In einer neuen Analyse haben Cybersecurity-Experten von Palo Alto und des Analyse-Teams Unit 42 vier Ransomware-Gruppen identifiziert, die in letzter Zeit besonders aktiv sind. Anzeichen würden darauf hinweisen, dass sich diese Banden in Zukunft weiter ausbreiten könnten, heisst es in der Einführung zum Report.
Einige bekannte Ransomware-Banden wie Darkisde, REvil und Maze sind in den letzten Monaten von der Bildfläche verschwunden oder haben selber ihre Auflösung bekannt gegeben. Manchmal verbirgt sich dahinter aber auch nur eine Namensänderung – und die Cyberkriminellen machen im selben Stil oder neuer Zusammensetzung weiter.
Als die vier aufstrebenden Ransomware-Gruppen nennt Palo Alto im Report Avoslocker, Hive, HelloKitty und Lockbit 2.0.
- Avoslocker wurde erstmals im Juli 2021 entdeckt. Die Gruppe arbeitet mit Ransomware-as-a-Service (RaaS). Sie betreibt auch eine Datenleck-Site und sucht offenbar nach Partnern, um eine "ausfallsichere" Malware zu verbreiten, die auf Windows-Rechner abzielt. Erkennungszeichen ist ein blaues Käferlogo, und erste Opfer wurden unter anderem in den USA, Grossbritannien, Belgien und Spanien bekannt.
- Hive ist ebenfalls ein neuer Name, der erstmals im Juni 2021 in Erscheinung trat. Auf der Website der Gruppe werden 28 Unternehmen und Institutionen aufgelistet, die bisher zu den Zielen gehört haben sollen. Laut Palo Alto ist Hive bei der Auswahl der Ziele "besonders unangenehm" und attackiert gezielt Gesundheitseinrichtungen und KMU. Dabei nutzt die Bande die doppelte Erpressung : Sie verschlüsselt Systeme und droht gleichzeitig mit der Veröffentlichung von Daten.
- Lockbit 2.0 arbeitet mir RaaS und die Gruppe dahinter ist nicht neu, sondern war davor unter dem Namen ABCD aktiv. Die Akteure sollen früher mit Maze zusammengearbeitet haben. Lockbit falle mit einer "ausgeklügelten Marketingkampagne" auf, um neue Partner anzuwerben. Die Gang wirbt damit, die "schnellste Verschlüsselung" auf dem Markt anzubieten und listet 52 Opfer aus unterschiedlichen Branchen auf, darunter als Schweizer Opfer auch die Seliner Schreinerei aus Niederurnen. Zuletzt sorgte Lockbit vor allem mit dem Angriff auf Accenture für Aufsehen.
- HelloKitty tauchte erstmals Ende 2020 auf und zielte anfänglich hauptsächlich auf Windows-Systeme ab. Doch nun nimmt die Bande laut Palo Alto auch Linux-Systeme ins Visier, auf denen der ESXi-Hypervisor von VMware läuft. Im Juli sei erstmals die neue Variante beobachtet worden. Diese habe fünf Unternehmen in Australien, Deutschland, den Niederlanden, Italien und den USA infiziert. HelloKitty (benannt nach der Schadsoftware HelloKittyMutex) sei besonders dreist und fordere bis zu 10 Millionen US-Dollar Lösegeld. Zum Zeitpunkt der Erstellung des Reports hätten die Cyberkriminellen bisher aber nur drei Transaktionen im Gesamtwert von knapp 1,5 Millionen Dollar erhalten.
Der aktuelle Report von Palo Alto mit weiteren Details zu den vier Ransomware-Banden ist
auf der Website der Security-Research- und -Consulting-Abteilung des Unternehmens, Unit 42, veröffentlicht worden.