Aktuelles, Branche - geschrieben von dp am Donnerstag, August 4, 2022 10:00 - noch keine Kommentare
Industrial Spy: Neue Gruppe auf dem Ransomware-Markt
Ransomware-Gruppe hat Aktivitäten als Marktplatz für Cyber-Kriminelle gestartet
[datensicherheit.de, 04.08.2022] Sicherheitsforscher des „ThreatLabZ“-Teams von Zscaler haben nach eigenen Angaben eine neue Ransomware-Gruppierung mit Namen „Industrial Spy“ entdeckt. Erste Spuren dieser neuen Gruppe tauchten demnach im April 2022 auf und seither sei „Industrial Spy“ mit unterschiedlichen Methoden aufgefallen. Diese Gruppe habe ihre Aktivitäten als Marktplatz für Cyber-Kriminelle gestartet, um darüber gestohlene Daten großer Unternehmen zum Verkauf anzubieten. Nach anfänglichen Kampagnen habe sie ihre eigene Ransomware eingeführt und auf „Double Extortion“-Angriffe gesetzt – eine Kombination aus Datendiebstahl mit Dateiverschlüsselung. Diese Gruppe nutze „Loader“ und „Infostealer“ wie „SmokeLoader“, „GuLoader“ und „Redline Stealer“.

Abbildung: Copyright Zscaler 2022
Industrial Spy: Web-Marktplatz
Ransomware-Familie relativ einfach aufgebaut
Die Ransomware-Familie sei relativ einfach aufgebaut – und Teile des Codes schienen sich immer noch in der Entwicklung zu befinden. „Industrial Spy“ verwende nur sehr wenige Verschleierungsmethoden außer dem „Aufbau von Strings auf dem Stack zur Runtime“. Der Ransomware fehlten auch viele der in modernen Ransomware-Familien üblichen Funktionen (z.B. „Anti-Debug“, „Anti-Sandbox“ usw.), obwohl sich dies in Zukunft ändern könnte.
Derzeit seien noch nicht viele „Industrial Spy“-Ransomware-Samples „in the wild“ beobachtet worden. Allerdings füge die Gruppe pro Monat zwei neue, ihren Angriffen zum Opfer gefallene Organisationen hinzu. Das erste Opfer auf der Leak-Site sei am 15. März 2022 aufgeführt worden – die Gesamtzahl der Opfer auf dem Portal habe am 25. Juli 2022 37 betragen.
Ransomware-Bedrohung immer gefährlicher
„Industrial Spy“ verkaufe hauptsächlich einzelne Dateien anstelle von Dateibündeln in einer Preisspanne von einem bis zu Zehntausenden von US-Dollar. Es sei zu vermuten, dass die Gruppe die erbeuteten Dateien überprüfe, „bevor sie sensible Dateien mit einem hohen Preisschild versieht und den Rest der Dateien mit einem Preisschild von einem bis zwei US-Dollar verramscht“. „ThreatLabz“ habe beobachtet, dass Betriebssystemdateien mit begrenztem Wert wie „desktop.ini“ und „thumbs.db“ für zwei US-Dollar angeboten würden.
„In den letzten Jahren ist die Ransomware-Bedrohung immer gefährlicher geworden. Neue Methoden wie ,Double Extortion‘ und DDoS-Angriffe machen es Cyber-Kriminellen leicht, Unternehmen zu sabotieren und deren Ruf nachhaltig zu schädigen. Mit zunehmender Beliebtheit von RaaS wenden Cyber-Kriminelle doppelte Erpressungsmethoden an, die neben der ungewollten Verschlüsselung sensibler Daten auch die Exfiltration der wichtigsten Dateien beinhalten, um Lösegeld zu erpressen“, erläutert Deepen Desai, „CISO“ und „VP of Security Research“ bei Zscaler. Selbst wenn die betroffenen Unternehmen in der Lage sind, die Daten aus Backups wiederherzustellen, drohe ihnen immer noch die öffentliche Preisgabe ihrer gestohlenen Daten durch die Angreifer, um der Lösegeldforderung Nachdruck zu verleihen.

Abbildung: Copyright Zscaler 2022
Industrial Spy: Lösegeld-Forderung
Industrial Spy Neueinsteiger im Ransomware-Ökosystem
„,Industrial Spy‘ ist ein Neueinsteiger im Ransomware-Ökosystem. Die Malware ist derzeit nicht sehr umfangreich ausgestattet, aber die Dateiverschlüsselung ist funktional, was sie zu einer gefährlichen Bedrohung macht, was die wachsende Anzahl an Opfern belegt“, so Desai.
Auf dem Ransomware-Markt gebe es viele Akteure, „die kommen und gehen, und es ist schwierig, die Gruppen zu bestimmen, die sich langfristig durchsetzen werden“. Es sei jedoch wahrscheinlich, dass diese Bedrohungsgruppe zumindest in naher Zukunft bestehen bleibe und weitere Ransomware-Updates und Funktionen folgen würden. „ThreatLabz“ überwache weiterhin alle Aktivitäten dieser Gruppe und werde Neuigkeiten zu ihr veröffentlichen.
Weitere Informationen zum Thema:
ZSCALER, 01.08.2022
Technical Analysis of Industrial Spy Ransomware
Aktuelles, Experten - Mai 18, 2025 0:59 - noch keine Kommentare
BfDI erläutert ihre Position zum Datenschutz in der Digitalen Ära
weitere Beiträge in Experten
- Datenschutz-Urteil gegen Google: Unzulässig vereinfachter Zugriff auf Nutzerdaten
- Sichere und innovative Digitalisierung: TÜV-Verband fordert echten Digitalsprint, klare Zuständigkeiten und starke Partnerschaften
- Die eigene Mobilnummer ist einem Drittel unbekannt
- Quantencomputer werden die Welt verändern: Herausforderungen sowie Risiken kennen und Chancen nutzen
- Cyber Gangsta’s Paradise: THA-Professor für IT-Sicherheit macht mit Musikvideo auf den Cyber Resilience Act (CRA) aufmerksam
Aktuelles, Branche, Studien - Mai 15, 2025 0:32 - noch keine Kommentare
Gütesiegel „Made in EU“ genießt laut ESET-Umfrage in Europa und Deutschland hohen Stellenwert
weitere Beiträge in Branche
- Digitale Souveränität: Europas Emanzipation voraus
- Ransomware Reloaded: 2025 droht das bisher gefährlichste Jahr zu werden
- LexisNexis® Risk Solutions Cybercrime Report 2025: Ruhe vor dem Sturm
- Domain-Hijacking: Wie Unternehmen ihre digitale Identität verlieren können
- Q-Day: Utimaco rät Unternehmen zur rechtzeitigen Vorbereitung auf quantengestützte Cyberangriffe
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren