Anzeige

Hacker

Die Bedrohungslage in Sachen Ransomware hat sich in den letzten Wochen und Monaten weltweit verschärft. Fast täglich werden neue Angriffe bekannt, bei denen Unternehmen Opfer eines Verschlüsselungs-Trojaners werden.

Doch ebenso unterschiedlich, wie die dabei attackierten Unternehmen und Branchen ausfallen, genauso vielschichtig sind auch die hinter den Attacken stehenden Hackergruppen und ihre Vorgehensweisen. Proofpoint hat dies nun zum Anlass genommen, um die Bedrohungslandschaft eingehend zu analysieren und die Verbindungen zwischen Ransomware-Akteuren und den Machern der zur initialen Infektion verwendeten Payloads aufzuzeigen.

Das Wichtigste vorab:

  • Ransomware wird selten direkt per E-Mail verbreitet. Verschlüsselungs-Trojaner haben sich heute weitgehend von einer direkten E-Mail-Bedrohung zu einer indirekten Bedrohung gewandelt, bei der die E-Mail lediglich einen Teil der Angriffskette darstellt.
     
  • Ein einziger Ransomware-Stamm machte 2020 und 2021 (Stand heute) 95 Prozent der Ransomware als E-Mail-Payload der ersten Stufe aus.
     
  • Cyberkriminelle, die auf Ransomware setzen, nutzen andere cyberkriminelle „Unternehmen“ – vielfach Verteiler von Bankentrojanern – für die Verbreitung von Malware. Diese Zugangsvermittler verbreiten ihre Backdoors über gefährliche Links und Anhänge, die per E-Mail versendet werden.
     
  • Banking-Trojaner waren die am häufigsten per E-Mail verbreitete Malware-Art. Ihr Anteil betrug in der ersten Hälfte des Jahres 2021 fast 20 Prozent.
     
  • Proofpoint beobachtet derzeit mindestens zehn Bedrohungsakteure, die als Vermittler für diese initialen Zugänge bzw. als mögliche Ransomware-Ableger fungieren.
     
  • Es gibt keine 1:1-Beziehung zwischen Malware-Loadern und Ransomware-Angriffen. Mehrere Bedrohungsakteure verwenden dieselben Malware-Payloads für die Verbreitung von Ransomware.

Laut den Untersuchungen von Proofpoint wird Ransomware zwar noch immer direkt über den Angriffsvektor E-Mail verbreitet, jedoch weitaus seltener als allgemein angenommen werden dürfte. Stattdessen nutzen die Ransomware-Akteure überwiegend illegale Zugänge zu Unternehmen, die sie zuweilen von anderen unabhängigen cyberkriminellen Gruppen erwerben. Letztere infiltrieren große Ziele mit Hilfe einer initialen Payload, beispielsweise einem Loader, um auf Basis dieser Zugänge Profit machen zu können. Dies gelingt ihnen, indem sie die Zugriffsmöglichkeiten für einen Anteil an der Ransomware-Beute verkaufen. Daher können Cyberkriminelle, die bereits Banking-Malware oder andere Trojaner verbreiten, auch Teil eines sogenannten Ransomware-Affiliate-Netzwerks werden.

Die erworbenen Zugänge nutzen die Ransomware-Gruppen sodann, um die Daten ihrer Opfer zu verschlüsseln und unter Umständen zuvor deren Backups unbrauchbar zu machen. Durch die Zusammenarbeit der unterschiedlichen cyberkriminellen Akteure entsteht ein umfassendes, für die Kriminellen lukratives und zweifelsohne illegales Ökosystem. Die daran beteiligten Personen und Organisationen spezialisieren sich ferner zunehmend, um die illegalen Gewinne für alle zu steigern – außer für die Opfer natürlich. Der Verkauf der Zugänge erfolgt nicht selten mittels speziell dafür aufgebauter Foren, über die die Gruppen miteinander in Kontakt stehen.

Als sogenannte First-Stage Malware kommt unter anderem Schadsoftware wie The Trick, Dridex oder Buer Loader zum Einsatz. Diese bilden nach dem Verkauf der Zugänge an Ransomware-Gruppen die Grundlage für die folgende Verschlüsselung und zuweilen den Diebstahl von Daten.

Laut Daten von Proofpoint machten Banking-Trojaner – die häufig als Ransomware-Loader Verwendung finden – fast 20 Prozent der Malware aus, die in der ersten Hälfte dieses Jahres bei den von den Security-Experten beobachten Kampagnen zum Einsatz kamen. Damit sind sie auch der bei Cyberkriminellen beliebteste Malware-Typ, den Proofpoint in der Bedrohungslandschaft beobachten konnte. Zudem konnten die Sicherheitsforscher feststellen, dass Ransomware zum Teil via SocGholish verbreitet wird, wobei gefälschte Updates und Website-Umleitungen zum Einsatz kommen, um Benutzer zu infizieren.

Wie die untenstehende Grafik verdeutlicht, lassen sich anhand der Untersuchungsergebnisse von Proofpoint interessante Erkenntnisse zur arbeitsteiligen Struktur der einzelnen cyberkriminellen Gruppen gewinnen, auch wenn nicht jede Ransomware-Attacke über eine solche Infektionskette erfolgt. Denn auch Software-Schwachstellen, die sich in mit dem Internet verbundenen Geräten finden, sowie unsichere Fernzugriffsdienste werden von den Akteuren genutzt, um ihre Opfer mit Ransomware zu infizieren und deren Daten zu verschlüsseln und zu stehlen.

Die untenstehende Grafik zeigt, dass beispielsweise die Gruppe TA800 (Threat Actor 800) sowohl The Trick als auch BazaLoader in einem ersten Schritt als Türöffner genutzt hat, um dann im zweiten Schritt die Ransomware Ryuk durch diese Tür auf die infizierten Systeme zu spielen. Umgekehrt verwenden sowohl TA577 als auch TA551 IcedID, um dann die Computer mit Egregor, Maze und Sodinokibi zu verschlüsseln.

www.proofpoint.com/de
 


Artikel zu diesem Thema

Hacker
Jun 15, 2021

Plan B der Hacker: Nach dem Angriff ist vor dem Angriff

In den vergangenen Wochen erbeuteten Cyberkriminelle in den aufsehenerregendsten…
Trojaner
Jun 07, 2021

Ransomware, doppelte Erpressung, und was Sie ein Angriff wirklich kostet

Lange Zeit stand das so genannte Phishing bei Cyberkriminellen ganz hoch im Kurs. Dabei…
Ransomware
Jun 04, 2021

Ransomware und Ransomware-as-a-Service - Wie komplex sind die Angriffe?

Die überwiegende Mehrzahl der Unternehmen hat große Bedenken, was Ransomware-Angriffe…

Weitere Artikel

FBI

Das FBI warnt vor der Ransomware-Gruppe "Cuba"

49 Organisationen aus fünf Sektoren der kritischen Infrastruktur wurden laut FBI von der Ransomware-Gruppe Cuba angegriffen. Der Schaden beträgt mindestens 43,9 Millionen US-Dollar.
Weihnachten Hacker

Vorsicht: Weihnachtszeit ist Cyber Crime-Zeit

Cyberkriminelle greifen häufig persönliche Daten von Online-Shoppern ab, um sie später zu verkaufen, zum Beispiel auf dem Genesis Marketplace.
Air Gap

Schadprogramme haben es auch auf "Air Gap"-Netzwerke abgesehen

Kritische und sensible Infrastrukturen müssen besonders stark vor Hackern geschützt werden. Eine Möglichkeit ist die Nutzung sogenannter "Air Gap"-Netzwerke.
Hacker

Alle Jahre wieder: Black Friday Shopper im Fadenkreuz von Hackern

Jedes Jahr wieder markiert das lange Wochenende rund um Black Friday und Cyber Monday den Auftakt zum Weihnachts-Shopping. Cyberkriminelle nutzten die Gelegenheit, um mit Phishing, Scamming und Card-Skimming-Angriffen arglose Online-Einkäufer zu täuschen, wie…
Weihnachten Hacker

BSI und BKA: Erhöhtes Risiko für Cyber-Angriffe an Weihnachten

Für die bevorstehenden Weihnachtsfeiertage besteht aus Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Bundeskriminalamtes (BKA) ein erhöhtes Risiko für Cyber-Angriffe auf Unternehmen und Organisationen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.