Ransomware breitet sich enorm schnell aus

Ransomware breitet sich enorm schnell aus

12. August 2022 0 Von Horst Buchwald

Ransomware breitet sich enorm schnell aus

Berlin, 12.8.2022

Insider sprechen nicht mehr von einer Gefahr sondern es fällt immer häufiger der Begriff Explosion. Die Rede ist von Ransomware. Im Dark Web gibt es Hunderte von Marktplätzen, auf denen professionelle Ransomware-Produkte und – Dienstleistungen angeboten werden.

Forscher von Venafi und Forensic Pathways entdeckten zwischen November 2021 und März 2022 rund 35 Millionen URLs im Dark Web – einschließlich Foren und Marktplätzen, Hinzu kommen 475 Webseiten mit Angeboten für Ransomware-Stämme, Ransomware-Quellcode, Build- und Custom-Development-Services sowie vollwertige Ransomware-as-a-Service (RaaS)-Angebote.

Interessant ist, zu welchen Preisen gehandelt wird. Eine angepasste Version von DarkSide – der Ransomware, die bei dem Angriff auf Colonial Pipeline verwendet wurde- war für 1.262 US-Dollar im Angebot, während einige Varianten für nur 0,99 US-Dollar erhältlich waren. Der Quellcode für die Ransomware Babuk wurde mit 950 US-Dollar gelistet, während der Quellcode für die Paradise-Variante für 593 US-Dollar verkauft wurde.

Der Erfolg, den Bedrohungsakteure mit Varianten wie Babuk hatten, die letztes Jahr bei einem Angriff auf die Polizeibehörde in Washington, D.C., verwendet wurde, macht den Quellcode noch attraktiver.

Die Venafi-Forscher fanden heraus, dass in vielen Fällen die auf diesen Marktplätzen verfügbaren Tools und Dienste – einschließlich Schritt-für-Schritt-Anleitungen – so konzipiert sind, dass Angreifer mit minimalen technischen Kenntnissen und Erfahrungen Ransomware-Angriffe gegen Opfer ihrer Wahl starten können. 

Aus weiteren Berichten war zu entnehmen, dass Ransomware-Akteure zunehmend Erstzugangsdienste nutzen, um in einem Zielnetzwerk Fuß zu fassen. Initial Access Brokers (IABs) sind Bedrohungsakteure, die anderen Bedrohungsakteuren Zugang zu einem bereits kompromittierten Netzwerk verkaufen.

In einer Studie von Intel471 wurde Anfang des Jahres eine wachsende Verbindung zwischen Ransomware-Akteuren und IABs festgestellt. Zu den aktivsten Akteuren in diesem Bereich gehören Jupiter, ein Bedrohungsakteur, der im ersten Quartal des Jahres Zugang zu 1.195 kompromittierten Netzwerken anbot, und Neptune, der im gleichen Zeitraum mehr als 1.300 Zugangsdaten zum Verkauf anbot. 

Zu den Ransomware-Betreibern, die Intel471 bei der Nutzung dieser Dienste entdeckte, gehören Avaddon, Pysa/Mespinoza und BlackCat.

Häufig wird der Zugang über kompromittierte Citrix-, Microsoft Remote Desktop- und Pulse Secure VPN-Anmeldedaten gewährt. Die SpiderLabs von Trustwave, die die Preise für verschiedene Produkte und Dienstleistungen im Dark Web beobachten, beschreiben VPN-Zugangsdaten als die teuersten Einträge in Untergrundforen. Nach Angaben des Anbieters können die Preise für einen VPN-Zugang bis zu 5.000 Dollar betragen.

Nach Ansicht des Sicherheitsspezialisten Check-Point deutet viel darauf hin, „ dass die Ransomware – Landschaft entgegen einiger Annahmen nicht von einigen wenigen großen Gruppen dominiert wird, sondern tatsächlich ein fragmentiertes Ökosystem mit mehreren kleineren Akteuren ist, die nicht so gut bekannt sind wie die größeren Gruppen”, heißt es in einem kürzlich veröffentlichten Bericht.

CheckPoint bezeichnete – ebenso wie Venafi – Ransomware als das größte Risiko für die -Sicherheit von Unternehmen, wie schon in den vergangenen Jahren. Der Bericht des Sicherheitsanbieters hebt Kampagnen wie die Ransomware-Angriffe der Conti-Gruppe auf Costa Rica (und später auf Peru) zu Beginn dieses Jahres als Beispiele dafür hervor, wie sehr die Bedrohungsakteure ihre Zielsetzung erweitert haben, um fianziellen Gewinn zu erzielen.

Einige der größeren Ransomware-Gruppen sind inzwischen so groß, dass sie Hunderte von Hackern beschäftigen, einen Umsatz von mehreren hundert Millionen Dollar haben und in der Lage sind, in Dinge wie Forschungs- und Entwicklungsteams, Qualitätssicherungsprogramme und spezialisierte Verhandlungsführer zu investieren. Check Point warnt davor, dass größere Ransomware-Gruppen zunehmend die Fähigkeiten nationalstaatlicher Akteure erwerben.

Gleichzeitig wird die große Aufmerksamkeit, die solche Gruppen von Regierungen und Strafverfolgungsbehörden erhalten, sie wahrscheinlich dazu ermutigen, ein gesetzliches Profil beizubehalten, so Check Point. Die US-Regierung hat beispielsweise eine Belohnung in Höhe von 10 Millionen Dollar für Informationen ausgesetzt, die zur Identifizierung und/oder Festnahme von Conti-Mitgliedern führen, und 5 Millionen Dollar für Gruppen, die Conti benutzen. Es wird vermutet, dass diese Belohnung dazu beigetragen hat, dass die Conti-Gruppe Anfang des Jahres ihre Aktivitäten einstellte.

Aufrufe: 3