10 Millionen Dollar Kopfgeld für Hive-Anführer
Das US-Außenministerium bietet bis zu 10 Millionen US-Dollar Belohnung für Informationen über Schlüsselpersonen bei der Hive-Ransomware-Operation. Zusätzlich gibt es weitere 5 Millionen US-Dollar für Hinweise, die zur Verhaftung oder Verurteilung von Personen führen, die sich an Hive-Aktivitäten beteiligt haben oder beteiligen wollen.
Mehrere Millionen Dollar Belohnung wurden angekündigt, etwas über ein Jahr nach einer koordinierten Operation der Strafverfolgungsbehörden, welche die Darknet-Infrastruktur der Hive-Ransomware-Gruppe infiltriert und zerschlagen haben. Ein Verdächtiger mit Verbindungen zu dieser Gruppe wurde im Dezember 2023 in Paris verhaftet.
Hive tauchte Mitte 2021 auf und hatte es auf über 1.500 Opfer in mehr als 80 Ländern abgesehen, wobei illegale Einnahmen von rund 100 Millionen US-Dollar erzielt wurden. Bitdefender enthüllte im November 2023, dass eine neue Gruppe namens Hunters International den Quellcode und die Infrastruktur von Hive erworben hatte, um ihre eigenen Aktivitäten zu starten.
Es wird angenommen, dass die Bedrohungsakteure von Hunters International wahrscheinlich aus Nigeria stammen, insbesondere eine Person namens Olowo Kehinde, wie Sicherheitsforscher herausfanden. Allerdings könnte es sich auch um eine falsche Identität handeln, um die Forscher auf eine falsche Fährte zu schicken.
Chainalysis schätzte in ihrem Jahresrückblick 2023, dass Ransomware-Kriminelle im vergangenen Jahr 1,1 Milliarden US-Dollar an erpressten Kryptowährungs-Zahlungen von Opfern erhielten, verglichen mit 567 Millionen US-Dollar im Jahr 2022. Dies zeigt, dass Ransomware-Aktivitäten nach einem Rückgang im Jahr 2022 im Jahr 2023 wieder deutlich zunahmen.
Der Rückgang im Jahr 2022 wurde auf den russisch-ukrainischen Krieg und die Zerschlagung von Hive zurückgeführt. Die Gesamtzahl der gemeldeten Opfer auf Datenleckseiten betrug 2023 4.496, verglichen mit 3.048 im Jahr 2021 und 2.670 im Jahr 2022.
Palo Alto Networks Unit 42 hat in seiner eigenen Analyse der öffentlichen Opferlisten von Ransomware-Banden auf Dark-Web-Sites festgestellt, dass die Fertigungsindustrie im Jahr 2023 am stärksten betroffen war, gefolgt von Freiberuflern, juristischen Dienstleistern, Hochtechnologie, Einzelhandel, Baugewerbe und Gesundheitswesen.
Die Strafverfolgungsmaßnahmen haben nicht nur Lösegeldzahlungen von rund 130 Millionen US-Dollar an Hive verhindert, sondern wahrscheinlich auch die breiteren Aktivitäten von Hive-Mitgliedern beeinträchtigt. Ohne die Maßnahmen wäre die Zahl der Angriffe wohl erheblich höher gewesen. Insgesamt wurden durch die Aktion schätzungsweise Zahlungen in Höhe von mindestens 210,4 Millionen Dollar verhindert.
Im vergangenen Jahr gab es neben der Zunahme der Häufigkeit, des Umfangs und des Volumens der Angriffe auch einen starken Anstieg neuer Marktteilnehmer und Ableger. Dies deutet darauf hin, dass das Ransomware-Ökosystem kontinuierlich neue Akteure gewinnt, die von der Aussicht auf hohe Gewinne und niedrigere Eintrittsbarrieren angezogen werden.
Die Anzahl der aktiven Ransomware-Banden stieg laut dem Cyber-Versicherungsanbieter Corvus zwischen dem ersten und vierten Quartal 2023 um 34 Prozent, von insgesamt 35 auf 47. Dies könnte auf Aufspaltungen, Umbenennungen oder den Erwerb geleakter Verschlüsselungsprogramme durch andere Akteure zurückzuführen sein. Im Jahr 2023 sind 25 neue Ransomware-Gruppen aufgetaucht.
Die Zunahme von Umbenennungen, insbesondere bei den Akteuren hinter den größten und bekanntesten Ransomware-Gruppen, deutet darauf hin, dass das Ransomware-Ökosystem kleiner ist, als es die große Anzahl von Gruppen vermuten lässt, so Chainalysis.
Es gab auch eine bemerkenswerte Verlagerung auf die „Großwildjagd“, bei der große Unternehmen ins Visier genommen werden, um besonders hohe Lösegelder zu erpressen. Lösegeldzahlungen werden zunehmend über Cross-Chain-Bridges, Instant-Exchanger und Glücksspiel-Dienste abgewickelt, was darauf hindeutet, dass E-Kriminalitätsgruppen von zentralisierten Börsen und Mixern (ein Dienst, welcher Krypto-Geldmengen mit anderen vermischt, um mögliche Spuren zu verwischen – auch Tumbler genannt) abweichen, um neue Wege zur Geldwäsche zu finden.
Im November 2023 verhängte das US-Finanzministerium Sanktionen gegen Sinbad, einen Mixer für virtuelle Währungen, der von der mit Nordkorea verbundenen Lazarus-Gruppe zum Waschen unrechtmäßig erworbener Gelder genutzt wurde. Andere sanktionierte Mixer sind Blender, Tornado Cash und ChipMixer.
Die Zunahme von Ransomware-Angriffen im Jahr 2023 wurde auch durch eine deutliche Verschiebung bei der Nutzung von Schwachstellen durch Bedrohungsakteure beeinflusst. Corvus hob die Ausnutzung von Schwachstellen in Fortra GoAnywhere und Progress MOVEit Transfer durch Cl0p hervor.
Wenn Malware wie Infostealer ständig neue Ransomware-Opfer generiert, ist eine große Sicherheitslücke wie das Aufdrehen eines Wasserhahns: Mit einigen Schwachstellen kann scheinbar über Nacht ein relativ einfacher Zugang zu Tausenden von Opfern geschaffen werden.
Das Cybersicherheitsunternehmen Recorded Future hat festgestellt, dass die Nutzung von Sicherheitslücken durch Ransomware-Gruppen in zwei klare Kategorien fällt: Schwachstellen, die nur von einer oder zwei Gruppen ausgenutzt wurden, und solche, die von mehreren Bedrohungsakteuren in großem Umfang ausgenutzt wurden.
Einige Beispiele für spezialisierte Ransomware-Gruppen sind: Magniber, die sich besonders auf Microsoft-Schwachstellen konzentriert hat, Cl0p, die sich auf die Dateiübertragungssoftware von Accellion, SolarWinds und MOVEit spezialisiert hat, ALPHV, die sich auf die Datensicherungssoftware von Veritas und Veeam konzentriert hat, und REvil, die sich auf Serversoftware von Oracle, Atlassian und Kaseya fokussiert hat.
Die Cyberkriminellen passen sich kontinuierlich an, was sich in der Zunahme von DarkGate- und PikaBot-Infektionen nach der Zerschlagung des QakBot-Malware-Netzwerks zeigt. Die beiden Schadproramme waren bevorzugter Einstiegsweg in Zielnetzwerke für die Verbreitung von Ransomware.
Chainalysis hat eine „Korrelation“ zwischen den Zuflüssen zu Initial Access Broker (IAB)-Wallets und einem Anstieg der Ransomware-Zahlungen festgestellt. Dies deutet darauf hin, dass die Beobachtung der Blockchain-Pfade von IABs Frühwarnsignale für ein potenzielles Eingreifen und die Eindämmung von Angriffen liefern könnte.
Laut Unit 42 haben einige Ransomware-Gruppen wie Cl0p Zero-Day-Exploits gegen neu entdeckte kritische Schwachstellen verwendet, was eine komplexe Herausforderung für potenzielle Opfer darstellt. Unternehmen müssen nicht nur auf bekannte Schwachstellen achten, sondern auch Strategien entwickeln, um schnell auf Zero-Day-Exploits zu reagieren und deren Auswirkungen abzumildern.