Eine aktuelle Untersuchung von Palo Alto Networks Unit 42 hat vier neue Ransomware-Gruppen identifiziert, die das Potenzial haben, in Zukunft zu einem größeren Problem zu werden.

"Da sich die großen Ransomware-Gruppen wie REvil und Darkside zurückziehen oder umbenennen, um sich der Aufmerksamkeit von Strafverfolgungsbehörden und Medien zu entziehen, nehmen neue Gruppen ihren Platz ein", heißt es im Bericht.

Aufstrebende Hackergruppen: Top 4

In der Studie beschreiben die beiden Sicherheitsexperten Doel Santos und Ruchna Nigam detailliert das Verhalten von vier Ransomware-Gruppen, die erhöhtes Gefahrenpotenzial für die Zukunft aufweisen. Wir haben die Infos zu den aufstrebenden Hackerbanden für Sie zusammengestellt:

AvosLocker

Diese Ransomware wurde erstmals im Juli 2021 beobachtet und funktioniert im Rahmen eines Ransomware-as-a-Service-Modells. Dieses steht unter der Kontrolle der Hackergruppe Avos, die ihre Dienste im Darkweb-Forum "Dread" feilbietet. Die Namen betroffener Unternehmen und Organisationen werden auf einer Leak-Seite in Form von "Pressemeldungen" veröffentlicht:

#OSINT #darkweb #darknet #ransomware #RaaS #locker #Malware #cybersecurity #netsec #Bitcoin #avoslocker #crypto
Avoslocker leak site is online now and started publishing their victims leaks. pic.twitter.com/M0bGab5RFa

— Ashokkrishna(le0li9ht) (@ashokkrishna99) July 14, 2021

Die Lösegeldforderung enthält Informationen und eine ID zur Identifizierung der Opfer und weist diese an, die AvosLocker-Tor-Seite zu besuchen, um ihre Daten wiederherzustellen. Den Untersuchungen zufolge lagen die Lösegeldforderungen zwischen 50.000 und 75.000 Dollar in der Kryptowährung Monero. Betroffen waren sieben Organisationen, die rund um den Globus verteilt waren.

Hive Ransomware

Die im Juni 2021 in Betrieb genommene Ransomware wurde den Sicherheitsforschern zufolge bei Healthcare-Organisationen und anderen Unternehmen entdeckt, die besonders schlecht für Cyberangriffe gerüstet waren. Die Hackergruppe veröffentlichte Daten zu ihrem ersten Opfer auf ihrer Leak-Site, bevor sie Details zu 28 weiteren Opfern bekannt gab. "Wenn diese Ransomware ausgeführt wird, legt sie zwei Batch-Skripte ab", schreiben die Forscher. "Das erste Skript, hive.bat, versucht, sich selbst zu löschen, das zweite ist dafür zuständig, die Schattenkopien des Systems (shadow.bat) zu löschen. Die Hive Ransomware fügt die Erweiterung ".hive" und die Lösegeldforderung "HOW_TO_DECRYPT.txt" hinzu, die Anweisungen enthält, um Datenverlust zu verhindern.

First observed in June 2021. We are seeing increased activity from Hive #ransomware with activity in 5 countries so far. This RaaS operation also leak victim data, more details here: https://t.co/3S7zMyPeHN #malware #cybersecurity #infosec pic.twitter.com/1q7tO2AwSH

— Raj Samani (@Raj_Samani) August 19, 2021

Die Opfer werden zu einem Chat mit den Angreifern geleitet, um die Details zur Entschlüsselung zu besprechen. Wie die Ransomware genau übermittelt wird, konnten die Forscher nicht bestimmen. Sie vermuten aber, dass traditionelle Methoden wie Brute Force oder Spear Phishing im Spiel sein könnten.

HelloKitty: Linux Edition

Die HelloKitty-Familie tauchte erstmals im Jahr 2020 auf und zielte hauptsächlich auf Windows-Systeme ab. Im Jahr 2021 entdeckte Palo Alto ein Linux-(ELF)-Sample mit dem Namen "funny_linux.elf", das eine Lösegeldforderung enthielt, deren Wortlaut direkt mit Lösegeldforderungen übereinstimmte, die in späteren HelloKitty-Samples für Windows zu finden waren. Im März begann die Gruppe den Hypervisor ESXi ins Visier zu nehmen, ein bevorzugtes Ziel für neuere Linux-Ransomware-Varianten.

"Seltsamerweise ist der bevorzugte Kommunikationsmodus, den die Angreifer in den Ransom Notes verwenden eine Mischung aus Tor-URLs und opferbezogenen Protonmail-E-Mail-Adressen", schreiben die Forscher. "Dies könnte auf unterschiedliche Kampagnen oder sogar auf völlig unterschiedliche Bedrohungsakteure hindeuten, die dieselbe Malware-Codebasis nutzen."

Die Lösegeldforderungen die die Forscher analysiert haben, wiesen eine Höhe von bis zu 10 Millionen Dollar in Monero auf. Die Angreifer sind jedoch auch bereit, Zahlungen in Bitcoin zu akzeptieren. Die Ransomware verschlüsselt Dateien mit dem Elliptic Curve Digital Signature Algorithm (ECDSA).

LockBit 2.0

Früher bekannt als ABCD-Ransomware, bezeichnet LockBit nicht nur einen Cryptolocker, sondern auch eine Hackergruppe, die ein RaaS-Modell anbietet. Die Gruppe ist bereits seit 2019 aktiv:

#LockBit ransomware gang announced the start of the LockBit 2.0 affiliate program. The developers claim it's "the fastest encryption software all over the world". Alongside ransomware, they offer a stealer named StealBit to download victims' data. pic.twitter.com/uHXWpSpyb2

— KELA (@Intel_by_KELA) June 21, 2021

Die Palo-Alto-Forscher konnten jedoch beobachten, dass die Mitglieder inzwischen neue Methoden zum Einsatz bringen. "Seit Juni hat die Gruppe weltweit 52 Organisationen kompromittiert. Die verschlüsselten Daten werden von den Hackern auf ihrer Leak-Site mit einem Countdown gepostet. Ist dieser abgelaufen, werden die vertraulichen Daten öffentlich gemacht, so die Drohung, um zusätzlichen Druck auf die Opfer auszuüben", schreiben die Forscher.

Einmal aktiviert, verschlüsselt LockBit 2.0 Dateien und fügt die Erweiterung .lockbit an. Ist der Prozess abgeschlossen, werden die Opfer per Lösegeldnotiz "Restore-My-Files.txt" über die Kompromittierung informiert und erhalten Ratschläge für die Entschlüsselung. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.