Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Ransomware-Jahresrückblick 2021

Geschrieben von Michael Buckbee | Feb 3, 2022 8:12:39 PM

Im Jahr 2021 sind die Angriffe im Cybersicherheitsbereich zunehmend effektiv geworden, mit immer schwerwiegenderen Auswirkungen. Gleichzeitig blieben Ransomware-Bedrohungen mit hohem Volumen und breiter Streuung das ganze Jahr über allgegenwärtig.

In diesem Beitrag teilt das Team von Varonis Threat Labs, was es bei seinen Untersuchungen von Ransomware in freier Wildbahn beobachten konnte.

Insgesamt stellte das Team im Jahr 2021 fünf wichtige Ransomware-Trends fest:

  1. Ransomware-as-a-Service ist zum Hauptmodell für Angreifer geworden. 2021 fand eine Verschiebung in Richtung eines Ransomware-as-a-Service-Geschäftsmodells (RaaS) statt, bei dem Gruppen Affiliates oder Partner für bestimmte Teile ihres Betriebs rekrutieren. 
  2. Die Angreifer entwickelnd immer mehr maßgeschneiderte Ransomware. Im Jahr 2021 griffen Bedrohungsakteure Unternehmen gezielt mit opferspezifischer Ransomware an, die darauf ausgelegt war, nicht entdeckt zu werden und den Angriff in der Umgebung des Opfers möglichst effektiv durchzuführen.
  3. Es wurden zunehmend große Unternehmen angegriffen. Hochentwickelte Ransomware-Gruppen, alt und neu, haben ihre Kapazitäten zum Zugriff auf die Netzwerke der Opfer weltweit ausgebaut. Cyberkriminelle Gruppierungen wenden die inzwischen weit verbreitete Taktik der „doppelten Erpressung“ an, um sensible Daten zu stehlen und anschließend damit zu drohen, sie weiterzugeben. 
  4. Ransomware hat Schockwellen durch die Software-Lieferkette geschickt. Zahlreiche umfangreiche Vorfälle, bei denen große Unternehmen über ihre Software-Lieferketten angegriffen wurden, haben 2021 aufgezeigt, welche Auswirkungen Ransomware auf ein Unternehmen haben kann. In einigen Fällen führte dies auch zu Effekten in der „realen Welt“ mit Schockwellen durch die gesamte Wirtschaft. 
  5. Angreifer haben vorgefertigte Standard-Malware gekauft und verkauft. Standard-Malware wurde weiterhin in großem Umfang von fortschrittlichen und weniger fortschrittlichen Bedrohungsakteuren eingesetzt – von organisierten cyberkriminellen Banden, die ihre Nutzlast bereitstellen, um sich Zugang zu hochwertigen Zielen zu verschaffen, bis hin zu Script-Kiddies, die einfache Standard-Bedrohungen verwenden, um Anmeldedaten zu stehlen und im Darknet weiterzuverkaufen.

Ransomware-as-a-Service

Dank einer Vielzahl von Ransomware-as-a-Service-Angeboten (RaaS), die Zugang zu effektiver Malware und bösartigen Toolkits bieten, wurden die Einstiegshürden für viele potenzielle Angreifer deutlich gesenkt. RaaS bietet weniger versierten Bedrohungsakteuren die Möglichkeit, sich an dieser lukrativen Form der Cyberkriminalität zu beteiligen.

Und Geld ist nach wie vor ausschlaggebend. Kryptowährungen wie Bitcoin und Monero scheinen immer noch die bevorzugten illegalen Zahlungsmittel in dieser Schattenwirtschaft und für Zahlungen von Opfern zu sein. Und auch Kryptowährungen sind ein begehrtes Ziel für Diebstähle.

Einige RaaS-Angebote nutzen ein Abonnementmodell und verlangen Gebühren für den Zugriff auf Malware zur Verschlüsselung. Andere scheinen Vereinbarungen zum Aufteilen von Einnahmen zu bevorzugen. Auf dieser Grundlage entsteht so ein Markt für einzelne Affiliates und Untergruppen, die sich auf bestimmte Angriffsbereiche spezialisiert haben.

Ein Beispiel dafür ist die Zunahme von „Initial Access Brokers“ (IAB, zu Dt. „Erstzugriffsvermittler“). Diese sind zwar kein neues Phänomen, setzen aber oft massenhaftes Scanning ein, um anfällige Hosts zu finden, Schwachstellen auszunutzen und sich so einen ersten Zugang zu verschaffen.

Traditionell verkaufen IABs den Zugang zu Opfernetzwerken über Untergrundforen und Marktplätze. Die Preise entsprechen dem geschätzten Wert. Der Zugang zu einem großen, bekannten Unternehmen ist zum Beispiel teurer als der zu einer kleinen Firma.

Der IAB-Ansatz bietet Ransomware-Gruppen die Möglichkeiten, sich den Zugriff auf die Netzwerke potenziell lukrativer Opfer gezielt auszusuchen und zu kaufen. Viele IABs werden Partner oder Affiliates von Ransomware-Gruppen und werden so zu ihren Subunternehmern. Sie erhalten einen Anteil des Lösegeldes im Gegenzug – was wahrscheinlich deutlich lukrativer ist als ihr altes Verkaufsmodell.

Wie zu erwarten, birgt das Angebot einer höheren Gewinnbeteiligung auch ein höheres Risiko. Insbesondere erledigen diese Partner einen großen Teil der „praktischen“ Arbeit und geraten daher auch eher ins Visier von Staatsanwälten und Ermittlern. Jedes Versagen der operativen Sicherheit (OPSEC) kann leicht dazu führen, dass sie entdeckt werden.

Diejenigen, die an der Spitze der RaaS-Organisation stehen, sind hingegen weit weniger gefährdet, vor allem, wenn alle Geschäfte mit Affiliates und Partnern über sichere Mittel abgewickelt werden. Daher können diese Betreiber bei jeder Lösegeldzahlung „absahnen“ und – falls sich die Strafverfolgungsbehörden für sie interessieren sollten – den Betrieb einstellen oder ein Rebranding vornehmen.

Aus der Sicht der Verteidigung ist es zwar einfach, Ransomware während der Verschlüsselungsphase zu identifizieren. Allerdings sehen Angriffe, die vor dieser Phase abgefangen werden, wie jeder andere Angriff aus, unabhängig von den zugrundeliegenden Motiven.

Außerdem wird die Arbeit der Strafverfolgungsbehörden erschwert, da Ransomware-Gruppen ihre Abläufe aufteilen und ein hohes Maß an OPSEC aufrechterhalten. Einige gehen sogar so weit, dass sie ihre Identität nicht einmal mit ihren Partnern teilen. Wenn jemand verhaftet wird, handelt es sich daher oft um untergeordnete Akteure und Mitglieder, die nur wenig über die Führung oder die Gesamtstruktur der Gruppe wissen.

Maßgeschneiderte Ransomware

Viele Gruppen entwickeln opferspezifische Ransomware, um die Entdeckung anhand zuvor beobachteter Proben zu vermeiden und um sicherzustellen, dass die Bedrohung in der Umgebung, in der sie eingesetzt wird, wirksam ist.

Die meisten Ransomware-Bedrohungen sind ausführbare Dateien, die auf Windows abzielen. In vielen Fällen werden sie über andere Bedrohungen bereitgestellt, etwa über Botnets. Ein besseres Verständnis der heutigen Unternehmensumgebung hat auch dazu geführt, dass einige Gruppen ihre Bedrohungen auf Linux-basierte Hosts ausrichten. Dazu gehören auch solche, die für Dateispeicher und Virtualisierung (z. B. VMware ESX) verwendet werden.

Normalerweise bevorzugen diejenigen, die für den Erstzugriff auf ein Netzwerk verantwortlich sind, eine bestimmte Schwachstelle, die häufig durch massenhaftes Scanning gefunden wird. Die beobachteten Vorfälle deuten darauf hin, dass Schwachstellen, die RDP- und VPN-Hosts betreffen, immer noch bevorzugt werden.

Wenn neue bekannte Schwachstellen gemeldet werden – insbesondere solche, die aus der Ferne ausgenutzt werden können und die Codeausführung und/oder die Berechtigungseskalation ermöglichen, rüsten Bedrohungsakteure oft schnell auf und fügen diese Schwachstellen zu ihrem Arsenal hinzu.

Viele Gruppen nutzen gängige Angriffstools wie Cobalt Strike und Mimikatz sowie PowerShell-Automatisierung und die Installation anderer bösartiger Nutzlasten, einschließlich Remote-Access-Trojaner (RAT), um den Zugriff dauerhaft aufrechtzuerhalten.

Sobald sich die Angreifer Zugriff auf das Netzwerk des Opfers verschafft haben, werden häufig APT-Taktiken zum Datendiebstahl angewandt, wie z. B. „Low and Slow“ oder „Drip Feed“. Diese Taktiken ermöglichen es Angreifern, während der Exfiltrationsphase unentdeckt zu bleiben.

Darüber hinaus überprüfen viele Ransomware-Gruppen sorgfältig die finanziellen Daten zu ihren Opfern und gehen manchmal sogar so weit, dass sie Details zu ihren Cyberversicherungspolicen herausfinden. So können die Lösegeldforderungen so hoch angesetzt werden, dass der Bedrohungsakteur sich sicher sein kann, dass das Opfer sie zahlen kann.

Angreifer erpressen große Unternehmen

Der Erfolg und die weite Verbreitung der doppelten Erpressungstaktik wirft eine interessante Frage auf: Muss eine Ransomware-Gruppe überhaupt Daten verschlüsseln, um Erfolg zu haben?

In vielen Fällen lautet die Antwort „nein“ – vorausgesetzt, es werden entsprechend vertrauliche oder sensible Daten gestohlen und es kann genügend Druck ausgeübt werden, um das Opfer davon zu überzeugen, dass die Geheimhaltung weniger kostspielig oder schädlich sein wird als die Veröffentlichung der Daten.

Wenn man das im Kontext betrachtet, kann der Diebstahl und die Offenlegung von personenbezogenen Daten (PBD) sowohl zu gesetzlich vorgeschriebenen Strafen als auch zu einem Image-Schaden führen. Der Diebstahl und die Preisgabe von geistigem Eigentum können Wettbewerbsvorteile zunichtemachen, da andere von der kostspieligen Forschungs- und Entwicklungsarbeit des Opfers profitieren können.

Aus Sicht des Bedrohungsakteurs bietet es viele Vorteile, wenn er die Verschlüsselungsphase eines Angriffs komplett weglässt. Dadurch muss nämlich die Ransomware-Bedrohung selbst nicht entwickelt und gepflegt werden – und möglicherweise auch kann auch nach der Erpressung weiterhin der Zugriff auf das Netzwerk des Opfers aufrechterhalten werden (die Verschlüsselungsphase würde ansonsten die Cybersecurity auf ihre Anwesenheit aufmerksam machen).

Ransomware-Gruppen entwickeln ihre Erpressungsmethoden stetig weiter. In den Anfangszeiten handelte es sich um eine einfache Lösegeldforderung und heute wird gestohlen, verschlüsselt und geleakt. Es werden Kunden, Mitarbeiter und die Presse kontaktiert, um sie auf die Kompromittierung hinzuweisen. Um den Druck weiter zu erhöhen, weigern sich viele Gruppen, mit Drittparteien zu verhandeln und raten den Opfern, direkt zu zahlen, ohne Cybersecurity-Anbieter und Strafverfolgungsbehörden einzuschalten – es sei denn, sie wollen eine höhere Lösegeldforderung, Datenverluste oder noch Schlimmeres riskieren.

Einige gehen so weit, dass sie dreifach erpressen: hierbei werden die Opfer mit DDoS-Angriffen (Distributed Denial of Service) sowie der Freigabe gestohlener Daten bedroht.

Auch wenn einige Erfolge der Strafverfolgungsbehörden Hoffnung machen, werden Ransomware-Gruppen auch im Jahr 2022 weiterwachsen und sich entwickeln. Die schiere Lukrativität solcher Angriffe führt dazu, dass viele darauf warten, den Platz eines Bedrohungsakteurs einzunehmen, sobald er von der Bildfläche verschwindet – von Neueinsteigern über zu „Konkurrenten“, die aus seinen Fehlern lernen, um ihre kriminellen Aktivitäten auszubauen, bis hin zu Partnern, die ein größeres Stück vom Kuchen haben möchten.

Auf jedes bekannte Opfer kommen andere, die die Lösegeldforderung einfach bezahlt haben, um die Auswirkungen eines Angriffs zu minimieren. Manche Opfer zahlen, um wieder Zugang zu ihren Daten zu erhalten und ihren Ruf nicht durch Datenlecks zu schädigen.

Angriffe auf die Software-Lieferkette

Eine bemerkenswerte und äußerst effektive Taktik, die typischerweise von staatlichen Bedrohungsakteuren eingesetzt wird, trat im Jahr 2021 in den Vordergrund: Ransomware-Gruppen, die die Software-Lieferkette angreifen.

Staatliche Akteure kompromittieren oftmals eine schwächere Organisation in der Lieferkette als Einstiegspunkt für ein bestimmtes Zielnetzwerk. Parallel dazu versuchen Ransomware-Gruppen nun aktiv, Softwareanbieter zu kompromittieren, um alle ihre Kunden zu gefährden. Angriffe auf die Software-Lieferkette ermöglichen es, aus einem einzelnen erfolgreichen Angriff ein großangelegtes Problem zu machen, das sich auf mehrere Opfer auswirkt.

Standard-Malware 

Standard-Malware wurde weiterhin in großem Umfang von fortschrittlichen und weniger fortschrittlichen Bedrohungsakteuren eingesetzt – von organisierten cyberkriminellen Banden, die ihre Nutzlast bereitstellen, um sich Zugang zu hochwertigen Zielen zu verschaffen, bis hin zu Script-Kiddies, die einfache Standard-Bedrohungen verwenden, um Anmeldedaten zu stehlen und im Darknet weiterzuverkaufen.

Diese Bedrohungen sind zahlreich und vielfältig, und in der Cybersecurity ließen sich im Jahr 2021 die folgenden beliebten Malware-Familien beobachten.

njRAT

njRAT wurde erstmals Ende 2012 oder Anfang 2013 beobachtet und ist ein weit verbreiteter Remote-Access-Trojaner (RAT), der ursprünglich von einem cyberkriminellen Bedrohungsakteur namens „Sparclyheason“ entwickelt wurde.

Der Quellcode für diesen RAT wurde Berichten zufolge im Mai 2013 geleakt, was sicherlich dazu geführt hat, dass bestimmte einfache Bedrohungsakteure ihn übernommen haben. In Untergrundforen und auf YouTube wurden zahlreiche Anleitungen und Tutorials zu seiner Verwendung veröffentlicht.

njRAT ist auch im Jahr 2021 noch weit verbreitet und zielt auf Windows-Hosts ab. Er wird in der Regel über ungezielte, bösartige und unerwünschte E-Mail-Kampagnen (Malspam) verbreitet. Ebenso findet er sich in trojanisierten Versionen von legitimen Anwendungen, die von verdächtigen Quellen und File-Sharing-Websites heruntergeladen wurden.

Im Einklang mit anderen beliebten RAT-Bedrohungen bietet njRAT typische Fernsteuerungs- und Anzeigefunktionen sowie die Möglichkeit, Dateien zu übertragen und auszuführen, die Registrierung zu manipulieren und auf eine Remote-Shell zuzugreifen. Darüber hinaus ermöglicht der RAT ferngesteuerte Audio- und Videoaufnahmen mit angeschlossenen Mikrofonen und Webcams sowie Keylogging und den Diebstahl von Passwörtern.

Formbook

Formbook, das erstmals Anfang 2016 beobachtet wurde und 2020 von der XLoader-Variante abgelöst wurde, dient zum Stehlen von Informationen. Es kann in Untergrundforen über ein Malware-as-a-Service-Angebot (MaaS) erworben werden.

Formbook wird häufig von weniger versierten Bedrohungsakteuren verwendet, um Anmeldeinformationen oder andere Daten von Opfern zu stehlen. Seine Nutzung nahm im Jahr 2021 weiter zu, was wahrscheinlich auf die leichte Verfügbarkeit, die geringen Kosten und die einfache Nutzung zurückzuführen ist. Formbook zielte zunächst nur auf Windows ab und unterstützt seit XLoader nun auch für Apple macOS. Es umfasst neben seinen Funktionen zum Diebstahl von Anmeldeinformationen auch einige RAT-ähnliche Funktionen, wie z. B. die Fähigkeit, Nutzlasten zu übertragen und auszuführen sowie einen Neustart oder das Herunterfahren des Systems zu erzwingen.

Daher kann diese Bedrohung leicht als Einstiegspunkt für die Übermittlung weiterer bösartiger Nutzlasten verwendet werden, etwa für andere Ziele als einfachen Datendiebstahl.

Obwohl Formbook aufgrund der Einführung von XLoader nicht mehr direkt in Untergrundforen beworben wird, bleibt es eine weit verbreitete Bedrohung. Es wurde in zahlreichen Kampagnen im Jahr 2021 beobachtet, bei denen gefälschte Rechnungen und als Bestellungen getarnte Fallen verwendet wurden.

NanoCore

NanoCore wurde erstmals im Jahr 2013 beobachtet und konnte früher für rund 25 US-Dollar gekauft werden. „Gecrackte“ Versionen sind im Cyberkriminalitätsuntergrund weit verbreitet.

NanoCore wurde ursprünglich von einer Person entwickelt, die später verhaftet wurde. Es bietet typische Remote-Access-Trojaner-Funktionen (RAT), die durch eine modulare Architektur ergänzt werden, mit der Plug-ins erstellt und verwendet werden können, um die Funktionalität zu erweitern.

NanoCore wird dank der Verfügbarkeit gecrackter oder geleakter Versionen auch heute noch häufig von niedrigqualifizierten Bedrohungsakteuren verwendet. Fallen in Form von gefälschten Bestellungen und Rechnungen sind bei trojanisierten Versionen verdächtiger oder urheberrechtsverletzender Dateien häufig anzutreffen.

Lokibot

Lokibot, auch bekannt als Loki und LokiPWS, ist ein Informationsdiebstahlprogramm, das erstmals Mitte 2015 auftauchte und zunächst für bis zu 400 US-Dollar in Cybercrime-Foren verkauft wurde, bevor sein Quellcode geleakt wurde.

Lokibot wird häufig von niedrigqualifizierten Bedrohungsakteuren eingesetzt und ist inzwischen eine weit verbreitete Bedrohung. Es unterstützt Module für zusätzliche Funktionen, darunter einen Keylogger und ein Diebstahlprogramm für Kryptowährungs-Wallets.

Wie erwartet verwenden Angreifer Lokibot in der Regel in ungezielten Kampagnen. Zusätzlich zu den zuvor verwendeten COVID-19-Fallen tarnen sich die jüngsten Kampagnen als Rechnungen und Versandbenachrichtigungen.

Remcos

Remcos wird als „seriöses“ kommerzielles Fernzugriffstool vermarktet und wurde erstmals 2016 identifiziert. Es wird von seinen Entwicklern regelmäßig aktualisiert.

Als einer der am häufigsten auftretenden Remote-Access-Trojaner (RAT) ist Remcos, wie auch andere Standard-Tools, eine leicht zugängliche Bedrohung für wenig versierte Akteure. Außerdem gibt es dazu zahlreiche YouTube-Tutorials und -Anleitungen.

Darüber hinaus bevorzugen hochentwickelte Bedrohungsakteure manchmal Tools wie Remcos, da sie so keine eigenen entwickeln müssen und sich auf andere Phasen ihres Angriffs konzentrieren können.

Zusätzlich zu den Standard-RAT-Funktionen bietet Remcos eine „Remote Scripting“-Funktion, mit der Code gleichzeitig auf mehreren Hosts ausgeführt werden kann.

Darüber hinaus können potenzielle Nutzer von Remcos zusätzliche Dienstleistungen von den Entwicklern erwerben, z. B. einen Massen-E-Mailer für den Versand von E-Mail-Ködern und einen dynamischen DNS-Dienst. Letzterer stellt einen einzigen Hostnamen bereit, der den Zugriff auf den Command-and-Control-Host (C2) erleichtert und es dem Bedrohungsakteur gleichzeitig ermöglicht, seine IP-Adresse zu ändern, ohne die Remcos-Binärdatei aktualisieren zu müssen.

Remcos wurde in Phishing-E-Mails verbreitet, die als Rechnungen, Versandbenachrichtigungen und Steuerdokumente getarnt waren, sowie als trojanisierte Dateien im Zusammenhang mit urheberrechtswidriger Software.

AZORult

AZORult wurde erstmals Anfang 2016 identifiziert und ist ein Informationsdiebstahlprogramm, das häufig über Malspam-Kampagnen verbreitet wird, die aktuelle Themen ausnutzen oder sich als legitime Geschäftsmitteilungen tarnen.

Typische AZORult-Malspam-Kampagnen verschicken ein schädliches Microsoft-Office-Dokument, das ein Makro verwendet, um gängige Sicherheitslücken auszunutzen. Anschließend wird die bösartige Nutzlast von der Command-and-Control-Infrastruktur (C2) des Bedrohungsakteurs heruntergeladen.

Dann wird AZORult gestartet, um vertrauliche Daten zu stehlen, darunter Anmeldeinformationen, Zahlungskartendetails, Browsing-Daten und Kryptowährungswallets. Diese werden dann an C2 gesendet und das Programm wird beendet.

AZORult wird häufig zusammen mit anderen Bedrohungen eingesetzt, wahrscheinlich um andere Ziele zu erreichen. Neben der Tarnung als Geschäftsmitteilungen enthalten zahlreiche Proben trojanisierte „Cracks“ oder andere böswillige Inhalte, die häufig mit Urheberrechtsverletzungen in Verbindung stehen.

Netwire

Netwire wurde erstmals 2012 entdeckt und wird von Cyberkriminellen in großem Umfang eingesetzt. Es handelt sich um einen Remote-Access-Trojaner (RAT), der in Cyberkriminalitäts-Foren zum Kauf angeboten wird. Es wird oft in Kampagnen mit gängigen Tarnungen als Bestellung oder Versandbestätigung verschickt.

Zusätzlich zu den standardmäßigen RAT-Funktionen wurde Netwire 2016 um eine Funktion zum Scrapen von Zahlungskarten ergänzt. Diese zielt auf Geräte ab, die mit Point-of-Sale-Systemen (PoS) verbunden sind.

Während NetWire in weit verbreiteten Massenkampagnen eingesetzt wurde, kam es auch in gezielten Kampagnen zum Einsatz. Wahrscheinlich wurde dabei versucht, Zahlungskartendaten massenhaft von PoS-Hosts zu erfassen. Netwire verwendet eine spezielle Verschlüsselung für seinen Command-and-Control-Traffic (C2), um unentdeckt zu bleiben und Untersuchungen zu erschweren. Es verschlüsselt die gestohlenen Daten vor der Übertragung.

Danabot

Bei Danabot, der erstmals 2018 beobachtet wurde, handelt es sich um einen modularen Banking-Trojaner, der zunächst von einem einzigen Bedrohungsakteur eingesetzt und anschließend als Malware-as-a-Service (MaaS) an andere verkauft wurde.

Durch seine modulare Architektur ist Danabot ein sehr vielseitiges Tool. Ursprünglich wurde er vornehmlich zum Diebstahl von Anmeldedaten, Kryptowährungs-Wallets und Bankdaten durch Web-Injects verwendet. In Danabot lassen sich zum Beispiel RAT-Funktionen (Remote-Access-Trojaner) und eine Ransomware-Verschlüsselungsfunktion integrieren.

Danabot wird in der Regel durch Malspam-Kampagnen verbreitet. Im Oktober 2021 wurde ein NPM-Paket für die beliebte JavaScript-Bibliothek „UAParser.js“ kompromittiert und Berichten zufolge modifiziert, um Danabot zusammen mit einem Kryptowährungs-Miner herunterzuladen und auszuführen.

Da dieses legitime Paket – das verwendet wird, um Informationen aus Benutzeragenten-Strings auszulesen – zwischen sechs und sieben Millionen Mal pro Woche heruntergeladen wird, könnte die potenzielle Reichweite dieses Vorfalls zu einer großen Anzahl kompromittierter Hosts führen. Dies geht aus einer Warnung hervor, die von der U.S. Cybersecurity and Infrastructure Security Agency (CISA) veröffentlicht wurde.

Emotet

Emotet wurde erstmals 2014 beobachtet und war zunächst ein Banking-Trojaner. Im Januar 2021 wurde die Emotet-Infrastruktur von den Strafverfolgungsbehörden unter internationaler Koordination angegriffen.

Obwohl Emotet einige Kernfunktionen zum Informationsdiebstahl beibehielt, entwickelte es sich im Laufe der Jahre zu einem Downloader für andere bösartige Nutzlasten weiter. Die Bedrohungsakteure boten der Cyberkriminellen-Community ihr „Botnet-as-a-Service“ an. Sie wurden zu einem führenden Vertreiber anderer gängiger Bedrohungen – einschließlich Ransomware, die mit der „Ryuk“-Gruppe in Verbindung steht, die vornehmlich große Ziele angreift.

Während es den Großteil des Jahres 2021 verständlicherweise ruhig war, ist die Aktivität von Emotet in letzter Zeit wieder angestiegen, wenn auch ohne ihr Botnet, das Berichten zufolge durch Maßnahmen der Strafverfolgungsbehörden zerschlagen wurde.

Obwohl noch wenig über die jüngsten Emotet-Kampagnen bekannt ist, könnte es im Jahr 2022 zu einer Rückkehr kommen – vor allem, wenn derselbe Bedrohungsakteur hinter diesen jüngsten Aktivitäten steckt.

Zukunftsperspektiven

Gegen Ende des Jahres 2021 beobachtete Varonis Threat Labs, dass der RaaS-Anbieter ALPHV (auch bekannt als BlackCat Ransomware) aktiv neue Partner rekrutiert und Organisationen in verschiedenen Branchen weltweit ins Visier nimmt.

Die Leak-Website der Gruppe, die seit Anfang Dezember 2021 aktiv ist, hat bis Ende Januar 2022 mehr als zwanzig Opferorganisationen genannt. Die Gesamtzahl der Opfer, einschließlich derer, die ein Lösegeld gezahlt haben, um Öffentlichkeit zu vermeiden, ist jedoch wahrscheinlich höher. Hier können Sie unseren vollständigen Artikel lesen.