Seit die Ransomware-Epidemie mit dem WannaCry-Angriff so richtig Fahrt aufgenommen hat, erhalten Ransomware-Banden immer mehr Aufmerksamkeit in den Medien. Mit einem geschätzten Schaden von 30 Milliarden US-Dollar im Jahr 2023 sind Ransomware-Banden die mit Abstand gefährlichsten Hacker der Geschichte.
Ransomware-Banden haben in den letzten zehn Jahren Milliarden von Dollar an Gewinnen eingestrichen. Sie haben einen großen Teil dieses Geldes investiert, um immer raffinierter und besser organisiert zu werden.
Das Wissen über das Verhalten und die Methoden verschiedener Ransomware-Gangs ist aus vielen Gründen wichtig. Zum einen kann das Wissen um ihre Arbeitsweise helfen, Angriffe zu verhindern. Die Kenntnis der Erfolgsbilanz bestimmter Banden kann auch sehr hilfreich sein, um zu entscheiden, ob man mit ihnen verhandeln möchte oder nicht.
Ursprung und Geschichte von Ransomware-Gangs
Um zu verstehen, warum Ransomware-Banden so gefährlich geworden sind, muss man wissen, wie die Kryptowährung die kriminelle Wirtschaft verändert hat.
In der Vergangenheit waren Hacker durch das Bankensystem in ihren Möglichkeiten eingeschränkt. Die einzige Möglichkeit, Geld elektronisch zu versenden, war über die Banken, was bedeutete, dass Konten eingefroren und Transaktionen rückgängig gemacht werden konnten.
Die Kryptowährung änderte all das. Plötzlich war es möglich, Geld anonym zu versenden, und zwar von jedem Ort mit einer Internetverbindung.
Dies erleichterte die Begehung von Straftaten, da Hacker Geld von ihren Opfern fordern konnten, ohne dass ein Bankkonto mit ihrer Identität verknüpft war. Die wichtigste Änderung war jedoch, dass Ransomware-Banden dadurch viel größer und spezialisierter werden konnten.
So konnten die Hacker jetzt beispielsweise Dienstleistungen und Software kaufen und verkaufen. Einige Banden konnten sich auf den Einbruch in Netzwerke spezialisieren. Andere könnten Software zur Umgehung von Antiviren-Software entwickeln. Wieder andere könnten sich auf Erpressung spezialisieren. Und sie alle konnten sich gegenseitig diese Dienste anonym anbieten und verkaufen.
Dies führte schließlich zu dem Punkt, an dem Hacker Mitarbeiter anwerben, Gehälter zahlen und sogar Risikokapital beschaffen konnten, indem sie Anteile an kriminellen Unternehmen verkauften. So ist eine Art „Silicon Valley für Hacker“ entstanden Diese Situation hat die Bedrohung für die Cybersicherheitslandschaft vervielfacht.
Die gefährlichsten Ransomware-Banden
Ein weiterer Faktor, der Ransomware-Banden viel gefährlicher gemacht hat, ist die Unterstützung durch Nationalstaaten. Geopolitische Rivalitäten haben Länder wie Russland, Iran und Nordkorea dazu veranlasst, Ransomware-Banden entweder zu unterstützen oder ihre Aktivitäten zu ignorieren.
Lockbit
Die Lockbit-Ransomware-Gang gilt weithin als eine der aktivsten Gangs. Sie wurde für über 30 % aller bekannten Ransomware-Angriffe im Jahr 2022 verantwortlich gemacht. Die Bande soll enge Verbindungen zu Russland haben.
Lockbit tauchte erstmals 2019 auf und nannte sich selbst die „ABCD“-Bande, da verschlüsselte Dateien auf den Computern ihrer Opfer die Dateierweiterung .abcd hatten. Lockbit ist eigentlich ein Ransomware-as-a-Service-Betrieb, was bedeutet, dass es mit vielen Partnerunternehmen zusammenarbeitet.
Die Partnerunternehmen arbeiten unter Umständen, ohne alle Details mit den Entwicklern zu kommunizieren. 2022 griff beispielsweise ein Lockbit-Partnerunternehmen ein Kinderkrankenhaus an, woraufhin die Entwickler einen kostenlosen Entschlüsselungsschlüssel veröffentlichten und behaupteten, das für den Angriff verantwortliche Partnerunternehmen blockiert zu haben. Vielleicht gibt es etwas ehre unter Dieben.
Einer der Gründe, warum Lockbit als besonders gefährlich gilt, ist, dass es dazu neigt, industrielle Infrastrukturen anzugreifen, darunter auch Chemieanlagen. Wenn die Kontrollsysteme solcher Ziele von Ransomware betroffen sind, könnte dies zu schweren Unfällen führen.
Black Basta
Es wird vermutet, dass die Ransomware Black Basta aus Mitgliedern von Conti und REvil (auch bekannt als Sodinokibi) besteht, die hinter einer der größten Lösegeldzahlungen lösegeldzahlungen in der Geschichte, nachdem der Fleischverarbeiter JBS lahmgelegt durch Ransomware lahmgelegt wurde.
Black Basta ist einer der produktivsten Nutzer der berüchtigten „doppelten Erpressungstechnik“. Sie haben es auf Unternehmen mit sensiblen Daten abgesehen und drohen dann damit, diese Daten zu veröffentlichen. Als ob das noch nicht genug wäre, setzen sie häufig auch DDoS-Angriffe ein, um ihre Opfer noch mehr unter Druck zu setzen.
Ursprünglich verbreitete sich Black Basta hauptsächlich durch E-Mail-Phishing, doch seit kurzem nutzen sie auch Software-Schwachstellen aus, um größere Ziele zu erreichen.
Royal
Royal ist ein relativer Neuling unter den Ransomware-Programmen, hat sich aber schnell einen Namen gemacht und im Dezember 2022 Lockbit bei der Zahl der Angriffe übertroffen. Die Bande unterscheidet sich von Ransomware-as-a-Service-Operationen und wickelt alle Aspekte der Angriffe im eigenen Haus ab.
Was Royal zu einer der gefährlichsten Gangs auf dem Markt macht, ist ihr Einsatz von ausgeklügelten Phishing-Angriffen. Die Bande kontaktiert Mitarbeiter und gibt sich als Lebensmittellieferdienst oder Abonnementdienst aus. Sie veranlassen die Opfer dann, die Nummer anzurufen, um die Lieferung oder das Abonnement zu stornieren, und bringen sie dabei dazu, auf einen Link zu klicken, über den Schadsoftware heruntergeladen wird.
Hive
Einige Ransomware-Gruppen versuchen, sensible Ziele wie das Gesundheitswesen und die Energieinfrastruktur zu meiden. Dies kann daran liegen, dass sie keine zusätzliche Aufmerksamkeit der Strafverfolgungsbehörden auf sich ziehen wollen, oder vielleicht haben sie einige ethik.
In jedem Fall sind die Schöpfer der Ransomware Hive bereit, jedes Ziel anzugreifen, und es ist bekannt, dass sie die Systeme von Einrichtungen des Gesundheitswesens lahmgelegt haben. Sie sind auch eine der technisch versiertesten und am besten organisierten Banden, die eine benutzerdefinierte API mit Portalen für Partner und Opfer sowie spezielle „Kundendienst“-Kanäle für die Kommunikation mit den Opfern verwenden.
Sie sind auch bekannt für die Verwendung von „dreifache Erpressung„Angriffe, bei denen gestohlene Daten verwendet werden, um Kunden oder Partner des Opfers zu kontaktieren und zu bedrohen, um die Opfer noch mehr unter Druck zu setzen, das Lösegeld zu zahlen.
Das Ransomware-Wettrüsten
Es scheint, dass Ransomware-Banden mit jedem Jahr gefährlicher werden. Dies hat zu einer Art „Wettrüsten“ geführt, da die Experten für Cybersicherheit versuchen, sich anzupassen. Leider sind die Ransomware-Banden im Moment die Gewinner.
Wie können wir diese Situation also ändern? Wir können nicht darauf warten, dass Regierungen oder Cybersicherheitsexperten uns aus der Patsche helfen. Dies ist eine Krise, die die ganze Welt betrifft, und jeder muss seinen Teil dazu beitragen, sie zu bewältigen.
Der Schlüssel zur Bewältigung dieser Krise ist Bildung, Bildung, Bildung. Die meisten Angriffe erfolgen aufgrund laxer Sicherheitspraktiken und mangelnden Wissens darüber, wie Angriffe ablaufen. Die Kenntnis der Cybersicherheit muss als eine grundlegende berufliche Fähigkeit angesehen werden, so wie man weiß, wie man Microsoft Word oder E-Mail benutzt.
Das Management und die IT-Leitung können nur eine bestimmte Menge tun. Wenn es um die Abwehr von Ransomware geht, ist die Kette nur so stark wie das schwächste Glied.