Die Bedrohung durch Ransomwareangriffe reißt nicht ab. Cyberkriminelle werden immer raffinierter und besser organisiert. Jüngste Angriffe, wie der Cyberangriff auf Kliniken in London, verdeutlichen die anhaltende Gefahr, die von Ransomware-Gruppen ausgeht. Diese kriminellen Netzwerke operieren mittlerweile wie Unternehmen, mit eigener Infrastruktur, internen Hierarchien und globalen Partnerschaften.
ExpressVPN beleuchtet die größten Gruppierungen im Jahr 2024, und was Unternehmen tun können, um sich vor ihnen zu schützen.
1. BlackBasta
BlackBasta ist ein relativ neuer, aber mächtiger Akteur in der Ransomware-Szene, der Anfang 2022 in Erscheinung trat. Als vermutlicher Ableger der berüchtigten Conti-Gruppe, die unter anderem die Regierung von Costa Rica angriff, hat BlackBasta sofort Aufmerksamkeit erregt. Die Gruppe soll bereits 107 Millionen USD in Bitcoin erpresst haben. BlackBasta setzt auf Doppelerpressungstaktiken, fordert also einerseits Lösegeld, um die Daten des Opfers wieder freizugeben und andererseits, um die Veröffentlichung der gestohlenen Daten zu verhindern.
2. BlackCat (ALPHV)
BlackCat, auch bekannt als ALPHV oder Noberus, entstand im November 2021 und wird von ehemaligen Mitgliedern der nicht mehr existierenden Darkside-Gruppe geführt, die für den Angriff auf die Colonial Pipeline berüchtigt ist. Diese Gruppe ist für ihre Dreifacherpressungsstrategie bekannt, die zusätzlich zur Verschlüsselung und der Drohung, gestohlene Daten zu veröffentlichen, auch die Verhinderung von DDoS-Angriffen umfasst. Über 1.000 Opfer weltweit wurden bereits von BlackCat angegriffen, darunter bekannte Unternehmen wie OilTanking GmbH und Swissport.
3. Clop
Clop, auch unter dem Namen Cl0p bekannt, gehört zu den prominentesten Ransomware-Gruppen. Die Organisation ist besonders gefürchtet für ihre ausgeklügelten, mehrschichtigen Erpressungspläne und ihre Fähigkeit, Schwachstellen wie eine kürzlich entdeckte Zero-Day-Schwachstelle bei MOVEit Transfer auszunutzen. Dieser Angriff betraf zahlreiche Organisationen weltweit, darunter ein britisches Unternehmen, das Kunden wie British Airways und BBC betreut.
4. LockBit
LockBit ist seit 2019 aktiv und hat sich zu einer der prominentesten Ransomware-Gruppen entwickelt, mit über 120 Millionen USD an erpressten Zahlungen. Die Gruppe nutzt ein Ransomware-as-a-Service (RaaS)-Modell und stellt ihren Partnern hochentwickelte Schadsoftware zur Verfügung. Nach einem schweren Rückschlag durch internationale Strafverfolgungsbehörden, die ihre Infrastruktur teilweise zerschlagen haben, ist unklar, ob LockBit weiter aktiv sein kann.
5. REvil
REvil, auch bekannt als Sodinokibi, ist durch Angriffe auf renommierte Ziele wie Apple bekannt geworden. Trotz internationaler Bemühungen, die Gruppe auszuschalten, bleibt REvil aktiv und stellt eine anhaltende Gefahr dar. Die Gruppe betreibt einen Darknet-Marktplatz, auf dem sie droht, gestohlene Daten zu veröffentlichen, wenn kein Lösegeld gezahlt wird.
Sicherheit geht vor
Ransomware-Gruppen operieren wie Unternehmen und sind ständig auf der Suche nach neuen Schwachstellen. Die Bedrohung durch Ransomware bleibt real und entwickelt sich weiter. Regelmäßige Sicherheitsupdates und die Nutzung von VPNs sind wichtige Maßnahmen, um sich gegen diese Angriffe zu schützen. Bei einem Angriff ist es ratsam, die Bedrohung zu isolieren, keine Lösegeldzahlungen zu leisten und die Behörden einzuschalten.