Im vergangenen Monat stellten die Forscher von Check Point Research eine Verschiebung in der Ransomware-as-a-Service (RaaS)-Landschaft fest. RansomHub löste LockBit3 ab und wurde zur am weitesten verteilten Ransomware. In der Zwischenzeit wurde auch eine Windows-Backdoor mit dem Namen BadSpace identifiziert, die infizierte WordPress-Websites und gefälschte Browser-Updates beinhaltet.
Letzten Monat übernahm RansomHub die Führung unter den RaaS-Gruppen und trat die Nachfolge von LockBit3 an. Offenbar zeigen die Strafverfolgungsmaßnahmen gegen LockBit3 im Februar Wirkung. Infolgedessen meldete LockBit3 im April nur 27 Opfer, gefolgt von einer unerklärlich hohen Zahl von mehr als 170 im Mai und nun weniger als 20 im Juni.
Viele LockBit3-Mitglieder verwenden Verschlüsselungsprogramme anderer RaaS-Gruppen, was zu einer Zunahme der Berichte über Opfer durch andere Bedrohungsakteure führt. RansomHub, das erstmals im Februar 2024 auftauchte und Berichten zufolge eine Reinkarnation der Ransomware Knight ist, verzeichnete im Juni mit fast 80 neuen Opfern einen deutlichen Anstieg. Bemerkenswert ist, dass nur 25 Prozent der veröffentlichten Opfer aus den USA stammen, weitere finden sich in Brasilien, Italien, Spanien und Großbritannien.
„Es scheint, dass die Maßnahmen gegen LockBit3 die gewünschte Wirkung gezeigt haben. Doch wie bereits angedeutet, macht sein Rückgang nur den Weg frei für andere Gruppen, die die Kontrolle übernehmen und ihre Ransomware-Kampagnen gegen Unternehmen weltweit fortsetzen“, sagt Maya Horowitz, VP of Research bei Check Point Software.
Top-Malware in Deutschland
*Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat.
1. ↑ Androxgh0st (4,5 %) – Androxgh0st ist ein Botnet, das auf Windows-, Mac- und Linux-Plattformen abzielt. Für die Erstinfektion nutzt Androxgh0st mehrere Sicherheitslücken aus, die insbesondere auf PHPUnit, Laravel Framework und Apache Web Server abzielen. Die Malware stiehlt sensible Informationen wie Twilio-Kontoinformationen, SMTP-Anmeldeinformationen, AWS-Schlüssel usw. Sie verwendet Laravel-Dateien, um die erforderlichen Informationen zu sammeln. Es gibt verschiedene Varianten, die nach unterschiedlichen Informationen suchen.
2. ↑ FakeUpdates (3,21 %) – Fakeupdates (alias SocGholish) ist ein in JavaScript geschriebener Downloader. Er schreibt die Nutzdaten auf die Festplatte, bevor er sie startet. Fakeupdates führt zu einer weiteren System-Infiltration durch viele zusätzliche Schadprogramme, darunter GootLoader, Dridex, NetSupport, DoppelPaymer und AZORult.
3. ↑ FormBook (1,72 %) – FormBook ist ein Infostealer, der auf das Windows-Betriebssystem abzielt und erstmals im Jahr 2016 entdeckt wurde. Er wird in Underground-Hacking-Foren als Malware as a Service (MaaS) vermarktet, da er starke Umgehungstechniken und einen relativ niedrigen Preis hat. FormBook sammelt Anmeldeinformationen von verschiedenen Webbrowsern, sammelt Screenshots, überwacht und protokolliert Tastatureingaben und kann Dateien auf Anweisung von seinem C&C herunterladen und ausführen.
Top Mobile Malware
*Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat.
1. ↑ Joker - Joker ist eine Android-Spyware in Google Play, die dazu entwickelt wurde, SMS-Nachrichten, Kontaktlisten und Geräteinformationen zu stehlen. Außerdem signiert die Malware das Opfer unbemerkt für Premium-Dienste auf Werbe-Websites.
2. ↓ Anubis - Anubis ist eine Banking-Trojaner-Malware, die für Android-Handys entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger, Audio-Aufnahmefunktionen und verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.
3. ↓ AhMyth - AhMyth ist ein Remote-Access-Trojaner (RAT), der im Jahr 2017 entdeckt wurde. Er wird über Android-Apps verbreitet, die in App-Stores und auf verschiedenen Websites zu finden sind. Wenn ein Benutzer eine dieser infizierten Apps installiert, kann die Malware sensible Informationen vom Gerät sammeln und Aktionen wie Keylogging, das Erstellen von Screenshots, das Versenden von SMS-Nachrichten und das Aktivieren der Kamera durchführen, die in der Regel zum Stehlen sensibler Informationen verwendet wird.
Aktivste Ransomware-Gruppen
Die Daten basieren auf Erkenntnissen von Ransomware-„Shame Sites“, die von Ransomware-Gruppen mit doppelter Erpressung betrieben werden und Informationen über die Opfer veröffentlichen. RansomHub war im vergangenen Monat die am weitesten verbreitete Ransomware-Gruppe und für 21 Prozent der veröffentlichten Angriffe verantwortlich, gefolgt von Play mit 8 Prozent und Akira mit 5 Prozent.
1. RansomHub - RansomHub ist eine Ransomware-as-a-Service (RaaS)-Operation, die als Rebranding-Version der zuvor bekannten Ransomware Knight auftauchte. RansomHub tauchte Anfang 2024 in Untergrund-Cybercrime-Foren auf und erlangte schnell Berühmtheit für seine aggressiven Kampagnen, die auf verschiedene Systeme wie Windows, macOS, Linux und insbesondere VMware ESXi-Umgebungen abzielten. Diese Malware ist dafür bekannt, dass sie ausgeklügelte Verschlüsselungsmethoden einsetzt.
2. Play - Play Ransomware, auch als PlayCrypt bezeichnet, ist eine Ransomware, die erstmals im Juni 2022 auftauchte. Diese Ransomware hat ein breites Spektrum von Unternehmen und kritischen Infrastrukturen in Nordamerika, Südamerika und Europa ins Visier genommen und bis Oktober 2023 etwa 300 Einrichtungen betroffen. Play Ransomware verschafft sich in der Regel über kompromittierte gültige Konten oder durch Ausnutzung ungepatchter Schwachstellen, wie z. B. in Fortinet SSL-VPNs, Zugang zu Netzwerken. Sobald sie im Netzwerk ist, nutzt sie Techniken wie die Verwendung von LOLBins (living-off-the-land binaries) für Aufgaben wie die Exfiltration von Daten und den Diebstahl von Anmeldeinformationen.
3. Akira - Akira Ransomware, die erstmals Anfang 2023 gemeldet wurde, zielt sowohl auf Windows- als auch auf Linux-Systeme ab. Sie verwendet symmetrische Verschlüsselung mit CryptGenRandom() und Chacha 2008 zur Dateiverschlüsselung und ähnelt der durchgesickerten Conti v2 Ransomware. Akira wird über verschiedene Wege verbreitet, einschließlich infizierter E-Mail-Anhänge und Exploits in VPN-Endpunkten. Nach der Infektion verschlüsselt die Ransomware Daten und fügt eine ".akira"-Erweiterung an Dateinamen an und präsentiert dann eine Lösegeldforderung für die Entschlüsselung.