logo lineofbiz

RansomHub hebt Datenerpressung mit Hilfe von Remote EncryptionFernverschlüsselung als nächste Stufe von Ransomware

19. November 2024
snip leo Adobe
Quelle: Leo, Adobe Stockphoto

RansomHub verschlüsselt per Fernverschlüsselung über ein einziges ungeschütztes Endgerät Daten im gesamten Netzwerk. Wie das funktioniert und was dagegen zu tun ist, zeigen die Ransomware-Trends.

RansomHub hat sich zur am schnellsten wachsenden Ransomware-Gruppe entwickelt, die über Ransomware-as-a-Service (RaaS) operiert. Das hat die Threat-Intelligence-Abteilung von Check Point Software Technologies Ltd., Check Point Research (CPR), herausgefunden Die hohe Erfolgsquote von RansomHub liegt vor allem darin begründet, dass sie sich der fortschrittlichen Methode der Fernverschlüsselung bedienen.

Diese gefährliche Innovation wurde bereits im vergangenen Jahr beobachtet und hat sich im Jahr 2024 rasant ausgebreitet. Dem Angreifer reicht bei dieser Taktik ein einziger ungeschützter Endpunkt, beispielsweise ein Mobiltelefon, um Daten auf anderen Geräten im selben Netzwerk zu verschlüsseln. Die Hacker rufen dabei die Daten über das ungeschützte Gerät ab, verschlüsseln sie und ersetzen die Originaldateien durch die verschlüsselten.

Der Clou: Bisher versuchten Hacker, die Dateien direkt vom verwalteten und geschützten Endpunkt aus zu verschlüsseln. Bei einer Fernverschlüsselung wird keine Malware/Ransomware direkt auf dem verschlüsselten Gerät ausgeführt, sondern nur auf dem einen, infizierten Endpunkt. Von dort erfolgt die Verschlüsselung im restlichen Netzwerk. Die Cyber-Kriminellen müssen keine Ransomware mehr durch die Netzwerke hüpfen lassen.

Angreifer suchen daher im Unternehmensnetzwerk ungesicherte Geräte oder Server, und führen von diesem Gerät die Verschlüsselung im gesamten Netzwerk aus. Das bedeutet, dass mehrere Geräte/Server im Netzwerk ohne eine geeignete Endpunktlösung ein erhebliches Risiko für das gesamte Netzwerk darstellen. Da die betroffenen Geräte ungesichert sind, ist es erheblich schwerer, diese Angriffe zu erkennen und unschädlich zu machen.

Im September 2024 waren 19 Prozent aller auf Ransomware-Shame-Seiten veröffentlichten Betroffenen ein Opfer der Gruppe RansomHub gewesen, was eine Verschiebung in der Landschaft der Cyber-Kriminalität markiert. Auf diesen Shame-Seiten machen Hacker öffentlich bekannt, welche Organisationen sie erfolgreich mit Ransomware infiltriert haben, um sie bloßzustellen. Lockbit, die einst dominierende Ransomware-Gruppe, hat einen deutlichen Rückgang verzeichnet und ist nur noch für 5 Prozent der neuen Opfer verantwortlich, von denen viele bereits zum wiederholten Male attackiert wurden.

Weitere Erkenntnisse aus dem Bericht sind:

  • Meow Ransomware Entwicklung: Anstatt Dateien zu verschlüsseln und ein Lösegeld für die Entschlüsselung zu verlangen, stiehlt Meow jetzt sensible Daten und stellt das Opfer vor die Wahl: Lösegeld zahlen, um die Veröffentlichung der Daten zu verhindern, oder zulassen, dass die Daten an andere Hacker verkauft werden. Auf der Meow-Leak-Website werden derzeit gestohlene Daten mit Preisen zwischen 500 und 200 000 US-Dollar (461 bis 184 520 Euro) aufgeführt.
  • Auswirkungen auf Industrie, Bildungs- und Gesundheitswesen: Die Industrieproduktion ist der am stärksten von Ransomware-Angriffen betroffene Sektor, da veralte Systeme und die Kombination von IT- und OT-Netzwerken gefährliche Schwachstellen bieten. Diese Unternehmen speichern wertvolle Daten, deren Verlust finanzielle Schäden und Störungen in globalen Lieferketten verursachen kann. Die Bildungseinrichtungen sind ebenfalls stark gefährdet, da ihre umfangreichen Netzwerke oft unzureichend gesichert sind und sensible persönliche Daten enthalten. Auch der Gesundheitssektor bleibt ein häufiges Ziel, da überlebenswichtige Patientendaten und die Notwendigkeit, den Betrieb aufrechtzuerhalten, hohe Lösegeldzahlungen wahrscheinlich machen.

Das schnelle Wachstum von RansomHub und fortschrittliche Taktiken, wie die Fernverschlüsselung verändern die Ransomware-Landschaft. Es ist von entscheidender Bedeutung, dass Organisationen KI-gestützte Maßnahmen zur Bedrohungsabwehr ergreifen, um diesen neu auftretenden Bedrohungen immer einen Schritt voraus zu sein.

Sergey Shykevich ist Threat Intelligence Group Manager bei Check Point Software Technologies.

Check Point Software Technologies

Lesen Sie auch

Ransomware

Abwehrmaßnahmen gehören gestärkt

Malware, Ransomware and virus infected alert on red screen background concept of data encryption and virus infection and internet security

Cyber-Kriminelle sind der IT-Security zwei Schritte voraus

Press enter button on the keyboard computer Shield cyber Key loc

Studie fordert: Cyber-Sicherheit gehört verbessert