„Industrial Spyware“ mischt sich in den Ransomware-Markt ein

Ransomware

Die Sicherheitsforscher des ThreatLabZ-Teams von Zscaler haben eine neue Ransomware-Gruppierung mit Namen Industrial Spyware entdeckt. Erste Spuren dieser neuen Gruppe tauchten im April 2022 auf und seither ist Industrial Spyware mit unterschiedlichen Methoden aufgefallen.

Die Gruppe startete ihre Aktivitäten als Marktplatz für Cyberkriminelle und bot darüber gestohlene Daten großer Unternehmen zum Verkauf an.  Nach den anfänglichen Kampagnen führte die Bedrohungsgruppe ihre eigene Ransomware ein und setze auf Double Extortion-Angriffe, die Datendiebstahl mit Dateiverschlüsselung kombinierten. Die Gruppe nutzt Loader und Infostealer wie SmokeLoader, GuLoader und Redline Stealer.

Anzeige

Die Ransomware-Familie ist relativ einfach aufgebaut, und Teile des Codes scheinen sich immer noch in der Entwicklung zu befinden. Industrial Spy verwendet nur sehr wenige Verschleierungsmethoden außer dem Aufbau von Strings auf dem Stack zur Runtime. Der Ransomware fehlen auch viele der Funktionen, die in modernen Ransomware-Familien üblich sind (z. B. Anti-Debug, Anti-Sandbox usw.), obwohl sich dies in Zukunft ändern könnte.

Derzeit sind noch nicht viele Industrial Spy-Ransomware-Samples „in the wild“ beobachtet worden. Allerdings fügt die Gruppe pro Monat zwei neue Organisationen auf ihrem Datenleak-Portal hinzu, die ihren Angriffen zum Opfer gefallen sind. Das erste Opfer auf der Leak-Site wurde am 15.03.2022 aufgeführt. Die Gesamtzahl der Opfer auf dem Portal betrug am 25. Juli 2022 37.

Industrial Spy verkauft hauptsächlich einzelne Dateien anstelle von Dateibündeln in einer Preisspanne von einem US-Dollar bis zu Zehntausenden von US-Dollar. Es ist zu vermuten, dass die Gruppe die erbeuteten Dateien überprüft, bevor sie sensible Dateien mit einem hohen Preisschild versieht und den Rest der Dateien mit einem Preisschild von einem bis zwei US-Dollar verramscht. ThreatLabz hat beobachtet, dass Betriebssystemdateien mit begrenztem Wert wie desktop.ini und thumbs.db für zwei US-Dollar angeboten werden.

Deepen Desai, CISO und VP of Security Research bei Zscaler kommentiert: „In den letzten Jahren ist die Ransomware-Bedrohung immer gefährlicher geworden. Neue Methoden wie Double Extortion und DDoS-Angriffe machen es Cyberkriminellen leicht, Unternehmen zu sabotieren und deren Ruf nachhaltig zu schädigen. Mit zunehmender Beliebtheit von RaaS wenden Cyberkriminelle doppelte Erpressungsmethoden an, die neben der ungewollten Verschlüsselung sensibler Daten auch die Exfiltration der wichtigsten Dateien beinhalten, um Lösegeld zu erpressen. Selbst wenn die betroffenen Unternehmen in der Lage sind, die Daten aus Backups wiederherzustellen, droht ihnen immer noch die öffentliche Preisgabe ihrer gestohlenen Daten durch die Angreifer, um der Lösegeldforderung Nachdruck zu verleihen.“

Newcomer im Ransomware-Markt

Industrial Spy ist ein Neueinsteiger im Ransomware-Ökosystem. Die Malware ist derzeit nicht sehr umfangreich ausgestattet, aber die Dateiverschlüsselung ist funktional, was sie zu einer gefährlichen Bedrohung macht, was die wachsende Anzahl an Opfern belegt. Auf dem Ransomware-Markt gibt es viele Akteure, die kommen und gehen, und es ist schwierig, die Gruppen zu bestimmen, die sich langfristig durchsetzen werden. Es ist jedoch wahrscheinlich, dass diese Bedrohungsgruppe zumindest in naher Zukunft bestehen bleibt und weitere Ransomware-Updates und Funktionen folgen werden. ThreatLabz überwacht weiterhin alle Aktivitäten der Gruppe und wird Neuigkeiten zu ihr veröffentlichen.

www.zscaler.com

Anzeige

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.