Die Top 14 Ransomware-Gangs und ihre Spezialisierungen

„Man sieht, warum LockBit in den Fokus von Strafverfolgungsbehörden gerückt ist und es im Februar und Mai diesen Jahres bereits zwei ‘Takedowns’ gab. Leider sind diese ‘Zerschlagungen’ meist nur von kurzer Dauer, da LockBit und deren Partner sich schnell neu formieren können“, sagt Thorsten Rosendahl von Cisco Tales: „Auch wenn man in letzter Zeit doch von einigen operativen Problemen innerhalb der Gruppe hört und man diese auch von außen sieht, bleibt LockBit brandgefährlich.“

Neben dem Ranking ermöglicht die Talos-Analyse Einblicke in die Taktiken, Techniken und Prozesse (TTP) der 14 weltweit wichtigsten Erpresser-Gruppen sowie in Gemeinsamkeiten und Unterschiede der Akteure und ihrer Vorgehensweise. Ein Ergebnis: Mit dem Auftauchen neuer Erpressergruppen im Jahr 2023, die jeweils sehr individuelle Ziele, operative Strukturen oder Opferprofile aufweisen, hat sich diese Welt grundlegend geändert. Ein Effekt dieser Diversifizierung ist nach Ansicht der Forscher in einer Verschiebung hin zu immer individuelleren Cyberaktivitäten zu erkennen. Gruppen wie Hunters International, Cactus oder Akira besetzen beispielsweise sehr spezifische Nischen und unterscheiden sich in ihren operativen Zielen und stilistischen Vorgehensweisen stark voneinander.

Die Gruppen BlackBasta, LockBit und Rhysida sind beispielsweise in den letzten Monaten immer offener dazu übergegangen, die Spielregeln hinter Ransomware zu verändern. Anstelle der reinen Verschlüsselung von Daten verursachen sie einen maximalen Schaden, indem sie ihre Opfersysteme zerstören, um so den Druck auf Unternehmen zu erhöhen. Gruppen wie AlphV/Blackcat oder Rhysida legen dagegen eine erhebliche taktische Vielfalt in ihren Angriffen an den Tag und nutzten das breiteste Spektrum an TTPs.

„Wir beobachten mit Sorge, dass die Angreifer dazu übergeht, Daten primär zu exfiltrieren – nur gibt es hier keine Möglichkeit der Wiederherstellung. Es entstehen mehr und mehr kleinere, spezialisierte Gruppen, was es der angegriffenen Seite wesentlich schwieriger in der Verteidigung macht“, warnt Thorsten Rosendahl.

Roger Homrich

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

1 Tag ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

1 Tag ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

3 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

4 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

5 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

5 Tagen ago