Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

RansomHub Ransomware-Gruppe attackiert KRITIS-Unternehmen

Wie die US-Regierung meldet, hat die RansomHub-Ransomware-Gruppe seit Februar 2024 Daten von über 210 Opfern verschlüsselt und gestohlen. Betroffen sind Sektoren wie Wasser/Abwasser, IT, Regierung, Gesundheit, Notfalldienste, Lebensmittel, Finanzen, kritische Produktion, Transport und Kommunikation.

Lesezeit 3 Min.

RansomHub ist eine Ransomware-as-a-Service (RaaS) Plattform, die aus den früheren Varianten Cyclops und Knight hervorgegangen ist. Laut US-Behörden hat sich RansomHub als erfolgreiches Modell etabliert und zieht nun Partner von bekannten Ransomware-Gruppen wie LockBit und ALPHV (auch als BlackCat bekannt) an.

Eine Analyse von ZeroFox zeigt, dass die Aktivitäten von RansomHub stetig zunehmen. Im ersten Quartal 2024 machten sie zwei Prozent aller beobachteten Ransomware-Angriffe aus, im zweiten Quartal waren es 5,1 Prozent und im dritten Quartal bisher vierzehn Prozent. Etwa vierunddreißig Prozent der RansomHub-Angriffe richteten sich gegen europäische Organisationen. Im Vergleich zum Bedrohungsumfeld insgesamt ist das ein etwas höherer Anteil – dort sind lediglich fünfundzwanzig Prozent der Angriffe auf Europa gerichtet.

Die RansomHub-Gruppe verwendet ein doppeltes Erpressungsmodell: Sie verschlüsseln Systeme und stehlen Daten, um ihre Opfer zur Zahlung zu zwingen. Opfer sollen die Gruppe über eine spezielle onion-Website kontaktieren. Unternehmen, die nicht zahlen, riskieren, dass ihre Daten innerhalb von drei bis 90 Tagen auf einer Leak-Seite veröffentlicht werden.

Der erste Zugriff auf die Netzwerke der Opfer erfolgt durch das Ausnutzen bekannter Sicherheitslücken. Dazu gehören Schwachstellen in Apache ActiveMQ (CVE-2023-46604), Atlassian Confluence Data Center und Server (CVE-2023-22515), Citrix ADC (CVE-2023-3519), F5 BIG-IP (CVE-2023-46747), Fortinet FortiOS (CVE-2023-27997) und Fortinet FortiClientEMS (CVE-2023-48788).

Nach dem Eindringen erkunden die Angreifer das Netzwerk mit Tools wie AngryIPScanner und Nmap und verwenden „Living-off-the-Land“-Methoden (LotL). Zusätzlich deaktivieren sie Antivirus-Software, um unentdeckt zu bleiben.

Laut der US-Regierung erstellen die Angreifer nach dem initialen Zugang Benutzerkonten, reaktivieren deaktivierte Konten und nutzen Mimikatz, um Passwörter zu stehlen und Administratorrechte zu erlangen. Anschließend bewegen sie sich mithilfe von Tools wie Remote Desktop Protocol (RDP), PsExec, AnyDesk und Cobalt Strike seitlich im Netzwerk.

Ein weiterer wichtiger Aspekt der Angriffe ist die sogenannte intermittierende Verschlüsselung, die den Verschlüsselungsprozess beschleunigt. Die Daten werden mit Tools wie PuTTY, Amazon AWS S3-Buckets, WinSCP und Rclone exfiltriert.

Während dieser Entwicklungen hat Palo Alto Networks Unit 42 die Taktiken der Ransomware-Gruppe ShinyHunters untersucht, auch bekannt als Bling Libra. Im Gegensatz zu anderen Gruppen verkauft oder veröffentlicht Bling Libra keine gestohlenen Daten, sondern erpresst ihre Opfer direkt. Die Gruppe wurde erstmals 2020 bekannt.

Laut den Sicherheitsexperten Margaret Zimmermann und Chandni Vaya nutzt Bling Libra legitime Anmeldedaten, welche die Kriminellen aus öffentlichen Quellen beziehen, um sich Zugang zur Amazon Web Services (AWS)-Umgebung eines Unternehmens zu verschaffen. Obwohl die Berechtigungen der gestohlenen Zugangsdaten die Auswirkungen des Angriffs begrenzen, dringt die Gruppe in die AWS-Umgebung ein und führt dort Aufklärungsarbeiten durch. Dabei nutzen sie Tools wie den Amazon S3-Browser und WinSCP, um Informationen über S3-Bucket-Konfigurationen zu sammeln, auf S3-Daten zuzugreifen und diese zu löschen.

Der Angriff zeigt eine wichtige Entwicklung bei Ransomware-Angriffen, die über die reine Dateiverschlüsselung hinausgehen und komplexe Erpressungsstrategien anwenden. Laut SOCRadar setzen manche Gruppen mittlerweile dreifache und sogar vierfache Erpressungsmethoden ein.

Bei der dreifachen Erpressung drohen die Angreifer nicht nur mit Datenverschlüsselung und -diebstahl, sondern auch mit zusätzlichen Maßnahmen zur Störung, wie zum Beispiel DDoS-Angriffen auf die Systeme des Opfers. Außerdem richten sie ihre Drohungen direkt an Kunden, Lieferanten oder Partner des Opfers, um deren Betrieb und Ruf zu schädigen.

Die vierfache Erpressung geht noch einen Schritt weiter: Hier werden Dritte, die in Geschäftsbeziehungen mit dem Opfer stehen, direkt kontaktiert und ebenfalls erpresst, oder es wird angedroht, deren Daten offenzulegen, um zusätzlichen Druck auf das Opfer auszuüben.

Das lukrative Ransomware-as-a-Service (RaaS)-Modell hat zur Entstehung neuer Ransomware-Varianten wie Allarich, Cronus, CyberVolkDatablack, DeathGrip, Hawk Eye und Insom geführt. Außerdem arbeiten nun auch iranische staatliche Akteure mit bekannten Gruppen wie NoEscape, RansomHouse und BlackCat zusammen, um einen Anteil an den illegalen Einnahmen zu erhalten.

Diesen Beitrag teilen: