Die Top 14 Ransomware-Gangs und ihre Spezialisierungen
Die Security-Experten von Cisco Talos haben die Anzahl der Ransomware-Opfer gezählt. Die LockBit-Gruppe landet auf Platz 1, gefolgt von Alphv, Play, 8base und Black Basta.
„Man sieht, warum LockBit in den Fokus von Strafverfolgungsbehörden gerückt ist und es im Februar und Mai diesen Jahres bereits zwei ‘Takedowns’ gab. Leider sind diese ‘Zerschlagungen’ meist nur von kurzer Dauer, da LockBit und deren Partner sich schnell neu formieren können“, sagt Thorsten Rosendahl von Cisco Tales: „Auch wenn man in letzter Zeit doch von einigen operativen Problemen innerhalb der Gruppe hört und man diese auch von außen sieht, bleibt LockBit brandgefährlich.“
Neben dem Ranking ermöglicht die Talos-Analyse Einblicke in die Taktiken, Techniken und Prozesse (TTP) der 14 weltweit wichtigsten Erpresser-Gruppen sowie in Gemeinsamkeiten und Unterschiede der Akteure und ihrer Vorgehensweise. Ein Ergebnis: Mit dem Auftauchen neuer Erpressergruppen im Jahr 2023, die jeweils sehr individuelle Ziele, operative Strukturen oder Opferprofile aufweisen, hat sich diese Welt grundlegend geändert. Ein Effekt dieser Diversifizierung ist nach Ansicht der Forscher in einer Verschiebung hin zu immer individuelleren Cyberaktivitäten zu erkennen. Gruppen wie Hunters International, Cactus oder Akira besetzen beispielsweise sehr spezifische Nischen und unterscheiden sich in ihren operativen Zielen und stilistischen Vorgehensweisen stark voneinander.
Die Gruppen BlackBasta, LockBit und Rhysida sind beispielsweise in den letzten Monaten immer offener dazu übergegangen, die Spielregeln hinter Ransomware zu verändern. Anstelle der reinen Verschlüsselung von Daten verursachen sie einen maximalen Schaden, indem sie ihre Opfersysteme zerstören, um so den Druck auf Unternehmen zu erhöhen. Gruppen wie AlphV/Blackcat oder Rhysida legen dagegen eine erhebliche taktische Vielfalt in ihren Angriffen an den Tag und nutzten das breiteste Spektrum an TTPs.
„Wir beobachten mit Sorge, dass die Angreifer dazu übergeht, Daten primär zu exfiltrieren – nur gibt es hier keine Möglichkeit der Wiederherstellung. Es entstehen mehr und mehr kleinere, spezialisierte Gruppen, was es der angegriffenen Seite wesentlich schwieriger in der Verteidigung macht“, warnt Thorsten Rosendahl.