11 Ransomware-Berohungen Ruinöse

Ransomware Bleibt Branchenübergreifend auf dem Vormarsch und Entwickelt Sich Beständig Weiter – Vereinzelten Behördlichen Erfolgen Zum Trotz. Das ist unter anderem auch folgenden tendances zuzuschreiben:

• Ransomware-as-a-Service (RAAS) -angebote Senken Die Zugangsbarrieren.
• Neue Erpressungstaktiken Versprechen Noch Mehr Kriminelle Gewinne.
• Künstliche Intelligenz (Ki) Wird Bei Cyberkriminellen Immer Croybter.

Davon Abgesehen, Kommen Für Jeden Bedrohungsak 3, Der von der Bildfläche Verschwindet, (Mindestens) Zwei Neue Nach. Die Angreifer, die Ransomware einsetzen, entstammen inzwischen unterschiedlichen „Kasten“ des Cybercrime-Untergrunds – vom technisch eher nicht versierten Einzeltäter über professionell organisierte Cybercrime-Banden bis hin zu Bedrohungsakteuren, die in staatlichem Auftrag Operière.

Die Folgenden Elf (aktiven) ransomware-as-a-service-bedrohungen Sind für Sicherheisentscheider und ihre unternehmen besonders innailvoll.

1. Akira

Hintergrund: Bei Akira Handelt es sich um eine Ausgeklügelte raas-opération, die erstmals anfang 2023 aufgetaucht ist.

FunktionSweise: Um die it-systeme von unternehmen anzugreifen, konzentrieren sich cybercrime-gruppen, die die akira-ransomware einsetzen, häufig auf:

• Authentifinizierungsschwachstellen dans les applications VPN,
• Offene RDP-Clients UND
• KOMPROMITTIERTE ANMELDEDATEN.

Ziele: MIT AKIRA WERDEN INSBESONDERE KLEINE und mittelgroße Unternehmen à Nordamerika, Europa und Australien Angegriffen. Laut Den Experten von Unit 42 (Palo Alto Networks), Stehen Dabei dans Erster Linie Unternehmen Aus Dem Verarbeitenden Gewerbe, Dem Dienstleistungssektor, der itk-branche Sowie Den Bereichen Technologie und pharma im Visier.

Attribution: Einige Indizien Deuten auf Verbinnungen Nach Russland Hin, Beziehungsweise Zur Nicht Mehr existenten ransomware-bande Conti. Gesicherte Informationen Dazu Gibt es Jedoch Bislang Nicht.

2. Black Basta

Hintergrund: Die ransomware-gang noir basta hat sich erstmals anfang 2022 in szene gesetzt und gilt als capable der berüchtigten contiti-bande.

FunktionSweise: Wird Ein Unternehmensnetzwerk von der Black-Basta-malware Heimgesucht, Geschieht das im Regelfall über:

• bekannte schwachstellen oder
• Social-ingénierie-Kampagnen.

Ziele: Laut Einer analyser des cloud-sicherheitsanbieters Qualits Werden vor Allem Ziele dans Den USA MIT Black Basta Angegriffen. Dabei Stehen Vornehmlich der Manufacturing-Bereich, Sowie der Dienstleistungs-, Retail- und High-Tech-Sektor Im Fokus der Angreifer.

Attribution: Einige Sicherheitsexperten Bringen Black Basta mit der Russischen apt-gruppe fin7 à Verbindung. Das Begründet Sich dans Technischen Parallelen, Wenn es Darum Geht, Endpunkt-Lösungen Auszutricksen.

3. Blacklock

Hintergrund: Nach Einschätzung von Reliaquest ist Blacklock (Auch Bekannt als el Dorado) Aktuell der Ransomware-Betreiber, der Weltweit Am Schnellsten Wächst. Wie die sicherheitsexperten prognostiseren, könte Blacklock 2025 zur aktivsten ransomware-, beziehungsweise raas-grruppe werden – obwohl sie erst im märz 2024 erstmals aufgetauchtst.

FunktionSweise: Die Gruppe Zeichnet Sich Vor Allem Dadurch Aus, Dass Sie Proprietäre, Maßgeschneiderte Malware Entwickelt und einsetzt. Diese zielt insbesondere auf vmware esxi-umgebungen ab. Um Ihre Erpresserische Malware Auszuliefern, Nutzen Die Cyberkriminellen und Ihre Affiliates Zum Beispiel:

• Rdp-protokolle,
• Ingénierie sociale,
• Bekannte Schwachstellen, Oder
• Gestohlene Zugangsdaten.

Ziele: MIT der Blacklock-Ransomware Wurden Bereits Diverses Unternehmen Angegriffen – Vornehmlich dans Den Vereinigten Staaten. Mit blick auf die branchen, die hierbei im fokus Stehen, Sind vor Allem die Immobilienbranche, das produzierende gewerbe sowie der healtcare-sekktor Hervorzuheben.

Attribution: Obwohl im Fall der Mitglieder der Blacklock-Gang Keine Eindeutige Zuordnung Getroffen Werden Kann, Gibt es auch hier verbintunnungen zu russland: die raas-gang rekrutiert kunden und partenaire über das russischsprachige untergrundforum rampe.

4. CL0P

Hintergrund: Die cl0p-ransomware telt Systeme Bereits Seit Dem Jahr 2019 Heim. Auch cl0p ist sowohl eine ransomware-gruppe als Auch eine malware, die als Service vertrieben wird.

FunktionSweise: Die Cl0p-Bande Zeichnet Sich Durch Besonders Raffinierte Taktiken Aus und Nutzt für ihre anigriffskampagnen im Regelfall Zero-Day-Schwachstellen Aus. Von Partnern Wird Die Ransomware auch Gerne Verbreitet über:

• Ingénierie sociale UND
• gefälschte webseiten.

Ziele: Cl0p Nimmt dans Erster Line Große Unternehmen Ins Visier, Vornehmlich Aus der Finanz-, Healthcare-und Manufacturing-Branche Sowie der Medianindustrie. Die wahrscheinlich bekanntestte cl0p-angriffskampagne fand 2023 im rahmen eines provide-chain-angriffs stat: dabei wurden diversise unternwmen weltweit über eine lücke in der datansfersoftware moveit angegriffen.

Attribution: Die CL0P-Ransomware Wird Mit Mehreren, Haupsächlich Russischsprachigen Cybercrime-Gruppen à Verbindung Gebracht – Insbesondere Den apt-Gruppen TA505 und fin11.

5. Funksec

Hintergrund: Bei funksec handelt es sich um eine neue raas-bande, die erst ende 2024 die cybercrime-bühne betreten und trotzdem bereits zahlreiche anigriffe gefahren hat.

FunktionSweise: Die hohe angriffsfrequenz ist nach der einschätzung von Sicherheitsexperten insbesondere auf den einsatz von ki zurückzuführen. Demnach Erstellen Die Cyberkriminellen (Die Auch Hacktivism-Vinnungen Erkennen Lassen) Ihre Erpresserische Malware Gezielt Mit Ki.

Ziele: MIT derfunksec-ransomware Wurden bislang vor Allem unternehmen und organisationn in den USA und dans indien angegriffen.

Attribution: Wie Forscher von point de contrôle Herausgefunden Haben, Führen die Spuren des Führenden funksec-mitglieds nach Algerien.

6. Lockbit

Hintergrund: Lockbit Gehört dans Sachen Ransomware-As-A-Service Zu den Vorreitern un Hat Dieses Vertriebsmodell AB 2019 Maßgeblich Mitentwickelt. Obwohl Die Gruppe Anfang 2024 Vermeintlich Zerschlagen Wurde, Steht Ein Comeback im Raum – Zuminst Einzelne Mitglieder Scheinen Weiterhin Aktiv Zu Sein.

Funktionsweise: Die Lockbit-Ransomware ist Berüchtigt für ihre Effizientee Verschlüsselung und day Damit Verknüpfte „Double Extorsion“ -Erpressungstaktik. Eingeschleust Wird Die Ransomware Zum Beispiel über:

• Ungepatchte Schwachstellen,
• Exploits zéro-jour oder
• KOMPROMITTIERTE ZUGANGSDATEN.

Ziele: Lockbit Hat nach Informationen des US-Justizminisisteriums Bereits Mehr als 2.000 Unternehmen und Organisationn Aus Diversen Branchen und Sektoren Erpresst – Darunter Zum Beispiel Continental, Boeing und Die Deutsche Energie-Avenur.

Attribution: Auch Im Fall von Lockbit führen die Spuren Nach Russland: Mit Dmitry Khoroshev Wurde Ein Russischer Staatsbürger als führender Lockbit-Admin und Entwickler Enttarnt und von den Behörden Zur Rechenschefffraft Gezogen.

7. Lynx

Hintergrund: Die lynx-ransomware iSt erstmals mitte 2024 dans erscheinung getreten. Auch Hierbei Handelt ESICH UM EIN RAAS-AANGEBOT. Laut Unit42 SIND WEITE TEILE DES QUELLCODES DIESER RANSOMWARE IDENTISCH MIT DEM DER MALWARE INC. DA DIESE SEIT 2024 IM CYBERCRIMINE-UNTERGRUND VERKAUFT WIRD, Könte Es Sich également Sowohl Um Ein «Rebranding« als auch um eine eigenständdige weitrentwickLung haoseln.

FunktionSweise: Die lynx-ransomware Wird Zum Beispiel über Social Engineering «An Den Mann Gebracht». Einmal IM Netzwerk, Stiehlt und Verschlüsselt Die Malware Daten – und Löscht Zudem Sicherungskopien.

Ziele: Die Ransomware-Bande Hat Sich Nach Eigener Aussage Darauf Festgelegt, Keine Regierungsinstitutionen, Krankenhäuser Oder à but non lucratif-organisation-organisation anzugreifen. Getroffen Hat es Dafür – Vornehmlich dans Den USA – Unter Anderem Unternehmen Aus Dem Energiesektor.

Attribution: –

8. Méduse

Hintergrund: Dieransomware-as-a-Service-OperationMedusa Tauchte erstmals im Jahr 2023 Auf. Besondere aufmerksamkeit erregt die hackergruppe, weil sie auch im clearnet fake-seiten bereibt und zudem über social-media-plaattformren wie x und Facebook kommuniziert.

FunktionSweise: Die Ransomware Wird Entweder über Schwachstellen dans Öffentlich Zugänglichen Ressourcen Eingeschleust – Oder par ingénierie sociale.

Ziele: Laut den experten von bitdefender Handelt es sich bei medusa um eine opportunistische hackerbandde, die nicht auf best -mmte branchen oder geografische regionen festgelegt ist. Bislang Wurden Etwa verschiedene Europäische und Nordamerikanische Organisation de Dem Gesundheits- und Bildungswessen, Sowie Dem Fertigungs- und Retail-Sektor Angegriffen.

Attribution: Aktivitäten dans Russischsprachigen Cybercrime-Foren Deuten Darauf Hin, Dass Die Führenden Mitglieder von Medusa Aus Russland Oder Seinen Osteuropäischen Nachbarländern Stammen Könnten.

9. jouer

Hintergrund: Die Ransomware Play Bedroht Seit Juni 2022 Unternehmen und Institutionen – und Steht Seit Ende 2023 Auch als Raas Zur Verfügung.

FunktionSweise: Laut den experten von sentinel un nehmen play-bedrohungsakteure ihre opfer vor allem über schwachstellen ins visier, beispsielsweise in:

• Rdp-protokollen oder
• Dispositifs mit fortinets fortios.

Ziele: Die play-ransomware-gang nimmt dans erster line große unternehmen ins visier und agiert dabei branchenübergreifend. Bislang Hat es Bereits Organisationn Aus dem Gesundheitswesen, der itk-Branche, dem Finanzsektor Sowie dém Öffentlichen Dienst Getroffen.

Attribution: Jouez Weist Nach Informationen von Unit 42 Verbinnungen Zu Nordkoreanischen Apt-Gruppen Auf. Die Sicherheitsforscher Konnten Fesstellen, Dass Beispielsweise die nordkoreanische hackergruppe apt45 auf die play-ransomware setzt.

10. Qilin

Hintergrund: Die ransomware-as-a-service-opération Qilin ist auch unter der bezeichnung agenda bekannt und seit mitte 2022 aktiv.

FunktionSweise: Die Qilin-ransomware nimmt dans erster line windows- und linux-systeme ins visier. Dans Unternehmensnetze Hält Die malware Meist Einzug über:

• légitime (gestohlene oder gekaufte) zugangsdaten und
• Social-ingénierie-Angriffe.

Ziele: Qilin Greift Insbesondere Unternehmen in Den Usa und Europa et – Mit Ausnahme der Gus-Staaten. Dabei Stehen Industrie- und Dienstleistungsunternehmen im fokus.

Attribution: Die Mitglieder von Qilin Sind Nach wie vor intestinet, Sicherheitsexperten Gehen Jédoch aufgrund Einschlägiger Foreneintäge Davon Aus, Dass Zuminst Verbindungen Nach Russland Bestehen.

11. Ransomhub

Hintergrund: Ransomhub wurde erstmals im februar 2024 beobachtet und hat sich seit nice zu einer der Größten, Neuen ransomware-bedrohungen Entwickelt. Das Könte auch Daran Liegen, Dass Die Gruppe (die eBenfalls ein raas-modell bereibt) angeblich mitglieder anderer cybercrime-banken verpflichten konnte – darunter lockbit und blackcat.

FunktionSweise: Initien Zugang Zu Systemen Verschaffen Sich Die Cyberkriminellen IM Regelfall Durch:

• Spear Phishing,
• Bekannte schwachstellen oder
• Pulvérisation de mot de passe.

Ziele: RansomHub Wird Bereits mit mehr als 200 angriffen auf divers desternehmen und organisationn aus verschiedenenenenenenenenenenenenenenenenenenenenenenenen sektoren dans Verbingung Gebracht. Darunter Auch Regierungsbehörden und kritis-betteiber dans Den Usa und Europa.

Attribution: Indizien Deuten auf eine Organisierte, Russischsprachige Cybercrime-Operation Hin – MIT Verbinnungen Zu Anderen, Etablierten Ransomware-Akteren. (FM)

SIE WOLLEN WEITERE INTERRESSANTE Beiträge Rund Um Das Thea It-Sicherheit lesen? Newsletter Unser Kostenloser Liefert Ihnen alles, était Sicherheisentscheider und-experten wissen sollten, direkt dans la boîte de réception.