Die erfolgreiche Methode von Ransomhub

11. November 2024 um 13:57
image
Illustration: Erstellt durch inside-it.ch mit Midjourney

Die aufstrebende Ransomware-Bande ist bereits für 20% aller Fälle verantwortlich, zeigt eine Analyse von Check Point.

Die Ransomware-Landschaft erfahre derzeit erhebliche Veränderungen, schreibt der Security-Anbieter Check Point in einem Blog-Beitrag. Dabei gewinnen neue Akteure wie Ransomhub an Bedeutung, während zuvor dominierende Akteure wie Lockbit einen starken Rückgang verzeichnen. Dies erklärte uns auch André Reichow-Prehn von Unit 42, dem Security-Unternehmen von Palo Alto Networks.
Bei Ransomhub handelt es sich um einen relativ neuen Akteur, der erstmals im Februar 2024 auftauchte. Die Gruppe sei mit seinem Ransowmware-as-a-Service-Modell (RaaS) sehr erfolgreich, heisst es von Check Point. Im September 2024 entfielen laut einer Analyse des Security-Anbieters 19% aller gemeldeten Ransomware-Opfer auf Ransomhub, wobei fast die Hälfte der Opfer aus den USA stammen.

Gunst der Stunde

Es gibt Vermutungen, dass die Gruppe der "geistige Nachfolger" der Alphv-Gruppe ist und mithilfe ehemaliger Alphv-Mitglieder operiert, erklärte Check Point in einem früheren Posting. Gleichzeitig profitiere Ransomhub von den Eingriffen von Strafverfolgern bei Lockbit. Auch in der Schweiz hat die Bande erfolgreich Opfer angegriffen.
Ein weiteres Erfolgsrezept von Ransomhub ist laut Check Point die sogenannte Fernverschlüsselung, bekannt als "Remote Encryption" oder "Remote Ransomware". Dies ermögliche es den Kriminellen, die Systeme der Opfer über nur ein ungeschütztes Gerät zu verschlüsseln.
Das anfängliche Ziel sei meist ein nicht verwaltetes Gerät – also eines, das keine End Point Detection biete, aber Zugriff auf das Netzwerk des Unternehmens hat, schreibt Rubrik. Bei einem Angriff würden dann Daten über das ungeschützte Gerät abgerufen, verschlüsselt und dann die Originaldaten durch die kompromittierten ersetzt.

Verbreitete Methode

Mit dieser Methode werde das Risiko der Entdeckung verringert und die Erfolgsquote der Angriffe erhöht. Eines der Hauptzeichen eines Remote-Ransomware-Angriffs ist laut Sophos die ungewöhnliche Übertragung von Dokumenten zum und vom kompromittierten Gerät.
Ransomhub ist nicht die einzige Bande, die auf diese Methode setzt. Vor rund einem Jahr meldete Microsoft, dass 60% aller Ransomware-Angriffe mittlerweile auf Remote-Verschlüsselung zurückgreifen würden, wobei die Mehrheit dieser Angriffe von nicht-verwalteten Geräten ausgehen.

Loading

Mehr zum Thema

image

Basel-Land ruft zur Deinstallation von Easytax auf

Nach der Entdeckung einer Schwachstelle warnt der Kanton. Basel-Land hat die Software im Gegensatz zum Aargau aber bereits abgelöst.

publiziert am 2.12.2024
image

Armee beteiligt sich erneut an Cyber-Übung der Nato

Im Zentrum der "Cyber Coalition 24" steht die Verbesserung der Einsatzbereitschaft bei der Abwehr von Cyberbedrohungen.

publiziert am 29.11.2024
image

Sicherheitslücke in Aargauer Easytax-Version

Der Kanton warnt. Vorhandene Versionen sollten gelöscht werden.

publiziert am 29.11.2024
image

Illegale Streaming-Plattformen mit 22 Millionen Nutzern zerschlagen

Die Server der Plattformen wurden abgeschaltet. Beteiligt an der Aktion war auch das Schweizer Fedpol.

publiziert am 28.11.2024