Vier neue Ransomware-Banden im Angriffsmodus

25. August 2021 um 14:39
image

Die Cybersecurity-Forscher von Palo Alto haben neue Akteure untersucht, vor denen sich Unternehmen besonders in Acht nehmen sollten.

In einer neuen Analyse haben Cybersecurity-Experten von Palo Alto und des Analyse-Teams Unit 42 vier Ransomware-Gruppen identifiziert, die in letzter Zeit besonders aktiv sind. Anzeichen würden darauf hinweisen, dass sich diese Banden in Zukunft weiter ausbreiten könnten, heisst es in der Einführung zum Report.
Einige bekannte Ransomware-Banden wie Darkisde, REvil und Maze sind in den letzten Monaten von der Bildfläche verschwunden oder haben selber ihre Auflösung bekannt gegeben. Manchmal verbirgt sich dahinter aber auch nur eine Namensänderung – und die Cyberkriminellen machen im selben Stil oder neuer Zusammensetzung weiter.
Als die vier aufstrebenden Ransomware-Gruppen nennt Palo Alto im Report Avoslocker, Hive, HelloKitty und Lockbit 2.0.
  • Avoslocker wurde erstmals im Juli 2021 entdeckt. Die Gruppe arbeitet mit Ransomware-as-a-Service (RaaS). Sie betreibt auch eine Datenleck-Site und sucht offenbar nach Partnern, um eine "ausfallsichere" Malware zu verbreiten, die auf Windows-Rechner abzielt. Erkennungszeichen ist ein blaues Käferlogo, und erste Opfer wurden unter anderem in den USA, Grossbritannien, Belgien und Spanien bekannt.
  • Hive ist ebenfalls ein neuer Name, der erstmals im Juni 2021 in Erscheinung trat. Auf der Website der Gruppe werden 28 Unternehmen und Institutionen aufgelistet, die bisher zu den Zielen gehört haben sollen. Laut Palo Alto ist Hive bei der Auswahl der Ziele "besonders unangenehm" und attackiert gezielt Gesundheitseinrichtungen und KMU. Dabei nutzt die Bande die doppelte Erpressung : Sie verschlüsselt Systeme und droht gleichzeitig mit der Veröffentlichung von Daten.
  • Lockbit 2.0 arbeitet mir RaaS und die Gruppe dahinter ist nicht neu, sondern war davor unter dem Namen ABCD aktiv. Die Akteure sollen früher mit Maze zusammengearbeitet haben. Lockbit falle mit einer "ausgeklügelten Marketingkampagne" auf, um neue Partner anzuwerben. Die Gang wirbt damit, die "schnellste Verschlüsselung" auf dem Markt anzubieten und listet 52 Opfer aus unterschiedlichen Branchen auf, darunter als Schweizer Opfer auch die Seliner Schreinerei aus Niederurnen. Zuletzt sorgte Lockbit vor allem mit dem Angriff auf Accenture für Aufsehen.
  • HelloKitty tauchte erstmals Ende 2020 auf und zielte anfänglich hauptsächlich auf Windows-Systeme ab. Doch nun nimmt die Bande laut Palo Alto auch Linux-Systeme ins Visier, auf denen der ESXi-Hypervisor von VMware läuft. Im Juli sei erstmals die neue Variante beobachtet worden. Diese habe fünf Unternehmen in Australien, Deutschland, den Niederlanden, Italien und den USA infiziert. HelloKitty (benannt nach der Schadsoftware HelloKittyMutex) sei besonders dreist und fordere bis zu 10 Millionen US-Dollar Lösegeld. Zum Zeitpunkt der Erstellung des Reports hätten die Cyberkriminellen bisher aber nur drei Transaktionen im Gesamtwert von knapp 1,5 Millionen Dollar erhalten.
Der aktuelle Report von Palo Alto mit weiteren Details zu den vier Ransomware-Banden ist auf der Website der Security-Research- und -Consulting-Abteilung des Unternehmens, Unit 42, veröffentlicht worden.

Loading

Mehr zum Thema

image

Xplain kann weiteren Kunden halten

Der Kanton Aargau hatte die Zusammenarbeit nach dem Cyberangriff auf den IT-Dienstleister ausgesetzt. Jetzt sollen Projekte aber weitergeführt werden.

publiziert am 26.2.2024
image

Vogt am Freitag: Die halbe Wahrheit

Auf den ersten Blick lässt die 'NZZ' in einem Artikel zum erlebten Cyberangriff die Hosen runter. Bei genauem Hinsehen fehlen aber wichtige Informationen.

publiziert am 23.2.2024 1
image

3 Millionen für externe Security-Spezialisten im Kanton Zug

Die Innerschweizer brauchen Unterstützung im Aufbau und Betrieb eines Security Operation Centers.

publiziert am 23.2.2024
image

Die Schlinge um Lockbit zieht sich zu

Eine internationale Polizeiaktion hat die Ransomware-Bande empfindlich getroffen. Dennoch lässt sich ein Comeback der Cyberkriminellen nicht ganz ausschliessen.

publiziert am 22.2.2024