Es bleibt alles in der Familie – die verschiedenen Arten von Ransomware

markus-spiske-iar-afB0QQw-unsplash

Moderne Zeiten erfordern moderne Sicherheitsmaßnahmen, besonders, wenn wir von der Entwicklung der Cyberkriminalität sprechen. Gerade ein Ransomware-Angriff ist für Unternehmen meist nicht nur ein Schock, sondern bedeutet unter Umständen den finanziellen Ruin. Die Experten von Trellix geben einen Überblick.

Was geschieht bei einem Ransomware-Angriff?

Ransomware ist eine Unterart von Malware, die Daten auf dem System eines Opfers sperren und verschlüsseln kann. Die Angreifer benachrichtigen das Opfer anschließend, um ein Lösegeld zu erpressen. Nach Erhalt einer Zahlung sollen die Daten dann entschlüsselt und freigegeben werden – so das Versprechen.

Ransomware ist so alt wie die Geschichte selbst

Zumindest bedienen sich Entwickler von Ransomware einfach gerne an historischen oder SciFi-Begriffen. Daher ist es nicht verwunderlich, dass der erste Trojaner, der als Ransomware-Attacke bekannt wurde, wahlweise als „AIDS Trojaner“ oder „PC Cyborg“ bezeichnet wird. Der Trojaner wurde 1989 per Floppy Discs übertragen, die der AIDS-Forscher Joseph Popp in Umlauf brachte. Damals wie heute ist die Healthcare-Branche sehr gefährdet durch Cyberangriffe und durch die ihr inhärenten sensiblen Daten besonders schützenswert.

Die Top 5 Ransomware-Familien

Es gibt viele Gefahren in der digitalen Welt – und doch kamen in den letzten Jahren immer wieder Varianten der gleichen Ransomware-Familien auf. Hier sind die bekanntesten fünf:

Am weitesten verbreitet: LockBit

Im Jahr 2022 war LockBit die häufigste Ransomware-Variante und hat bis heute nichts von ihrer Gefährlichkeit verloren. Am besten bekannt ist sie wegen des schlimmen Angriffs auf das französische Krankenhaus CHSF. Das System basiert auf Ransomware-as-a-Service (RaaS), das ganz auf die spezifischen Anforderungen und TTPs zugeschnitten werden kann. Das macht die Abwehr solcher auf LockBit basierenden Angriffe noch komplexer.

Auf Platz 2: ALPHV oder auch BlackCat

Dieser relativ junge Akteur in der Cyber-Bedrohungslandschaft tritt seit 2021 immer wieder auf den Plan. Die Gruppe geht gezielt in Branchen wie Healthcare, Finance, Industrie und Behörden vor. Zur Verbreitung der Verschlüsselungsalgorithmen werden Phishing-Kampagnen und Exploits-Kits genutzt, sowie anfällige Remote-Desktop-Dienste.

Der dritte Platz: CL0P

Bekannt für ihre ausgefeilten Techniken einer doppelten Erpressungs-Strategie ist die seit Februar 2019 aktive CL0P-Ransomware-Gruppe. Sensible Daten werden nicht nur verschlüsselt, sondern auch exfiltriert. Damit wird der Druck zur Zahlung eines Lösegelds nochmal erhöht. Die Angriffe richten sich primär gegen Unternehmen aus den Bereichen Healthcare, Bildung, Finance und Einzelhandel. Eine Verbreitung findet meist per Phishing-Mails statt.

Nummer 4: PYSA oder Mespinoza

Ähnlich wie CL0P nutzt die seit 2020 bestehende PYSA-Ransomware starke Verschlüsselungstechniken sowie doppelte Verschlüsselung. Besonders betroffen sind die Branchen Healthcare, Bildung, Industrie sowie Behörden oder Regierungseinrichtungen. PYSA nutzt für die Verbreitung seiner Ransomware häufig Phishing-Mails oder Schwachstellen innerhalb der Systeme der Ziele.

Der fünfte Platz: BianLian

Seit Juni 2022 ist die Ransomware-Familie BianLian aktiv, die der WIZARD SPIDER Gruppe zugeordnet wird. Zu den attackierten Branchen gehören Healthcare, der Energiesektor, Finance und Technologie. Die Angriffe haben bereits zu erheblichen finanziellen Verlusten und Ausfällen bei den betroffenen Unternehmen geführt – genutzt werden Taktiken wie Spear-Phishing oder Schwachstellen der Systeme.

Die Verlagerung der Angriffe auf kritische Infrastrukturen ist alarmierend – was bringt die Zukunft?

Umfangreiche Angriffe erfordern ebenso umfangreiche Sicherheitsmaßnahmen – etwa durch Prinzipien wie Extended Detection and Response (XDR). Nur, wer Einblick in seine Systeme hat, kann auch schnell und ausreichend auf Bedrohungen aller Art reagieren. Besonders in Kombination mit Automatisierungen sind diese korrelierten Daten für transparente Einblicke in die eigenen Systeme und adäquate Informationen zu möglichen Angriffen wertvoll. Aktuell oder zukünftig.