Ransomware Groups to Watch: Emerging Threats

Aktuelle Analyse von Palo Alto Networks zu Ransomware-Gruppen

[datensicherheit.de, 26.08.2021] Im Rahmen der Verpflichtung, Ransomware-Angriffe zu stoppen, führt die „Unit 42“ von Palo Alto Networks nach eigenen Angaben sogenannte Ransomware-Jagdaktionen durch, um sicherzustellen, dass Kunden vor neuen und sich entwickelnden Ransomware-Varianten geschützt werden können. Demnach werden die Aktivitäten bestehender Gruppen überwacht, Leak-Sites im Darkweb und „Fresh-Onion-Sites“ gesucht, aufstrebende Akteure identifiziert und Taktiken, Techniken sowie Verfahren untersucht. Die „Unit 42“ habe zuletzt vier aufkommende Ransomware-Gruppen beobachtet, welche derzeit Unternehmen angriffen und Anzeichen dafür aufwiesen, dass sie sich in Zukunft weiter ausbreiten könnten:

AvosLocker – Ransomware as a Service (RaaS)

Seit Ende Juni 2021 in Betrieb. Diese Gruppe verwende ein blaues Käfer-Logo, um sich in der Kommunikation mit Opfern und in „Pressemitteilungen“ zu identifizieren, welche darauf abzielten, neue Partner zu rekrutieren. „AvosLocker“ sei dabei beobachtet worden, in Diskussionsforen im Darkweb und anderen Foren für sein RaaS-Programm zu werben und nach Partnern zu suchen. „Wie viele seiner Konkurrenten bietet ,AvosLocker‘ technischen Support an, um den Opfern bei der Sanierung zu helfen, nachdem sie mit einer Verschlüsselungssoftware angegriffen wurden.“
Von dieser behaupte die Gruppe, sie sei „ausfallsicher“, habe niedrige Erkennungsraten und sei in der Lage, große Dateien zu verarbeiten. Diese Ransomware habe auch eine Erpresser-Website, „die behauptet, sechs Unternehmen und Institutionen in den folgenden Ländern angegriffen zu haben: USA, Großbritannien, Vereinigte Arabische Emirate, Belgien, Spanien und Libanon“. Die „Unit 42“ habe erste Lösegeldforderungen zwischen 50.000 und 75.000 US-Dollar beobachtet.

Hive – Ransomware mit doppelter Erpressung

Im Juni 2021 in Betrieb genommen, habe „Hive“ 28 Unternehmen und Institutionen befallen, „die auf der Erpresser-Website der Gruppe aufgelistet sind, darunter eine europäische Fluggesellschaft und drei Unternehmen und Institutionen in den USA“.
„Hive“ nutze alle verfügbaren Erpressungstools, um Druck auf das Opfer auszuüben, einschließlich des Datums der ersten Kompromittierung, eines Countdowns, des Datums, an dem der Leak tatsächlich auf der Website veröffentlicht wurde, und sogar der Option, den veröffentlichten Leak in Sozialen Medien zu teilen.

HelloKitty – bereits im Jahr 2020 entdeckte Ransomware-Gruppe

„HelloKitty“ habe ich hauptsächlich gegen „Windows“-Systeme gerichtet – im Juli 2021 habe die „Unit 42“ jedoch eine „Linux“-Variante von „HelloKitty“ beobachtet, welche auf den „ESXi-Hypervisor“ von „VMware“ abziele, welcher in „Cloud“- und „On-Premises“-Rechenzentren weit verbreitet sei. Die Forscher hätten auch zwei Aktivitätscluster beobachtet.
„Bei den beobachteten Beispielen bevorzugten einige Bedrohungsakteure die E-Mail-Kommunikation, während andere ,TOR‘-Chats für die Kommunikation mit den Opfern nutzten.“ Die beobachteten Varianten hätten fünf Unternehmen bzw. Institutionen in Italien, Australien, Deutschland, den Niederlanden und den USA betroffen.
„Die höchste Lösegeldforderung dieser Gruppe belief sich auf zehn Millionen US-Dollar, aber zum Zeitpunkt der Erstellung dieses Berichts haben die Bedrohungsakteure nur drei Transaktionen erhalten, die sich auf etwa 1,48 Millionen US-Dollar belaufen.“

LockBit 2.0 (früher bekannt als ABCD Ransomware)

Ein drei Jahre alter RaaS-Betreiber, welcher in letzter Zeit mit einigen hochkarätigen Angriffen in Verbindung gebracht worden sei, „nachdem er im Juni eine ausgeklügelte Marketingkampagne zur Anwerbung neuer Partner gestartet hatte“.
Er behaupte, die schnellste Verschlüsselung auf dem Ransomware-Markt anzubieten. „LockBit 2.0“ habe sich auf mehrere Branchen ausgewirkt – 52 Opfer seien auf der Leak-Site der Gruppe aufgeführt. Zu den Opfern gehörten Unternehmen und Institutionen in den USA, Mexiko, Belgien, Argentinien, Malaysia, Australien, Brasilien, der Schweiz, Deutschland, Italien, Österreich, Rumänien und Großbritannien.

Schlussfolgerungen aus der Analyse von Ransomware-Gruppen

Große Ransomware-Gruppen wie „REvil“ und „Darkside“ zögen sich zurück oder würden sich umbenennen, „um der Aufmerksamkeit der Strafverfolgungsbehörden und der Medien zu entgehen“. Daher würden neue Gruppen auftauchen, welche diejenigen ersetzten, die nicht mehr aktiv auf Opfer abzielten. Die „Unit 42“ habe Informationen über einige der beobachteten bösartigen Aktivitäten der Ransomware-Gruppen zusammengestellt, welche versuchten, die nächsten Hauptakteure zu werden.„LockBit“ und „HelloKitty“ seien zwar schon früher aktiv gewesen, aber ihre jüngste Entwicklung sei ein gutes Beispiel dafür, wie alte Gruppen wieder auftauchten und eine anhaltende Bedrohung darstellen könnten. Die „Unit 42“ werde diese Ransomware-Familien – und neue, die in Zukunft auftauchen könnten – weiterhin überwachen.
„Kunden von Palo Alto Networks sind gegen diese Ransomware-Familien mit ,Cortex XDR‘ oder der Next-Generation-Firewall mit ,Threat Prevention‘- und ,WildFire Security‘-Abonnements geschützt.“ Kunden könnten „AutoFocus“ verwenden, um verwandte Entitäten mit den Tags „AvosLocker“, „Hive“, „LockBit“ bzw. „HelloKitty“ zu verfolgen. Eine vollständige Visualisierung der beobachteten Techniken könne im „ATOM-Viewer“ der „Unit 42“ eingesehen werden. Palo Alto Networks habe diese Ergebnisse, einschließlich Dateimustern und Indikatoren für eine Kompromittierung, mit den anderen Mitgliedern der Cyber Threat Alliance (CTA) geteilt. Die CTA-Mitglieder nutzten diese Erkenntnisse, um ihren Kunden schnell Schutzmaßnahmen zu bieten und böswillige Cyber-Akteure systematisch zu stören.

Weitere Informationen zum Thema:

paloalto NETWORKS, UNIT42, Doel Santos & Ruchna Nigam, 24.08.2021
Ransomware Groups to Watch: Emerging Threats

CYBER THREAT ALLIANCE
What is the Cyber Threat Alliance?

datensicherheit.de, 26.08.2021
Ransomware-Trends: Mehrfach-Erpressungen / Double, Triple und Quadruple Extortion nach Ransomware-Angriffen

datensicherheit.de, 24.08.2021
Sophos: Ransomware-Report 2021 mit Fakten, Auswirkungen und Trends / Unternehmen, öffentliche Einrichtungen und andere Organisationen weiterhin fest im Griff der Ransomware

datensicherheit.de, 14.08.2021
Accenture von LockBit-Ransomware-Angriff betroffen / LockBit-Ransomware seit September 2019 beobachtet

datensicherheit.de, 10.08.2021
Für Varonis steht Ransomware exemplarisch für Bedrohung der Datensicherheit / Varonis positioniert sich beim Schutz der Daten vor Ransomware, Exfiltration und anderen Attacken