Die verschiedenen Arten von Ransomware

Die steigende Flut von Ransomware-Angriffen

Ransomware gibt es schon seit Jahrzehnten, doch in den letzten Jahren hat die Bedrohung durch Ransomware dramatisch zugenommen. Der WannaCry-Ransomware-Ausbruch im Jahr 2017 hat gezeigt, dass Ransomware ein profitabler Angriffsvektor ist und die Schaffung von Kryptowährungen wie Bitcoin es Angreifern leicht gemacht hat, Lösegeldzahlungen zu fordern und zu erhalten.

Die Pandemie trug auch zum Anstieg von Ransomware bei, da Cyberkriminelle die zunehmende Fernarbeit und die zunehmende Bedeutung von Gesundheitsorganisationen ausnutzten. Da Remote-Arbeit zum Alltag gehört, nimmt die Ransomware-Pandemie weiter zu.

Die Ransomware-Bedrohung verstehen

Ransomware ist eine wachsende Bedrohung für die Unternehmenssicherheit. Die ursprünglichen Ransomware-Kampagnen waren relativ einfach. Die Malware wurde per E-Mail oder unter Ausnutzung einer Software-Schwachstelle übermittelt und Dateien auf den infizierten Computern verschlüsselt. Wurde das Lösegeld gezahlt, stellten die Angreifer eine Entschlüsselungssoftware zur Verfügung, die es dem Opfer ermöglichte, den normalen Betrieb wiederherzustellen.

In den letzten Jahren haben sich Ransomware-Kampagnen rasant weiterentwickelt. Eine wesentliche Änderung betrifft die verwendeten Infektionsvektoren. Ransomware zielt mittlerweile hauptsächlich auf Fernzugriffslösungen ab, nutzt VPN-Schwachstellen aus oder nutzt kompromittierte Mitarbeiteranmeldedaten, um sich über RDP anzumelden.

Auch die Techniken, mit denen Ransomware-Betreiber ihre Opfer zur Zahlung des Lösegelds zwingen, haben sich geändert. Die Möglichkeit zur Wiederherstellung aus Backups neutralisiert die Auswirkungen der Datenverschlüsselung, sodass Ransomware auch zum Datendiebstahl übergegangen ist. Moderne Ransomware-Betreiber drohen damit, gestohlene Daten preiszugeben, wenn das Opfer und in einigen Fällen auch ihre Kunden kein Lösegeld zahlen. Einige Ransomware-Gruppen nutzen auch die Bedrohung durch Distributed-Denial-of-Service (DDoS)-Angriffe als Anreiz, ihren Forderungen nachzukommen.

Schließlich hat sich die Ransomware Bedrohung aufgrund der Rollenspezialisierung und der Schaffung des Ransomware as a Service (RaaS)-Modells für Angriffe weiterentwickelt. Anstatt dass eine einzelne Gruppe Malware entwickelt, Organisationen infiziert und Lösegelder eintreibt, verteilen Ransomware-Autoren ihre Malware nun an „Partner“, die sie für ihre Angriffe verwenden. RaaS bietet Partnern Zugang zu fortschrittlicher Malware und ermöglicht es den Ransomware-Autoren, ihre Kampagnen zu skalieren und so die Ransomware-Bedrohung zu erhöhen.

Top-Ransomware-Varianten

Der Erfolg von Ransomware hat viele verschiedene Cyberkriminalitätsgruppen dazu veranlasst, ihre eigenen Varianten zu entwickeln. Zu den häufigsten und bekanntesten Ransomware-Varianten gehören:

• REvil: REvil, auch bekannt als Sodinokibi, war als eine der Ransomware-Varianten mit den höchsten Ansprüchen bekannt. REvil plötzlich den Betrieb eingestellt im Juli 2021 nach einem berühmten Angriff auf Kaseya.
• LockBit: LockBit-Ransomware ist eine RaaS-Variante, die erstmals im September 2019 auftauchte und damals ABCD-Ransomware genannt wurde (aufgrund ihrer .abcd-Datei). Dateierweiterung). Im Juli 2021, LockBit infizierte Accenture, Diebstahl interner Daten und Verschlüsselung von Servern, die später aus Backups wiederhergestellt wurden. WannaCry: WannaCry ist die Ransomware-Variante, die den jüngsten Anstieg von Ransomware-Angriffen auslöste. Die ursprüngliche Variante von WannaCry nutzte EternalBlue, einen von der NSA entwickelten Exploit, der von den ShadowBrokers geleakt wurde, um sich über anfällige Versionen von Windows SMB zu verbreiten.
• Conti – Conti ist eine Ransomware-as-a-Service (RaaS)-Gruppe, die es Partnern ermöglicht, Zugang zu ihrer Infrastruktur zu mieten, um Angriffe zu starten. Branchenexperten sagten, Conti habe seinen Sitz in Russland und habe möglicherweise Verbindungen zum russischen Geheimdienst.
• Ryuk: Ryuk ist eine sehr gezielte Ransomware-Variante, die von ihren Opfern hohe Lösegelder verlangt. Im Juli 2021 wurde die durchschnittliche Ryuk-Lösegeldzahlung betrug 691.800 $.
• CryptoLocker: CryptoLocker ist eine frühe Ransomware-Variante, die hauptsächlich von September 2013 bis Mai 2014 im Einsatz war. Operation Tovar, das das Gameover-ZeuS-Botnetz lahmlegte, Diese Ransomware-Variante wurde weitgehend getötet.
• Petja: Petya ist eine Familie von Ransomware-Varianten. Im Gegensatz zu den meisten Ransomware-Programmen verschlüsseln diese Varianten den Master Boot Record (MBR) und nicht einzelne Dateien.
• Locky: Locky ist eine Ransomware-Variante, die sich erstmals im Jahr 2016 verbreitete. Es wurde von mehreren verschiedenen Cyberkriminellenbanden verwendet und inspirierte andere Ransomware-Varianten.
• Böses Kaninchen: Bad Rabbit war also eine kurzlebige Ransomware-Variante BlackEnergy zugeschrieben, die Macher von NotPetya. Im Gegensatz zu NotPetya, einem Wiper, der sich als Ransomware ausgab, ermöglichte die Zahlung des Bad Rabbit-Lösegelds die Wiederherstellung der verschlüsselten Dateien.
• Dunkle Seite: DarkSide ist eine inzwischen aufgelöste Ransomware-Gruppe, die vor allem für ihren Angriff auf Colonial Pipeline im Mai 2021 bekannt ist. Man geht nun davon aus, dass die Gruppe operiert unter dem Namen BlackMatter.
• DearCry: DearCry ist eine Ransomware-Variante, die von der HAFNIUM-Gruppe entwickelt wurde, um die im März 2021 gemeldete Microsoft Exchange-Schwachstelle auszunutzen.

Schützen Sie sich mit Check Point vor Ransomware

Die große Vielfalt an Ransomware-Varianten und Angriffsvektoren kann dies erschweren verteidigen gegen und entferne sie. Der Schutz vor einem Ransomware-Angriffsvektor bietet möglicherweise keinen Schutz vor einem anderen.

Check Point Harmony Endpoint Protection bietet marktführende Funktionen zur Erkennung und Verhinderung von Ransomware MITRE Engenuity ATT&CK-Bewertung. Erfahren Sie mehr über die Ransomware-Pandemie und andere Cyber-Bedrohungstrends in der Bericht „Cyber-Angriff Trends 2021“.. Gerne auch Melden Sie sich für eine kostenlose Testversionan um sich selbst von den Ransomware-Präventionsfunktionen von Harmony Endpoint zu überzeugen.