Start Empfohlen Den Stammbaum der Ransomware verfolgen

Den Stammbaum der Ransomware verfolgen

5
0


Ransomware

Ransomware steckt hinter vielen der neuesten Cyberangriffe und es kann für Verteidiger schwierig sein, die ständig wachsende Zahl von Varianten und die dahinter stehenden Botnets zu verfolgen.

Threat-Intelligence-Unternehmen DomainTools hat einen Blick auf die boomende Untergrundwirtschaft rund um Ransomware geworfen, wobei der Schwerpunkt auf den produktivsten Ransomware-Familien liegt.

Die drei häufigsten Ransomware-Familien nach Anzahl der Opfer sind: Conti, Maze (Egregor) und Sodinokibi (Revil). Alle diese Gruppen schließen Allianzen, teilen Tools und verkaufen den Zugang zueinander und nichts bleibt statisch. Es gibt auch ausgeklügelte Partnerprogramme, bei denen Ransomware-Autoren einen Code entwerfen und ihn dann für einen Prozentsatz des gewonnenen Lösegelds an andere verkaufen.

Der Zugriff für die Ransomware erfolgt normalerweise über eine anfängliche Hintertür oder ein Botnet, das häufig als Erstzugriffsbroker bezeichnet wird. Diese Hintertüren, Remote-Access-Trojaner (RATs), werden zuerst von einem Downloader abgelegt, einer weiteren einfachen, verschleierten Software, die normalerweise durch Spam-E-Mails mit schädlichen Dokumenten verbreitet wird.

Und was ist mit den großen Drei? Conti, erstmals im Dezember 2019 beobachtet, verwendet einen Multithread-Ansatz, der die Ausführung viel schneller als bei anderen Malware-Familien macht. Dies kann bedeuten, dass es zu spät ist, wenn Verteidiger die Conti-Infektion auf einem Computer bemerken. Es wird angenommen, dass Conti von derselben Gruppe betrieben wird, die auch hinter der Ryuk-Ransomware steht, die auch ein Ransomware-as-a-Service (RaaS)-Angebot betreibt und eine Leck-Site hat, die sie gegen Opfer für doppelte Erpressung nutzen.

Die Maze-Ransomware-Gruppe bleibt eines der produktivsten Ransomware-Partnerprogramme. Die 2019 gegründete Gruppe gab im November 2020 ihren Rückzug bekannt, obwohl die meisten ihrer Tochtergesellschaften inzwischen die Egregor-Ransomware einsetzen.

Die REvil-Ransomware-Familie erschien erstmals im April 2019 und gilt aufgrund von Code-Ähnlichkeiten als geistiger Nachfolger von GandCrab, einer früheren Ransomware-Variante, die auf Verbraucher abzielte. Es verfügt über eine Reihe einzigartiger Funktionen, darunter der Versuch, Berechtigungen zu erweitern, indem der Benutzer ständig mit einer Administrator-Anmeldeaufforderung spammt oder im abgesicherten Modus von Windows neu gestartet wird, um Dateien zu verschlüsseln.

„Während die drei vorherigen Familien in Bezug auf den Marktanteil der Opfer die prominentesten sind, gibt es eine ständig wachsende Zahl von Ransomware-Banden und -Familien, die man in dem schnellen Nachrichtenzyklus im Auge behalten muss“, schreibt Chad Anderson, Senior Security Researcher bei DomainTools, im Blog des Unternehmens. „Diese drei Familien bieten auch einen Einblick in den Großteil des Ransomware-Marktes in Bezug auf Infektionsvektoren und -ketten.“

Weitere Informationen, inklusive einer detaillierten Variantenkarte, finden Sie auf der DomainTools-Blog.

Bildnachweis: LeoWolfert/Shutterstock



Vorheriger Artikel[UPDATED] NVIDIA hat eine einfache, möglicherweise nicht zu empfehlende Lösung für schlechte Spieleleistung, die durch problematische Windows 10-Updates verursacht wird
Nächster ArtikelAndroid 10 macht sich auf den Weg zu allen aktuellen OnePlus-Handys – 5, 5T, 6 und 6T

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein