Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Letzte Woche in Ransomware: Woche vom 9. August | Varonis

Geschrieben von Michael Raymond | Aug 27, 2021 4:00:00 AM

DarkSide und REvil sind vielleicht doch nicht so vorbei, wie wir ursprünglich dachten, denn die neue Gruppe BlackMatter ist aufgetaucht und behauptet, ihr Nachfolger zu sein. Und es sind nicht nur Worte, sie haben eine Linux-Version ihrer Ransomware entwickelt, die auf die VMWare ESXi VM-Plattform abzielt.

Die Namensänderung von BlackMatter/DarkSide ist nicht völlig überraschend und auch nicht ungewöhnlich. Viele dieser Ransomware-Banden verschwinden nach größeren Anschlägen im Hintergrund der wöchentlichen Nachrichten, um sich dann umzubenennen und später weiter zu arbeiten. Krebs on Security hat diese Woche einen Artikel veröffentlicht, in dem es um die Ablenkung durch Namen geht. In dem Artikel geht es um die Frage, warum wir uns nicht zu sehr auf Gruppennamen konzentrieren sollten, sondern lieber auf die Handvoll Cyberkrimineller, die Ransomware-Programme entwickeln, und diese tatsächlich verhaften sollten.

Ein weiteres wichtiges Thema in dieser Woche ist die erneute Konzentration auf Insider-Bedrohungen. LockBit 2.0 versucht, Insider zu rekrutieren, um ihnen zu helfen, Unternehmensnetzwerke zu kompromittieren und dann Millionen von Dollar als Zahlung anzubieten. Diese Woche zeigt jedoch, dass Unternehmen nicht die einzigen sind, die sich über Insider-Bedrohungen oder verärgerte Mitarbeiter Sorgen machen müssen. Ein Mitglied der Conti Ransomware-Gang war ein wenig verärgert, als er aus der Gruppe ausgeschlossen wurde, und beschloss, Tools und Schulungsmaterial zu veröffentlichen, was zu einer Fundgrube für Sicherheitsforscher geworden ist, die versuchen zu verstehen, wie diese Gruppen arbeiten.

Eine traurige, aber nicht überraschende Nachricht ist, dass im zweiten Quartal 2021 das höchste Volumen an Ransomware-Angriffen aller Zeiten zu verzeichnen war, wobei die drei wichtigsten Viren Ryuk, Cerber und SamSam waren. Dieser Anstieg der Angriffe hat auch eine Art Wettrüsten ausgelöst, bei der immer mehr Ransomware-Gangs aufgrund der Nachwirkungen des REvil-Angriffs versuchen, Anbieter von Managed Services oder MSPs ins Visier zu nehmen.

Für diejenigen, die die Ransomware-Politik verfolgen, sind neue Details dazu aufgetaucht, warum das Weiße Haus von einem Verbot von Ransomware-Zahlungen Abstand genommen hat.

Ransomware-Forschung

In dieser Woche wurden auch mehrere neue Varianten gängiger Ransomware-Viren veröffentlicht, darunter Dharma/Crysis mit Varianten, die auf . GanP .JRB .CLEAN enden, und Phobos, das auf .WIN endet.

Sowie Stop/Djvu mit der Endung .repg.

Darüber hinaus sind zwei neue Ransomware-Viren aufgetaucht: Divinity Ransomware mit dem Zusatz .divinity und Salma Ransomware mit dem Zusatz .salma.

Kommende Sicherheitskonferenzen

Crypto 2021 (16.-20. August)

Die Crypto, nicht zu verwechseln mit Cryptocurrency, ist eine kryptologische Forschungskonferenz.

Der Fraud & Payments Security Summit (17.–18. August)

Diese Konferenz befasst sich mit Cybersicherheit im Finanzsektor und konzentriert sich hauptsächlich auf E-Mail-Betrug per Fishing, Insider-Risiken und Betrug mit neuen Konten.

Blue Team Con (28.–29. August)

Diese Konferenz konzentriert sich auf das Blue Team und bietet Diskussionen über Risiko-Compliance, Entwicklung im Bereich Anwendungssicherheit, Governance und alles dazwischen.