Spotlight auf aktuelle und aufkommende Ransomware-Angriffe

Die neue Studie von Coveware zeigt, dass das Nachgeben gegenüber Ransomware-Bedrohungen zu mehr und komplexeren Ransomware-Angriffen führen kann.

In einer am Montag veröffentlichten Studie erklärte das Sicherheitsunternehmen, dass die durchschnittlichen und mittleren Lösegeldzahlungen im ersten Quartal dieses Jahres gestiegen seien. Es sieht so aus, als hätten einige Ransomware-Gruppen das eingenommene Geld verwendet, um bessere Wege zu kaufen, um in Organisationen einzudringen. Im ersten Quartal verzeichnete Coveware einen Rückgang gefälschter E-Mails und einen Anstieg des Missbrauchs von Software-Schwachstellen. Laut der Studie waren die häufigsten Exploits bekannte Schwachstellen in den VPN-Produkten von Fortinet und Pulse Secure.

Insgesamt stieg der durchschnittliche Betrag von Ransomware-Angriffen um 43 %, von 154.108 US-Dollar im vierten Quartal 2020 auf 220.298 US-Dollar im ersten Quartal 2021. Im ersten Quartal stieg der Durchschnittsbetrag um mehr als 50 % auf 78.398 US-Dollar.

Die Studie besagt, dass viele Bedrohungsgruppen, wie die hinter Sodinokobi, Conti V2 und Lockbit, den Durchschnitt und Median nach oben getrieben haben. Aber insbesondere die Clop-Ransomware war im ersten Quartal sehr aktiv und traf viele Menschen mit sehr hohen Zahlungsforderungen.

Coveware erklärte, dass das Nachgeben diesen Forderungen den Menschen ein falsches Sicherheitsgefühl vermittelt, unerwartete Auswirkungen hat und künftige Verpflichtungen schafft.

Was bedeutet das also? Vor welchen aktuellen und neuen Ransomware-Angriffen muss man auf der Hut sein? Weitere Informationen finden Sie in diesem Whitepaper.

Verstehen, was WannaCry und DearCry sind

Lösegeld: Win32/DoejoCrypt.A, auch bekannt als „DearCry“, ist eine neue Ransomware-Familie, die mehrere Organisationen über mehrere Zero-Day-Schwachstellen in lokalen Versionen von Microsoft Exchange Server infiziert hat. Diese Schwachstellen wurden zuerst von verschiedenen Bedrohungsakteuren, darunter einer chinesischen Nationalstaatsgruppe, für Angriffe auf Organisationen genutzt.

Der erste Bericht über DearCry kam am Dienstag von Michael Gillespie. Er ist der Autor des kostenlosen Cybersecurity-Ransomware-Tracking-Dienstes ID Ransomware. Am Donnerstag twitterte er, dass eine neue Version mit „DEARCRY!“-Dateimarkierungen von Exchange-Servern an das ID Ransomware-System gesendet wurde.

Gillespie sagte, dass ID Ransomware bis Donnerstag Berichte über DearCry von sechs IP-Adressen in den USA, Kanada und Australien erhalten habe. MalwareHunterTeam, eine Gruppe von Sicherheitsforschern, die mit ID Ransomware arbeiten, sagte in einem Tweet, dass sie auch von Betroffenen in Österreich und Dänemark gehört hätten.

BleepingComputer veröffentlichte am Donnerstagabend einen Bericht über die Cybersicherheits-Ransomware. Der Bericht über den Ransomware-Angriff brachte ihn mit Schwachstellen in Microsoft Exchange Server in Verbindung, von denen ProxyLogon die gefährlichste ist. Später am Abend verschickte Microsoft Security Intelligence einen Tweet, der seine erste klare Reaktion auf DearCry darstellte.

Black Kingdom-Malware durch Ändern des Mega-Passworts

Bei den jüngsten ProxyLogon-Angriffen auf Microsoft Exchange-Server wurde die Ransomware Black Kingdom entdeckt. Eine einfache Passwortänderung stoppte sie zumindest vorübergehend. Brett Callow, ein Sicherheitsforscher bei Emsisoft, erklärte SearchSecurity, dass Black Kingdom Verschlüsselungsschlüssel erstellt und diese an die Cloud-Speicherseite Mega gesendet habe. Er sagte jedoch, dass der Ransomware-Angriff, wenn er Mega nicht erreichen könne, stattdessen einen statischen, lokalen Schlüssel verwenden werde. Bei den jüngsten Angriffen schien Black Kingdom die Computer, auf die es abgesehen hatte, nicht sichern zu können, und in einigen Fällen verwendete es stattdessen den statischen Schlüssel.

„Jemand hat das Passwort für das Mega-Konto geändert, sodass die Ransomware nicht darauf zugreifen kann und wieder den fest codierten Schlüssel verwendet“, sagte Callow. „Da wir den fest codierten Schlüssel haben, können wir den Leuten möglicherweise helfen, ihre Daten wiederherzustellen.“

Es ist unklar, wann das Passwort geändert wurde, aber Callow informierte SearchSecurity am Montagmorgen darüber. SearchSecurity entschied sich, die Informationen nicht sofort zu veröffentlichen, damit die Spieler der Black Kingdom-Bedrohung nicht erfahren, dass der Ransomware-Angriff gestoppt wurde.

Mark Loman, der technische Leiter für Technologien der nächsten Generation bei Sophos, schrieb am Dienstag einen Blogbeitrag über Cybersecurity-Ransomware. Darin sprach er darüber, wie sie mit Mega funktioniert. Loman sagte SearchSecurity, dass sie mit demselben statischen Schlüssel dekodiert werden kann, um sie zu sichern. Er sagte auch mit Sicherheit, dass die Software keine Verbindung zu Mega herstellen kann.

Laden Sie das Whitepaper von Tech Target herunter, um mehr über aktuelle und aufkommende Ransomware-Bedrohungen im Rampenlicht zu erfahren, ausschließlich bei Whitepapers Online.