Mit <kes>+ lesen

Ransomware Knight geht unter neuem Namen auf Geldreise

Eine Analyse des neuen Ransomware-Stamms RansomHub hat gezeigt, dass es sich um eine aktualisierte und umbenannte Version der Ransomware Knight handelt, die ihrerseits eine Weiterentwicklung der Ransomware Cyclops ist. Die neue Version zielt auf das Gesundheitswesen und Unternehmen weltweit ab.

Bedrohungen
Lesezeit 3 Min.

Die Ransomware Knight, auch bekannt als Cyclops 2.0, tauchte erstmals im Mai 2023 auf. Sie stiehlt und verschlüsselt die Daten ihrer Opfer, um Lösegeld zu erpressen. Diese Ransomware kann auf verschiedenen Plattformen wie Windows, Linux, macOS, ESXi und Android eingesetzt werden. Knight wurde im RAMP-Cybercrime-Forum beworben und verkauft. Die Angriffe nutzen Phishing und Spear-Phishing mit bösartigen Anhängen zur Verbreitung.

Ende Februar 2024 wurde der Betrieb als Ransomware-as-a-Service (RaaS) eingestellt und der Quellcode zum Verkauf angeboten. Dies deutet darauf hin, dass die Ransomware den Besitzer gewechselt hat und nun als RansomHub weiterentwickelt wird.

Die RansomHub-Akteure, die im selben Monat ihr erstes Opfer meldeten, wurden kürzlich mit mehreren Ransomware-Angriffen in Verbindung gebracht, darunter Angriffe auf Change Healthcare, Christie’s und Frontier Communications. Der Erpresser hat versprochen, keine Unternehmen in den Ländern der Gemeinschaft Unabhängiger Staaten (GUS), Kuba, Nordkorea und China anzugreifen.

Laut Symantec, einem Unternehmen von Broadcom, sind beide Payloads in der Programmiersprache Go geschrieben und die meisten Varianten jeder Familie sind mit Gobfuscate verschleiert. Aufgrund der großen Code-Ähnlichkeiten zwischen den beiden Ransomware-Familien ist es schwer, sie zu unterscheiden.

Beide Ransomware-Familien haben identische Hilfsmenüs in der Befehlszeile. RansomHub hat jedoch eine neue „Sleep“-Option hinzugefügt, die es ermöglicht, die Ausführung für eine bestimmte Zeit (in Minuten) zu verzögern. Ähnliche Schlafbefehle wurden auch in den Ransomware-Familien Chaos/Yashma und Trigona gefunden.

Knight und RansomHub nutzen ähnliche Techniken zur Verschleierung von Zeichenketten, hinterlassen ähnliche Lösegeldnotizen und können Hosts im abgesicherten Modus neu starten, bevor sie Dateien verschlüsseln. Der Hauptunterschied liegt in der Anzahl der Befehle, die über cmd.exe ausgeführt werden, obwohl die Reihenfolge der Operationen gleich bleibt, so Symantec.

RansomHub-Angriffe nutzen bekannte Sicherheitslücken wie ZeroLogon, um sich Zugang zu verschaffen und Remote-Desktop-Software wie Atera und Splashtop zu installieren, bevor die Ransomware aktiviert wird.

Bestätigte Angriffe der Ransomware-Familie

Laut Statistiken von Malwarebytes gab es im April 2024 26 bestätigte Angriffe der Ransomware-Familie. Damit liegt sie hinter Play, Hunters International, Black Basta und LockBit.

Mandiant, ein Unternehmen von Google, berichtete aktuell, dass RansomHub versucht, Partner zu rekrutieren, die von den kürzlichen Schließungen oder Betrugsfällen wie bei LockBit und BlackCat (auch bekannt als ALPHV und Noberus) betroffen sind. Symantec hat zudem beobachtet, dass der ehemalige Noberus-Partner Notchy jetzt mit RansomHub zusammenarbeitet. Bei einem aktuellen RansomHub-Angriff wurden Tools verwendet, die zuvor mit einem anderen Noberus-Partner namens Scattered Spider in Verbindung gebracht wurden.

Die schnelle Entwicklung von RansomHub deutet darauf hin, dass die Gruppe aus erfahrenen Cyberkriminellen besteht, die gut vernetzt sind.

Die Ransomware-Aktivitäten stiegen 2023 an, nachdem sie 2022 leicht zurückgegangen waren. Etwa ein Drittel der 50 neuen Ransomware-Familien von 2023 sind Varianten bereits bekannter Familien, was auf die zunehmende Wiederverwendung von Code, Überschneidungen zwischen Angreifern und Umbenennungen hinweist.

Laut Mandiant wurde die Ransomware in fast einem Drittel der Fälle innerhalb von 48 Stunden nach dem ersten Zugriff des Angreifers eingesetzt. 76 Prozent der Installationen fanden außerhalb der Arbeitszeiten statt, meist früh am Morgen.

Diese Angriffe nutzen häufig handelsübliche und legitime Remote-Desktop-Tools, anstatt Werkzeuge wie Cobalt Strike. Dies zeigt, dass Angreifer versuchen, ihre Aktivitäten vor Erkennungssystemen zu verbergen und den Aufwand für die Entwicklung eigener Tools zu reduzieren.

Der Anstieg der Ransomware-Angriffe geht einher mit dem Auftauchen neuer Varianten wie BlackSuit, Fog und ShrinkLocker. ShrinkLocker nutzt ein Visual Basic Script (VBScript) und das Microsoft-Tool BitLocker, um unbefugt Dateien zu verschlüsseln, besonders bei Angriffen in Mexiko, Indonesien und Jordanien.

ShrinkLocker heißt so, weil es die Größe jeder Nicht-Boot-Partition um 100 MByte verringert, den freien Speicherplatz in eine neue Boot-Partition umwandelt und dort Boot-Dateien neu installiert.

Laut Kaspersky hat dieser Angreifer ein gutes Verständnis der VBScript-Sprache sowie von Windows-Tools wie WMI, diskpart und bcdboot. Wahrscheinlich hatte der Angreifer bereits die volle Kontrolle über das Zielsystem, als das Skript ausgeführt wurde.

Diesen Beitrag teilen: