Anzeige

Hacker

Die Bedrohungslage in Sachen Ransomware hat sich in den letzten Wochen und Monaten weltweit verschärft. Fast täglich werden neue Angriffe bekannt, bei denen Unternehmen Opfer eines Verschlüsselungs-Trojaners werden.

Doch ebenso unterschiedlich, wie die dabei attackierten Unternehmen und Branchen ausfallen, genauso vielschichtig sind auch die hinter den Attacken stehenden Hackergruppen und ihre Vorgehensweisen. Proofpoint hat dies nun zum Anlass genommen, um die Bedrohungslandschaft eingehend zu analysieren und die Verbindungen zwischen Ransomware-Akteuren und den Machern der zur initialen Infektion verwendeten Payloads aufzuzeigen.

Das Wichtigste vorab:

  • Ransomware wird selten direkt per E-Mail verbreitet. Verschlüsselungs-Trojaner haben sich heute weitgehend von einer direkten E-Mail-Bedrohung zu einer indirekten Bedrohung gewandelt, bei der die E-Mail lediglich einen Teil der Angriffskette darstellt.
     
  • Ein einziger Ransomware-Stamm machte 2020 und 2021 (Stand heute) 95 Prozent der Ransomware als E-Mail-Payload der ersten Stufe aus.
     
  • Cyberkriminelle, die auf Ransomware setzen, nutzen andere cyberkriminelle „Unternehmen“ – vielfach Verteiler von Bankentrojanern – für die Verbreitung von Malware. Diese Zugangsvermittler verbreiten ihre Backdoors über gefährliche Links und Anhänge, die per E-Mail versendet werden.
     
  • Banking-Trojaner waren die am häufigsten per E-Mail verbreitete Malware-Art. Ihr Anteil betrug in der ersten Hälfte des Jahres 2021 fast 20 Prozent.
     
  • Proofpoint beobachtet derzeit mindestens zehn Bedrohungsakteure, die als Vermittler für diese initialen Zugänge bzw. als mögliche Ransomware-Ableger fungieren.
     
  • Es gibt keine 1:1-Beziehung zwischen Malware-Loadern und Ransomware-Angriffen. Mehrere Bedrohungsakteure verwenden dieselben Malware-Payloads für die Verbreitung von Ransomware.

Laut den Untersuchungen von Proofpoint wird Ransomware zwar noch immer direkt über den Angriffsvektor E-Mail verbreitet, jedoch weitaus seltener als allgemein angenommen werden dürfte. Stattdessen nutzen die Ransomware-Akteure überwiegend illegale Zugänge zu Unternehmen, die sie zuweilen von anderen unabhängigen cyberkriminellen Gruppen erwerben. Letztere infiltrieren große Ziele mit Hilfe einer initialen Payload, beispielsweise einem Loader, um auf Basis dieser Zugänge Profit machen zu können. Dies gelingt ihnen, indem sie die Zugriffsmöglichkeiten für einen Anteil an der Ransomware-Beute verkaufen. Daher können Cyberkriminelle, die bereits Banking-Malware oder andere Trojaner verbreiten, auch Teil eines sogenannten Ransomware-Affiliate-Netzwerks werden.

Die erworbenen Zugänge nutzen die Ransomware-Gruppen sodann, um die Daten ihrer Opfer zu verschlüsseln und unter Umständen zuvor deren Backups unbrauchbar zu machen. Durch die Zusammenarbeit der unterschiedlichen cyberkriminellen Akteure entsteht ein umfassendes, für die Kriminellen lukratives und zweifelsohne illegales Ökosystem. Die daran beteiligten Personen und Organisationen spezialisieren sich ferner zunehmend, um die illegalen Gewinne für alle zu steigern – außer für die Opfer natürlich. Der Verkauf der Zugänge erfolgt nicht selten mittels speziell dafür aufgebauter Foren, über die die Gruppen miteinander in Kontakt stehen.

Als sogenannte First-Stage Malware kommt unter anderem Schadsoftware wie The Trick, Dridex oder Buer Loader zum Einsatz. Diese bilden nach dem Verkauf der Zugänge an Ransomware-Gruppen die Grundlage für die folgende Verschlüsselung und zuweilen den Diebstahl von Daten.

Laut Daten von Proofpoint machten Banking-Trojaner – die häufig als Ransomware-Loader Verwendung finden – fast 20 Prozent der Malware aus, die in der ersten Hälfte dieses Jahres bei den von den Security-Experten beobachten Kampagnen zum Einsatz kamen. Damit sind sie auch der bei Cyberkriminellen beliebteste Malware-Typ, den Proofpoint in der Bedrohungslandschaft beobachten konnte. Zudem konnten die Sicherheitsforscher feststellen, dass Ransomware zum Teil via SocGholish verbreitet wird, wobei gefälschte Updates und Website-Umleitungen zum Einsatz kommen, um Benutzer zu infizieren.

Wie die untenstehende Grafik verdeutlicht, lassen sich anhand der Untersuchungsergebnisse von Proofpoint interessante Erkenntnisse zur arbeitsteiligen Struktur der einzelnen cyberkriminellen Gruppen gewinnen, auch wenn nicht jede Ransomware-Attacke über eine solche Infektionskette erfolgt. Denn auch Software-Schwachstellen, die sich in mit dem Internet verbundenen Geräten finden, sowie unsichere Fernzugriffsdienste werden von den Akteuren genutzt, um ihre Opfer mit Ransomware zu infizieren und deren Daten zu verschlüsseln und zu stehlen.

Die untenstehende Grafik zeigt, dass beispielsweise die Gruppe TA800 (Threat Actor 800) sowohl The Trick als auch BazaLoader in einem ersten Schritt als Türöffner genutzt hat, um dann im zweiten Schritt die Ransomware Ryuk durch diese Tür auf die infizierten Systeme zu spielen. Umgekehrt verwenden sowohl TA577 als auch TA551 IcedID, um dann die Computer mit Egregor, Maze und Sodinokibi zu verschlüsseln.

www.proofpoint.com/de
 


Artikel zu diesem Thema

Hacker
Jun 15, 2021

Plan B der Hacker: Nach dem Angriff ist vor dem Angriff

In den vergangenen Wochen erbeuteten Cyberkriminelle in den aufsehenerregendsten…
Trojaner
Jun 07, 2021

Ransomware, doppelte Erpressung, und was Sie ein Angriff wirklich kostet

Lange Zeit stand das so genannte Phishing bei Cyberkriminellen ganz hoch im Kurs. Dabei…
Ransomware
Jun 04, 2021

Ransomware und Ransomware-as-a-Service - Wie komplex sind die Angriffe?

Die überwiegende Mehrzahl der Unternehmen hat große Bedenken, was Ransomware-Angriffe…

Weitere Artikel

Spyware

Neue Windows-Spyware verbreitet sich über Anzeigen in Suchergebnissen

Sicherheitsexperten von Bitdefender haben eine neue Form von Malware entdeckt, die Windowscomputer über Werbeanzeigen in den Suchergebnissen infiziert.
Ransomware

Ransomware: Zahl der Angriffe erneut gestiegen

Nach heftigen Angriffen zu Beginn des Jahres (Stichwort: Solar Winds) zeigt sich auch im Q2 2021 kein Abschwächen in Sachen Ransomware. Im Gegenteil: Die Bedrohungslandschaft hat sich verschärft und die Gruppen neu profiliert.
Hackerangriff

Kampf gegen Cybercrime: Stärkere Regulierung von Kryptowährungen

Aufgrund der steigenden Anzahl krimineller Aktivitäten im Cyberraum – z.B. Geldwäsche, Finanzierung von Terrorismus etc. – hat die EU-Kommission jüngst eine Reihe von Gesetzesvorschlägen herausgegeben, die Transaktionen mittels Kryptowährungen wie Bitcoin…
Hackerangriff

Chinesische Angreifer attackieren Telkos mit dem Ziel umfassender Cyberspionage

Cybereason, Unternehmen beim betriebszentrierten Schutz vor Cyberangriffen, ist es gelungen, verschiedene bislang nicht anderweitig identifizierte Cyberangriffe aufzudecken, die große Telekommunikationsanbieter in ganz Südostasien infiltrieren.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.