Jena - Der IT-Sicherheitshersteller ESET veröffentlicht heute eine umfassende Analyse zur aktuellen Ransomware-Landschaft. Im Zentrum steht die Gruppe RansomHub, die sich innerhalb kürzester Zeit zur dominierenden Kraft unter den sogenannten Ransomware-as-a-Service (RaaS)-Anbietern entwickelt hat. RansomHub trat anscheinend in Erscheinung, nachdem internationale Strafverfolgungsmaßnahmen die Aktivitäten der früheren Marktführer LockBit und BlackCat weitgehend zum Erliegen brachten.
Die Forschungsergebnisse wurden auf der diesjährigen ESET World ( https://esetworld.com/ ) präsentiert."2024 markierte gleich zwei Wendepunkte – der Niedergang der beiden größten Ransomware-Gruppen und ein Rückgang der Lösegeldzahlungen um rund 35 Prozent", so ESET-Forscher Jakub Sou?ek, der die Untersuchungen leitet. "Gleichzeitig stieg jedoch die Zahl öffentlich gemeldeter Opfer um 15 Prozent. Ein Großteil davon geht auf das Konto von RansomHub."EDR-Killer: Maßgeschneidertes Tool gegen Sicherheitssoftware im EinsatzEine zentrale Rolle bei RansombHub spielt ein gefährliches, besonders perfides Tool: EDRKillShifter. Dabei handelt es sich um einen sogenannter EDR-Killer (Endpoint-Detection-&-Response), der gezielt Sicherheitslösungen auf kompromittierten Rechnern ausschaltet. Hierzu missbraucht die Schadsoftware einen fehlerhaften Treiber im System des Zielgeräts. Unternehmen, die ESET-Lösungen nutzen, sind vor solchen EDR-Killern sicher.Entwickelt wurde das Werkzeug von RansomHub selbst, was eine Seltenheit im Bereich der RaaS-Angebote ist. Es wird den Partnern der Gruppe bereitgestellt, um Sicherheitsmaßnahmen gezielt auszuhebeln. Laut ESET findet der EDRKillShifter mittlerweile auch in Angriffen anderer Ransomware-Gruppen wie Play, Medusa und BianLian Verwendung.Die Verbindung zwischen diesen Gruppen ist ein brisanter Befund. "Es ist bekannt, dass einige Affiliates – also Partner, die im Auftrag der Betreiber arbeiten – gleichzeitig für mehrere Gangs aktiv sind. Dass sie intern entwickelte Tools gruppenübergreifend einsetzen, zeigt: Selbst in der Welt der Ransomware gibt es keine vollständige Abschottung", so Sou?ek weiter.Ransomware als Geschäft – mit ungewöhnlichen GeschäftsmodellenWie jede aufstrebende RaaS-Gang musste auch RansomHub Partner anwerben, die die Dienste der Gruppe anmieten. RansomHub rekrutierte seine ersten Partner Anfang 2024 über das russischsprachige RAMP-Forum, nur acht Tage bevor die ersten Opfer gemeldet wurden. Auffällig: Partner dürfen die gesamte Lösegeldsumme behalten – lediglich eine freiwillige Beteiligung von zehn Prozent wird an die Entwickler erwartet. Ein Vertrauensmodell, das in der Cybercrime-Szene als ungewöhnlich gilt.Ungewöhnlich ist zudem, dass einzelne Akteure von RansomHub gleichzeitig für drei rivalisierende Banden arbeiten: Play, Medusa und BianLian. Eine plausible Erklärung hierfür ist, dass vertrauenswürdige Mitglieder von Play und BianLian nebenbei mit anderen Gruppen wie RansomHub zusammenarbeiten und dabei Werkzeuge, die sie dort erhalten, auch für ihre eigenen Angriffe verwenden.Angriffe auf Ziele in Russland, Nordkorea, China und Kuba sind bei RansomHub untersagt – ein Muster, das auf politische Rücksichten oder geografische Ursprünge hinweist. ESET sieht in RansomHub keinen bloßen Nachfolger von LockBit, sondern einen neuen Schlüsselakteur, der das Machtgefüge im Ransomware-Markt neu ordnet – mit eigener Toolentwicklung, aggressiver Partnerpolitik und zunehmender Sichtbarkeit.Eine detailliertere Analyse von RansomHub und EDRKillShifter finden Sie im neuesten Blogpost von ESET Research "RansomHubs EDRKillShifter: Ein Werkzeug geht auf Reisen ( https://www.welivesecurity.com/de/eset-research/ransomhubs-edrkillshifter-ein-werkzeug-geht-auf-reisen )" auf WeLiveSecurity.com.(Ende)Aussender: ESET Deutschland GmbH Ansprechpartner: Philipp Plum Tel.: +49 3641 3114 141 E-Mail: philipp.plum@eset.com Website: www.eset.de