IT-Sicherheit

Ransom Cartel

Neuer Erpresstrojaner basiert auf Ransomware-as-a-Service

von 16.11.2022
Symbolbild für einen Hacker vor seinem Laptop. Thema ist die Conti-Ransomware oder Hive oder Ransom Cartel. Bild: Pexels/Mati Mango
Die Bedrohung durch Ransomware steigt. Bild: Pexels/Mati Mango

Ransom Cartel lautet der Name eines neuen Erpressertrojaners, der auf dem „as-a-Service“-Prinzip sowie der perfiden REvil-  Technologie basiert und vornehmlich große Unternehmen im Visier hat.

Wie Ransom Cartel funktioniert und was Sie als Unternehmer tun können, um Ihre Daten zu schützen, verraten wir jetzt.

Inhaltsverzeichnisexpand_more
  1. Ransom Cartel vermutlich Weiterentwicklung von REvil-Trojaner
  2. REvil 2.0 – die Ransomware aus Russland
  3. Neuer Erpressertrojaner kommt mit Doppel-Angriff
  4. Ransom Cartel – Methode und Funktionsweise
  5. Schutz vor Ransom Cartel und anderer Ransomware

Ransom Cartel vermutlich Weiterentwicklung von REvil-Trojaner

Erstmals entdeckten Sicherheitsforscher des Unternehmens Palo Alto Networks den Erpressertrojaner vor knapp einem Jahr – aber erst jetzt scheint Ransom Cartel so richtig Fahrt aufzunehmen. Die Experten können bislang nicht ausschließen, dass es sich Ransom Cartel eine Art Weiterentwicklung der REvil-Ransomware handelt. Warum? Weil nicht nur die Vorgehensweise der beiden Erpressertrojaner sehr ähnlich ist, sondern auch die Technologie dahinter.

Ransom Cartel basiert dabei auf dem „Ransomware-as-a-Service“-Prinzip. Das bedeutet: Die Programmierer dahinter stellen ihre Entwicklung über das Darkweb anderen Cyberkriminellen zur Verfügung. Bei diesem Vorgehen gibt es grundsätzlich zwei Möglichkeiten: Entweder kassieren die Initiatoren eine Art „Erfolgsprämie“ nach durchgeführten Attacken oder die Käufer leisten eine Einmalzahlung, um den schädlichen Code zu erwerben und bei Bedarf dann selbst zu verändern bzw. an die bevorzugten Opfer anzupassen.

Sowohl die REvil-Ransomware als auch ihr augenscheinlicher Nachfolger scheinen aus Russland zu stammen. Ein weiterer Indikator dafür, dass der Cyberkrieg noch immer im vollen Gange ist.

Ein Foto des Kreml. Bild: Pexels/Dmitry Sidorov

Russland gegen den Rest: Der Cyberkrieg hat nichts an seiner Dynamik verloren. Bild: Pexels/Dmitry Sidorov

REvil 2.0 – die Ransomware aus Russland

Sicherheitsexperten beobachten in den letzten Monaten mit Sorge die Entwicklungen auf dem Ransomware-Markt. Zwar kam es in Russland zu Festnahmen von 14 mutmaßlichen Köpfen hinter REvil und auch die entsprechende Darkweb-Leak-Seite war nicht mehr erreichbar, jedoch währte das Aufatmen nur kurz. Schon wenige Wochen später gab es die ersten Anzeichen für eine Rückkehr der Hacker-Bande – und parallel dazu tauchte erstmals die Cartel-Version auf.

Noch ist nicht 100%-ig sicher, ob der ursprüngliche REvil-Code nur imitiert oder tatsächlich wiederverwendet wird. Ebenso wenig steht fest, ob es sich bei den Cartel-Initiatoren um eine Splittergruppe der REvil-Bande handelt oder es in anderer Form irgendwann einmal Berührungspunkte gegeben hat. Dass der Ursprung beider Versionen in Russland zu finden ist, gilt als belegt. Fakt ist auch: Schon einige große Unternehmen haben zu spüren bekommen, welches Gefahren-Potenzial die neue Erpressertrojaner-Generation mit sich bringt.

Neuer Erpressertrojaner kommt mit Doppel-Angriff

Bislang sind mehrere Fälle bekannt, in denen Ransom Cartel bereits erfolgreich war. Seit Beginn des Jahres wurden vor allem Organisationen aus Frankreich und den USA Opfer des fiesen Erpressertrojaners. Bei der Branche zeigen sich die Angreifer flexibel, im Fokus standen bislang vornehmlich Unternehmen aus den Bereichen Energie, Versorgung, Bildung und der verarbeitenden Produktion.

Der Ansatz war in allen Fällen ähnlich aggressiv, denn die Hintermänner setzen auf eine so genannte Doppel-Attacke. Das bedeutet, dass den Opfern nicht nur damit geschadet wird, dass sämtliche Daten verschlüsselt und die Systeme lahmgelegt werden. Darüber hinaus drohen die Erpresser auch damit, die geleakten Daten im Netz zu veröffentlichen. Und selbst das war nicht alles. Im gleichen Atemzug stellen die Cyberkriminellen ein weiteres Schreckensszenario vor: nämlich die Verbreitung der Information über das Datenleak an Wettbewerber und Kunden weiterzugeben und damit das Image des Unternehmens nachhaltig zu schädigen.

Ein Mann sitzt gequält vor dem Laptop;Thema ist die neue Ransomware Ransom Cartel Bild: Pexels/Andrea Piacquadio

Ransom Cartel hat das Potential, noch vielen Angestellten und Unternehmen Kopfzerbrechen zu bereiten. Bild: Pexels/Andrea Piacquadio

Ransom Cartel – Methode und Funktionsweise

Der Erpressertrojaner verschafft sich über recht klassische Wege Zugriff auf die Systeme seiner Opfer: Er kompromittiert Anmeldeinformationen. Der Missbrauch erfolgt mit Vorliebe über VPN-Systeme oder externe Remote-Dienste, Basis sind wahlweise Windows- oder Linux-Systeme. Ob die Cyberkriminellen dazu selbst Phishing-Methoden entwickeln oder die Daten der Einfachheit halber bei entsprechenden Händlern im Darkweb erwerben, ist dabei zweitrangig. Alternativ bleibt auch die Nutzung anderer Malware, mit der beispielsweise lokal gespeicherte Anmeldedaten sichtbar gemacht bzw. aus dem Speicher gestohlen werden.

Ebenso sekundär ist die Frage, wer den Angriff am Ende final ausführt und sich die Hände schmutzig macht oder wer durch das as-a-Service-Prinzip dadurch abkassiert, dass er sich am Anfang der Nahrungskette befindet. In Summe bleibt es dabei, dass Ransomware als solches das wohl größte IT-Sicherheitsrisiko für Unternehmen darstellt (wie im Übrigen auch der BSI-Lagebericht 2022 festgestellt hat).

Schutz vor Ransom Cartel und anderer Ransomware

Unsere Experten aus dem IT-SERVICE.NETWORK unterstützen Unternehmen gern dabei, sich bestmöglich vor Angriffen von Erpressertrojanern zu schützen. Sei es durch die Umsetzung einer ganzheitlichen IT-Sicherheitsstrategie, die Optimierung einzelner Werkzeuge im Kampf gegen das Cybercrime oder auch Security-Awareness-Schulungen für die Mitarbeiter.

Einen 100%-igen Schutz kann es leider nie geben, denn nahezu täglich entwickeln die Hacker ihre Methoden weiter. Aber mit einem kontinuierlichen Security Management können Sie zumindest sämtliche Risiken für Ihr Unternehmen minimieren. Unsere erfahrenen IT-Dienstleister stehen Ihnen diesbezüglich gern beratend zur Verfügung. Nehmen Sie einfach und vollkommen unverbindlich Kontakt zu einem IT-SERVICE.NETWORK Partner in Ihrer Region auf und erfahren Sie mehr über das vielfältige Service-Angebot im Bereich IT-Sicherheit für Unternehmen.

 

Weiterführende Links:
ZDNet

Geschrieben von

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

Deepfakes

Wie Fake-Inhalte die IT-Sicherheit von Unternehmen fordern

von • 24.04.2024

Deepfakes – also durch KI und maschinelles Lernen erzeugte Bilder, Videos und Audiodaten – sind längst keine lustige Spielerei mehr. In der Geschäftswelt haben sie enormes Potenzial für Betrug....

Weiterlesen
IT-Sicherheit

Pikabot-Malware

Aktuelle Angriffskampagne nutzt Social-Engineering-Taktiken

von • 15.04.2024

Anfang 2023 ist sie erstmals entdeckt worden, seit Anfang 2024 sorgt sie vermehrt für Schlagzeilen: Die Pikabot-Malware ist eine raffinierte Bedrohung und wird durch Social Engineering verbreitet. ...

Weiterlesen
IT-Sicherheit

TeamViewer-Sicherheitslücke

Schwachstelle verhilft Nutzern zu Admin-Rechten

von • 10.04.2024

Die Entwickler der beliebten Remote-Support-Software TeamViewer warnen vor einer Schwachstelle, über die sich Nutzer Admin-Rechte verschaffen können. Ein Update für die TeamViewer-Sicherheitslücke...

Weiterlesen