Accueil > Mots-clés > articles_connexes > Ransomware
Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4
Ransomware Spezialisten zufolge zeichnet sich ein Trend ab, nach dem Unternehmen immer besser in der Lage sind, die Folgen der Angriffe abzufedern. Dabei zahlen die Unternehmen oft kein Lösegeld. Dennoch finden Cyberkriminelle immer neue Wege, Konten und Netzwerke zu kompromittieren und durch steigende Lösungsgelder größeren Profit zu generieren.
Bereits im April dieses Jahres wurde eine neue Ransomware-Gruppe namens „Money Message“ aktiv. Während die Cyberkriminellen bislang unter dem Radar flogen, konnte Sophos X-Ops die Aktivitäten der Cyberkriminellen nun bei der mit der Untersuchung eines Angriffs auf eine australische Organisation näher unter die Lupe nehmen. Die Gruppierung liefert ein Musterbeispiel für eine mittlerweile sehr weit verbreitete Angriffsvariante: die Schleichfahrt durch gekaperte Firmennetzwerke auf verschiedenste Weise, um der Erkennung und Eliminierung zu entgehen. So wurden zum Beispiel bei 78 Prozent der im ersten Halbjahr 2023 analysierten Fälle des Sophos Incident Response Teams interne RDP-Dienste von Cyberkriminellen für ihre Zwecke missbraucht.
CPR fasst die Geschehnisse zusammen, ordnet die Attacke mit sektorspezifischen Statistiken ein und gibt Tipps, wie Unternehmen sich vor Ransomware schützen können. Am 12. September 2023 wurde MGM Resorts, ein US-amerikanischer Betreiber von Hotels und Spielcasinos, Berichten zufolge von einem Ransomware-Angriff heimgesucht, der mehrere Systeme an einigen seiner wichtigsten Standorte in Las Vegas außer Betrieb setzte. Durch den Angriff wurden die Gäste aus ihren Zimmern ausgesperrt und konnten weder vor Ort noch über die MGM-Mobil-App Transaktionen durchführen. Die betroffenen Casino-Hotels mussten die Transaktionen letztlich manuell abwickeln. Es wird erwartet, dass dieser Vorfall wesentliche Auswirkungen auf die Geschäftstätigkeit des Unternehmens haben wird.
Cactus tauchte im März dieses Jahres auf und hat seitdem schon Daten von ein paar weltweit bekannten Unternehmen infizieren können. Logpoint hat Taktiken, Techniken und Prozeduren (TTPs) sowie Indicators of Compromise (IoCs) analysiert, um Abwehrmaßnahmen zu entwickeln.
Cactus hat sich zu einer ausgeklügelten Ransomware entwickelt. Der Newcomer tauchte erstmals im März 2023 auf und hat sich in die Top 10 der Malware-Gruppen eingereiht, die die meisten monatlichen Opfer provozierten; im (...)
Las Vegas und seine zahlreichen Casinos sind für viele Facetten bekannt. Spiel, Show und Spaß, alles versteckt hinter einem riesigen Sicherheitsaufwand. Überwachungskameras, Bodyguards und vieles mehr. Kaum ein Ort ist sicherer als Las Vegas und seine Hotelpaläste. Doch wie so oft gibt es auch hier Lücken in den Sicherheitskonzepten. Erst vor wenigen Tagen musste die Hotelkette MGM ihre Systeme abschalten. Der Grund: Verdacht auf einen Ransomware-Angriff.
8Base hat sich in diesem Sommer in die Top 5 der aktivsten Ransomware-Gruppierungen gearbeitet und hat dabei besonders einen Sektor auf dem Radar: kleine und mittlere Unternehmen (KMU). Erstmals auf den Plan getreten ist 8base im März 2022 und seit Juni 2023 zeigt sich die Gruppe aktiver als je zuvor. Entsprechend gilt es nun, zu handeln und sich vor einem Einfall der Kriminellen zu schützen.
Seit dem 3. Februar 2023 zielen Angreifer aktiv auf VMware ESXi-Server ab, die nicht gegen eine zwei Jahre alte Sicherheitslücke für Remotecodeausführung gepatcht waren, um eine neue ESXiArgs-Ransomware zu installieren. Laut einem Bericht bei BleepingComputer meldeten sich darauf zahlreiche betroffene Administratoren in deren Forum. Die Angreifer nutzen eine Schwachstelle, um sich Zugang zu den Servern zu verschaffen, und verschlüsseln dann die auf ihnen gehosteten virtuellen Maschinen. Sie verlangen eine Lösegeldzahlung für die Entschlüsselung der Daten. Der Angriff scheint von einer gut finanzierten und organisierten Gruppe durchgeführt zu werden und ist sehr effektiv, da ESXi-Server häufig in kritischen Infrastrukturen eingesetzt werden und schwer abzusichern sind.
Der 12. Mai kennzeichnet nicht nur den internationalen „Anti-Ransomware-Tag", sondern auch den sechsten Jahrestag der berüchtigten und verheerenden WannaCry-Angriffe. Auch heute noch stellt Ransomware eine ständige Bedrohung für Organisationen dar. Sie kann dazu führen, dass Geschäftsabläufe gestoppt werden, der Ruf eines Unternehmens geschädigt wird und reale Folgen entstehen. Öffentlichkeitswirksame Angriffe auf z.B. Krankenhäuser und Kommunen sind bei der Bevölkerung zumeist besser bekannt, doch Ransomware-Attacken stellen nach wie vor für alle Arten und Größen von Unternehmen eine äußerst ernstzunehmende Bedrohung dar.
Die gemeinsame Aktion des FBI in Abstimmung mit deutschen und niederländischen Behörden ist ein Erfolg gegen die ausgefeilten Techniken von Hive zu einem kritischen Zeitpunkt im Kampf gegen Ransomware-Gruppen. Allein in Deutschland waren bereits mehr als 70 Unternehmen von den Cyberkriminellen gehackt worden. Die Ermittlungen sind auch ein entscheidender Schritt in Richtung einer verstärkten internationalen Zusammenarbeit, um Bedrohungsakteure zum Nutzen aller an der Ausübung ihrer Tätigkeit zu hindern.
Anfang 2023 beobachtete SentinelLabs, die Forschungsabteilung von SentinelOne, eine Zunahme von VMware ESXi-Ransomware, die auf Babuk (auch bekannt als Babak, Babyk) basiert. Die Babuk-Leaks im September 2021 boten einen beispiellosen Einblick in die Entwicklungsabläufe einer organisierten Ransomware-Gruppe.
Aufgrund der weiten Verbreitung von ESXi in On-Prem- und hybriden Unternehmensnetzwerken stellen diese Hypervisoren (Software, die virtuelle Maschinen erstellt und ausführt) attraktive Ziele für Ransomware dar. In den vergangenen zwei Jahren haben organisierte Ransomware-Gruppen Linux-Locker übernommen, darunter ALPHV, Black Basta, Con