Ransomware: Das sind die Top 3 Cyberkriminellen
Ransomware-Angriffe sind laut Bundesamt für Sicherheit in der Informationstechnik (BSI) weiterhin die größte Cyberbedrohung in Deutschland. Eine neue Untersuchung des Security-Anbieters BlackBerry zeigt, welche drei Angreifer am häufigsten auftreten.
Viele Kriminelle und organisierte Banden nutzen Ransomware aus finanzieller Motivation und nehmen weltweit Unternehmen jeder Größe und aus allen Branchen ins Visier. Der frühere Mobiltelefonhersteller und jetzige Security-Anbieter BlackBerry hat im Rahmen eines Global Threat Intelligence Reports ermittelt, welche Gruppen in der EMEA-Region aktiv und von Bedeutung sind.
Bedeutende kriminelle Akteure
Im Global Threat Intelligence Report von BlackBerry sind die Ransomware-Kriminellen je nach geografischer Region aufgeführt. Im Berichtszeitraum bis März 2024 zählen in der EMEA-Region diese Bedrohungsakteure dazu:
Hunters International: Bietet nicht nur in einem Wirtschaftsraum, sondern weltweit Ransomware as a Service (RaaS). Das Verbrechersyndikat gibt es seit Ende 2023 und gehört seit Anfang 2024 zu den bekannten Akteuren der Szene. Wahrscheinlich ging es aus der Ransomware-Gruppe Hive hervor, die Anfang 2023 von den Strafverfolgungsbehörden zerschlagen wurde. Nach einem erfolgreichen Angriff nutzt Hunters International die Methode der doppelten Erpressung. Die Kriminellen verschlüsseln zunächst die Daten des Opfers und fordern ein Lösegeld. Später drohen sie mit der Veröffentlichung der Daten und verlangen noch einmal Geld.
8Base: Trat erstmals im Jahr 2022 in Erscheinung und erlangte Ende 2023 große Bekanntheit. Die sehr aktive und aggressive Ransomware-Gruppe vertraut auf eine Vielzahl von Taktiken, Techniken und Verfahren (Tactics, Techniques and Procedures, TTPs). Sie nutzt neu entdeckte Schwachstellen häufig schnell aus und setzt verschiedene Ransomware-Varianten ein, einschließlich Phobos.
Play: Tauchte auch im Jahr 2022 auf und wendet mithilfe von Ransomware die Methode der mehrfachen Erpressung an. Gestohlene Daten speichert die Gruppe auf einer Website im Tor-Netzwerk. Anschließend droht sie, alles zu veröffentlichen, wenn die Lösegeldzahlung nicht erfolgt. Oft zielt Play auf kleine und mittlere Unternehmen (KMU) ab – aktuell vor allem in Nordamerika, aber auch in der EMEA-Region. Für die Erkundung eines Netzwerks und die laterale Bewegung setzen die Kriminellen hauptsächlich auf vorgefertigte Lösungen, wie zum Beispiel Cobalt Strike, Empire und Mimikatz. Noch vor Ransomware kommt zudem Grixba zum Einsatz, eine selbst entwickelte Lösung zur Analyse von Netzwerken und Informationsdiebstahl.
Schwachstellen werden unverzüglich genutzt
Ransomware-Gruppen finden immer wieder neue Wege, um übliche Sicherheitsmaßnahmen zu umgehen. Neue Schwachstellen nutzen sie direkt aus. Deshalb kommt es nun auf die richtigen Gegenmaßnahmen an. "Die Kompetenz der einzelnen Bedrohungsakteure macht Ransomware weiterhin zu einer ernsthaften Bedrohung", erklärt BlackBerry Geschäftsführer DACH Ulf Baltin. "Unternehmen müssen daher rechtzeitig passende Cybersecurity-Lösungen wählen, die jederzeit Schutz gewährleisten." BlackBerry mit Deutschland-Sitz in Düsseldorf berät Kunden im Kampf gegen Ransomware-Gruppen und offeriert entsprechende Lösungen.