Ransomware

Unit 42 veröffentlicht zwei neue Ransomware-Forschungsreports

Unit 42 veröffentlicht zwei neue Ransomware-Forschungsreports

Neue Ransomware-Gruppe und Analyse weltweiter Ransomware-Angriffe

Das Unit 42-Team der Cyber Security-Experten bei Palo Alto Networks hat zwei neue Forschungsberichte veröffentlicht:

  • Nach der „Ransomware Review: First Half of 2024“ hat Unit 42 im ersten Halbjahr 2024 einen signifikanten Anstieg von Ransomware-Angriffen weltweit beobachtet. Mit 1.762 veröffentlichten Fällen von Kompromittierungen auf Leak Sites liegt die Zahl der Angriffe um 4,3 % höher als im Vorjahreszeitraum.
  • Zudem haben die Forscher von Unit 42 eine neue RaaS-Gruppe (Ransomware-as-a-Service) identifiziert, die seit Mai 2024 aktiv ist und die Ransomware Cicada3301 verbreitet. Der Bericht gibt Einblick in die Taktiken, Techniken und Verfahren der Bedrohungsakteure.

Ransomware Review: Ein Blick auf das 1. Halbjahr 2024

Deutschland unter den Top 5 der am stärksten betroffenen Länder

Berichte über Ransomware Leak Sites im Monatsvergleich. (Quelle: Palo Alto Networks Unit 42)
  • Deutschland rangiert auf Platz 4 der weltweit am stärksten betroffenen Länder, mit insgesamt 61 dokumentierten Angriffen.
  • Besonders der Fertigungssektor (16,4 % der Fälle) sowie die Bauindustrie (9,4 %) und der Gesundheitssektor (9,6 %) sind weiterhin Hauptziele von Ransomware-Angriffen. Die hohe Sensibilität gegenüber Ausfallzeiten macht diese Branchen besonders anfällig.

LockBit bleibt Bedrohung

Vergleich der sechs aktivsten Ransomware-Gruppen aus dem gesamten Jahr 2023 mit der ersten Hälfte des Jahres 2024. (Quelle: Palo Alto Networks Unit 42)
  • Die LockBit Leak Site ist nach wie vor aktiv und veröffentlicht irreführende Informationen und veraltete Daten.
  • Dies wird durch andere Ransomware-Gruppen vorangetrieben, die den durchgesickerten LockBit 3.0-Quellcode nutzen, um ihre eigenen Ransomware-Varianten zu erstellen.

Schwachstellen weiterhin Haupteinfallstor

  • Angriffe auf deutsche Unternehmen wurden insbesondere durch neu entdeckte Schwachstellen in IT-Systemen begünstigt.
  • Ransomware-Gruppen nutzen diese Sicherheitslücken, um schnell Zugriff auf Netzwerke zu erlangen, Rechte zu erweitern und sich im System weiter auszubreiten.

Kollaboration zwischen Strafverfolgungsbehörden

Von Ransomware betroffene Branchen in der ersten Hälfte des Jahres 2024. (Quelle: Palo Alto Networks Unit 42)
  • Internationale Strafverfolgungsmaßnahmen zeigen erste Erfolge, wie etwa die Verhaftungen von Mitgliedern bekannter Ransomware-Gruppen wie Muddled Libra und Flighty Scorpius.
  • Trotz dieser Maßnahmen bleibt die Bedrohungslage hoch, da sich neue Gruppen schnell formieren und entstandene Lücken füllen.

Neue Raas-Gruppe: Repellent Scorpius verbreitet Cicada3301-Ransomware

Sicherheitsforscher von Palo Alto Networks haben eine neue Ransomware-Gruppe namens Repellent Scorpius identifiziert, die seit Mai 2024 aktiv ist und die Cicada3301-Ransomware verbreitet. Hier die wichtigsten Erkenntnisse:

  • Schnelles Wachstum: Trotz ihres kurzen Bestehens expandiert die Gruppe rasch durch ein Partnerprogramm und die Rekrutierung von Hackern.
  • Doppelte Erpressung: Die Gruppe verschlüsselt nicht nur Daten, sondern droht auch mit der Veröffentlichung gestohlener Informationen.
  • Technische Details: Die Ransomware ist in Rust programmiert und nutzt den ChaCha20-Verschlüsselungsalgorithmus.
  • Gezielte Angriffe: Die Gruppe konzentriert sich auf Unternehmen außerhalb der GUS-Staaten.
  • Historische Verbindungen: Es gibt Hinweise auf mögliche Verbindungen zu früheren Ransomware-Kampagnen, einschließlich potenzieller Überschneidungen mit BlackCat-Angriffen.
  • Zukunftsaussichten: Experten erwarten eine Zunahme der Angriffe durch Repellent Scorpius in naher Zukunft.