Ransomware-Beispiele: 15 AKTUELLE RANSOMWARE-ANGRIFFE

Kurt Baker - April 12, 2022

Was ist ein Ransomware-Angriff?

Der Begriff Ransomware bezeichnet eine Art von Malware-Angriff, bei dem wichtige Dateien eines Opfers verschlüsselt werden und ein Lösegeld (engl. „ransom“) für die Wiederherstellung des Zugriffs gefordert wird. Nach der Zahlung des Lösegelds erhalten die Opfer einen Entschlüsselungsschlüssel. Wenn keine Zahlung erfolgt, veröffentlicht der böswillige Akteur die Daten im Dark Web oder er blockiert den Zugriff auf die verschlüsselten Dateien dauerhaft.

Ransomware-Beispiele

Im Folgenden werden 15 aktuelle Beispiele für Ransomware erklärt und der Ablauf dieser Angriffe beschrieben.

1. BitPaymer

Das CrowdStrike Intelligence-Team überwacht den ursprünglichen BitPaymer, seit er im August 2017 zum ersten Mal erkannt wurde. Bei seiner ersten Iteration enthielt das BitPaymer-Erpresserschreiben eine URL für ein TOR-basiertes Zahlungsportal. Das Zahlungsportal enthielt den Titel „Bit paymer“ sowie eine Referenz-ID, eine Bitcoin (BTC)-Wallet und eine Kontakt-E-Mail-Adresse. Die folgende Abbildung zeigt ein Beispiel dieses Portals:

Weitere Informationen: Vollständige Bitpaymer-Analyse von CrowdStrike

2. CryptoLocker

Nachdem die Ransomware-Gruppe CryptoLocker 2013 die Bühne betrat, wurden praktisch keine Bildschirmsperren mehr beobachtet. Die Ransomware CryptoLocker wurde vom sogenannten BusinessClub entwickelt, der das riesige Gameover Zeus-Botnet mit über einer Millionen infizierten Systemen betrieb. Die Gruppe entschied sich, ihre eigene Ransomware zu entwickeln und auf einem Teil der infizierten Systeme ihres Botnets bereitzustellen. Die Lösegeldforderung an die Opfer war mit einem Betrag zwischen 100 und 300 US-Dollar relativ gering, zahlbar in verschiedenen digitalen Währungen wie cashU, Ukash, Paysafe, MoneyPak und Bitcoin (BTC).

3. DarkSide

Die Ransomware DarkSide wird einer Cybercrime-Gruppe zugeordnet, die von CrowdStrike als CARBON SPIDER geführt und überwacht wird. Die DarkSide-Betreiber konzentrierten sich in der Vergangenheit vor allem auf Windows-Systeme. In letzter Zeit wurden die Aktivitäten auch auf Linux ausgeweitet und Unternehmensumgebungen angegriffen, die ungepatchte VMware ESXi-Hypervisoren ausführen. In anderen Fällen werden vCenter-Anmeldedaten gestohlen. Am 10. Mai 2021 wies das FBI öffentlich darauf hin, dass der Colonial Pipeline-Zwischenfall durch die Ransomware DarkSide verursacht wurde. Später wurde berichtet, dass aus dem Colonial Pipeline-Netzwerk etwa 100 GB an Daten gestohlen wurden. Zudem heißt es, das Unternehmen hätte fast 5 Millionen US-Dollar an einen DarkSide-Partner gezahlt.

4. Dharma

Dharma ist seit 2016 im Rahmen eines Ransomware-as-a-Service (RaaS)-Modells im Umlauf. Dabei lizenzieren oder verkaufen Entwickler Ransomware an andere Kriminelle, die dann einen Angriff damit ausführen. Dharma-Partner legen dabei scheinbar keine Präferenzen für bestimmte Branchen an den Tag.

CrowdStrike hat herausgefunden, dass der ursprüngliche Autor von Dharma den Quellcode 2016 veröffentlichte und dann seine Aktivitäten einstellte. Seit seinem Ausstieg wurde Dharma von verschiedenen, offenbar unabhängigen Akteuren vermarktet, von denen zwei 2019 aktiv waren – und mindestens einer auch noch im Januar 2020. Darüber hinaus gibt es noch die Ransomware Phobos, die wahrscheinlich von Dharma inspiriert wurde, in ihrer Codebasis wohl aber von Dharma abweicht.

Weitere Informationen: Angriffsmethoden der Ransomware Dharma

5. DoppelPaymer

Obwohl die ersten bekannten DoppelPaymer-Opfer im Juni 2019 angegriffen wurden, konnte CrowdStrike noch frühere Builds der Malware rekonstruieren, die bereits im April 2019 kursierten. Dort fehlten noch viele Funktionen, die erst in späteren Varianten auftauchten, sodass nicht klar ist, ob sie tatsächlich schon an Opfer verteilt oder nur zu Testzwecken programmiert wurden.

Das von DoppelPaymer verwendete Erpresserschreiben ähnelt denen des ursprünglichen BitPaymer von 2018. Das Schreiben enthält keinen Lösegeldbetrag, sondern eine URL für ein TOR-basiertes Zahlungsportal, und anstelle des Schlüsselworts KEY zur Identifizierung des verschlüsselten Schlüssels wird im Schreiben das Schlüsselwort DATA verwendet, wie die Abbildung 4 zeigt.

Weitere Informationen: Ursprünge und Analyse von DoppelPaymer

6. GandCrab

GandCrab hat sich als eine der am höchsten entwickelten und am weitesten verbreiteten Ransomware-Familien auf dem Markt etabliert. Die Entwicklung der Ransomware selbst wurde – in Teilen – durch Interaktionen von PINCHY SPIDER mit der Community der Cybersicherheitsforschung vorangetrieben. GandCrab enthält mehrere Verweise auf Mitglieder der Forscher-Community, die in sozialen Medien öffentlich aktiv sind und über die Ransomware berichtet haben.

PINCHY SPIDER Threat Actor Graphic

PINCHY SPIDER hat den Erfolg seiner Ransomware mit Posts in kriminellen Foren gefeiert und dabei oft mit der öffentlichen Berichterstattung über GandCrab-Zwischenfälle geprahlt. Im Februar veröffentlichte PINCHY SPIDER Version 5.2 von GandCrab. Sie ist immun gegen die für frühere Versionen von GandCrab entwickelten Entschlüsselungstools und wurde nur einen Tag vor dem neuesten Entschlüsseler veröffentlicht.

Darüber hinaus wurde in letzter Zeit beobachtet, dass PINCHY SPIDER aktiv nach Personen mit Remote Desktop Protocol (RDP)- und Virtual Network Computing (VNC)-Kenntnissen und nach Spammern sucht, die Erfahrungen mit Unternehmensnetzwerken haben.

Weitere Informationen: Pinchy Spider stellt GandCrab für „Big Game Hunting“ bereit

7. Maze

Die Ransomware Maze ist eine Malware, die weltweit Unternehmen der verschiedensten Branchen angreift. Es wird angenommen, dass Maze über ein Partnernetzwerk betrieben wird, in dem Maze-Entwickler ihre Umsätze mit verschiedenen Gruppen teilen, die Maze in Unternehmensnetzwerke einschleusen. Maze-Betreiber haben auch den Ruf, Assets in einem Netzwerk für laterale Bewegungen in andere Netzwerke zu nutzen.

Weitere Informationen: CrowdStrike-Technikanalyse der Ransomware Maze

8. MedusaLocker

MedusaLocker ist eine Ransomware-Familie, die Anfang Oktober 2019 zum ersten Mal beobachtet wurde. Im Januar 2020 wurde ein Fork von MedusaLocker namens Ako beobachtet. Diese Variante wurde aktualisiert, um die Nutzung eines versteckten Tor-Dienstes zu unterstützen, der ein RaaS-Modell erlaubt. Betreiber der Ako-Version implementieren seitdem eine Data Leak-Website (siehe unten).

WEITERE INFORMATIONEN

Laden Sie unser detailliertes Whitepaper herunter und lernen Sie die effektivsten Ansätze bei der Abwehr von Ransomware kennen:Herunterladen: Ransomware Defense: The Do's and Don'ts

9. NetWalker

NetWalker ist eine in C++ geschriebene Ransomware. Sie wird in Foren von einem Benutzer, der als Mitglied der Gruppe CIRCUS SPIDER bekannt ist, als Ransomware-as-a-Service (RaaS) beworben.

NetWalker verschlüsselt Dateien im lokalen System, ordnet Netzwerkfreigaben zu, listet weitere Freigaben im Netzwerk auf und versucht, mit den Sicherheitstoken aller beim System des Opfers angemeldeten Benutzer darauf zuzugreifen.

Hier sehen Sie ein Beispiel des Erpresserschreibens:

Weitere Informationen: Intelligence-Bericht zur Ransomware NetWalker herunterladen

10. NotPetya

NotPetya ist eine Ransomware-Variante von Petya. Sie wurde 2017 zum ersten Mal beobachtet, als sie sehr schnell Systeme in verschiedenen Ländern infiltrierte. Diese Ransomware-Familie ist besonders gefährlich, weil sie verdeckte Ausbreitungstechniken nutzt, mit denen sie sich schnell lateral bewegen und andere Systeme in einem Unternehmen verschlüsseln kann. In NotPetya-Erpresserschreiben wurden 300 US-Dollar für jeden infizierten Rechner gefordert.

PetrWrap

Weitere Informationen: Technikanalyse von NotPetya

11. Petya

Die Ransomware Petya wurde 2016 entdeckt. Sie verschlüsselt die Master File Table (MFT) und den Master Boot Record (MBR), sodass die Opfer keinerlei Zugriff mehr auf das Laufwerk haben. Petya wird häufig wird mit einem weiteren Exploit-Aufruf namens Mischa gestartet. Falls Petya dann nicht alle erforderlichen Berechtigungen für den Zugriff auf die MFT oder den MBR erhält, wird Mischa aktiviert, um die Dateien einzeln nacheinander zu verschlüsseln.

12. REvil

Am 9. Dezember 2019 hat ein Anbieter des REvil-RaaS (Ransomware as a Service) von PINCHY SPIDER in einem Post damit gedroht, Daten von Opfern in einem Untergrundforum zu veröffentlichen. Dies ist die erste Drohung ihrer Art, die das CrowdStrike Intelligence-Team von der Gruppe oder ihren Partnern beobachtet hat. Anlass war scheinbar Frust über die erfolglose Monetarisierung von Kompromittierungen bei einem Anbieter verwalteter Services (MSP) in den USA und einer Vermögensverwaltungsfirma in China. Seitdem haben Partner von PINCHY SPIDER Daten von mehr als 80 Opfern gepostet.

Weitere Informationen: Ursprünge und Analyse von REvil

13. Ryuk

Ryuk wird speziell für Angriffe auf Unternehmensumgebungen verwendet. Ein Codeabgleich zwischen Versionen von Ryuk und Hermes zeigt, dass Ryuk vom Hermes-Quellcode abgeleitet und seit seiner Veröffentlichung ständig weiterentwickelt wurde. Hermes ist eine Standard-Ransomware, die in Foren zum Verkauf angeboten und von mehreren Bedrohungsakteuren verwendet wurde. Ryuk wird jedoch nur von WIZARD SPIDER genutzt und bisher im Gegensatz zu Hermes nur für Angriffe auf Unternehmensumgebungen eingesetzt.

Hier sehen Sie ein Beispiel für ein Ryuk-Erpresserschreiben:
PetrWrap

Weitere Informationen: Technikanalyse von Ryuk

14. SamSam

SamSam wurde vom Cyberbedrohungsakteur BOSS SPIDER entwickelt und betrieben und dringt über ungepatchte serverseitige Software in eine Umgebung ein. Insbesondere steckte SamSam 2018 hinter dem Ransomware-Angriff auf die Stadt Atlanta. Der Angriff legte die Computer von 8.000 städtischen Mitarbeitern lahm und Bürger konnten weder Wasserrechnungen noch Strafzettel bezahlen.

Unten sehen Sie ein Beispiel für die Antwort eines SamSam-Betreibers nach Zahlung des Lösegelds. Die Antwort enthält in der Regel eine URL, über die das Opfer Entschlüsselungsschlüssel herunterladen kann.

Weitere Informationen: Lektionen aus SamSam

15. WannaCry

WannaCry (oder auch WCry, WanaCrypt oder Wanna) wurde im Mai 2017 während einer Massenkampagne entdeckt, die Unternehmen weltweit betraf. WannaCry hat Gesundheitsdienstleister und Versorgungsunternehmen über den Microsoft Windows-Exploit EternalBlue angegriffen, der Dateifreigaben ermöglichte und damit die Tür für die Verbreitung der Ransomware öffnete.

Weitere Informationen: CrowdStrike-Technikanalyse von WannaCry

EXPERTEN-TIPP

Sehen Sie sich reale Beispiele, raffinierte Taktiken verschiedener hochentwickelter hartnäckiger Bedrohungen (APTs) und Erkennungsmöglichkeiten an:Ansehen

INFORMATIONEN ZUM AUTOR

Kurt Baker ist Leiter des Produkt-Marketings für Falcon Intelligence bei CrowdStrike. Er hat mehr als 25 Jahre Erfahrung in leitenden Positionen und sich dabei auf aufstrebende Software-Firmen spezialisiert. Seine Expertise erstreckt sich auf Cyberbedrohungsdaten, Sicherheitsanalysen, das Sicherheitsmanagement und den Schutz vor komplexen Bedrohungen. Bevor er zu CrowdStrike kam, hat Kurt Baker in technischen Positionen bei Tripwire gearbeitet und mit Partnern Startups in verschiedenen Märkten gegründet – von Unternehmenssicherheitslösungen bis hin zu mobilen Geräten. Er besitzt einen Abschluss als Bachelor of Arts der University of Washington und wohnt jetzt in Boston (Massachusetts).