Ransomware ist ein bedeutender Bedrohungsvektor, der Unternehmen, Konzerne und Infrastrukturbetreiber jährlich Milliarden von Dollar kostet. Hinter diesen Bedrohungen stehen professionelle Ransomware-Banden, die Malware erstellen und verbreiten, die die Angriffe ermöglicht.
Einige dieser Gruppen greifen Opfer direkt an, während andere das beliebte Ransomware-as-a-Service (RaaS)-Modell verwenden, das es Affiliates ermöglicht, bestimmte Organisationen zu erpressen.
Da die Ransomware-Bedrohung ständig zunimmt, ist es die einzige Möglichkeit, die Nase vorn zu haben, wenn man den Feind kennt und weiß, wie er vorgeht. Hier ist also eine Liste der fünf tödlichsten Ransomware-Gruppen, die die Cybersicherheitslandschaft stören.
1. REvil
Die Ransomware-Gruppe REvil, auch bekannt als Sodinokibi, ist in Russland ansässig Ransomware-as-a-Service (RaaS) Operation, die erstmals im April 2019 erschien. Sie gilt als eine der skrupellosesten Ransomware-Gruppen mit Verbindungen zur russischen Föderalen Serviceagentur (FSB).
Die Gruppe erregte schnell die Aufmerksamkeit von Cybersicherheitsexperten für ihre technischen Fähigkeiten und die Kühnheit, hochkarätige Ziele zu verfolgen. 2021 war das profitabelste Jahr für die Gruppe, da es mehrere multinationale Unternehmen ins Visier nahm und mehrere Branchen störte.
Hauptopfer
Im März 2021, REvil griff den Elektronik- und Hardwarekonzern Acer an und seine Server kompromittiert. Die Angreifer forderten 50 Millionen Dollar für einen Entschlüsselungsschlüssel und drohten, das Lösegeld auf 100 Millionen Dollar zu erhöhen, wenn das Unternehmen den Forderungen der Gruppe nicht nachkomme.
Einen Monat später führte die Gruppe einen weiteren hochkarätigen Angriff auf den Apple-Lieferanten Quanta Computers durch. Es versuchte, sowohl Quanta als auch Apple zu erpressen, aber keines der beiden Unternehmen zahlte das geforderte Lösegeld in Höhe von 50 Millionen Dollar.
Die Ransomware-Gruppe REvil setzte ihre Hacking-Tour fort und zielte auf JBS Foods, Invenergy, Kaseya und mehrere andere Unternehmen ab. JBS Foods war gezwungen, seinen Betrieb vorübergehend einzustellen und zahlte ein geschätztes Lösegeld von 11 Millionen US-Dollar in Bitcoin, um den Betrieb wieder aufzunehmen.
Das Kaseya-Angriff brachte der Gruppe unerwünschte Aufmerksamkeit, da mehr als 1.500 Unternehmen weltweit direkt betroffen waren. Nach diplomatischem Druck nahmen die russischen Behörden im Januar 2022 mehrere Gruppenmitglieder fest und beschlagnahmten Vermögenswerte in Millionenhöhe. Aber diese Störung war nur von kurzer Dauer, da die Die REvil-Ransomware-Gang ist wieder am Laufen seit April 2022.
2. Conti
Conti ist eine weitere berüchtigte Ransomware-Gang, die seit Ende 2018 Schlagzeilen macht. Es verwendet die Methode der doppelten Erpressung, was bedeutet, dass die Gruppe den Entschlüsselungsschlüssel zurückhält und damit droht, vertrauliche Daten preiszugeben, wenn das Lösegeld nicht bezahlt wird. Es betreibt sogar eine Leak-Website, Conti News, um die gestohlenen Daten zu veröffentlichen.
Was Conti von anderen Ransomware-Gruppen unterscheidet, ist das Fehlen ethischer Einschränkungen für seine Ziele. Sie führte mehrere Angriffe im Bildungs- und Gesundheitswesen durch und forderte Lösegeld in Millionenhöhe.
Hauptopfer
Die Ransomware-Gruppe Conti blickt auf eine lange Geschichte des Angriffs auf kritische öffentliche Infrastrukturen wie Gesundheitswesen, Energie, IT und Landwirtschaft zurück. Im Dezember 2021 berichtete die Gruppe, dass sie die indonesische Zentralbank kompromittiert und sensible Daten in Höhe von 13,88 GB gestohlen habe.
Im Februar 2022 griff Conti den internationalen Terminalbetreiber SEA-invest an. Das Unternehmen betreibt 24 Seehäfen in Europa und Afrika und ist auf den Umschlag von Trockenmassengut, Obst und Lebensmitteln, Flüssigmassengut (Öl und Gas) und Containern spezialisiert. Der Angriff betraf alle 24 Ports und verursachte erhebliche Störungen.
Conti hatte im April auch die Broward County Public Schools kompromittiert und 40 Millionen Dollar Lösegeld gefordert. Die Gruppe ließ gestohlene Dokumente in ihrem Blog durchsickern, nachdem sich der Distrikt geweigert hatte, das Lösegeld zu zahlen.
Vor kurzem musste der Präsident von Costa Rica nach Angriffen von Conti auf mehrere Regierungsbehörden den nationalen Notstand ausrufen.
3. Dunkle Seite
Die Ransomware-Gruppe DarkSide folgt dem RaaS-Modell und zielt auf große Unternehmen ab, um große Geldbeträge zu erpressen. Dazu verschafft er sich Zugriff auf das Netzwerk eines Unternehmens, normalerweise durch Phishing oder Brute-Force, und verschlüsselt alle Dateien im Netzwerk.
Es gibt mehrere Theorien über die Ursprünge der DarkSide-Ransomware-Gruppe. Einige Analysten glauben, dass es seinen Sitz in Osteuropa, irgendwo in der Ukraine oder Russland hat. Andere glauben, dass die Gruppe Franchise-Unternehmen in mehreren Ländern hat, darunter Iran und Polen.
Hauptopfer
Die DarkSide-Gruppe stellt enorme Lösegeldforderungen, behauptet aber, einen Verhaltenskodex zu haben. Die Gruppe behauptet, dass sie niemals auf Schulen, Krankenhäuser, Regierungseinrichtungen und jegliche Infrastruktur abzielt, die die Öffentlichkeit betrifft.
Im Mai 2021 führte DarkSide jedoch die Angriff auf die koloniale Pipeline und forderte 5 Millionen Dollar Lösegeld. Es war der größte Cyberangriff auf die Ölinfrastruktur in der Geschichte der USA und störte die Versorgung mit Benzin und Kerosin in 17 Bundesstaaten.
Der Vorfall löste Gespräche über die Sicherheit kritischer Infrastrukturen aus und darüber, wie Regierungen und Unternehmen diese sorgfältiger schützen müssen.
Nach dem Angriff versuchte die DarkSide-Gruppe, ihren Namen reinzuwaschen, indem sie Drittanbieter-Partner für den Angriff verantwortlich machte. Allerdings gem Die Washington Post, beschloss die Gruppe, ihren Betrieb einzustellen, nachdem der Druck der Vereinigten Staaten zugenommen hatte.
4. DoppelPaymer
Die DoppelPaymer-Ransomware ist ein Nachfolger der BitPaymer-Ransomware, die erstmals im April 2019 auftauchte. Es verwendet die ungewöhnliche Methode, Opfer anzurufen und ein Lösegeld in Bitcoins zu fordern.
DoppelPaymer behauptet, in Nordkorea ansässig zu sein und folgt dem Ransomware-Modell der doppelten Erpressung. Die Aktivitäten der Gruppe ließen Wochen nach dem Angriff auf die Colonial Pipeline nach, aber Analysten glauben, dass sie sich in Grief Group umbenannt hat.
Hauptopfer
DopplePaymer zielt häufig auf Ölunternehmen, Autohersteller und kritische Branchen wie Gesundheitswesen, Bildung und Rettungsdienste ab. Es ist die erste Ransomware, die in Deutschland den Tod eines Patienten verursachte, nachdem der Rettungsdienst nicht mit dem Krankenhaus kommunizieren konnte.
Die Gruppe machte Schlagzeilen, als sie Wählerinformationen aus Hall County, Georgia, veröffentlichte. Im vergangenen Jahr wurden auch die kundenorientierten Systeme von Kia Motors America kompromittiert und sensible Daten gestohlen. Die Gruppe forderte 404 Bitcoins als Lösegeld, was damals ungefähr 20 Millionen Dollar entsprach.
5. LockBit
LockBit war in letzter Zeit dank des Niedergangs anderer Gruppen eine der bekanntesten Ransomware-Gangs. Seit seinem ersten Auftritt im Jahr 2019 hat LockBit ein beispielloses Wachstum erlebt und seine Taktiken erheblich weiterentwickelt.
LockBit begann zunächst als unauffällige Bande, gewann aber mit der Einführung von LockBit 2.0 Ende 2021 an Popularität. Die Gruppe folgt dem RaaS-Modell und wendet die Taktik der doppelten Erpressung an, um Opfer zu erpressen.
Hauptopfer
LockBit ist derzeit eine einflussreiche Ransomware-Gruppe, die im Mai 2022 für über 40 Prozent aller Ransomware-Angriffe verantwortlich war. Es greift Organisationen in den USA, China, Indien und Europa an.
Anfang dieses Jahres zielte LockBit auf die Thales Group, einen französischen multinationalen Elektronikkonzern, und drohte damit, vertrauliche Daten preiszugeben, wenn das Unternehmen die Lösegeldforderungen der Gruppe nicht erfüllt.
Es hat auch das französische Justizministerium kompromittiert und seine Dateien verschlüsselt. Der Konzern behauptet nun, gegen die italienische Steuerbehörde verstoßen zu haben (L’Agenzia delle Entrate) und 100 GB Daten gestohlen.
Schutz vor Ransomware-Angriffen
Ransomware ist nach wie vor eine florierende Schwarzmarktindustrie, die diesen berüchtigten Banden jedes Jahr Einnahmen in Milliardenhöhe einbringt. Angesichts der finanziellen Vorteile und der zunehmenden Verfügbarkeit des RaaS-Modells werden die Bedrohungen zwangsläufig zunehmen.
Wie bei jeder Malware sind Wachsamkeit und die Verwendung geeigneter Sicherheitssoftware Schritte in die richtige Richtung, um Ransomware zu bekämpfen. Wenn Sie noch nicht bereit sind, in ein Premium-Sicherheitstool zu investieren, können Sie die integrierten Ransomware-Schutztools von Windows verwenden, um Ihren PC zu schützen.
