Die Hive Ransomware fügt die Erweiterung ".hive" und die Lösegeldforderung "HOW_TO_DECRYPT.txt" hinzu, die Anweisungen enthält, um Datenverlust zu verhindern.

