Illustration: Erstellt durch inside-it.ch mit Midjourney
Neue Banden wie Akira, Qilin oder Rhysida haben in der Schweiz bereits Opfer gefunden. Wir haben uns gefragt, wer und was sich dahinter verbirgt – und Antworten gefunden.
Geht es um Ransomware-Angriffe, ist meist von bekannten Namen die Rede: Lockbit oder Alphv alias Black Cat, die 2023 die Spitzenplätze der aktivsten Gruppen belegten. Dahinter folgten neben Clop schon bald Play, in der Schweiz unter anderem für den Angriff auf Xplain verantwortlich, 8Base und Black Basta. Letztere bekannten sich jüngst zu Attacken auf die Schaffhauser ICT-Firma Nexus Telecom respektive Franz Carl Weber und den Schweizer Personalvermittler "Das Team".
Doch im Schatten dieser "grossen Namen" machten sich in den letzten Monaten zahlreiche neue Gruppen bemerkbar: Akira, 3AM, Medusa, Hunters International, Cactus, Qilin, Cloak, Rhysida, Malas, Inc Ransom – um nur einige zu nennen. In manchen Security-Reports werden diese schon als "RaaS-Startups" bezeichnet. Gruppen, die verstärkt im Ransomware-as-a-Service-Markt mitmischen wollen. Der Markt ist lukrativ, die Einnahmen durch Lösegeld haben im letzten Jahr die Milliarden-Marke geknackt. Und die neuen Banden schrecken auch vor Angriffen auf Gesundheitseinrichtungen nicht zurück. Inc Ransom hat kürzlich den schottischen National Health Service attackiert und Patientendaten gestohlen.
Technisches Niveau der Angriffe nimmt zu
"Den grössten Impact hatte 2023 wohl Muddled Libra, Affiliates von Alphv", erklärt André Reichow-Prehn gegenüber inside-it.ch. Der Managing Partner Unit 42 des Security-Dienstleisters Palo Alto Networks betont aber: "Grundsätzlich ist eine Unterscheidung in eine grosse oder gar 'die grösste' Bedrohung nicht so ohne weiteres möglich oder sinnvoll – denn all diese Gruppen verursachen Schäden und sind eine potenzielle Bedrohung für Unternehmen sowie staatliche Einrichtungen."
Anzahl der Leak Site Posts der verschiedenen Ransomware-Gruppen im Jahr 2023. Grafik: Unit 42
Im Vorgehen sowie im Geschäftsmodell selbst gäbe es keine signifikanten Veränderungen. "Neue Gruppen fokussieren sich jedoch stärker auf Data Leaks. Zudem hat die Geschwindigkeit, Skalierung sowie das technische Niveau der Angriffe zugenommen", so Reichow-Prehn. Unit 42 habe in der jüngsten Vergangenheit eine Skalierung von hunderten Angriffen auf eine bekannte Schwachstelle festgestellt.
Neue Gruppen auch in der Schweiz aktiv
Die neuen Gruppen haben sich bereits zu Angriffen in der Schweiz bekannt: Akira und Qilin zum Beispiel auf Industrieunternehmen, Rhysida auf den Hauptsitz einer religiösen Vereinigung. Wie funktionieren speziell diese drei Gruppen?
Phil Harrison.
"Akira setzte anfänglich die doppelte Erpressung ein, um Daten zu stehlen und Systeme zu verschlüsseln, wechselte aber offenbar zu reinem Datendiebstahl", erläutert Phil Harrison, Director of Intelligence vom Security-Anbieter Intel 471, auf unsere Anfrage. Die Akira-Ransomware werde nicht öffentlich in Untergrundforen beworben. Bei Qilin andererseits könnten "nicht russischsprachige Bewerber nur nach einem erfolgreichen Vorstellungsgespräch in das Partnerprogramm aufgenommen werden".
Spuren in die Vergangenheit
Rhysida wurde erstmals im Mai 2023 im Untergrund beobachtet. "Die Gruppe weist Tactics, Techniques, Procedures (TTPs) auf wie die Ransomware-Gruppe Vice Society." Spuren in die Vergangenheit lassen sich laut Harrison auch bei Akira finden. "Wir haben festgestellt, dass Akira mehrere Überschneidungen mit der Ransomware Conti aufweist." Dies gelte ebenso für weitere neue Namen. So sei die Bande Ransomhub ein wahrscheinlicher Nachfolger von Knight alias Cyclops RaaS. Alphalocker alias Mydata gehe wohl auf die nicht mehr existierende Netwalker-Ransomware zurück.
Es sei aber schwierig, generell auf "alte Bekannte" zu schliessen, erklärt André Reichow-Prehn von Unit 42, da bei vielen Gruppen die Hintermänner beziehungsweise die eigentlichen Täter unbekannt sind. "Es ist schon lange üblich, dass Malware refactored (dt. umstrukturiert, d. Red.) und erneut genutzt wird."
Lockbit bleibt aktiv
André Reichow-Prehn.
Internationale Justizbehörden haben in den letzten zwölf Monaten gross angelegte Operationen gegen die Banden Hive,Alphv und zuletzt Lockbit durchgeführt. Entstehen dadurch Lücken für die neuen Gruppen? "Ob und inwieweit Lücken entstehen, ist noch nicht absehbar, da noch nicht alle Informationen vorliegen. Grob kann man derzeit jedoch sagen, dass beim Schlag gegen Lockbit nicht die Hintermänner der Gruppe erwischt wurden", hält Reichow-Prehn fest. Bei Lockbit wie auch Alphv würden die Hintermänner weiterhin über die Fähigkeiten und Möglichkeiten verfügen, neu zu starten.
Trotz der durch die Behörden angekündigten "Zerschlagung" verfügt Lockbit bereits wieder über eine neue Darkweb-Präsenz. "Erste Anzeichen deuten darauf hin, dass einige Partner von Alphv zu Lockbit wechseln, obwohl auch diese in letzter Zeit Probleme mit dem Gesetz hatten", erklärt Phil Harrison.
Play ist auf dem Vormarsch
"Im März beobachteten wir, dass sechs Opfer auf den Name-and-Shame-Seiten von Lockbit gehostet wurden, die ursprünglich auf Alphv gehostet wurden." Das Geschäftsmodell von Lockbit sei darauf ausgerichtet, so viele Affiliates wie möglich anzulocken. Gleichzeitig habe die Aktivität von Play stark zugenommen. "Es ist möglich, dass diese Gruppe Alphv als Hauptkonkurrenten von Lockbit ablösen wird", so der Threat Analyst von Intel 471. Auch andere Gruppen würden aktuell ihre RaaS-Preismodelle anpassen und ihren Partnern höhere Beteiligungen versprechen.
Harrison hat aber schon wieder die nächste, beunruhigende Entwicklung beobachtet: "Anfang März 2024 startete der Akteur Black Hunt ein RaaS-Partnerprogramm. Der Akteur verlangt eine durchschnittliche Lösegeldzahlung von 5000 US-Dollar. Das bedeutet, dass die Betreiber von Black Hunt in erster Linie auf kleine und mittelständische Unternehmen und möglicherweise einzelne Benutzer abzielen." Aus der Grosswildjagd von anderen Banden werden so wieder Cyberangriffe auf die "Kleinen". Lukrativ bleiben diese wohl und leider allemal.
Die Empfehlungen des Bacs
Das Bundesamt für Cybersicherheit hat mit "Ransomware - Was nun?" Empfehlungen publiziert, wie Unternehmen bei einem Ransomware-Angriff reagieren sollten. Dort heisst es auch: "Das Bacs rät von der Zahlung eines Lösegeldes ab. Es gibt keine Garantie, dass die Verbrecher nach der Bezahlung des Lösegelds die Daten nicht doch veröffentlichen oder anderen Profit daraus machen."
In der Artikelserie "Ransomware-Report" hat sich 'Inside IT' vertiefter mit dem Thema befasst. Über die Aktionen der Ermittlungsbehörden gegen Alphv und Lockbit und dass diese wohl nutzlos waren, haben wir kürzlich auch in einem Podcast diskutiert.
Möchten Sie uns unterstützen?
Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!