Sophos hat den Report ‘Junk Gun-Ransomware: Peashooters can still pack a punch’ veröffentlicht. Der Titel soll an eine Ära in den USA in den 1960er und 70er-Jahren erinnern, als mit billigen und teils schlecht funktionieren Waffen, später ’Junk Guns’ genannt, der Markt überschwemmt wurde – eine Entwicklung, die Sophos zurzeit in der Cybercrime-Szene beobachtet.
Seit Juni 2023 hat das Sophos-Team X-Ops insgesamt 19 ’Junk Gun’-Ransomware-Varianten ausgemacht. Hinter den selbst produzierten und eher plump aufgebauten Programmen im Darknet stecken eher rudimentär ausgebildete Entwickler, die mit einfachen und günstigen Ransomware-Modellen den etablierten Ransomware-as-a-Service-Markt (RaaS) aufrollen wollen, heißt es in der Pressemeldung.
Anstatt Ransomware als Affiliate-Produkt zu verkaufen oder zu erwerben, wie es im Cybercrimemarkt Standard ist, bauen und verkaufen die Cyberkriminellen primitive Ransomware-Modelle selbst, zu einer einmaligen Gebühr. Für einige Kriminelle ideal, um damit kleine und mittelständische Unternehmen oder Einzelpersonen anzugreifen. Der Thin[gk]athon, veranstaltet vom Smart Systems Hub, vereint kollaborative Intelligenz und Industrie-Expertise, um in einem dreitägigen Hackathon innovative Lösungsansätze für komplexe Fragestellungen zu generieren. ‣ weiterlesen
Innovationstreiber Thin[gk]athon: Kollaborative Intelligenz trifft auf Industrie-Expertise
Sättigungsgrad erreicht?
„Seit einem oder zwei Jahren beobachten wir, dass Ransomware einen gewissen Sättigungsgrad erreicht hat. Es ist immer noch eine der gängigsten und ernsthaftesten Bedrohungen für Unternehmen, aber laut unserem aktuellen Active Adversary Report hat sich die Anzahl der Angriffe auf einem bestimmten Level eingependelt und das RaaS-Geschäft als gängiges Betriebsmodell für die meisten Haupt-Ransomware-Gruppen etabliert. Vor zwei Monaten verschwanden einige der größten Ransomware-Player von der Bildfläche und in der Vergangenheit machten einige der Ransomware-Partner ihrem Ärger über die Profit-Orientierung von RaaS Luft. Nichts in der Cybercrimewelt bleibt wie es ist und vielleicht sind wir gerade Zeitzeugen, wie diese billigen Versionen von Ransomware der nächste Evolutionsschritt sind, besonders für Kriminelle mit wenig Kenntnissen, die eher auf den schnellen Profit statt auf einen ruhmreichen Angriff setzen“, sagt Christopher Budd, Director Threat Research bei Sophos, ein.
Eigenbau-Ransomware ist günstiger zu haben
Sophos listet im Report eine dieser Eigenbau-Varianten im Darknet zum Preis von 375 US$ auf, eindeutig günstiger als einige RaaS-Kits für Partner, die mit mehr als 1.000US$ zu Buche schlagen. Laut Analyse haben die Cyberkriminellen bereits vier dieser Varianten in Angriffen eingesetzt. Während die Fähigkeiten der Junk-Gun-Ransomware sich stark von den RaaS-Varianten unterscheiden, punkten sie laut Sophos mit zwei Argumenten: die Schadsoftware braucht zum Laufen wenig oder sogar gar keine unterstützende Infrastruktur und die Nutzer sind nicht verpflichtet, ihren Gewinn mit den Entwicklern zu teilen.
Anzeigen und Tutorials
Junk-Gun-Ransomware-Diskussionen finden hauptsächlich in Englisch-sprachigen Foren im Darknet statt und richten sich an Kriminelle mit wenig technischen Kenntnissen, so Sophos. Dies stehe im Gegensatz zu den oft russischsprachigen Foren, die von bekannten und gut ausgebildeten Angriffsgruppierungen besucht werden. Diese neuen Varianten eröffnen einen reizvollen Weg für kriminelle Novizen, in die Ransomware-Welt zu starten. Neben Anzeigen für die Ransomware-Schnäppchen gibt es Beiträge zu Tipps und Trick und How-to-Tutorials.
Eher geringe Lösegeldforderungen
„Diese Arten von Ransomware werden keine Millionen-Dollar-Lösegelder wie bei Clop oder Lockbit einfordern, aber getreu dem Motto ’Masse statt Klasse’ können sie recht effektiv bei KMUs sein und das Debüt für eine größeren Verbreitung darstellen. Während das Phänomen der Junk-Gun-Ransomware relativ neu ist, erhielten wir bereits Einblicke in den Ehrgeiz der Erfinder, um dieses Ransomware-Modell weiter zu verbreiten. Und wir haben viele Posts von weiteren Kriminellen gesehen, die ihre eigene Ransomware-Variante kreieren wollen“, kommentiert Budd. „Noch beunruhigender ist allerdings, dass diese neue Ransomware-Bedrohung eine ernsthafte Herausforderung für die Verteidigung darstellt: Da Angreifer diese Modelle gegen KMUs einsetzen und die Lösegeldforderungen gering sind, bleiben die meisten Attacken unentdeckt und unveröffentlicht. Das hinterlässt eine Informationslücke für die Verteidiger, die die Sicherheits-Gemeinschaft dann ausfüllen muss.“