Ransom Cartel ist der Name eines neuen Ransomware-Trojaners, der auf dem „as — a — Service“ -Prinzip und der perfiden REvil-Technologie basiert und vor allem auf große Unternehmen abzielt.
Wir werden nun zeigen, wie Ransom Cartel funktioniert und was Sie als Unternehmer tun können, um Ihre Daten zu schützen.
Ransom Cartel ist vermutlich eine Entwicklung des REvil-Trojaners
Sicherheitsforscher von Palo Alto Networks haben die Ransomware erstmals vor knapp einem Jahr entdeckt — doch erst jetzt scheint Ransom Cartel richtig Fahrt aufzunehmen. Die Experten konnten bisher nicht ausschließen, dass es sich bei Ransom Cartel um eine Art Weiterentwicklung der REvil-Ransomware handelt. Warum? Denn nicht nur die Vorgehensweise der beiden Erpressungstrojaner ist sehr ähnlich, sondern auch die Technologie, die dahinter steckt.
Ransom Cartel basiert auf dem Prinzip „Ransomware — as — Service“. Das bedeutet, dass die Programmierer dahinter ihre Entwicklung über das Dark Web anderen Cyberkriminellen zur Verfügung stellen. Für dieses Vorgehen gibt es grundsätzlich zwei Möglichkeiten: Entweder kassieren die Initiatoren nach erfolgten Angriffen eine Art „Erfolgsbonus“, oder die Käufer zahlen einmalig, um den Schadcode zu erwerben und ihn dann gegebenenfalls selbst zu ändern oder an die bevorzugten Opfer anzupassen.
Sowohl die REvil-Ransomware als auch ihr offensichtlicher Nachfolger scheinen ihren Ursprung in Russland zu haben. Ein weiterer Indikator dafür, dass der Cyberkrieg immer noch in vollem Gange ist.
Russland gegen den Rest: Der Cyberkrieg hat nichts von seiner Dynamik verloren. Bild: Pexels/Dmitry Sidorov
REvil 2.0 — die Ransomware aus Russland
Sicherheitsexperten haben die Entwicklungen auf dem Ransomware-Markt in den letzten Monaten mit Sorge beobachtet. Zwar gab es in Russland Festnahmen von 14 mutmaßlichen Personen, die hinter REvil stehen, und auch die entsprechende Darkweb-Leak-Seite war nicht mehr abrufbar, doch der Seufzer der Erleichterung hielt nur kurz an. Nur wenige Wochen später gab es erste Anzeichen für eine Rückkehr der Hackerbande — und gleichzeitig erschien zum ersten Mal die Kartellversion.
Es ist noch nicht hundertprozentig sicher, ob der ursprüngliche REvil-Code nur nachgeahmt oder tatsächlich wiederverwendet wird. Es ist auch nicht klar, ob es sich bei den Kartell-Initiatoren um eine Splittergruppe der REvil-Bande handelt oder ob es irgendwann Berührungspunkte in anderer Form gegeben hat. Es gilt als erwiesen, dass der Ursprung beider Versionen in Russland zu finden ist. Tatsache ist auch, dass eine Reihe großer Unternehmen die potenziellen Gefahren der neuen Generation von Erpressungstrojanern bereits erkannt haben.
Neuer Erpressungstrojaner mit Doppelangriff
Bisher sind mehrere Fälle bekannt, in denen Ransom Cartel bereits erfolgreich war. Seit Jahresbeginn sind vor allem Organisationen aus Frankreich und den USA Opfer des fiesen Erpressungstrojaners. Die Angreifer in der Branche zeigen Flexibilität, bisher standen vor allem Unternehmen in den Bereichen Energie, Versorgung, Bildung und verarbeitende Produktion im Fokus.
Das Vorgehen war in allen Fällen ähnlich aggressiv, da die Hintermänner auf einen sogenannten Doppelangriff setzen. Das bedeutet, dass die Opfer nicht nur dadurch geschädigt werden, dass alle Daten verschlüsselt und die Systeme heruntergefahren werden. Darüber hinaus drohen die Erpresser, die durchgesickerten Daten online zu veröffentlichen. Und selbst das war noch nicht alles. Im gleichen Atemzug präsentieren die Cyberkriminellen ein weiteres Horrorszenario: Nämlich die Verbreitung von Informationen über das Datenleck an Wettbewerber und Kunden und schädigen damit das Image des Unternehmens nachhaltig.
Das Ransom Cartel hat das Potenzial, vielen weiteren Mitarbeitern und Unternehmen Kopfschmerzen zu bereiten. Bild: Pexels/Andrea Piexacdio
Ransom Cartel — Methode und Funktionsweise
Der Erpressungstrojaner verschafft sich auf ziemlich traditionelle Weise Zugriff auf die Systeme seiner Opfer: Er kompromittiert Anmeldeinformationen. Der Missbrauch erfolgt bevorzugt über VPN-Systeme oder externe Remotedienste, die entweder auf Windows- oder Linux-Systemen basieren. Es ist zweitrangig, ob Cyberkriminelle selbst Phishing-Methoden entwickeln oder die Daten der Einfachheit halber bei entsprechenden Einzelhändlern im Darknet kaufen. Alternativ gibt es auch den Einsatz anderer Schadsoftware, mit der beispielsweise lokal gespeicherte Anmeldedaten sichtbar gemacht oder aus dem Speicher gestohlen werden können.
Ebenso zweitrangig ist die Frage, wer den Angriff letztendlich ausführen und sich die Hände schmutzig machen wird, oder wer vom As-a-Service-Prinzip profitieren wird, indem er an der Spitze der Lebensmittelkette steht. Insgesamt bleibt es so, dass Ransomware als solche das wohl größte IT-Sicherheitsrisiko für Unternehmen darstellt (wie auch der BSI-Lagebericht 2022 feststellte).
Schutz vor Ransom Cartel und anderer Ransomware
Wir unterstützen Unternehmen gerne dabei, sich bestmöglich vor Angriffen durch Ransomware-Trojaner zu schützen. Sei es durch die Umsetzung einer ganzheitlichen IT-Sicherheitsstrategie, die Optimierung einzelner Tools im Kampf gegen Cyberkriminalität oder auch durch Schulungen zum Sicherheitsbewusstsein der Mitarbeiter.
Leider kann es nie einen hundertprozentigen Schutz geben, da Hacker ihre Methoden fast täglich weiterentwickeln. Aber mit einem kontinuierlichen Sicherheitsmanagement können Sie zumindest alle Risiken für Ihr Unternehmen minimieren. Wir beraten Sie gerne dazu. Nehmen Sie Kontakt mit uns auf und erfahren Sie mehr über die vielfältigen IT-Sicherheitsdienstleistungen für Unternehmen.
Weitere Links:
ZDNet
Lesen Sie den Originalartikel auf IT-SERVICE.network