Neue Ransomware-Banden zielen auch auf Schweizer Firmen

21. Oktober 2024 um 11:09
image
Illustration: Erstellt durch inside-it.ch mit Midjourney

Aufstrebende Gruppen wie Ransomhub weiten ihre Angriffe aus, auch in der Schweiz. Security-Experte André Reichow-Prehn erklärt die Hintergründe.

Mit der internationalen "Operation Cronos" wurde ein Teil der Infrastruktur der Ransomware-Bande Lockbit abgeschaltet, es kam zu einigen Verhaftungen. Das scheint Früchte zu tragen: Obwohl nach wie vor aktiv, hat Lockbit seine andauernde Spitzenposition eingebüsst. Laut dem Monitoring der Security-Plattform Falconfeeds führte Ransomhub die Rangliste der aktivsten Gruppen im September an, gefolgt von Play.
Ransomhub hat einen rasanten Aufstieg hinter sich und operiert mit dem Modell Ransomware-as-a-Service (RaaS). Erstmals im Februar 2024 gesichtet, hat die Bande seither schon 417 Opfer im Darkweb veröffentlicht (Stand 21. Oktober). Darunter befinden sich auch drei Opfer aus der Schweiz: eine Innenarchitektur-Firma aus der Romandie, eine Industriefirma aus dem Kanton Zürich sowie als letztes Opfer Schneider Software aus Thun. Das Unternehmen schilderte uns im September den Angriff.

Anfänge im russischen Cybercrime-Forum

"Spoiled Scorpius ist der Name, den wir für die Gruppe hinter Ransomhub verwenden. Die Ransomware wurde erstmals im Februar im Cybercrime-Forum Russian Anonymous Market Place (RAMP) von einem Konto namens Koley angekündigt", erklärt André Reichow-Prehn, Managing Partner Unit 42 des Security-Unternehmens Palo Alto Networks, gegenüber inside-it.ch. Affiliates würden 90% des Lösegelds erhalten und die Gruppe agiere weitgehend opportunistisch. "Sie verbietet jedoch Angriffe auf Einheiten in Kuba, China, Nordkorea und russischen Gebieten." Auch die gezielte Ausrichtung auf gemeinnützige Organisationen sei den Partnern untersagt.
Unit 42 habe Beweise gefunden, dass Spoiled Scorpius seinen Zugang zu den Systemen der Opfer nutzte, um Backups sowohl aus dem lokalen als auch aus dem Cloud-Speicher zu löschen. "Die Ransomhub-Ransomware ist in Golang und C++ geschrieben. Spoiled Scorpius hat DDoS-Angriffe durchgeführt oder Schwachstellen wie die Microsoft-Lücke Zerologon CVE-2020-1472 ausgenutzt, um bei seinen Opfern einzudringen", erläutert Reichow-Prehn das Vorgehen.
"Sie scheinen sich Zugangsdaten von Vermittlern zu besorgen und für den Zugang auch ihr eigenes SEO-Poisoning-Systems zu nutzen. Beide Wege helfen ihnen, stark zu wachsen und zu skalieren." Es gebe auch Erkenntnisse, die Ransomhub mit den ehemaligen Ransomware-Gruppen Knight (Cyclops) und Alphv/Blackcat in Zusammenhang bringen.

Angriffe auf Schweizer KMU

Ein weiterer neuer Name im RaaS-Geschäft ist Repellent Scorpius. Seit dem vergangenen Mai aktiv, hat auch diese Gruppe bereits in der Schweiz zugeschlagen. Sie attackierte im August eine St. Galler Malereibetrieb und eine Sanitärfirma im Kanton Zürich.
image
André Reichow-Prehn.
Dazu erklärt Reichow-Prehn: "Repellent Scorpius nennen wir den Vertreiber der Ransomware Cicada3301. Bemerkenswert ist, dass wir Anzeichen dafür beobachtet haben, dass die Gruppe über Daten aus älteren kompromittierten Vorfällen verfügt." Es sei aber unklar, ob der Bedrohungsakteur zuvor Ransomware anderer Marken eingesetzt oder ob er Daten von anderen Ransomware-Gruppen gekauft oder geerbt hat. "Wir beobachteten gewisse Überschneidungen mit Angriffen eines Tochterunternehmens, das zuvor Blackcat-Ransomware einsetzte."

Ransomware ist in Rust geschrieben

Cicada3301 ist in Rust geschrieben. Wird dadurch eine Abwehr schwieriger? "In Rust wurden in letzter Zeit mehrere Malware-Varianten geschrieben. Bei der forensischen Analyse stellt dies eine grössere Herausforderung dar, da die Dekompilierung nicht so einfach ist und mehr Zeit erfordert", so André Reichow-Prehn.
Auch diese Gruppe sei in den letzten Monaten stark gewachsen und rekrutiere in hohem Mass Erstzugangsvermittler vorwiegend in Russland. Das verändere die RaaS-Landschaft, erklärt der Threat-Spezialist. "Da prominente Akteure des Jahres 2023 von Verhaftungen und Entmachtungen betroffen waren, sind nun einige neue Akteure an ihre Stelle getreten, haben RaaS-Programme etabliert und wachsen weiter."

Loading

Mehr zum Thema

image

Das Meldewesen in der Beherbergung wird digital

Der Bund will das Meldewesen in der Beherbergung schweizweit digitalisieren. Dazu soll die Behördenplattform Easygov ergänzt werden.

publiziert am 20.1.2025
image

Beginnt das WEF, starten die DDoS-Attacken

Prorussische Gruppen melden erste Angriffe in Graubünden. Das Bundesamt für Cybersicherheit sieht kritische Infrastrukturen gewappnet.

publiziert am 20.1.2025
image

Datasport gewinnt den Courage Award

Mit dem Award zeichnen Inside IT und ISSS Unternehmen aus, die nach einem Cyberangriff besonders vorbildlich kommunizierten.

publiziert am 16.1.2025
image

Podcast: Von Melani zum Bacs

Eine gewisse Narrenfreiheit und viel Aufbauarbeit: So verlief die Anfangszeit der Melde- und Analysestelle des Bundes. Im Podcast spricht Inside IT über den Start der Stelle vor 20 Jahren und die Entwicklung zum Bundesamt.

publiziert am 17.1.2025