In seinem neuen Ransomware-Report analysiert Zscaler die wichtigsten Ransomware-Trends und nennt Details zu den produktivsten Ransomware-Akteuren, ihren Angriffstaktiken sowie den am stärksten bedrohten Branchen. Dazu analysierte das Forschungsteam des Zscaler ThreatLabz zwischen November 2019 und Januar 2021 über 150 Milliarden Plattformtransaktionen und 36,5 Milliarden blockierte Angriffe.
Seit Ende 2019 beobachtet das ThreatLabz eine wachsende Vorliebe für „Double-Extortion“-Angriffe bei einigen der aktiveren und erfolgreicheren Ransomware-Familien. Diese Angriffe zeichnen sich durch eine Kombination aus der Verschlüsselung sensibler Daten durch böswillige Akteure und der Exfiltration der bedeutsamsten Dateien aus, um Lösegeld zu fordern.
Betroffene Organisationen werden selbst wenn sie ihre Daten aus Backups wiederherstellen können, dadurch bedroht, dass die gestohlenen sensiblen Daten veröffentlicht um der Erpressung Nachdruck zu verleihen. Ende 2020 stellte das Team fest, dass diese Taktik durch synchronisierte DDoS-Angriffe erweitert wurde, die die Webseiten der Opfer überlasten und damit zusätzlichen Druck auf die Organisationen ausüben.
Laut Zscaler ThreatLabZ waren in den letzten zwei Jahren verschiedene Branchen von solchen Ransomware-Angriffen mit doppelter Erpressung betroffen.
Zu den am häufigsten angegriffenen Branchen zählen:
- Fertigungsindustrie (12,7 %)
- Dienstleistungen (8,9 %)
- Transport (8,8%)
- Einzel- und Großhandel (8,3%)
- Technologie (8 %)
Die aktivsten Ransomware-Familien
Im Laufe des letzten Jahres hat ThreatLabz sieben „Familien“ von Ransomware identifiziert, die häufiger anzutreffen waren als andere. Im Report 2020 wurden die Ursprünge und Taktiken der folgenden hochaktiven Gruppen betrachtet:
- Maze/Egregor
Erstmals wurde Maze im Mai 2019 entdeckt. Auf diese Familie gehen die meisten Angriffe mit doppelter Erpressung zurück (273 Vorfälle), bis sie anscheinend im November 2020 ihren Betrieb einstellte. Angreifer nutzten Spam-E-Mail-Kampagnen, Exploit-Kits wie Fallout und Spelevo sowie gehackte RDP-Dienste, um Zugriff auf Systeme zu erhalten und erfolgreich hohe Lösegelder zu kassieren.
Zu den wichtigsten Zielbranchen von Maze gehörten Hightech (11,9 %), Fertigung (10,7 %) und Dienstleistungen (9,6 %). Allerdings hat sich Maze verpflichtet, das Gesundheitswesen während der COVID-19-Pandemie zu verschonen.
- Conti
Erstmals im Februar 2020 entdeckt und mit 190 Angriffen die zweithäufigste Angriffsfamilie, teilt Conti den Code mit der Ryuk-Ransomware und scheint deren Nachfolger zu sein. Conti verwendet die Windows Neustart Manager-API bevor Dateien verschlüsselt werden, da die Malware dadurch an mehr Dateien als Teil des Doppelerpressungsansatzes gelangt.
Opfern, die das Lösegeld nicht zahlen wollen oder können, finden ihre Daten regelmäßig auf der Conti-Datenleck-Website veröffentlicht. Die drei am stärksten betroffenen Branchen sind die Fertigungsbranche (12,4 %), der Dienstleistungssektor (9,6 %) und das Transportwesen (9,0 %).
- Doppelpaymer
Erstmals im Juli 2019 bemerkt und mit 153 dokumentierten Angriffen, zielt Doppelpaymer auf eine Reihe von Branchen ab und fordert oft hohe Lösegelder im sechs- und siebenstelligen Bereich. Zunächst infiziert Doppelpaymer Rechner mit einer Spam-E-Mail, die entweder einen bösartigen Link oder einen bösartigen Anhang enthält, und hat bis zur Abschlatung Emotet- oder Dridex-Malware in infizierte Systeme nachgeladen.
Die drei am häufigsten angegriffenen Branchen waren die Fertigungsindustrie (15,1 %), der Einzel- und Großhandel (9,9 %) und Behörden (8,6 %).
- Sodinokibi
Sodinokibi, auch bekannt als REvil oder Sodin, wurde erstmals im April 2019 entdeckt und tritt mit 125 Angriffen zunehmend häufiger auf. Ähnlich wie Maze nutzt Sodinokibi Spam-E-Mails, Exploit-Kits und kompromittierte RDP-Konten; außerdem werden häufig Schwachstellen in Oracle WebLogic ausgenutzt.
Sodinokibi begann im Januar 2020 mit der Verwendung von Doppelerpressungstaktiken und hatte die größten Auswirkungen auf die Bereiche Transport (11,4 %), Fertigung (11,4 %) und Einzelhandel/Großhandel (10,6 %).
- DarkSide
DarkSide wurde erstmals im August 2020 entdeckt, nachdem in einer Pressemitteilung die Dienste angepriesen wurden. DarkSide nutzt ein „Ransomware-as-a-Service“-Modell und setzt doppelte Erpressungsmethoden ein, um Informationen zu stehlen und zu verschlüsseln.
Die Gruppe veröffentlicht ein Manifest möglicher Ziele und schreibt dazu, dass sie keine Gesundheitsorganisationen, Bestattungsdienste, Bildungseinrichtungen, gemeinnützige Organisationen oder Regierungsstellen angreift. Stattdessen sind die primären Ziele der Dienstleistungssektor (16,7 %), die Fertigungsbranche (13,9 %) und Transportdienste (13,9 %).
Ähnlich wie bei Conti werden die Daten derjenigen, die das Lösegeld nicht zahlen können, auf der DarkSide-Leak-Website veröffentlicht. Inzwischen wurden die DarkSide-Server zwar abgeschaltet, die Ransomware-Betreiber sind jedoch noch auf freiem Fuß und könnten mit einer neuen Ransomware zurückkehren.