RansomHub: Die führende Ransomware-Gruppe 2024

MÜNCHEN (IT BOLTWISE) – Die Cyberkriminalität entwickelt sich stetig weiter, und RansomHub hat sich als die aktivste Ransomware-Gruppe des Jahres 2024 etabliert. Mit über 600 Angriffen weltweit, die sich auf Sektoren wie Gesundheitswesen, Finanzen und kritische Infrastrukturen erstrecken, zeigt die Gruppe eine beispiellose Aktivität.

RansomHub hat sich durch die Ausnutzung von Sicherheitslücken in Microsoft Active Directory und dem Netlogon-Protokoll einen Namen gemacht. Diese Schwachstellen, die mittlerweile gepatcht sind, wurden genutzt, um unbefugten Zugriff auf Domain-Controller zu erlangen und so die Kontrolle über Netzwerke zu übernehmen. Die Gruppe, die im Februar 2024 erstmals in Erscheinung trat, hat den Quellcode der inzwischen aufgelösten Knight-RaaS-Gruppe übernommen, um ihre Operationen zu beschleunigen.

Innerhalb von fünf Monaten nach ihrer Gründung bot RansomHub eine aktualisierte Version ihrer Ransomware an, die in der Lage ist, Daten über das SFTP-Protokoll zu verschlüsseln. Diese Ransomware existiert in mehreren Varianten, die sowohl Windows- als auch VMware-ESXi- und SFTP-Server verschlüsseln können. Die Gruppe hat zudem Affiliates von LockBit und BlackCat rekrutiert, um von den Strafverfolgungsmaßnahmen gegen ihre Rivalen zu profitieren.

In einem von einer singapurischen Sicherheitsfirma analysierten Vorfall versuchte RansomHub erfolglos, eine kritische Schwachstelle in Palo Alto Networks PAN-OS-Geräten auszunutzen, bevor sie schließlich durch einen Brute-Force-Angriff auf den VPN-Dienst in das Netzwerk eindrangen. Diese Attacke basierte auf einem erweiterten Wörterbuch mit über 5.000 Benutzernamen und Passwörtern, wobei der Zugang letztlich über ein Standardkonto erfolgte, das häufig in Datensicherungslösungen verwendet wird.

Nach dem ersten Zugriff nutzten die Angreifer bekannte Sicherheitslücken in Active Directory und dem Netlogon-Protokoll, um die Kontrolle über den Domain-Controller zu übernehmen und sich lateral im Netzwerk zu bewegen. Diese Ausnutzung ermöglichte es ihnen, vollständigen privilegierten Zugriff zu erlangen, was die Grundlage für die Verschlüsselung und Exfiltration von Daten innerhalb von 24 Stunden nach dem Kompromittieren des Netzwerks bildete.

Ein bemerkenswerter Aspekt des Angriffs war der Einsatz von PCHunter, um Endpoint-Sicherheitslösungen zu umgehen, sowie die Nutzung von Filezilla zur Datenexfiltration. Diese Taktiken unterstreichen die Existenz eines lebendigen Cybercrime-Ökosystems, das auf dem Teilen und Wiederverwenden von Tools und Quellcodes basiert.

Die Entwicklung von RansomHub fällt in eine Zeit, in der die Ransomware-Landschaft im Wandel ist. Angriffe verlagern sich von traditioneller Verschlüsselung hin zu Datendiebstahl und Erpressung, da immer mehr Opfer sich weigern, Lösegeld zu zahlen. Gruppen wie RansomHub und Akira bieten nun Anreize für gestohlene Daten, was diese Taktiken besonders lukrativ macht.

Zu den Top-Stories!

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!

Angebot

1.958 Bewertungen

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

• NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.

169,00 EUR

Bei Amazon kaufen