Mit der internationalen "Operation Cronos" wurde ein Teil der Infrastruktur der Ransomware-Bande Lockbit abgeschaltet, es kam zu einigen Verhaftungen. Das scheint Früchte zu tragen: Obwohl nach wie vor aktiv, hat Lockbit seine andauernde Spitzenposition eingebüsst. Laut dem Monitoring der Security-Plattform Falconfeeds führte Ransomhub die Rangliste der aktivsten Gruppen im September an, gefolgt von Play.

Ransomhub hat einen rasanten Aufstieg hinter sich und operiert mit dem Modell Ransomware-as-a-Service (RaaS). Erstmals im Februar 2024 gesichtet, hat die Bande seither schon 417 Opfer im Darkweb veröffentlicht (Stand 21. Oktober). Darunter befinden sich auch drei Opfer aus der Schweiz: eine Innenarchitektur-Firma aus der Romandie, eine Industriefirma aus dem Kanton Zürich sowie als letztes Opfer Schneider Software aus Thun. Das Unternehmen schilderte uns im September den Angriff.

"Spoiled Scorpius ist der Name, den wir für die Gruppe hinter Ransomhub verwenden. Die Ransomware wurde erstmals im Februar im Cybercrime-Forum Russian Anonymous Market Place (RAMP) von einem Konto namens Koley angekündigt", erklärt André Reichow-Prehn, Managing Partner Unit 42 des Security-Unternehmens Palo Alto Networks, gegenüber inside-it.ch. Affiliates würden 90% des Lösegelds erhalten und die Gruppe agiere weitgehend opportunistisch. "Sie verbietet jedoch Angriffe auf Einheiten in Kuba, China, Nordkorea und russischen Gebieten." Auch die gezielte Ausrichtung auf gemeinnützige Organisationen sei den Partnern untersagt.

Unit 42 habe Beweise gefunden, dass Spoiled Scorpius seinen Zugang zu den Systemen der Opfer nutzte, um Backups sowohl aus dem lokalen als auch aus dem Cloud-Speicher zu löschen. "Die Ransomhub-Ransomware ist in Golang und C++ geschrieben. Spoiled Scorpius hat DDoS-Angriffe durchgeführt oder Schwachstellen wie die Microsoft-Lücke Zerologon CVE-2020-1472 ausgenutzt, um bei seinen Opfern einzudringen", erläutert Reichow-Prehn das Vorgehen.

"Sie scheinen sich Zugangsdaten von Vermittlern zu besorgen und für den Zugang auch ihr eigenes SEO-Poisoning-Systems zu nutzen. Beide Wege helfen ihnen, stark zu wachsen und zu skalieren." Es gebe auch Erkenntnisse, die Ransomhub mit den ehemaligen Ransomware-Gruppen Knight (Cyclops) und Alphv/Blackcat in Zusammenhang bringen.

Ein weiterer neuer Name im RaaS-Geschäft ist Repellent Scorpius. Seit dem vergangenen Mai aktiv, hat auch diese Gruppe bereits in der Schweiz zugeschlagen. Sie attackierte im August eine St. Galler Malereibetrieb und eine Sanitärfirma im Kanton Zürich.

Dazu erklärt Reichow-Prehn: "Repellent Scorpius nennen wir den Vertreiber der Ransomware Cicada3301. Bemerkenswert ist, dass wir Anzeichen dafür beobachtet haben, dass die Gruppe über Daten aus älteren kompromittierten Vorfällen verfügt." Es sei aber unklar, ob der Bedrohungsakteur zuvor Ransomware anderer Marken eingesetzt oder ob er Daten von anderen Ransomware-Gruppen gekauft oder geerbt hat. "Wir beobachteten gewisse Überschneidungen mit Angriffen eines Tochterunternehmens, das zuvor Blackcat-Ransomware einsetzte."

Cicada3301 ist in Rust geschrieben. Wird dadurch eine Abwehr schwieriger? "In Rust wurden in letzter Zeit mehrere Malware-Varianten geschrieben. Bei der forensischen Analyse stellt dies eine grössere Herausforderung dar, da die Dekompilierung nicht so einfach ist und mehr Zeit erfordert", so André Reichow-Prehn.

Auch diese Gruppe sei in den letzten Monaten stark gewachsen und rekrutiere in hohem Mass Erstzugangsvermittler vorwiegend in Russland. Das verändere die RaaS-Landschaft, erklärt der Threat-Spezialist. "Da prominente Akteure des Jahres 2023 von Verhaftungen und Entmachtungen betroffen waren, sind nun einige neue Akteure an ihre Stelle getreten, haben RaaS-Programme etabliert und wachsen weiter."