Sicherheitsteams von Unternehmen können der ständig wachsenden Liste von Ransomware-Bedrohungen, die sie überwachen müssen, drei weitere Ransomware-Varianten hinzufügen.
Die drei Varianten – Vohuk, ScareCrow und AESRT – zielen wie die meisten Ransomware-Tools auf Windows-Systeme ab und scheinen sich relativ schnell auf Systemen zu verbreiten, die Benutzern in mehreren Ländern gehören. Sicherheitsforscher der FortiGuard Labs von Fortinet, die diese Woche die Bedrohungen verfolgen, beschrieben, dass die Ransomware-Samples in der Ransomware-Datenbank des Unternehmens an Bedeutung gewinnen.
Fortinets Analyse der drei Bedrohungen erwiesen sich als Standard-Ransomware-Tools der Art, die dennoch sehr effektiv bei der Verschlüsselung von Daten auf kompromittierten Systemen waren. Die Warnung von Fortinet identifizierte nicht, wie die Betreiber der neuen Ransomware-Samples ihre Malware verteilen, stellte jedoch fest, dass Phishing-E-Mails in der Regel der häufigste Vektor für Ransomware-Infektionen waren.
Eine wachsende Zahl von Varianten
„Wenn die Zunahme von Ransomware im Jahr 2022 anzeigt, was die Zukunft bringt, sollten Sicherheitsteams überall damit rechnen, dass dieser Angriffsvektor im Jahr 2023 noch beliebter wird“, sagt Fred Gutierrez, Senior Security Engineer bei Fortinet FortiGuard Labs.
Allein in der ersten Hälfte des Jahres 2022 sei die Zahl der von FortiGuard Labs identifizierten neuen Ransomware-Varianten im Vergleich zum vorangegangenen Halbjahr um fast 100 % gestiegen, sagt er. Das Team von FortiGuard Labs dokumentierte im ersten Halbjahr 10,666 2022 neue Ransomware-Varianten, verglichen mit nur 5,400 im zweiten Halbjahr 2021.
„Diese Zunahme neuer Ransomware-Varianten ist in erster Linie darauf zurückzuführen, dass immer mehr Angreifer Ransomware-as-a-Service (RaaS) im Dark Web nutzen“, sagt er.
Er fügt hinzu: „Darüber hinaus ist der vielleicht beunruhigendste Aspekt, dass wir eine Zunahme zerstörerischer Ransomware-Angriffe in großem Maßstab und in praktisch allen Sektoren beobachten, die wir bis 2023 fortsetzen werden.“
Standard, aber effektive Ransomware-Stämme
Die Vohuk-Ransomware-Variante, die Fortinet-Forscher analysierten, schien sich in ihrer dritten Iteration zu befinden, was darauf hindeutet, dass ihre Autoren sie aktiv weiterentwickeln.
Die Malware hinterlässt auf kompromittierten Systemen eine Lösegeldforderung „README.txt“, die die Opfer auffordert, den Angreifer per E-Mail mit einer eindeutigen ID zu kontaktieren, sagte Fortinet. Die Notiz informiert das Opfer darüber, dass der Angreifer nicht politisch motiviert ist, sondern nur an finanziellem Gewinn interessiert ist – vermutlich um den Opfern zu versichern, dass sie ihre Daten zurückbekommen würden, wenn sie das geforderte Lösegeld zahlen würden.
Unterdessen „ist ScareCrow eine weitere typische Ransomware, die Dateien auf den Computern der Opfer verschlüsselt“, sagte Fortinet. „Seine Lösegeldforderung mit dem Titel ‚readme.txt‘ enthält drei Telegram-Kanäle, über die Opfer mit dem Angreifer sprechen können.“
Obwohl die Lösegeldforderung keine spezifischen finanziellen Forderungen enthält, kann man davon ausgehen, dass die Opfer ein Lösegeld zahlen müssen, um verschlüsselte Dateien wiederherzustellen, sagte Fortinet.
Die Recherchen des Sicherheitsanbieters zeigten auch einige Überschneidungen zwischen ScareCrow und den berüchtigten Conti-Ransomware-Variante, eines der produktivsten Ransomware-Tools aller Zeiten. Beide verwenden beispielsweise denselben Algorithmus, um Dateien zu verschlüsseln, und genau wie Conti löscht ScareCrow Schattenkopien mithilfe des WMI-Befehlszeilenprogramms (wmic), um Daten auf infizierten Systemen unwiederbringlich zu machen.
Meldungen an VirusTotal deuten darauf hin, dass ScareCrow Systeme in den Vereinigten Staaten, Deutschland, Italien, Indien, den Philippinen und Russland infiziert hat.
Und schließlich hat AESRT, die dritte neue Ransomware-Familie, die Fortinet kürzlich in freier Wildbahn entdeckt hat, eine ähnliche Funktionalität wie die anderen beiden Bedrohungen. Der Hauptunterschied besteht darin, dass die Malware anstelle einer Lösegeldforderung ein Popup-Fenster mit der E-Mail-Adresse des Angreifers und ein Feld anzeigt, das einen Schlüssel zum Entschlüsseln verschlüsselter Dateien anzeigt, sobald das Opfer das geforderte Lösegeld bezahlt hat.
Wird Crypto-Collapse die Ransomware-Bedrohung verlangsamen?
Die neuen Varianten ergänzen die lange – und ständig wachsende – Liste von Ransomware-Bedrohungen, mit denen sich Unternehmen jetzt täglich auseinandersetzen müssen, da Ransomware-Betreiber unermüdlich auf Unternehmensorganisationen einhämmern.
Daten zu Ransomware-Angriffen, die LookingGlass Anfang dieses Jahres analysierte, zeigten, dass es einige gab 1,133 bestätigte Ransomware-Angriffe allein im ersten Halbjahr 2022 – mehr als die Hälfte (52 %) davon betraf US-Unternehmen. LookingGlass fand die aktivste Ransomware-Gruppe hinter der LockBit-Variante, gefolgt von Gruppen hinter Conti, Black Basta und Alphy Ransomware.
Die Aktivitätsrate ist jedoch nicht konstant. Einige Sicherheitsanbieter berichteten von einer leichten Verlangsamung der Ransomware-Aktivität in bestimmten Teilen des Jahres.
In einem Halbjahresbericht sagte beispielsweise SecureWorks, dass seine Maßnahmen zur Reaktion auf Vorfälle im Mai und Juni darauf hindeuteten, dass sich die Geschwindigkeit, mit der erfolgreiche neue Ransomware-Angriffe stattfanden, etwas verlangsamt hatte.
SecureWorks identifizierte den Trend als wahrscheinlich, zumindest teilweise mit der Unterbrechung des RaaS-Betriebs von Conti in diesem Jahr und anderen Faktoren wie z Störwirkung des Krieges in der Ukraine auf Ransomware-Banden.
Ein weiterer Bericht des Identity Theft Resource Center (ITRC), berichteten von einem Rückgang der Ransomware-Angriffe um 20 % was im zweiten Quartal 2022 im Vergleich zum ersten Quartal des Jahres zu einer Verletzung führte. ITRC identifizierte den Rückgang ebenso wie SecureWorks mit dem Krieg in der Ukraine und vor allem mit dem Zusammenbruch von Kryptowährungen, die Ransomware-Betreiber für Zahlungen bevorzugen.
Bryan Ware, CEO von LookingGlass, glaubt, dass der Krypto-Zusammenbruch Ransomware-Betreiber im Jahr 2023 behindern könnte.
„Der jüngste FTX-Skandal hat Kryptowährungen in Mitleidenschaft gezogen, und dies wirkt sich auf die Monetarisierung von Ransomware aus und macht sie im Wesentlichen unberechenbar“, sagt er. „Dies verheißt nichts Gutes für Ransomware-Betreiber, da sie langfristig andere Formen der Monetarisierung in Betracht ziehen müssen.“
Ware sagt die Trends rund um Kryptowährungen hat einige Ransomware-Gruppen erwogen, ihre eigenen Kryptowährungen zu verwenden: „Wir sind uns nicht sicher, ob dies eintreten wird, aber insgesamt sind Ransomware-Gruppen besorgt darüber, wie sie in Zukunft Geld verdienen und ein gewisses Maß an Anonymität wahren werden.“
