Ransomware-Report vom Juli: Lockbit am aktivsten - REvil taucht wieder auf

Der Hersteller von Anti-Malware-Software Malwarebytes hat seinen Ransomware-Report für den Juli veröffentlicht. Wie in den Vormonaten war Lockbit demnach die mit Abstand aktivste Ransomware-Gruppe. Ein erneutes Comeback habe die seit Mai untergetauchte Gruppe REvil - auch bekannt als Sodinokibi - gegeben. Zudem finden sich 5 bis anhin unbekannte Namen im Juli-Report.

Bekannte Ransomware-Angriffe nach Gruppen, Juli 2022 (Source: Malwarebytes)

10 bis 50 Prozent der Lockbit-Opfer zahlen Lösegeld

Mit 61 bekannten Attacken sei Lockbit wieder die bei Weitem aktivste Ransomware-Gruppe weltweit gewesen. Der Erfolg der Gruppe wurde lange darauf zurückgeführt, dass sie sich auf ihr Geschäft konzentriert, während andere Banden nach öffentlicher Aufmerksamkeit suchten, wie Malwarebytes schreibt. Das könnte sich jetzt aber als Fehlinterpretation herausstellen - im Juli gab die Gruppe dem Online-Magazin "Red Hot Cyber" ein Interview. Darin bestätigt Lockbit, dass die neueste Ransomware-Version der Gruppe "Lockbit 3.0" auf dem Quellcode von DarkSide beruht. Diesen habe Lockbit weiter verbessert und sogar ein Bug Bounty Programm dafür gestartet. Weiter gab das Kollektiv an, dass zwischen 10 und 50 Prozent der Lockbit-Opfer das geforderte Lösegeld zahlen - je nachdem wie tief ins Zielsystem die Gruppe eindringen konnte und wie gut die Ziele auf einen Angriff vorbereitet waren. Die Zahlen im Report von Malwarebytes beziehen sich gemäss dem Unternehmen nur auf Opfer, die auf Leak-Seiten auftauchen, weil sie kein Lösegeld bezahlt haben.

Ist Black Basta ein Conti-Rebranding?

An zweiter Stelle folge mit 35 bekannten Angriffen die Ransomware-Gruppe Black Basta. Die im April erstmal beobachtete Gruppe werde wegen dem schnellen Erfolg und dem passenden Timing mit der Ransomware-Gruppe Conti in Verbindung gebracht - obwohl Conti nicht mehr aktiv ist, setzte die USA ein Kopfgeld von 10 Millionen US-Dollar auf die Mitglieder der Gruppe aus. Ob es sich bei Black Basta aber um ein Rebranding der Gruppe handelt, sei nicht klar. Ausser Black Basta haben gemäss dem Report auch Gruppen wie "Hive" und "KaraKurt" von der Auflösung Contis profitiert.

Bekannte Angriffe von Conti und Black Basta, Februar-Juli 2022 (Source: Malwarebytes)

REvil ist zurück

Auf der Leak-Webseite der berüchtigten Ransomware-Gruppe REvil sei zum ersten Mal seit Mai wieder ein Opfer erschienen. Obschon andere Gruppen im vergangenen Monat viel aktiver waren, müsse dieses Lebenszeichen der Gruppe ernst genommen werden. REvil ist für zwei der grössten Ransomware-Angriffe weltweit verantwortlich: Im Mai 2021 erpresste die Bande 11 Millionen US-Dollar von der US-Tochter des brasilianischen Fleischkonzerns JBS. Später im selben Jahr legte die Gruppe hunderte schwedische Supermärkte lahm. Seither sei die Bande unter enormem Druck verschiedener Strafverfolgungsbehörden gestanden und immer wieder untergetaucht, bis zwischen November 2021 und Januar 2022 weltweit Mitglieder der Bande verhaftet wurden.

Neue Gruppen tauchen auf

Im Juli sind laut dem Report auch zahlreiche neue Ransomware-Gruppen aufgetaucht. Zu den Neuzugängen zählen BianLian, Yanluowang,RedAlert, Omega und Cheers. Mit 11 bekannten Opfern ist das Debüt von BianLian von der Grösse her vergleichbar mit dem Erscheinen von Black Basta im April 2022. Diese Gruppe gelte es daher speziell im Auge zu behalten.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.