Aktuelles, Branche - geschrieben von dp am Donnerstag, August 4, 2022 10:00 - noch keine Kommentare
Industrial Spy: Neue Gruppe auf dem Ransomware-Markt
Ransomware-Gruppe hat Aktivitäten als Marktplatz für Cyber-Kriminelle gestartet
[datensicherheit.de, 04.08.2022] Sicherheitsforscher des „ThreatLabZ“-Teams von Zscaler haben nach eigenen Angaben eine neue Ransomware-Gruppierung mit Namen „Industrial Spy“ entdeckt. Erste Spuren dieser neuen Gruppe tauchten demnach im April 2022 auf und seither sei „Industrial Spy“ mit unterschiedlichen Methoden aufgefallen. Diese Gruppe habe ihre Aktivitäten als Marktplatz für Cyber-Kriminelle gestartet, um darüber gestohlene Daten großer Unternehmen zum Verkauf anzubieten. Nach anfänglichen Kampagnen habe sie ihre eigene Ransomware eingeführt und auf „Double Extortion“-Angriffe gesetzt – eine Kombination aus Datendiebstahl mit Dateiverschlüsselung. Diese Gruppe nutze „Loader“ und „Infostealer“ wie „SmokeLoader“, „GuLoader“ und „Redline Stealer“.

Abbildung: Copyright Zscaler 2022
Industrial Spy: Web-Marktplatz
Ransomware-Familie relativ einfach aufgebaut
Die Ransomware-Familie sei relativ einfach aufgebaut – und Teile des Codes schienen sich immer noch in der Entwicklung zu befinden. „Industrial Spy“ verwende nur sehr wenige Verschleierungsmethoden außer dem „Aufbau von Strings auf dem Stack zur Runtime“. Der Ransomware fehlten auch viele der in modernen Ransomware-Familien üblichen Funktionen (z.B. „Anti-Debug“, „Anti-Sandbox“ usw.), obwohl sich dies in Zukunft ändern könnte.
Derzeit seien noch nicht viele „Industrial Spy“-Ransomware-Samples „in the wild“ beobachtet worden. Allerdings füge die Gruppe pro Monat zwei neue, ihren Angriffen zum Opfer gefallene Organisationen hinzu. Das erste Opfer auf der Leak-Site sei am 15. März 2022 aufgeführt worden – die Gesamtzahl der Opfer auf dem Portal habe am 25. Juli 2022 37 betragen.
Ransomware-Bedrohung immer gefährlicher
„Industrial Spy“ verkaufe hauptsächlich einzelne Dateien anstelle von Dateibündeln in einer Preisspanne von einem bis zu Zehntausenden von US-Dollar. Es sei zu vermuten, dass die Gruppe die erbeuteten Dateien überprüfe, „bevor sie sensible Dateien mit einem hohen Preisschild versieht und den Rest der Dateien mit einem Preisschild von einem bis zwei US-Dollar verramscht“. „ThreatLabz“ habe beobachtet, dass Betriebssystemdateien mit begrenztem Wert wie „desktop.ini“ und „thumbs.db“ für zwei US-Dollar angeboten würden.
„In den letzten Jahren ist die Ransomware-Bedrohung immer gefährlicher geworden. Neue Methoden wie ,Double Extortion‘ und DDoS-Angriffe machen es Cyber-Kriminellen leicht, Unternehmen zu sabotieren und deren Ruf nachhaltig zu schädigen. Mit zunehmender Beliebtheit von RaaS wenden Cyber-Kriminelle doppelte Erpressungsmethoden an, die neben der ungewollten Verschlüsselung sensibler Daten auch die Exfiltration der wichtigsten Dateien beinhalten, um Lösegeld zu erpressen“, erläutert Deepen Desai, „CISO“ und „VP of Security Research“ bei Zscaler. Selbst wenn die betroffenen Unternehmen in der Lage sind, die Daten aus Backups wiederherzustellen, drohe ihnen immer noch die öffentliche Preisgabe ihrer gestohlenen Daten durch die Angreifer, um der Lösegeldforderung Nachdruck zu verleihen.

Abbildung: Copyright Zscaler 2022
Industrial Spy: Lösegeld-Forderung
Industrial Spy Neueinsteiger im Ransomware-Ökosystem
„,Industrial Spy‘ ist ein Neueinsteiger im Ransomware-Ökosystem. Die Malware ist derzeit nicht sehr umfangreich ausgestattet, aber die Dateiverschlüsselung ist funktional, was sie zu einer gefährlichen Bedrohung macht, was die wachsende Anzahl an Opfern belegt“, so Desai.
Auf dem Ransomware-Markt gebe es viele Akteure, „die kommen und gehen, und es ist schwierig, die Gruppen zu bestimmen, die sich langfristig durchsetzen werden“. Es sei jedoch wahrscheinlich, dass diese Bedrohungsgruppe zumindest in naher Zukunft bestehen bleibe und weitere Ransomware-Updates und Funktionen folgen würden. „ThreatLabz“ überwache weiterhin alle Aktivitäten dieser Gruppe und werde Neuigkeiten zu ihr veröffentlichen.
Weitere Informationen zum Thema:
ZSCALER, 01.08.2022
Technical Analysis of Industrial Spy Ransomware
Aktuelles, Experten, Veranstaltungen - Sep 26, 2023 18:52 - noch keine Kommentare
LÜKEX 23: Simulierter Angriff auf das Regierungshandeln
weitere Beiträge in Experten
- Sofortiger Stopp der Chat-Kontrolle: Digitalcourage unterstreicht Forderung
- Internet-Verfügbarkeit: Noch 3 Milliarden Menschen weltweit ohne Zugang
- Registermodernisierung: Von der Steuer-Identifikationsnummer zur Bund ID
- collect and connect: Veranstaltungsreihe zu Berlins kulturellem Digital-Erbe
- BVSW Cyberherbst 2023 soll Unternehmen helfen, Risiken zu erkennen und sich zu schützen
Branche, Aktuelles - Sep 25, 2023 20:57 - noch keine Kommentare
Handbuch für CISOs: Check Point gibt 8 Tipps zur Stärkung der Cyber-Resilienz
weitere Beiträge in Branche
- Web-Anwendungen laut CyCognito-Studie großes Risiko für Unternehmen
- Digitalisierung und Vernetzung: IT-Security als Wegbereiter
- Gefahren für Politik und Demokratie: Optimierung von Deepfakes mittels KI
- Muddled Libra wird spektakulärer Cyber-Angriff auf MGM Resorts in Las Vegas zugeschrieben
- Cloud: Rückverlagerung von Daten nimmt an Bedeutung zu
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren