Ryuk-Zuck, Conti-nentaldrift: Die Wandlung der Ransomware

Kurzzeitig hatten Beobachtende und (potenziell) Betroffene zuletzt aufatmen können: Ransomware-Gangs wie die berüchtigte REvil-Gruppe waren durch konzertierte Aktionen von Strafverfolgungsbehörden unter Druck geraten. In der Folge hatten die Cyberkriminellen bestimmte Aktivitäten eingestellt; die sogenannte „victim shaming“-Site von REvil, auf der die gehackten Organisationen samt einem Teil ihrer gestohlenen Daten präsentiert wurden, um den Druck zur Zahlung des Lösegelds zu erhöhen, ging offline.

Nun scheint in den letzten Wochen eine Verlagerung der Aktivitäten und Anpassung der „Geschäftsmodelle“ stattgefunden zu haben. Die Kampagne „Conti“ etwa ist laut Informationen auf ihrer eigenen Website dazu übergegangen, neben den bisherigen Standbeinen „Lösegeld für Entschlüsselung“ und „Lösegeld oder wir leaken die Daten“, zusätzlich Zugriff in die Netze der gehackten Organisationen zum Kauf anzubieten.

Noch wird spekuliert, was der wirkliche Grund für diesen „Pivot“ ist. Einerseits würde dieser Schritt FIN12 – der Gruppe hinter Conti und Ryuk – eine zusätzliche Einnahmequelle ermöglichen. Zum anderen scheint das verlässliche und systematische Leaken von Daten, ohne das die Erpressung nicht wirken kann, die Gruppen vor erhebliche Herausforderungen zu stellen – technisch sowie hinsichtlich der Strafverfolgung. Denn Tor-/Onion-Sites im „Darknet“ haben eine geringe Bandbreite, während öffentliche Downloadseiten im Internet schneller gesperrt werden können. Es bleibt also zu beobachten, in welche Richtung sich die Marktbereinigung und Reorganisation weiterentwickelt und ob die Schläge von FBI und Co. am Ende eine positive Auswirkung hatten.

https://krebsonsecurity.com/2021/10/conti-ransom-gang-starts-selling-access-to-victims/

Don’t cry for me: REvil erpresst Telecom Argentina

Welche Auswirkung umfangreiche Berechtigungen innerhalb eines Netzwerks (z. B. als Domänenadministrator) in den Händen einer Schadsoftware haben können, erlebt derzeit Telecom Argentina nach einem Ransomware-Befall. Die Ransomware-Forderung stammt von der als REvil (oder Sodinokibi) bekannten Gruppe und zählt mit über 7,5 Millionen US-Dollar zu den höchsten Forderungen dieses Jahres. Methodisch verwendet die REvil-Gruppe populäre Schwachstellen wie „Shitrix“ oder in Pulse Secure VPNs, um über ungepatchte Gateways in Unternehmensnetzwerke einzudringen.

https://www.zdnet.com/article/ransomware-gang-demands-7-5-million-from-argentinian-isp/

3 – 2 – 1 – Gemeines! Ransomware-Gang versteigert Opferdaten

Die kriminelle Ransomware-Gang hinter der Malware REvil (auch bekannt als „Sodin“ oder „Sodinokibi“) hat damit begonnen, gestohlene Daten in Auktionen zu verhökern. Dies stellt eine weitere Eskalation der Taktik dar, Opfer von Schadsoftware nicht nur mit Verschlüsselung der Daten zu erpressen, sondern auch mit Veröffentlichung im Darknet oder Internet. Anscheinend nagt der Corona-Shutdown nicht nur an den Finanzen der Opfer, sondern lässt auch die Täter die ihnen zur Verfügung stehenden Daumenschrauben anziehen.

In einer Auktion von Daten eines landwirtschaftlichen Unternehmens etwa wurde für drei Datenbanken mit mehr als 22.000 Dateien ein minimales Gebot von 5.000 US-Dollar in Kryptogeld festgesetzt. Eine Garantie, dass die Übeltäter die Daten nach Zahlung wirklich löschen, gibt es selbstverständlich auch hier nicht.

https://krebsonsecurity.com/2020/06/revil-ransomware-gang-starts-auctioning-victim-data/