LockBit an der Spitze der Ransomware-Bedrohungen

Von Juli bis September 2022 zählte das Sicherheitsunternehmen Intel 471 insgesamt 455 Angriffe von 27 Ransomware-Varianten, wobei LockBit 3.0 für 192 davon (42 Prozent) verantwortlich war. Das Sicherheitsunternehmen Digital Shadows verzeichnete im gleichen Zeitraum rund 600 Ransomware-Opfer, von denen 35 Prozent auf LockBit zurückzuführen waren.

Die USA waren das am stärksten betroffene Land. Die Angriffe zielten vor allem auf den Industriegüter- und Dienstleistungssektor, was angesichts seiner Bedeutung für kritische Infrastrukturen besorgniserregend ist. Darüber hinaus hat die Zahl der politisch motivierten Datenerpressungsangriffe im Vergleich zum Vorquartal zugenommen.

LockBit profitiert von der Conti-Abschaltung

Seit ihrem Start im Jahr 2019 entwickelte sich Conti bis Anfang 2022 zur produktivsten Ransomware-Bande. Verschiedene Gründe haben jedoch dazu geführt, dass sich die Gang im Mai auflöste. So unterstützte Conti öffentlich die russische Invasion in der Ukraine, außerdem startete die Bande einen Großangriff auf die Regierung von Costa Rica, der das US-Außenministerium dazu veranlasste, eine Belohnung von 10 Millionen US-Dollar für Informationen über ihre Anführer auszusetzen. Und falls das noch nicht ausreichte, gab es auch noch ein großes Leck in der internen Kommunikation, wobei operative Details bekannt wurden. Ob Conti vollständig verschwunden ist oder nur unter einem anderen Namen auftritt, ist derzeit umstritten. Einige Forscher halten die Ransomware-Operation Black Basta und die Datenerpressergruppe Karakurt Hacking Team für Ableger der Bande.

Fest steht, dass nach der Schließung von Conti im Mai seine Partner - die einzelnen Personen der Gruppe, die das Eindringen in den Computer und die Verteilung der Ransomware gegen Beteiligung an den Lösegeldzahlungen durchführten - begonnen haben, sich anderen Akteuren auf dem Markt für Ransomware-as-a-Service (RaaS) anzuschließen. Der Hauptnutznießer der Abwanderung cyberkrimineller Talente scheint LockBit gewesen zu sein.

Die LockBit-RaaS-Operation existiert schon fast so lange wie Conti, stand aber in den ersten beiden Betriebsjahren im Schatten anderer Gruppen wie Maze und Ryuk. Im Laufe der Zeit haben die Macher den Code jedoch erheblich verbessert. So ging im Juni die Version 3.0 der LockBit-Ransomware an den Start.

Obwohl LockBit 3.0 im dritten Quartal der führende Ransomware-Stamm war, bleibt abzuwarten, ob dies auch weiterhin der Fall sein wird. Im September sickerten nämlich interne Details über das LockBit-Partnerprogramm, den Ersteller der Ransomware und Informationen über den vermeintlichen Anführer durch. Vermutlich wollten andere Cyberkriminelle damit den Ruf des Programms in den eigenen Kreisen schädigen. Das Leck hat tatsächlich Gespräche in Untergrundforen über die operative Sicherheit der Bande ausgelöst.

"Dieser Vorfall hat das Potenzial, die Anzahl der LockBit-Verletzungen im vierten Quartal 2022 weiter zu verringern", so die Forscher von Intel 471 in ihrem Bericht. "Das Syndikat wird sich wahrscheinlich darauf konzentrieren müssen, den Code der Ransomware und die Taktiken, Techniken und Verfahren (TTPs) der Gruppe zu modifizieren sowie mehr operative Sicherheitsmaßnahmen (OPSEC) zu implementieren." Es sei jedoch wahrscheinlich, dass die Akteure den LockBit-Quellcode als Grundlage für die Entwicklung anderer Ransomware-Programme verwenden werden.

Die Forscher von Digital Shadows sind sich in ihrem Bericht einig, dass unabhängig davon, wer die Quelle des Lecks war, der Vorfall zumindest dazu führen könnte, dass andere Gruppen den LockBit 3.0 Builder als Waffe einsetzen.

Tipp: Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Conti's Schatten ist nicht weit

Verantwortlich für die zweitgrößte Anzahl an Opfern im dritten Quartal nach Conti war der Ransomware-Stamm Black Basta mit 11 Prozent (Intel 471) beziehungsweise 9 Prozent (Digital Shadows). Die Top 5 wurden durch zwei Ransomware-Stämme namens Hive und ALPHV in der Telemetrie beider Unternehmen vervollständigt.

Es gibt Gerüchte, dass sowohl Black Basta als auch Hive mit Conti in Verbindung stehen. Obwohl dies nicht bestätigt ist, ist die Beweislage im Fall von Black Basta stärker. "Wir gehen davon aus, dass Black Basta RaaS von dem Akteur Tramp, einem Conti-Ransomware-Partner, gestartet wurde", so die Intel 471-Forscher. "Der Akteur nutzte wahrscheinlich weiterhin die TTPs von Conti, um die Black Basta-Ransomware nach der Auflösung von Conti zu betreiben."

Die Black-Basta-Ableger haben es in der Regel auf hochprofitable Unternehmen abgesehen. Den Daten von Intel 471 zufolge stammten die Opfer der Gruppe im dritten Quartal aus acht Ländern, verglichen mit elf im zweiten Quartal. Dies könnte darauf hindeuten, dass die Gruppe ihre Bemühungen auf die stärker entwickelten Märkte konzentriert, insbesondere auf die USA, wo sich zwei Drittel der Black-Basta-Opfer im dritten Quartal waren.

Hive ist in seinem Fokus sogar noch fokussierter. Ein mutmaßlicher Hive-Betreiber gab im August bekannt, dass die Mitglieder der Gruppe hauptsächlich Organisationen in Australien, Kanada, Großbritannien und den USA angreifen. "Die Akteure, die die Hive-Ransomware einsetzen, nutzten häufig Phishing-Kampagnen, um sich einen ersten Zugang zu verschaffen und ihre Malware zu verbreiten", so die Forscher von Intel 471: "Die meisten dieser Phishing-Kampagnen sind in englischer Sprache verfasst. Das schränkt die Zielgruppe ein, ermöglicht es aber den Akteuren , ihr Produkt zu verfeinern und Social-Engineering-Kampagnen auf eine bestimmte Zielgruppe zuzuschneiden. "Das reduziert wahrscheinlich den Ressourcenaufwand und erhöht die Erfolgschancen", erklären die Security-Experten.

Die ALPHV RaaS-Mitglieder scheinen stattdessen Schwachstellen und Exploits zu bevorzugen, um sich Zugang zu großen Organisationen zu verschaffen. Der angebliche Anführer der ALPHV RaaS-Operation behauptete im September, dass die Gruppe seit dem Start des Partnerprogramms Flughäfen, Betreiber von Treibstoff-Pipelines, Tankstellen, Ölraffinerien und andere kritische Infrastrukturen ins Visier genommen hat. Dies ist schwer zu verifizieren, da nicht alle Opfer einer Ransomware-Operation öffentlich bekannt sind. Basierend auf den Daten von Intel 471 im dritten Quartal waren jedoch die am stärksten von ALPHV betroffenen Sektoren Immobilien, professionelle Dienstleistungen und Beratung, Verbraucher- und Industrieprodukte sowie Technologie.

Andere bemerkenswerte Ransomware-Varianten, die für Angriffe im dritten Quartal verantwortlich waren, sind AvosLocker, Vice Society, STORMOUS, Bianlian, Medusa, Ransomhouse, Quantum und LV. Die Forscher von Intel 471 haben auch einige neue RaaS-Programme beobachtet, die im letzten Quartal in Untergrundforen auftauchten und beworben wurden, darunter Monster, Solidbit und Garyk.

In der Zwischenzeit beobachteten die Forscher von Digital Shadows, dass 12 neue Ransomware-Websites für Datenlecks gestartet wurden. Darunter befinden sich auch neue Gruppen, wodurch sich die Anzahl solcher Websites, die das Unternehmen verfolgt, auf 97 erhöht, von denen 44 aktiv sind. Allerdings betreiben nicht alle Ransomware-Gruppen Datenleck-Seiten oder engagieren sich in dieser Form der doppelten Erpressung - also den Diebstahl sensibler Daten plus die Drohung, sie zusätzlich zur Verschlüsselung mit Ransomware-Programmen freizugeben oder zu verkaufen . Gruppen wie Karakurt, von denen man ebenfalls annimmt, dass sie mit Conti in Verbindung stehen, erpressen dagegen ausschließlich mit Datenlecks und setzen keine Ransomware ein.

"Am Ende des letzten Quartals stellten wir die Hypothese auf, dass wir einen Ansturm neuer Gruppen sehen würden, die von ehemaligen Conti-Mitgliedern angeführt werden", so die Forscher von Digital Shadows. "Unabhängig davon, ob diese neuen Gruppen Verbindungen zu Conti haben oder nicht, wurden sie wahrscheinlich opportunistisch gegründet, um die von Conti hinterlassene Marktlücke zu füllen."

Laut Digital Shadows waren die USA, Frankreich, Spanien, Großbritannien, Deutschland und Italien die Länder, die im dritten Quartal am meisten von Ransomware betroffen waren. Intel 471 wiederum nennt als die vier wichtigsten Länder die USA, Frankreich, Großbritannien und Italien. Die beiden Unternehmen teilen die Branchen etwas anders auf, aber zu den am häufigsten angegriffenen Branchen gehörten Industrie- und Konsumgüter, Technologie, Bauwesen und Werkstoffe, Fertigung, professionelle Dienstleistungen und Beratung, Reisen und Freizeit sowie öffentliche Dienstleistungen. (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.