[datensicherheit.de, 23.08.2024] Der aktuelle WithSecure-Report soll einen „detaillierten Einblick in die neuesten Entwicklungen der Welt der Ransomware“ bieten. Als eines der zentralen Ergebnisse aus der ersten Hälfte des Jahres 2024 kann demnach festgehalten werden, „dass die Produktivität der Ransomware-Branche nach ihrem Höhepunkt Ende 2023 nicht mehr ansteigt“. Außerdem zeigten sich interessante Entwicklungen bei Angriffszielen und Branchendynamik. Der Bericht geht auch auf das anhaltende Problem der Reinfektion ein – eine Erkenntnis sei: „Die Daten zeigen, dass ein erheblicher Prozentsatz der Unternehmen, die Lösegeld gezahlt haben, später erneut von denselben oder anderen Ransomware-Gruppen angegriffen wurden.“

Deutliche Verlagerung der Ransomware-Angriffe auf KMU

Während die Produktivität von Ransomware 2024 offenbar eher nachlässt, seien die Häufigkeit der Angriffe und die Höhe der eingenommenen Lösegeldzahlungen in der ersten Hälfte des Jahres 2024 im Vergleich zu den gleichen Zeiträumen der beiden Vorjahre weiter gestiegen. „Es gibt eine deutliche Verlagerung hin zu kleinen und mittleren Unternehmen, die nun einen größeren Anteil der Ransomware-Opfer ausmachen“, erläutert Tim West, „Director of Threat Intelligence and Outreach“ bei WithSecure.

Klar sei: Strafverfolgungsmaßnahmen, insbesondere die Zerschlagung der „LockBit“-Ransomware-Gruppe im Februar 2024, hätten eine entscheidende Rolle bei der Unterbrechung großer Ransomware-Operationen gespielt. Diese Bemühungen hätten zur Beschlagnahmung bedeutender Vermögenswerte und zur Zerstörung kritischer Infrastrukturen auf Seiten der Ransomware-Gruppen geführt.

Langfristige Auswirkungen der Strafverfolgung auf das Ransomware-Ökosystem indes noch ungewiss

Trotz dieser Unterbrechungen blieben langfristige Auswirkungen der Strafverfolgung auf das Ransomware-Ökosystem ungewiss, da sich die Gruppen meist anpassten und weiterentwickelten. Der Report zeige insbesondere für die Zeit seit Juni 2024 vermehrt Hinweise auf eine Umbauphase bei „LockBit“ auf. Im Ergebnis ziehen die Autoren den Schluss, dass „LockBit“ mit großer Sicherheit beabsichtige, mit einem robusteren Betriebsmodell in die Branche zurückzukehren.

Der Bericht untersuche die Architektur von RaaS-Kollektiven (Ransomware-as-a-Service) und hebe den zunehmenden Wettbewerb zwischen Ransomware-Franchises hervor, um Partner anzuziehen. Nach dem Niedergang prominenter Gruppen wie „LockBit“ und „ALPHV“ hätten sich viele neue „nomadische“ Ransomware-Affiliates mit etablierteren RaaS-Marken zusammengeschlossen.

Häufige Verwendung von Fernverwaltungs-Tools durch Ransomware-Akteure

„Das Vertrauen innerhalb der cyber-kriminellen Gemeinschaft ist wahrscheinlich aufgrund von Vorfällen wie dem mutmaßlichen Exit-Scam von ,ALPHV’, bei dem Partner um ihre Einnahmen betrogen wurden, erheblich geschwächt worden. Das verkompliziert die Dynamik innerhalb des Ransomware-Ökosystems weiter“, so West.

Ein bemerkenswerter festgestellter Trend sei die zunehmende Nutzung des Erstzugriffs über die Ausnutzung sogenannter Edge-Dienste, wie in früheren WithSecure-Untersuchungen beschrieben, sowie die häufige Verwendung von Fernverwaltungs-Tools durch Ransomware-Akteure.

Weitere Informationen zum Thema:

WithSecure Intelligence, Stephen Robinson, 12.06.2024
Mass exploitation: The vulnerable edge of enterprise security

WithSecure Intelligence, Tim West, 22.08.2024
Ransomware Landscape H1/2024

datensicherheit.de, 08.04.2024
Lockbit-Ransomware-Gruppe: Zerschlagung wohl nur kurzfristiger Erfolg / Bereits Anfang März 2024 hat sich die gefährliche Hacker-Gruppe Lockbit zurückgemeldet

datensicherheit.de, 22.02.2024
LockBit-Zerschlagung: Strafverfolgungsbehörden senden klare Botschaft an andere Malware-Betreiber / Ransomware-Gruppierung LockBit hatte auch Krankenhäuser bzw. Kritische Infrastrukturen attackiert

datensicherheit.de, 22.02.2024
LockBit versuchte durch Innovation die Oberhand zu behalten / Reihe von logistischen, technischen und rufschädigenden Problemen forderte LockBit-Ransomware-Gruppierung heraus

datensicherheit.de, 21.02.2024
LockBit zerschlagen – Phönix aus der Asche als Ransomware-Bedrohungsszenario / Richard Cassidy kommentiert Ransomware-Gruppen im Zyklus von Zerschlagung und Auferstehung

[datensicherheit.de, 20.06.2024] WithSecure (vormals „F-Secure Business“) möchte nach eigenen Angaben die abstrakte Welt der Cyber-Sicherheit mit der geplanten Eröffnung des „Museum of Malware Art“ in eine zugängliche und faszinierende Erfahrung transformieren: „Diese neue Initiative zielt darauf ab, die Kluft zwischen komplexen technischen Themen und der allgemeinen Bevölkerung durch fesselnde und lehrreiche Kunstinstallationen zu überbrücken.“ Das Museum soll demnach im November 2024 im neuen WithSecure-Hauptsitz Wood City, Helsinki, eröffnet werden. In Zusammenarbeit mit der Kreativ-Agentur United Imaginations habe WithSecure mehrere internationale Künstler ausgewählt, welche bei der Gestaltung der ersten Exponate für das Museum für Malware-Kunst helfen würden.

Foto: WithSecure

„Threatscape“ – Capture Malware with Your Own Hands

WithSecure beabsichtigt, Cyber-Sicherheit greifbar machen

Cyber-Sicherheit wirke oft abstrakt und fern vom täglichen Leben. „Das ,Museum of Malware Art’ von WithSecure möchte dies ändern, indem es Kunstwerke zeigt, die von realen Cyber-Bedrohungen inspiriert sind und technische Daten in nachdenklich stimmende Exponate verwandeln.“ Kuratiert von Mikko Hyppönen, Branchenveteran und „Chief Research Officer“ von WithSecure, sowie einem Team von Cyber-Sicherheitsforschern, Threat-Intelligence-Experten und Kreativen, soll das Museum prominente Malware in künstlerischer Form präsentieren.

„Cyber-Sicherheit ist eine kollektive Verantwortung. Unser Ziel ist es, sie zu entmystifizieren und für jeden greifbar zu machen“, erläutert Hyppönen und führt weiter aus: „Indem wir Cyber-Bedrohungen in Kunst verwandeln, hoffen wir, ein tieferes Verständnis und Bewusstsein zu fördern. Wir glauben, dass wir mit unserem Museum Cyber-Bedrohungen sichtbarer und zugänglicher machen können, um so viele Menschen zu Aktionen und zur Zusammenarbeit im Kampf gegen Cyber-Kriminalität zu inspirieren.“

Threatscape: WithSecure stellt das erste Ausstellungsstück vor

Das erste Kunstwerk des Museums, „Threatscape“, sei ein interaktives Exponat, welches auf realen Bedrohungsdaten von „WithSecure Intelligence“ basiere. Durch den Einsatz fortschrittlicher KI-Technologie ermögliche „Threatscape“ den Besuchern, mit visuellen Darstellungen von Cyber-Bedrohungen zu interagieren, Malware zu „fangen“ und Einblicke in deren Funktionsweise zu gewinnen.

„,Threatscape‘ ist nicht nur eine Kunstinstallation, es ist ein Bildungsinstrument“, so Tim West, „Director of Threat Intelligence and Outreach“ bei WithSecure. Man habe modernste Technologie mit kreativem Design kombiniert, um ein immersives Erlebnis zu schaffen, das sowohl lehren als auch inspirieren soll. „Threatscape“ sei erfolgreich auf der jährlichen „Co-Security Unconference SPHERE“ im Mai 2024 in Helsinki vorgestellt worden.

WithSecure-Aufruf zur öffentlichen Teilnahme an Gestaltung der ILOVEYOU-Virus-Skulptur

WithSecure lädt nach eigenen Angaben die Öffentlichkeit ein, zu einem der bedeutendsten Exponate des Museums beizutragen: „Einer Skulptur, die aus gespendeten Computermäusen besteht. Dieses Exponat wird eine Hommage an das berüchtigte ,ILOVEYOU’-Virus sein, das im Mai 2000 verheerende Auswirkungen hatte.“

Durch die Spende alter Computermäuse könnten Einzelpersonen zu einem eindrucksvollen Kunstwerk beitragen, welches an einen der berühmtesten Viren-Ausbrüche des Internetzeitalters erinnere. Diese Skulptur ziele darauf ab, das menschliche Element und die psychologischen Auswirkungen von Malware zu verdeutlichen.

Weitere Informationen zum Thema:

WITH secure
MUSEUM OF MALWARE ART / Malware captured in art

Die Anzahl neuer Ransomware-Gruppen in den ersten drei Quartalen 2023 ist laut WithSecure drastisch gestiegen

[datensicherheit.de, 25.11.2023] Fast die Hälfte der 60 durch WithSecure beobachteten Ransomware-Gruppen sind nach eigenen Angaben „neu auf dem Markt“ – diese zeichnen demnach bereits für ein Viertel der Leaks verantwortlich. Die Art der Ransomware-Angriffe habe sich ebenfalls stark verändert.

In den ersten neun Monaten 2023 bereits mehr Leaks durch Ransomware-Angriffe als im gesamten Jahr 2022

Ransomware ist offensichtlich seit vielen Jahren ein fortwährendes Sicherheitsproblem – hauptsächlich aufgrund der Fähigkeit von cyber-kriminellen Gruppen, sich kontinuierlich neu zu erfinden. Laut einer neuen Untersuchung von WithSecure (ehem. F-Secure Business) ist die Anzahl neuer Ransomware-Gruppen in den ersten drei Quartalen dieses Jahres, 2023, „drastisch gestiegen“. Diese seien extrem aktiv: „Schon in den ersten neun Monaten des laufenden Jahres gab es mehr Leaks durch Ransomware-Angriffe als im gesamten Jahr 2022.“

WithSecure warnt daher: „Ransomware ist zu einer beträchtlichen Einnahmequelle für Cyber-Kriminelle auf Kosten von Menschen, Organisationen und sogar Regierungen weltweit geworden.“ Obwohl ihre Verbreitung seit einigen Jahren konstant geblieben sei, hätten sich andere Aspekte der Bedrohung geändert.

In den letzten Jahren hätten mehrere Ransomware-Gruppen Berühmtheit erlangt, „indem sie Multi-Point-Ransomware-Angriffe durchgeführt haben“. Hierbei würden mehrere Methoden eingesetzt, um Opfer dazu zu zwingen, „ein Lösegeld zu zahlen, um die Kontrolle über ihre Daten zurückzugewinnen“. Zahlten die Opfer nicht, würden diese gestohlenen Daten online zum Verkauf angeboten, was die Erpressungssumme weiter in die Höhe treibe.

Neue Ransomware-Gruppen folgen Handbüchern etablierter Betreiber

Eine kürzliche Analyse der veröffentlichten Daten deute darauf hin, dass im Jahr 2023 viele neue Gruppen in diesem Bereich aktiv geworden seien. „Von den 60 Multi-Point-Ransomware-Gruppen, deren Aktivitäten WithSecure in den ersten neun Monaten des Jahres 2023 verfolgt hat, sind 29 neu.“ Diese erstmals 2023 in Erscheinung getretenen Banden zeichneten bereits für fast ein Viertel der Datenlecks verantwortlich.

Der Threat-Intelligence-Analyst Ziggy Davies erklärt, dass diese neuen Gruppen größtenteils den Handbüchern etablierter Betreiber folgten, „jedoch eine entscheidende Rolle bei der Aufrechterhaltung der Ransomware-Angriffe spielen, denen Organisationen gegenüberstehen“.

Davies führt weiter aus: „Code und andere Aspekte einer bestimmten Cybercrime-Operation werden oft anderswo verwendet, da Gruppen und ihre Mitglieder häufig die gleichen Ressourcen recyceln, wenn sie ihre Zusammenarbeit ändern. Viele der neuen Gruppen, die wir in diesem Jahr gesehen haben, haben klare Verbindungen zu älteren Ransomware-Operationen.“ Zum Beispiel wiesen „Akira“ und mehrere andere Gruppen viele Ähnlichkeiten mit der mittlerweile aufgelösten „Conti“-Gruppe auf und seien wahrscheinlich ehemalige „Conti“-Partner.

Ransomware bleibt effektiv – indes aber vorhersehbar

Die Analyse habe auch mehrere bemerkenswerte Erkenntnisse über Multi-Point-Ransomware-Angriffe im Jahr 2023 ergeben, darunter die folgenden:

• „In den ersten drei Quartalen des Jahres 2023 gab es einen Anstieg von 50 Prozent bei Datenlecks durch Ransomware-Gruppen im Vergleich zum gleichen Zeitraum des Vorjahres.“
• „,Lockbit’ machte den größten Anteil an den Leaks aus (21%).“
• „Die fünf Gruppen mit den meisten Leaks (,8Base’, ,Alphv/BlackCat’, ,Clop’, ,LockBit’ und ,Play’) machten über 50 Prozent des Gesamtvolumens aus.“
• Etwa 25 Prozent der in der Analyse enthaltenen Leaks stammten von Ransomware-Gruppen, die 2023 ihren Betrieb aufgenommen hatten.“
• „Nur sechs der 60 Gruppen haben im Jahr 2023 (bis dato) jeden Monat Opfer veröffentlicht.“

Während Cyber-Kriminelle anscheinend mehr Interesse an Ransomware zeigten als je zuvor, böten diese Gruppen den Verteidigern einige Vorteile: „Sie recyclen häufig die Handbücher der anderen.“

„Ransomware bleibt für Cyber-Kriminelle eine effektive Einnahmequelle, daher halten sie sich hauptsächlich an das grundlegende Handbuch, anstatt wirklich etwas Neues oder Unerwartetes zu entwickeln. Das macht sie ziemlich vorhersehbar, was für Verteidiger gut ist, da sie wissen, worauf sie sich einlassen“, so Davies abschließend.

Weitere Informationen zum Thema:

WITHsecure, Adam Pilkey, 16.11.2023
2023’s ransomware rookies are a remix of Conti and other classics

datensicherheit.de, 22.03.2023
Ransomware: Jede Lösegeld-Zahlung an Angreifer finanziert neun zukünftige Attacken / Neue Untersuchungen von Trend Micro über Ransomware-Branche publiziert

datensicherheit.de, 08.02.2023
Cyber-Versicherungen im Umbruch: Ransomware-Lösegeld-Forderungen bedrohen Unternehmen / Versicherer können Kosten der Ransomware-Schadensregulierung bald nicht mehr tragen