Seit dem Erscheinen der ersten Bitcoin-basierten Ransomware im Jahr 2013 ist die Anzahl verschiedener Ransomware-Typen explosionsartig angestiegen. Ransomware-Varianten sind ein wirkungsvolles Instrument im Arsenal von Kriminellen und haben auch bei einigen Regierungen an Popularität gewonnen.
Weshalb gibt es also so viele verschiedene Arten von Ransomware, und was können wir dagegen unternehmen?
Silicon Valley für Ransomware-Varianten
Der Ransomware-Markt ähnelt tatsächlich stark dem Markt für legitime Software. Es existieren sogar Risikokapitalgeber für Ransomware, die verschiedene Arten von Erpressungssoftware finanzieren.
Alle Ransomware funktioniert nach denselben Prinzipien: Dem Opfer so viel Schaden wie möglich zuzufügen, um es zur Zahlung zu zwingen. Üblicherweise beinhaltet dies die Verschlüsselung oder den Diebstahl von Daten, um Druck auf die Opfer auszuüben.
Der Hauptunterschied zwischen verschiedenen Ransomware-Typen liegt darin, wie sie die Erkennung umgehen. Die beliebtesten Ransomware-Varianten arbeiten nach einem „Ransomware-as-a-Service“-Modell (RaaS). Dies bedeutet, dass ein professionelles Team von Hackern die Software entwickelt und diese anschließend an andere Hacker vermietet, die die eigentliche Arbeit des Eindringens in Netzwerke übernehmen.
Wie im Silicon Valley konkurrieren RaaS-Entwickler um Finanzierungen von Investoren und bewerben ihre Produkte bei potenziellen Kunden. Beispielsweise versuchen sie zu beweisen, dass ihre Software Dateien schneller verschlüsseln kann als die ihrer Konkurrenten, da die Menge der vor der Erkennung verschlüsselten Daten über Erfolg oder Misserfolg eines Ransomware-Angriffs entscheiden kann.
Ransomware-Entwickler arbeiten kontinuierlich daran, Antivirensoftware und Cybersicherheitsexperten einen Schritt voraus zu sein. Bedauerlicherweise gewinnen die Hacker derzeit das Ransomware-Wettrüsten. Antivirensoftware wird kontinuierlich neu kalibriert, um neue Arten von Ransomware zu erkennen, aber Ransomware-Entwickler ändern ihre Software ständig, um eine Erkennung zu vermeiden.
Arten von Ransomware
Alle Ransomware funktioniert nach demselben Prinzip, nämlich den Opfern eine Art von Schmerz oder Bedrängnis zuzufügen und Geld zu fordern, um dies zu beenden. Viele Ransomware-Varianten lassen sich gleichzeitig mehreren dieser Kategorien zuordnen.
Verschlüsseler
Ein Verschlüsseler wird so viele Ihrer Daten wie möglich verschlüsseln, sodass Ihre Dateien unbrauchbar werden. Dateinamen werden oft durch eine zufällige Folge von Buchstaben und Zahlen ersetzt oder durch denselben Dateinamen mit einer neuen Dateierweiterung. Wenn ein Opfer in der Lage ist, einen Verschlüsselungsangriff frühzeitig zu erkennen, könnten einige Dateien unverschlüsselt bleiben.
Verschlüsselungs-Ransomware ersetzt mitunter jede Datei durch einen Ordner, der die verschlüsselte Datei sowie eine Lösegeldforderung mit Zahlungsanweisungen enthält.
Sperrsoftware
Sperrsoftware sperrt Sie vollständig aus Ihrem System aus. Normalerweise können Sie nur noch auf eine Lösegeldforderung mit Details zur Zahlung des Lösegelds zugreifen. Einige weniger ausgeklügelte Formen von Sperrsoftware verschlüsseln die Dateien möglicherweise nicht, sodass sie noch wiederhergestellt werden können. Diese Varianten zielen eher auf Heimcomputer ab und verbreiten sich über Spam-E-Mails oder Phishing-Links.
Scareware
Scareware versucht, Geld von Opfern zu erpressen, indem sie (meist falsche) Behauptungen aufstellt. Beispielsweise könnte eine Ransomware behaupten, Sie beim Ansehen von Pornografie aufgezeichnet zu haben, und drohen, Videos davon in Ihren sozialen Medien zu veröffentlichen, es sei denn, Sie zahlen. Andere Beispiele beinhalten Hacker, die vorgeben, eine Regierungsbehörde zu sein, die unbezahlte Steuern entdeckt hat, und mit Geldstrafen und Sanktionen drohen, falls nicht gezahlt wird.
Diese Varianten beinhalten oft Zeitlimits, um Druck auf das Opfer auszuüben, damit es keine Zeit hat, rational über die Situation nachzudenken.
Leakware
Leakware funktioniert, indem sensible Daten erlangt werden und dann gedroht wird, diese öffentlich zu machen. Leakware zielt tendenziell auf Unternehmen wie Anwaltskanzleien, Arztpraxen und Firmen mit Betriebsgeheimnissen ab. Zahlreiche Betreiber von Leakware unterhalten Webseiten im Darknet, auf denen sie gestohlene Daten veröffentlichen und jedermann zum Download anbieten.
Ransomware as a Service
Ransomware as a Service (RaaS) ist wahrscheinlich die gefährlichste Art von Ransomware, die es gibt. Da die Entwicklung äußerst spezialisiert ist, können hochentwickelte RaaS-Varianten selbst fortschrittliche Abwehrmechanismen durchdringen.
Die millionenschweren Lösegeldzahlungen, von denen Sie in den Nachrichten hören? Es handelte sich dabei höchstwahrscheinlich um RaaS-Varianten. Die meisten gezielten Ransomware-Angriffe werden von spezialisierten Hackerteams durchgeführt, die mit RaaS-Betreibern zusammenarbeiten.
Ransomware-Varianten
Da mit Ransomware enorme Summen verdient werden, befinden sich ständig neue Varianten in der Entwicklung. Gelegentlich ‚ziehen sich‘ Banden einfach zurück, wenn sie beträchtliche Summen erbeutet haben oder sich dem Druck der Strafverfolgungsbehörden ausgesetzt sehen.
In anderen Fällen verlassen Ransomware-Entwickler ihre Teams, um sich neuen anzuschließen. Da Antivirensoftware kontinuierlich verbessert wird, ist es für Ransomware-Hacker notwendig, ständig neue Varianten zu entwickeln, die Systeme und Netzwerke unbemerkt infizieren können. Im Allgemeinen funktionieren alle Ransomware-Varianten nach ähnlichen Prinzipien, werden jedoch auf verschiedene Weise optimiert, um die Leistung zu verbessern.
Im Folgenden finden Sie eine Liste einiger der bekanntesten und gefährlichsten Ransomware-Varianten.
Akira Ransomware
Akira ist eine Ransomware-Variante mit doppelter Erpressung, die Mitte 2023 an Bedeutung gewann. Sie zielt sowohl auf Windows- als auch auf Linux-Systeme ab und ist dafür bekannt, sensible Daten vor der Verschlüsselung zu exfiltrieren. Die Gruppe operiert als Ransomware-as-a-Service (RaaS) und wurde bei Angriffen auf verschiedene Sektoren beobachtet, darunter Bildung, Finanzen und Produktion. Opfer berichten häufig, dass sie direkt von der Gruppe per E-Mail kontaktiert wurden.
Black Basta Ransomware
Black Basta ist eine ausgeklügelte RaaS-Operation, die erstmals Anfang 2022 beobachtet wurde. Sie zielt hauptsächlich auf Unternehmen ab und deaktiviert während der Infektion häufig Antiviren-Tools. Die Gruppe ist bekannt dafür, sowohl Verschlüsselung als auch Datendiebstahl einzusetzen und gestohlene Dateien auf ihrer Leak-Site zu hosten. Black Basta erlangt oft ersten Zugang durch kompromittierte Zugangsdaten oder Malware wie Qakbot.
Clop Ransomware
Clop ist eine bekannte Ransomware-Variante, die sich auf groß angelegte Datenlecks spezialisiert hat. Sie nutzt oft Zero-Day-Schwachstellen aus, wie sie in MOVEit Transfer und Accellion FTA gefunden wurden. Die Clop-Bande ist hochgradig organisiert und bevorzugt die Erpressung hochkarätiger Ziele, wobei sie fast immer Techniken der doppelten Erpressung unter Einbeziehung öffentlicher Datenlecks anwendet.
eKing Ransomware
eKing Ransomware ist eine weniger bekannte Variante, die 2023 auftauchte. Sie wird typischerweise über bösartige E-Mail-Anhänge oder unzureichend gesicherte RDP-Zugänge verbreitet. Im Gegensatz zu fortschrittlicheren Stämmen verwendet eKing selten individualisierte Verschlüsselungstechniken und hat kein konsistentes Leakware-Verhalten gezeigt, obwohl ihre Betreiber möglicherweise trotzdem damit drohen, gestohlene Daten zu veröffentlichen.
FOG Ransomware
FOG ist eine aufstrebende Ransomware-Familie, die aggressive Verschlüsselungstaktiken und maßgeschneiderte Lösegeldforderungen einsetzt. Sie zielt typischerweise auf kleine bis mittelständische Unternehmen ab, oft durch Phishing-Kampagnen oder RDP-Schwachstellen. Obwohl es sich primär um eine Locker-Ransomware handelt, haben jüngste FOG-Proben Anzeichen von Datenexfiltration zu Erpressungszwecken gezeigt.
Inc Ransomware
Inc ist eine sich entwickelnde Ransomware-Variante, die Ende 2023 erstmals sichtbar wurde. Sie verbreitet sich über RDP-Kompromittierungen und Software-Schwachstellen. Die Gruppe hinter Inc benennt verschlüsselte Dateien oft mit der .inc
Erweiterung um und nutzt ein Darknet-Portal, um gestohlene Daten zu leaken. Die Lösegeldforderungen betonen Geschwindigkeit und warnen die Opfer vor einer raschen öffentlichen Exposition.
Lockbit Ransomware
Lockbit ist eine der aktivsten und am weitesten verbreiteten RaaS-Varianten weltweit. Die Gruppe setzt auf Datendiebstahl, schnelle Verschlüsselung und Taktiken mit hohem Druck, einschließlich Countdown-Timer und Leak-Drohungen. Bemerkenswert ist, dass Lockbit ‚Bug-Bounty‘-Programme betreibt und sogar Insider dafür bezahlt, Ransomware in ihren eigenen Unternehmen zu installieren, gegen einen Anteil am Lösegeld.
MAKOP Ransomware
MAKOP Ransomware ist eine persistente Variante, die vorwiegend KMUs über exponierte RDP-Dienste angreift. Sie verschlüsselt Dateien mit einzigartigen Erweiterungen und platziert eine Lösegeldforderung in jedem betroffenen Ordner. Obwohl die Bande oft behauptet, Daten zu exfiltrieren, gibt es wenig Beweise dafür, dass dies konsistent der Fall ist. Die Taktiken der Gruppe konzentrieren sich eher auf Störung als auf Öffentlichkeitswirksamkeit.
Ransomhub Ransomware
Ransomhub ist eine umbenannte oder abgespaltene Operation, die nach dem Verschwinden mehrerer großer Ransomware-Gruppen auftauchte. Sie folgt einem typischen Modell der doppelten Erpressung und hostet Opferdaten auf einer dedizierten Leak-Site. Die Angriffe sind oft opportunistisch und nutzen Exploits in öffentlich zugänglichen Diensten oder Drittsoftware aus.
BianLian Ransomware
Ursprünglich eine Ransomware-Variante, hat sich BianLian zu einer Gruppe für Datenerpressung entwickelt, die oft gänzlich auf die Dateiverschlüsselung verzichtet und sich ausschließlich auf Datendiebstahl und öffentliche Bloßstellung konzentriert. Frühe Varianten verwendeten Go-basierte Ransomware-Payloads. Jetzt verlässt sich die Gruppe stark auf die Exfiltration sensibler Informationen und übt Druck durch Leak-Drohungen und mediale Exposition aus.
GlobeImposter 2.0 Ransomware
GlobeImposter 2.0 ist eine Weiterentwicklung der ursprünglichen GlobeImposter-Variante, die dafür bekannt ist, andere Ransomware-Stämme zu imitieren. Sie verbreitet sich häufig über illegale Software-Downloads oder bösartige Skripte. Diese Variante verschlüsselt Dateien mit verschiedenen Erweiterungen und verwendet mehrere Täuschungs-Erpressernachrichten, um die Opfer zu verwirren. Sie ist besonders häufig in Cyberkriminalitätskampagnen mit geringem Budget anzutreffen.
Phobos Ransomware
Phobos Ransomware zielt hauptsächlich auf kleine Unternehmen und Privatpersonen ab, in der Regel über exponierte RDP-Dienste. Es existieren zahlreiche aktive Varianten, die oft von verschiedenen Betreibern mit unterschiedlichem Fähigkeitsniveau eingesetzt werden. Phobos verfügt selten über Funktionen zum Datendiebstahl und konzentriert sich stattdessen auf die Dateiverschlüsselung und die Ausübung von Druck auf die Opfer mittels personalisierter Erpressernachrichten.
Play Ransomware
Play ist eine RaaS-Variante, die für ihre minimalistischen Erpressernachrichten bekannt ist, die in der Regel nur mit dem Wort „PLAY“ gekennzeichnet sind. Sie erlangte 2022 Bekanntheit und zielt häufig auf Regierungs- und Infrastruktursektoren ab. Die Gruppe wendet doppelte Erpressung an und nutzt oft bekannte Schwachstellen in Fortinet- und Exchange-Servern aus. Play zeichnet sich auch durch seinen schnellen Verschlüsselungsprozess aus.
Dem Spiel voraus sein
Angesichts der ständig auftretenden neuen Varianten kann es entmutigend sein, auf dem Laufenden zu bleiben. Bildung ist der Schlüssel zur Bekämpfung von Ransomware, daher ist es wichtig, dass jede Organisation jemanden hat, der dafür verantwortlich ist, sich über neue Phishing-Techniken und Angriffsvektoren auf dem Laufenden zu halten und das Bewusstsein zu schärfen