Regelmäßig untersucht das McAfee Enterprise Advanced Threat Research-Team die Ausbreitung von Ransomware sowie die Entstehung und das (scheinbare) Ende der größten organisierten Hacker-Gruppen. Aber hinter jedem Netwalker, Sodinokibi und DarkSide lauern zusätzlich mehrere kleinere Akteure, die nicht über die finanziellen Mittel verfügen, um sich zu vergrößern und oftmals keinen Zugang zu den neuesten Tools haben.
Welche Rolle spielen diese einzelnen Ransomware-Akteure, die in kleinerem Maßstab operieren? Wie viel Einfluss haben sie? Wie verändert ihr Aufstieg die Ransomware-Bedrohungslandschaft?
Das Advanced Threat Research (ATR)-Team veröffentlichte heute ein Profil über den kriminellen Werdegang eines solchen Akteurs, der mithilfe von geleakten „Buildern" und selbstgebauter Ransomware eigene Versionen von Babuk und Chaos erstellen konnte.
Die Untersuchung zeigt auf, wie selbst einzelne Angreifer die Möglichkeit haben, die Arbeit größerer krimineller Netzwerke zu nutzen und einen Anspruch auf Zahlung durch Datenexfiltration und Erpressung geltend machen.
Das Forschungsteam veröffentlichte unter anderem folgende Ergebnisse:
- Ransomware-Nachahmer: Der einzelne Akteur nutzte eine kopierte Binärausgabe von Babuk's Builder mit einer bearbeiteten Lösegeld-Notiz. Diese Version wurde „Delta Plus" genannt. Darüber hinaus fand das Team zwei Wiederherstellungs-E-Mail-Adressen und eine neue Bitcoin-Adresse für Zahlungen.
- Bitcoin-Zahlung: Ähnliche Kontoadressen wiesen auf ein einziges Bitcoin-Wallet hin, das wahrscheinlich von demselben Akteur kontrolliert wird.
- Auswirkungen: Einzelne Akteure kopieren „Builder“ und nutzen „Stager" und verfügen damit über die Mittel, eine effiziente Angriffskette zu erstellen. Es ist ihnen möglich, ein Unternehmen zu kompromittieren, Geld zu erpressen und ihr Einkommen zu verbessern, so dass sie im Laufe der Zeit zu einer großen Bedrohung werden können.
- Abseits des Rampenlichts: Einzelne, unabhängige Akteure können wesentlich ungestörter, und somit auch effizienter, arbeiten als die großen bekannten Ransomware-Gruppen. Die meisten Sicherheitsforscher richten ihre Blicke auf die Aktivitäten hinter den großen Namen, wodurch kleinere Kriminelle oftmals komplett unbeobachtet bleiben.
Die jüngsten Untersuchungen von McAfee Enterprise zeigen, dass sich das Ransomware-Ökosystem langsam aber sicher verschiebt und die großen Angreifer-Gruppen nicht mehr die einzigen Akteure sind, die Gewinne erzielen. Da einzelne Akteure auch nicht auf Richtlinien oder sonstige Vorgaben von übergeordneten Gruppen angewiesen sind, haben sie komplett freie Hand bei der Durchführung ihrer Angriffe – es ist ihnen egal, wen ihr Angriff trifft oder ob er ethisch vertretbar ist.