{"id":2231,"date":"2025-03-07T04:00:00","date_gmt":"2025-03-07T04:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=2231"},"modified":"2025-03-07T04:00:00","modified_gmt":"2025-03-07T04:00:00","slug":"11-ruinose-ransomware-bedrohungen","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=2231","title":{"rendered":"11 ruin\u00f6se Ransomware-Bedrohungen"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
F\u00fcr Unternehmen ist Ransomware weiterhin eine existenzielle Bedrohung, f\u00fcr Kriminelle ein immer eintr\u00e4glicheres (Service)gesch\u00e4ft.\n

Gonin | shutterstock.com<\/p>\n<\/div>\n

Ransomware<\/a> bleibt branchen\u00fcbergreifend auf dem Vormarsch und entwickelt sich best\u00e4ndig weiter \u2013 vereinzelten beh\u00f6rdlichen Erfolgen<\/a> zum Trotz. Das ist unter anderem auch folgenden Trends zuzuschreiben:<\/p>\n

Ransomware-as-a-Service (RaaS<\/a>)-Angebote senken die Zugangsbarrieren.<\/p>\n

Neue Erpressungstaktiken<\/a> versprechen noch mehr kriminelle Gewinne.<\/p>\n

K\u00fcnstliche Intelligenz (KI) wird bei Cyberkriminellen immer beliebter<\/a>.<\/p>\n

Davon abgesehen, kommen f\u00fcr jeden Bedrohungsakteur, der von der Bildfl\u00e4che verschwindet, (mindestens) zwei neue nach. Die Angreifer, die Ransomware einsetzen, entstammen inzwischen unterschiedlichen \u201eKasten\u201c des Cybercrime-Untergrunds \u2013 vom technisch eher nicht versierten Einzelt\u00e4ter \u00fcber professionell organisierte Cybercrime-Banden bis hin zu Bedrohungsakteuren, die in staatlichem Auftrag operieren.<\/p>\n

Die folgenden elf (aktiven) Ransomware-as-a-Service-Bedrohungen sind f\u00fcr Sicherheitsentscheider und ihre Unternehmen besonders unheilvoll.<\/p>\n

1. Akira<\/h2>\n

Hintergrund: <\/strong>Bei Akira<\/a> handelt es sich um eine ausgekl\u00fcgelte RaaS-Operation, die erstmals Anfang 2023 aufgetaucht ist.<\/p>\n

Funktionsweise:<\/strong> Um die IT-Systeme von Unternehmen anzugreifen, konzentrieren sich Cybercrime-Gruppen, die die Akira-Ransomware einsetzen, h\u00e4ufig auf:<\/p>\n

Authentifizierungsschwachstellen in VPN-Appliances,<\/p>\n

offene RDP-Clients und<\/p>\n

kompromittierte Anmeldedaten.<\/p>\n

Ziele:<\/strong> Mit Akira werden insbesondere kleine und mittelgro\u00dfe Unternehmen in Nordamerika, Europa und Australien angegriffen. Laut den Experten von Unit 42<\/a> (Palo Alto Networks), stehen dabei in erster Linie Unternehmen aus dem verarbeitenden Gewerbe, dem Dienstleistungssektor, der ITK-Branche sowie den Bereichen Technologie und Pharma im Visier.\u00a0 \u00a0<\/p>\n

Attribution:<\/strong> Einige Indizien deuten auf Verbindungen nach Russland hin<\/a>, beziehungsweise zur nicht mehr existenten Ransomware-Bande Conti. Gesicherte Informationen dazu gibt es jedoch bislang nicht.<\/p>\n

2. Black Basta<\/h2>\n

Hintergrund:<\/strong> Die Ransomware-Gang Black Basta hat sich erstmals Anfang 2022 in Szene gesetzt und gilt als Ableger der ber\u00fcchtigten Conti<\/a>-Bande.<\/p>\n

Funktionsweise:<\/strong> Wird ein Unternehmensnetzwerk von der Black-Basta-Malware heimgesucht, geschieht das im Regelfall \u00fcber:<\/p>\n

bekannte Schwachstellen oder<\/p>\n

Social-Engineering-Kampagnen.<\/p>\n

Ziele:<\/strong> Laut einer Analyse des Cloud-Sicherheitsanbieters Qualys<\/a> werden vor allem Ziele in den USA mit Black Basta angegriffen. Dabei stehen vornehmlich der Manufacturing-Bereich, sowie der Dienstleistungs-, Retail- und High-Tech-Sektor im Fokus der Angreifer.<\/p>\n

Attribution:<\/strong> Einige Sicherheitsexperten bringen Black Basta mit der russischen APT-Gruppe FIN7 in Verbindung<\/a>. Das begr\u00fcndet sich in technischen Parallelen, wenn es darum geht, Endpunkt-L\u00f6sungen auszutricksen. \u00a0<\/p>\n

3. BlackLock<\/h2>\n

Hintergrund: <\/strong>Nach Einsch\u00e4tzung von ReliaQuest<\/a> ist BlackLock (auch bekannt als El Dorado) aktuell der Ransomware-Betreiber, der weltweit am schnellsten w\u00e4chst. Wie die Sicherheitsexperten prognostizieren, k\u00f6nnte BlackLock 2025 zur aktivsten Ransomware-, beziehungsweise RaaS-Gruppe werden \u2013 obwohl sie erst im M\u00e4rz 2024 erstmals aufgetaucht ist.\u00a0<\/p>\n

Funktionsweise:<\/strong> Die Gruppe zeichnet sich vor allem dadurch aus, dass sie propriet\u00e4re, ma\u00dfgeschneiderte Malware entwickelt und einsetzt. Diese zielt insbesondere auf VMware ESXi-Umgebungen<\/a> ab. Um ihre erpresserische Malware auszuliefern, nutzen die Cyberkriminellen und ihre Affiliates zum Beispiel:<\/p>\n

RDP-Protokolle,<\/p>\n

Social Engineering,<\/p>\n

bekannte Schwachstellen, oder<\/p>\n

gestohlene Zugangsdaten.<\/p>\n

Ziele: <\/strong>Mit der BlackLock<\/a>-Ransomware wurden bereits diverse Unternehmen angegriffen \u2013 vornehmlich in den Vereinigten Staaten. Mit Blick auf die Branchen, die hierbei im Fokus stehen, sind vor allem die Immobilienbranche, das produzierende Gewerbe sowie der Healtcare-Sekktor hervorzuheben.<\/p>\n

Attribution:<\/strong> Obwohl im Fall der Mitglieder der BlackLock-Gang keine eindeutige Zuordnung getroffen werden kann, gibt es auch hier Verbindungen zu Russland: Die RaaS-Gang rekrutiert Kunden und Partner \u00fcber das russischsprachige Untergrundforum RAMP<\/a>.<\/p>\n

4. Cl0p<\/h2>\n

Hintergrund:<\/strong> Die Cl0p-Ransomware sucht Systeme bereits seit dem Jahr 2019 heim<\/a>. Auch Cl0p ist sowohl eine Ransomware-Gruppe als auch eine Malware, die als Service vertrieben wird.<\/p>\n

Funktionsweise: <\/strong>Die Cl0p-Bande zeichnet sich durch besonders raffinierte Taktiken aus und nutzt f\u00fcr ihre Angriffskampagnen im Regelfall Zero-Day-Schwachstellen aus<\/a>. Von Partnern wird die Ransomware auch gerne verbreitet \u00fcber:<\/p>\n

Social Engineering und<\/p>\n

gef\u00e4lschte Webseiten. \u00a0<\/p>\n

Ziele: <\/strong>Cl0p nimmt in erster Linie gro\u00dfe Unternehmen ins Visier, vornehmlich aus der Finanz-, Healthcare- und Manufacturing-Branche sowie der Medienindustrie. Die wahrscheinlich bekannteste Cl0p-Angriffskampagne fand 2023 im Rahmen eines Supply-Chain-Angriffs statt: Dabei wurden diverse Unternehmen weltweit \u00fcber eine L\u00fccke in der Datentransfersoftware MOVEit angegriffen<\/a>.<\/p>\n

Attribution: <\/strong>Die Cl0p-Ransomware wird mit mehreren, haupts\u00e4chlich russischsprachigen Cybercrime-Gruppen in Verbindung gebracht \u2013 insbesondere den APT-Gruppen TA505 und FIN11<\/a>.<\/p>\n

5. Funksec<\/h2>\n

Hintergrund: <\/strong>Bei FunkSec<\/a> handelt es sich um eine neue RaaS-Bande, die erst Ende 2024 die Cybercrime-B\u00fchne betreten und trotzdem bereits zahlreiche Angriffe gefahren hat. \u00a0<\/p>\n

Funktionsweise: <\/strong>Die hohe Angriffsfrequenz ist nach der Einsch\u00e4tzung von Sicherheitsexperten insbesondere auf den Einsatz von KI zur\u00fcckzuf\u00fchren<\/a>. Demnach erstellen die Cyberkriminellen (die auch Hacktivism-Verbindungen erkennen lassen) ihre erpresserische Malware gezielt mit KI.<\/p>\n

Ziele: <\/strong>Mit derFunkSec-Ransomware wurden bislang vor allem Unternehmen und Organisationen in den USA und in Indien angegriffen.<\/p>\n

Attribution: <\/strong>Wie Forscher von CheckPoint herausgefunden haben<\/a>, <\/strong>f\u00fchren die Spuren des f\u00fchrenden FunkSec-Mitglieds nach Algerien.<\/p>\n

6. LockBit<\/h2>\n

Hintergrund:<\/strong> LockBit geh\u00f6rt in Sachen Ransomware-as-a-Service zu den Vorreitern und hat dieses Vertriebsmodell ab 2019 ma\u00dfgeblich mitentwickelt. Obwohl die Gruppe Anfang 2024 vermeintlich zerschlagen wurde<\/a>, steht ein Comeback im Raum \u2013 zumindest einzelne Mitglieder scheinen weiterhin aktiv zu sein.<\/p>\n

Funktionsweise<\/strong>: Die LockBit-Ransomware ist ber\u00fcchtigt f\u00fcr ihre effiziente Verschl\u00fcsselung und die damit verkn\u00fcpfte \u201eDouble Extortion\u201c-Erpressungstaktik. Eingeschleust wird die Ransomware zum Beispiel \u00fcber:<\/p>\n

ungepatchte Schwachstellen,<\/p>\n

Zero-Day-Exploits oder<\/p>\n

kompromittierte Zugangsdaten.<\/p>\n

Ziele: <\/strong>LockBit hat nach Informationen des US-Justizministeriums<\/a> bereits mehr als 2.000 Unternehmen und Organisationen aus diversen Branchen und Sektoren erpresst \u2013 darunter zum Beispiel Continental, Boeing<\/a> und die Deutsche Energie-Agentur<\/a>.<\/p>\n

Attribution: <\/strong>Auch im Fall von LockBit f\u00fchren die Spuren nach Russland: Mit Dmitry Khoroshev wurde ein russischer Staatsb\u00fcrger als f\u00fchrender Lockbit-Admin und Entwickler enttarnt und von den Beh\u00f6rden zur Rechenschaft gezogen<\/a>.<\/p>\n

7. Lynx<\/h2>\n

Hintergrund:<\/strong> Die Lynx-Ransomware ist erstmals Mitte 2024 in Erscheinung getreten. Auch hierbei handelt es sich um ein RaaS-Angebot. Laut Unit42<\/a> sind weite Teile des Quellcodes dieser Ransomware identisch mit dem der Malware INC. Da diese seit 2024 im Cybercrime-Untergrund verkauft wird, k\u00f6nnte es sich also sowohl um ein \u201eRebranding\u201c als auch um eine eigenst\u00e4ndige Weiterentwicklung handeln.<\/p>\n

Funktionsweise:<\/strong> Die Lynx-Ransomware wird zum Beispiel \u00fcber Social Engineering \u201ean den Mann gebracht\u201c. Einmal im Netzwerk, stiehlt und verschl\u00fcsselt die Malware Daten \u2013 und l\u00f6scht zudem Sicherungskopien.<\/p>\n

Ziele:<\/strong> Die Ransomware-Bande hat sich nach eigener Aussage<\/a> darauf festgelegt, keine Regierungsinstitutionen, Krankenh\u00e4user oder Non-Profit-Organisationen anzugreifen. Getroffen hat es daf\u00fcr \u2013 vornehmlich in den USA \u2013 unter anderem<\/a> Unternehmen aus dem Energiesektor.<\/p>\n

Attribution:<\/strong> \u2013<\/p>\n

8. Medusa<\/h2>\n

Hintergrund: <\/strong>DieRansomware-as-a-Service-OperationMedusa<\/a> tauchte erstmals im Jahr 2023 auf. Besondere Aufmerksamkeit erregt die Hackergruppe, weil sie auch im Clearnet Leak-Seiten betreibt und zudem \u00fcber Social-Media-Plattformen wie X und Facebook kommuniziert.<\/p>\n

Funktionsweise: <\/strong>Die Ransomware wird entweder \u00fcber Schwachstellen in \u00f6ffentlich zug\u00e4nglichen Ressourcen eingeschleust \u2013 oder per Social Engineering.<\/p>\n

Ziele: <\/strong>Laut den Experten von Bitdefender handelt es sich bei Medusa um eine opportunistische Hackerbande, die nicht auf bestimmte Branchen oder geografische Regionen festgelegt ist. Bislang wurden etwa verschiedene europ\u00e4ische und nordamerikanische Organisationen aus dem Gesundheits- und Bildungswesen, sowie dem Fertigungs- und Retail-Sektor angegriffen.<\/p>\n

Attribution: <\/strong>Aktivit\u00e4ten in russischsprachigen Cybercrime-Foren deuten darauf hin, dass die f\u00fchrenden Mitglieder von Medusa aus Russland oder seinen osteurop\u00e4ischen Nachbarl\u00e4ndern stammen k\u00f6nnten.<\/p>\n

9. Play<\/h2>\n

Hintergrund:<\/strong> Die Ransomware Play<\/a> bedroht seit Juni 2022 Unternehmen und Institutionen \u2013 und steht seit Ende 2023 auch als RaaS zur Verf\u00fcgung.<\/p>\n

Funktionsweise:<\/strong> Laut den Experten von Sentinel One nehmen Play-Bedrohungsakteure ihre Opfer vor allem \u00fcber Schwachstellen ins Visier, beispielsweise in:<\/p>\n

RDP-Protokollen oder<\/p>\n

Devices mit Fortinets FortiOS.<\/p>\n

Ziele:<\/strong> Die Play-Ransomware-Gang nimmt in erster Linie gro\u00dfe Unternehmen ins Visier und agiert dabei branchen\u00fcbergreifend. Bislang hat es bereits Organisationen aus dem Gesundheitswesen, der ITK-Branche, dem Finanzsektor sowie dem \u00f6ffentlichen Dienst getroffen.<\/p>\n

Attribution:<\/strong> Play weist nach Informationen von Unit 42 Verbindungen zu nordkoreanischen APT-Gruppen auf<\/a>. Die Sicherheitsforscher konnten feststellen, dass beispielsweise die nordkoreanische Hackergruppe APT45 auf die Play-Ransomware setzt.<\/p>\n

10. Qilin<\/h2>\n

Hintergrund:<\/strong> Die Ransomware-as-a-Service-Operation Qilin<\/a> ist auch unter der Bezeichnung Agenda bekannt und seit Mitte 2022 aktiv.<\/p>\n

Funktionsweise:<\/strong> Die Qilin-Ransomware nimmt in erster Linie Windows- und Linux-Systeme ins Visier. In Unternehmensnetze h\u00e4lt die Malware meist Einzug \u00fcber:<\/p>\n

legitime (gestohlene oder gekaufte) Zugangsdaten und<\/p>\n

Social-Engineering-Angriffe.<\/p>\n

Ziele:<\/strong> Qilin greift insbesondere Unternehmen in den USA und Europa an \u2013 mit Ausnahme der GUS-Staaten. Dabei stehen Industrie- und Dienstleistungsunternehmen im Fokus.<\/p>\n

Attribution:<\/strong> Die Mitglieder von Qilin sind nach wie vor unbekannt, Sicherheitsexperten gehen jedoch aufgrund einschl\u00e4giger Foreneintr\u00e4ge<\/a> davon aus, dass zumindest Verbindungen nach Russland bestehen.<\/p>\n

11. RansomHub<\/h2>\n

Hintergrund: <\/strong>RansomHub<\/a> wurde erstmals im Februar 2024 beobachtet und hat sich seither zu einer der gr\u00f6\u00dften, neuen Ransomware-Bedrohungen entwickelt. Das k\u00f6nnte auch daran liegen, dass die Gruppe (die ebenfalls ein RaaS-Modell betreibt) angeblich Mitglieder anderer Cybercrime-Banden verpflichten konnte \u2013 darunter LockBit und BlackCat.<\/p>\n

Funktionsweise: <\/strong>Initialen Zugang zu Systemen verschaffen sich die Cyberkriminellen im Regelfall durch:<\/p>\n

Spear Phishing,<\/p>\n

Bekannte Schwachstellen oder<\/p>\n

Password Spraying.<\/p>\n

Ziele:<\/strong> RansomHub wird bereits mit mehr als 200 Angriffen<\/a> auf diverse Unternehmen und Organisationen aus verschiedenen Sektoren in Verbindung gebracht. Darunter auch Regierungsbeh\u00f6rden und KRITIS-Betreiber in den USA und Europa.<\/p>\n

Attribution:<\/strong> Indizien deuten auf eine organisierte, russischsprachige Cybercrime-Operation hin \u2013 mit Verbindungen zu anderen, etablierten Ransomware-Akteuren. (fm)<\/p>\n

Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong>Unser kostenloser Newsletter<\/strong><\/a> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

F\u00fcr Unternehmen ist Ransomware weiterhin eine existenzielle Bedrohung, f\u00fcr Kriminelle ein immer eintr\u00e4glicheres (Service)gesch\u00e4ft. Gonin | shutterstock.com Ransomware bleibt branchen\u00fcbergreifend auf dem Vormarsch und entwickelt sich best\u00e4ndig weiter \u2013 vereinzelten beh\u00f6rdlichen Erfolgen zum Trotz. Das ist unter anderem auch folgenden Trends zuzuschreiben: Ransomware-as-a-Service (RaaS)-Angebote senken die Zugangsbarrieren. Neue Erpressungstaktiken versprechen noch mehr kriminelle Gewinne. K\u00fcnstliche […]<\/p>\n","protected":false},"author":0,"featured_media":2232,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-2231","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/2231"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2231"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/2231\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/2232"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2231"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2231"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2231"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}