RansomHub übernimmt kriminelles Erbe von LockBit & Co.

“2024 markierte gleich zwei Wendepunkte – der Niedergang der beiden größten Ransomware-Gruppen und ein Rückgang der Lösegeldzahlungen um rund 35 Prozent”, sagt ESET-Forscher Jakub Souček, der die Analyse leitet. “Gleichzeitig stieg jedoch die Zahl öffentlich gemeldeter Opfer um 15 Prozent. Ein Großteil davon geht auf das Konto von RansomHub.”

EDR-Killer schaltet Sicherheitssoftware aus

Eine zentrale Rolle bei RansombHub spielt ein gefährliches, besonders perfides Tool: EDRKillShifter. Der EDR-Killer (Endpoint-Detection-&-Response) schaltet gezielt Sicherheitslösungen auf kompromittierten Rechnern aus. Hierzu missbraucht die Schadsoftware einen fehlerhaften Treiber im System des Zielgeräts. Unternehmen, die ESET-Lösungen nutzen, sind vor solchen EDR-Killern sicher.

Entwickelt wurde das Werkzeug von RansomHub selbst, was eine Seltenheit im Bereich der RaaS-Angebote ist. Es wird den Partnern der Gruppe bereitgestellt, um Sicherheitsmaßnahmen gezielt auszuhebeln. Der EDRKillShifter soll mittlerweile auch in Angriffen anderer Ransomware-Gruppen wie Play, Medusa und BianLian eingesetzt werden.

Die Verbindung zwischen diesen Gruppen ist ein brisanter Befund. “Es ist bekannt, dass einige Affiliates – also Partner, die im Auftrag der Betreiber arbeiten – gleichzeitig für mehrere Gangs aktiv sind. Dass sie intern entwickelte Tools gruppenübergreifend einsetzen, zeigt: Selbst in der Welt der Ransomware gibt es keine vollständige Abschottung”, so Souček weiter.

RansomHub-Akteure arbeiten für rivalisierende Banden

Wie jede aufstrebende RaaS-Gang musste auch RansomHub Partner anwerben, die die Dienste der Gruppe anmieten. RansomHub rekrutierte seine ersten Partner Anfang 2024 über das russischsprachige RAMP-Forum, nur acht Tage bevor die ersten Opfer gemeldet wurden. Auffällig: Partner dürfen die gesamte Lösegeldsumme behalten – lediglich eine freiwillige Beteiligung von zehn Prozent wird an die Entwickler erwartet.

Ungewöhnlich ist zudem, dass einzelne Akteure von RansomHub gleichzeitig für drei rivalisierende Banden arbeiten: Play, Medusa und BianLian. Eine plausible Erklärung hierfür ist, dass vertrauenswürdige Mitglieder von Play und BianLian nebenbei mit anderen Gruppen wie RansomHub zusammenarbeiten und dabei Werkzeuge, die sie dort erhalten, auch für ihre eigenen Angriffe verwenden.

Angriffe auf Ziele in Russland, Nordkorea, China und Kuba sind bei RansomHub untersagt – ein Muster, das auf politische Rücksichten oder geografische Ursprünge hinweist. ESET sieht in RansomHub keinen bloßen Nachfolger von LockBit, sondern einen neuen Schlüsselakteur, der das Machtgefüge im Ransomware-Markt neu ordnet – mit eigener Toolentwicklung, aggressiver Partnerpolitik und zunehmender Sichtbarkeit.