Seit dem Erscheinen der ersten Bitcoin-basierten Ransomware im Jahr 2013 ist die Anzahl der verschiedenen Arten von Ransomware explodiert. Ransomware-Varianten sind ein potentes Werkzeug im Arsenal beider Krimineller und haben auch bei einigen Regierungen an Popularität gewonnen.
Warum gibt es so viele verschiedene Arten von Ransomware und was können wir dagegen tun?
Silicon Valley für Ransomware-Varianten
Der Ransomware-Markt ist dem Markt für legitime Software sehr ähnlich. Es gibt sogar Ransomware-Risikokapitalgeber, die verschiedene Arten von Ransomware finanzieren.
All dieRansomware funktioniert nach den gleichen Prinzipien; dem Opfer so viel Schaden wie möglich zufügen, um es zur Zahlung zu zwingen. In der Regel beinhaltet dies das Verschlüsseln oder Stehlen von Daten, um Druck auf die Opfer auszuüben.
Der Hauptunterschied zwischen den verschiedenen Arten von Ransomware besteht darin, wie sie sich der Erkennung entziehen. Die beliebtesten Ransomware-Varianten funktionieren auf einem „Ransomware-as-a-Service“-Modell (RaaS). Dies bedeutet, dass ein professionelles Team von Hackern die Software entwickelt und die Software dann an andere Hacker vermietet, die die schmutzige Arbeit des Einbruchs in Netzwerke erledigen.
Genau wie im Silicon Valley konkurrieren RaaS-Entwickler um die Finanzierung von Investoren und werben ihre Produkte an potenzielle Kunden. Zum Beispiel versuchen sie zu beweisen, dass ihre Software Dateien schneller verschlüsseln kann als ihre Konkurrenten, da die Datenmenge, die vor der Erkennung verschlüsselt wurde, einen Ransomware-Angriff machen oder in das Netzwerk einbrechen kann.
Ransomware-Entwickler arbeiten kontinuierlich daran, Antivirensoftware- und Cybersicherheitsexperten immer einen Schritt voraus zu sein. Leider gewinnen Hacker das Ransomware-Wettrüsten vorerst. Antivirensoftware wird ständig neu kalibriert, um jetzt Arten von Ransomware zu erkennen, aber Ransomware-Entwickler ändern ständig ihre Software, um eine Erkennung zu vermeiden.
Arten von Ransomware
Alle Ransomware funktioniert nach dem gleichen Prinzip, das den Opfern irgendeine Art von Schmerz oder Bedrängnis bereitet und Geld verlangt wird, um die Ransomware wieder entfernen zu können. Viele Ransomware-Varianten passen gleichzeitig in mehr als eine dieser Kategorien.
Verschlüssler
Ein Verschlüsselungsprogramm verschlüsselt so viele Ihrer Daten wie möglich, so dass Ihre Dateien unbrauchbar werden. Dateinamen werden häufig durch eine zufällige Folge von Buchstaben und Zahlen oder denselben Dateinamen durch eine neue Dateierweiterung ersetzt. Wenn ein Opfer einen Verschlüsselungsangriff frühzeitig erkennen kann, bleiben einige Dateien möglicherweise unverschlüsselt.
Encryption Ransomware ersetzt manchmal jede Datei durch einen Ordner, der die verschlüsselte Datei und eine Lösegeldforderung mit Zahlungsaufforderungen und Zahlungsanweisungen enthält.
Lockware
Lockware sperrt Sie vollständig aus Ihrem System. Normalerweise ist das einzige, worauf Sie noch zugreifen können, eine Lösegeldforderung mit Details zur Zahlung des Lösegelds. Einige weniger anspruchsvolle Formen von Lockware verschlüsseln die Dateien möglicherweise nicht, was bedeutet, dass sie immer noch wiederhergestellt werden können. Diese Varianten zielen eher auf Heimcomputer ab und verbreiten sich über Spam E-Mails oder Phishing-Links.
Scareware
Scareware versucht, Geld von Opfern zu erpressen, indem es (meist falsche) Behauptungen aufstellt. Zum Beispiel könnte eine Ransomware behaupten, Sie beim Anschauen von Pornografie aufgezeichnet zu haben, und drohen, Videos davon auf Ihren Social-Media-Konten zu veröffentlichen, wenn Sie nicht bezahlen. Andere Beispiele sind der Hacker, der behauptet, eine Regierungsbehörde zu sein, die von unbezahlten Steuern erfahren hat, und mit Geldstrafen und Strafen droht, wenn sie nicht bezahlen.
Diese Varianten beinhalten oft zeitliche Begrenzungen, um Druck auf das Opfer auszuüben, damit es keine Zeit hat, rational über die Situation nachzudenken.
Leakware
Leakware funktioniert, indem sie sensible Daten erhält und dann droht, sie der Öffentlichkeit zugänglich zu machen. Leakware neigt dazu, Unternehmen wie Anwaltskanzleien, Arztpraxen und Unternehmen mit Geschäftsgeheimnissen ins Visier zu nehmen. Viele Leakware-Betreiber betreiben Websites im Dark Web, auf denen sie gestohlene Daten veröffentlichen und jedem erlauben, sie herunterzuladen.
Ransomware als Service
Ransomware as a Service (RaaS) Ransomware ist wahrscheinlich die gefährlichste Art von Ransomware, die es gibt. Da die Entwicklung so spezialisiert ist, können High-End-RaaS-Varianten selbst fortschrittliche Abwehrmechanismen durchdringen.
Die Lösegeldzahlungen in Höhe von mehreren Millionen Dollar, von denen Sie in den Nachrichten hören? Es handelte sich wahrscheinlich um RaaS-Varianten. Die meisten gezielten Ransomware-Angriffe werden von spezialisierten Hackerteams durchgeführt, die mit RaaS-Betreibern zusammenarbeiten.
Ransomware-Varianten
Da mit Ransomware so viel Geld verdient wird, werden ständig neue Varianten entwickelt. Manchmal gehen Banden einfach in Rente, wenn sie viel Geld verdient haben oder wenn sie von den Strafverfolgungsbehörden unter Druck gesetzt werden.
In anderen Fällen werden Ransomware-Entwickler gehen, um sich neuen Teams anzuschließen. Da Antivirensoftware kontinuierlich verbessert wird, ist es für Ransomware-Hacker notwendig, ständig neue Varianten zu entwickeln, die Systeme und Netzwerke unentdeckt infizieren können. Im Allgemeinen funktionieren alle Ransomware-Varianten ähnlich, werden jedoch auf unterschiedliche Weise optimiert, um die Leistung zu optimieren.
Im Folgenden finden Sie eine Liste einiger der bekanntesten und gefährlichsten Ransomware-Varianten.
Avaddon Ransomware
Avaddon Ransomware war ein RaaS, das normalerweise durch Phishing verbreitet wurde. Avaddon verschlüsselte sowohl Dateien und fungierte auch als Leakware, indem es Daten stiehlt. Die Bande war auch dafür bekannt, Unternehmenswebseiten mit DDoS-Angriffen zu bedrohen, um zusätzlichen Druck auf die Opfer auszuüben.
Die Bande zog sich im Juni 2021 zurück und gab alle ihre Entschlüsselungsschlüssel an die Öffentlichkeit weiter, so dass Opfer, die kein Lösegeld gezahlt hatten, ihre Dateien wiederherstellen konnten.
Blackcat Ransomware
Blackcat ist eine Ransomware-Bande, die auch als ALPHV bekannt ist. Sie greifen in der Regel große Unternehmen an, die veraltete Firewall- oder VPN-Software ausführen. Die Bande erlangte Spott für ihren Angriff auf eine europäische Gaspipeline im Juli 2022 und erinnerte an den Angriff auf die koloniale Pipeline von 2021. Viele Experten glauben, dass die Bandenmitglieder dieselben Personen sein könnten, die hinter dem Angriff auf die koloniale Pipeline steckten.
Phobos Ransomware
Phobos Ransomware ist eine einfachere Ransomware-Variante, die oft auf kleine Unternehmen oder Einzelpersonen abzielt. Es gibt eine breite Palette von aktiven Phobos-Varianten, die von Banden mit ganz unterschiedlichen Methoden betrieben werden. Phobos wird oft durch Spam-Kampagnen verbreitet und kann sowohl auf PCs als auch auf Geschäftsnetzwerke abzielen. Phobos wird auch häufig über schlecht gesicherte Remote-Desktop-Protokolle (RDPs) verbreitet.
Phobos fungiert selten, wenn überhaupt, als Leakware.
Dharma Ransomware
Dharma Ransomware, auch bekannt als CrySIS, ist eine ältere Ransomware-Variante, die erstmals 2016 auftauchte. Es verbreitet sich am häufigsten über Spam-E-Mail-Erweiterungen, obwohl es auch dafür bekannt ist, RDP-Ports anzugreifen.
Einige glauben, dass Phobos vom Dharma inspiriert wurde, und wie Phobos hat Dharma eine Vielzahl von Varianten und zielt oft auf kleinere Unternehmen ab.
Ryuk Ransomware
Experten glauben, dass dieRyuk Ransomware von der Hackergruppe WIZARD SPIDER betrieben wird. Die Ransomware ist dafür bekannt, große Unternehmen ins Visier zu nehmen, mit Lösegeldforderungen in Millionenhöhe.
Die meisten Ryuk-Angriffe erhalten Zugriff über Phishing-E-Mails.
Conti Ransomware
Conti Ransomware ist eine der weiter verbreiteten RaaS-Varianten. Wie viele Ransomware-Varianten verbreitet es sich über Phishing-E-Mails, manchmal mit einer einzigartigen Wendung. Es täuscht oft Opfer, indem es sich in Excel-Tabellen versteckt, von denen viele Menschen weniger vermuten, dass sie einen Virus enthalten.
GlobeImposter 2.0 Ransomware
GlobeImposter ist eine einfache, aber weit verbreitete Variante, die dafür bekannt ist, sich über Javascript zu verbreiten. Es ist bekannt für die Verbreitung über Websites, die zum Herunterladen von raubkopierten Filmen verwendet werden.
Lockbit Ransomware
Lockbit ist eine der am weitesten verbreiteten Ransomware-Varianten. Eine Standard-RaaS- und Leakware-Variante, die Bande dahinter ist bekannt für ihre kreativen Marketingbemühungen, einschließlich der Organisation von Hacking-Wettbewerben und der Suche nach Unternehmensinsidern, um Unternehmensnetzwerke gegen einen Prozentsatz des Lösegelds zu infizieren.
Hive Ransomware
Hive ist eine RaaS- und Leakware-Variante, die für Anriffe auf veraltete Windows-Server bekannt ist. Diejenigen, die die Software verwenden, sind für ihre Aggression bekannt und greifen häufig Gesundheitseinrichtungen an. Die meisten Angriffe sind zielgerichtet und raffiniert.
Clop Ransomware
Clop Ransomware ist dafür bekannt, hochkarätige Ziele zu treffen und riesige Lösegeldforderungen einzustreichen. Verhaftungen von Clop-Bandenmitgliedern in der Ukraine im Jahr 2021 konnten die Bande nicht stoppen. Die Ransomware neigt dazu, komplexe Angriffe zu verwenden, die Zero-Day-Schwachstellen ausnutzen, und fungiert fast immer als Leakware.
Haron Ransomware
Haron Ransomware scheint ein Spin-off von Avaddon Ransomware zu sein. Wie Avaddon konzentrieren sich Haron-Angriffe in der Regel stark auf Datenexfiltration und Erpressung, so dass sie sich auch auf Ziele mit sensiblen Daten konzentrieren.
BlackMatter Ransomware
BlackMatter Ransomware war eine RaaS-Sorte, dieheruntergefahren wurde Die geschah November 2021 unter Berufung und auf Druck der Behörden. Die Bande stellte eine Reihe von hochkarätigen Lösegeldforderungen, die bis zu 15 Millionen Dollar betrugen.
Sodinokibi Ransomware
Es wird angenommen, dass Sodinokibi, auch bekannt als REvil, von den gleichen Entwicklern stammt wie die berüchtigte GandCrab-Variante. Es ist ein sehr weit verbreitetes RaaS, das beobachtet wurde, um Ziele aller Arten und Größen zu treffen.
Matrix Ransomware
Matrix ist eine Ransomware, die typischerweise RDP-Ports als bevorzugten Angriffsvektor verwendet. Die Matrix-Bande ist dafür bekannt, ihre Opfer nach verschlüsselten Dateien zu fragen und sie dann zu verwenden, um den Lösegeldbetrag an die Größe des Unternehmens anzupassen.
MAKOP Ransomware
MAKOP ist eine weniger bekannte Ransomware-Variante. Es ist nützlich zu beachten, dass die MAKOP-Bande dafür bekannt ist, zu behaupten, sensible Daten gestohlen zu haben, auch wenn dies nicht der Fall ist.
Quantum Ransomware
Quantum Ransomware ist ein ungewöhnlich schneller Virus. Es ist ein gutes Beispiel dafür, wie Hacker daran arbeiten, die Leistung als Reaktion auf verstärkte Cybersicherheitsbemühungen zu optimieren.
Es ist bekannt, dass sich Quantum durch gezielte Phishing-E-Mails verbreitet und nur gelegentlich Daten stiehlt, um als Leakware zu fungieren.
Immer einen Schritt voraus
Bei so vielen neuen Varianten, die ständig auftauchen, kann es entmutigend sein, Schritt zu halten. Aufklärung ist der Schlüssel zur Bekämpfung von Ransomware, daher ist es wichtig, dass jedes Unternehmen jemanden hat, der dafür verantwortlich ist, mit neuen Phishing-Techniken und Angriffsvektoren Schritt zu halten und das Bewusstsein zu schärfen.