Aktuelles, Branche - geschrieben von dp am Donnerstag, August 4, 2022 10:00 - noch keine Kommentare
Industrial Spy: Neue Gruppe auf dem Ransomware-Markt
Ransomware-Gruppe hat Aktivitäten als Marktplatz für Cyber-Kriminelle gestartet
[datensicherheit.de, 04.08.2022] Sicherheitsforscher des „ThreatLabZ“-Teams von Zscaler haben nach eigenen Angaben eine neue Ransomware-Gruppierung mit Namen „Industrial Spy“ entdeckt. Erste Spuren dieser neuen Gruppe tauchten demnach im April 2022 auf und seither sei „Industrial Spy“ mit unterschiedlichen Methoden aufgefallen. Diese Gruppe habe ihre Aktivitäten als Marktplatz für Cyber-Kriminelle gestartet, um darüber gestohlene Daten großer Unternehmen zum Verkauf anzubieten. Nach anfänglichen Kampagnen habe sie ihre eigene Ransomware eingeführt und auf „Double Extortion“-Angriffe gesetzt – eine Kombination aus Datendiebstahl mit Dateiverschlüsselung. Diese Gruppe nutze „Loader“ und „Infostealer“ wie „SmokeLoader“, „GuLoader“ und „Redline Stealer“.

Abbildung: Copyright Zscaler 2022
Industrial Spy: Web-Marktplatz
Ransomware-Familie relativ einfach aufgebaut
Die Ransomware-Familie sei relativ einfach aufgebaut – und Teile des Codes schienen sich immer noch in der Entwicklung zu befinden. „Industrial Spy“ verwende nur sehr wenige Verschleierungsmethoden außer dem „Aufbau von Strings auf dem Stack zur Runtime“. Der Ransomware fehlten auch viele der in modernen Ransomware-Familien üblichen Funktionen (z.B. „Anti-Debug“, „Anti-Sandbox“ usw.), obwohl sich dies in Zukunft ändern könnte.
Derzeit seien noch nicht viele „Industrial Spy“-Ransomware-Samples „in the wild“ beobachtet worden. Allerdings füge die Gruppe pro Monat zwei neue, ihren Angriffen zum Opfer gefallene Organisationen hinzu. Das erste Opfer auf der Leak-Site sei am 15. März 2022 aufgeführt worden – die Gesamtzahl der Opfer auf dem Portal habe am 25. Juli 2022 37 betragen.
Ransomware-Bedrohung immer gefährlicher
„Industrial Spy“ verkaufe hauptsächlich einzelne Dateien anstelle von Dateibündeln in einer Preisspanne von einem bis zu Zehntausenden von US-Dollar. Es sei zu vermuten, dass die Gruppe die erbeuteten Dateien überprüfe, „bevor sie sensible Dateien mit einem hohen Preisschild versieht und den Rest der Dateien mit einem Preisschild von einem bis zwei US-Dollar verramscht“. „ThreatLabz“ habe beobachtet, dass Betriebssystemdateien mit begrenztem Wert wie „desktop.ini“ und „thumbs.db“ für zwei US-Dollar angeboten würden.
„In den letzten Jahren ist die Ransomware-Bedrohung immer gefährlicher geworden. Neue Methoden wie ,Double Extortion‘ und DDoS-Angriffe machen es Cyber-Kriminellen leicht, Unternehmen zu sabotieren und deren Ruf nachhaltig zu schädigen. Mit zunehmender Beliebtheit von RaaS wenden Cyber-Kriminelle doppelte Erpressungsmethoden an, die neben der ungewollten Verschlüsselung sensibler Daten auch die Exfiltration der wichtigsten Dateien beinhalten, um Lösegeld zu erpressen“, erläutert Deepen Desai, „CISO“ und „VP of Security Research“ bei Zscaler. Selbst wenn die betroffenen Unternehmen in der Lage sind, die Daten aus Backups wiederherzustellen, drohe ihnen immer noch die öffentliche Preisgabe ihrer gestohlenen Daten durch die Angreifer, um der Lösegeldforderung Nachdruck zu verleihen.

Abbildung: Copyright Zscaler 2022
Industrial Spy: Lösegeld-Forderung
Industrial Spy Neueinsteiger im Ransomware-Ökosystem
„,Industrial Spy‘ ist ein Neueinsteiger im Ransomware-Ökosystem. Die Malware ist derzeit nicht sehr umfangreich ausgestattet, aber die Dateiverschlüsselung ist funktional, was sie zu einer gefährlichen Bedrohung macht, was die wachsende Anzahl an Opfern belegt“, so Desai.
Auf dem Ransomware-Markt gebe es viele Akteure, „die kommen und gehen, und es ist schwierig, die Gruppen zu bestimmen, die sich langfristig durchsetzen werden“. Es sei jedoch wahrscheinlich, dass diese Bedrohungsgruppe zumindest in naher Zukunft bestehen bleibe und weitere Ransomware-Updates und Funktionen folgen würden. „ThreatLabz“ überwache weiterhin alle Aktivitäten dieser Gruppe und werde Neuigkeiten zu ihr veröffentlichen.
Weitere Informationen zum Thema:
ZSCALER, 01.08.2022
Technical Analysis of Industrial Spy Ransomware
Aktuelles, Experten, Studien - Mai 1, 2025 0:27 - noch keine Kommentare
Chip-Industrie: Silicon Saxony positioniert sich zum Sonderbericht des Europäischen Rechnungshofes
weitere Beiträge in Experten
- DENIC-Generalversammlung 2025: Aufsichtsratsvorsitzender und neues Gesicht ins Gremium gewählt
- eco-Gratulation an Digitalminister – und „Top Five Agenda“ zur Wegleitung
- Bitkom-Glückwünsche an neuen Digitalminister
- E-Rechnungspflicht als Herausforderung: Digitalisierung von Geschäftsprozessen eröffnet neue Angriffsflächen
- Website-Tracking durch Drittdienste: In 185 von 1.000 Fällen Nachbesserung erforderlich
Aktuelles, Experten, Personalien - Mai 1, 2025 0:16 - noch keine Kommentare
DENIC-Generalversammlung 2025: Aufsichtsratsvorsitzender und neues Gesicht ins Gremium gewählt
weitere Beiträge in Branche
- Cyberrisiken im Wassersektor: Modernisierung und Segmentierung bieten Schutz
- 65 Prozent der deutschen Unternehmen erleben Cybersecurity-Vorfälle aufgrund nicht verwalteter Assets
- KI kann Kriminalität revolutionieren: Passfälschung in Minuten
- KI verändert Datenschutz in Europa: Spannungsfeld zwischen Fortschritt und Risiko
- Kritische Geschäftsabläufe: KI-gesteuerte Cyber-Angriffe nehmen zu
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren