Die Ransomware-Landschaft erfahre derzeit erhebliche Veränderungen, schreibt der Security-Anbieter Check Point in einem Blog-Beitrag. Dabei gewinnen neue Akteure wie Ransomhub an Bedeutung, während zuvor dominierende Akteure wie Lockbit einen starken Rückgang verzeichnen. Dies erklärte uns auch André Reichow-Prehn von Unit 42, dem Security-Unternehmen von Palo Alto Networks.

Bei Ransomhub handelt es sich um einen relativ neuen Akteur, der erstmals im Februar 2024 auftauchte. Die Gruppe sei mit seinem Ransowmware-as-a-Service-Modell (RaaS) sehr erfolgreich, heisst es von Check Point. Im September 2024 entfielen laut einer Analyse des Security-Anbieters 19% aller gemeldeten Ransomware-Opfer auf Ransomhub, wobei fast die Hälfte der Opfer aus den USA stammen.

Es gibt Vermutungen, dass die Gruppe der "geistige Nachfolger" der Alphv-Gruppe ist und mithilfe ehemaliger Alphv-Mitglieder operiert, erklärte Check Point in einem früheren Posting. Gleichzeitig profitiere Ransomhub von den Eingriffen von Strafverfolgern bei Lockbit. Auch in der Schweiz hat die Bande erfolgreich Opfer angegriffen.

Ein weiteres Erfolgsrezept von Ransomhub ist laut Check Point die sogenannte Fernverschlüsselung, bekannt als "Remote Encryption" oder "Remote Ransomware". Dies ermögliche es den Kriminellen, die Systeme der Opfer über nur ein ungeschütztes Gerät zu verschlüsseln.

Das anfängliche Ziel sei meist ein nicht verwaltetes Gerät – also eines, das keine End Point Detection biete, aber Zugriff auf das Netzwerk des Unternehmens hat, schreibt Rubrik. Bei einem Angriff würden dann Daten über das ungeschützte Gerät abgerufen, verschlüsselt und dann die Originaldaten durch die kompromittierten ersetzt.

Mit dieser Methode werde das Risiko der Entdeckung verringert und die Erfolgsquote der Angriffe erhöht. Eines der Hauptzeichen eines Remote-Ransomware-Angriffs ist laut Sophos die ungewöhnliche Übertragung von Dokumenten zum und vom kompromittierten Gerät.

Ransomhub ist nicht die einzige Bande, die auf diese Methode setzt. Vor rund einem Jahr meldete Microsoft, dass 60% aller Ransomware-Angriffe mittlerweile auf Remote-Verschlüsselung zurückgreifen würden, wobei die Mehrheit dieser Angriffe von nicht-verwalteten Geräten ausgehen.