Analog zum letzten Ransomware-Gruppen Blogpost möchte ich einen kleinen Einblick in die von mir beobachteten Ransomware-Gruppen geben und berichten was sich in der Szene seitdem getan hat und welche Gruppen neu dazugekommen sind. Wieder geht es mir darum, einen kurzen Einblick in eine Welt zu geben, die den üblichen Medien weitgehend verborgen bleibt, und dabei die Diversität und Eigenheit der Akteur*innen darzustellen. Zur Frage, wie ein Ransomware-Angriff generell abläuft, sei auf den Ransomware-Basics Post verwiesen; Schutzmaßnahmen und deren Sinnhaftigkeit werden in diesem Blogeintrag diskutiert.

Alte Bekannte und neue Unbekannte

Wie auch schon in den vorherigen Monaten zu beobachten war sind weiterhin Conti und Lockbit am aktivsten. Auch die alten Bekannten Grief und Hive aus dem letzten Ransomware-Gruppen Blogpost sind weiterhin präsent. Der Angriffs-Output dieser Gruppen blieb dabei ungefähr gleichhoch in den letzten drei Monaten. In der Zielauswahl schien Conti sehr viele gerade auf mittelständische Unternehmen fokussiert und blieb dabei international mit Angriffen unter anderem in Italien, Japan und Saudi-Arabien. Ein Leak von internen Dokumenten und Anleitungen gab außerdem erstmals etwas mehr inneren Einblick in die Machenschaften dieser Ransomware-Gang. Viel neues fand sich hier nicht für Insider, die sich schon lange mit der Szene beschäftigen, jedoch bestätigte sich der professionelle Ruf den Conti in der Szene ohnehin schon hat einmal mehr. Gerade im Bereich active directory und antivirus evasion konnte man die lange Erfahrung und das hohe technische Verständnis dieser Gruppe gut aus den Dokumenten herauslesen.

Nun auch richtig aktiv geworden ist Blackmatter, über die ich im letzten Post bereits berichtete, da man munkelte das sie den derzeit effizientesten Verschlüsselungstrojaner entwickelt hätten. Sie sind noch nicht auf dem Niveau der großen Akteure wie Conti oder Lockbit angekommen aber haben in letzter Zeit aus der Planungsphase zum Angriff hin gewechselt. In der Auswahl ihrer Ziele finden sich dabei spannenderweise viele Unternehmen aus Österreich. Wie es sich für professionale Akteure aus diesem Segment mittlerweile fast schon gehört, haben auch sie so eine Art Regelwerk oder code of conduct für die Szene veröffentlicht.

Blackmatter code of conduct

Natürlich kamen in den letzten Monaten auch wieder ganz neue kleinere Gruppen dazu, diese werde ich beobachten und über sie berichten sofern sie länger bestand haben, oder anderweitig interessant werden. Unter diesen kleineren Gruppen ist auch das CoomingProject. Diese Gruppe, deren Leak-Seite wieder verschwunden ist, hatte eine sehr eigenartige Zielauswahl. So fanden sich bei dieser Gruppe Angriffe auf kleine Cryptowährungs-Börsen, Gemeinde-Webseiten in Südostasien und sogar ein winziger Golfclub in Pakistan. Ob es sich hier schlicht um eine vergleichsweise amateurhafte Gruppe handelte oder ob diese Ziele als falsche Fährten und im Zuge von Verwirrungstaktiken angegriffen wurden, lässt sich wie immer in der dieser Szene nicht wirklich beantworten.

Rückkehr der System Amigos

Die Gruppe Pysa ist in der Szene ein alter Bekannter und hat nicht zuletzt wegen ihres 90ziger Jahre Charmes einen Ruf als oldscool hacker. Sie spielen mit einem DOS-Charme und ASCII-Art der an alte längst vergangen x86 Zeiten erinnert und waren die letzte Zeit über sehr still. Auch gab es seit Monaten keine neuen Veröffentlichungen mehr auf Ihren Leak-Seiten.

Selbstdarstellung der Pysa-Gruppe

Spannenerweise haben die selbsternannten “System Amigos” erst kürzlich doch wieder einen Hack veröffentlicht, der es in sich hat. So hat Pysa einen großen Anbieter für Cloud Storage erfolgreich angegriffen. Ironischerweise ist dieser Anbieter spezialisiert auf IT-Sicherheitslösungen und Backup Angebote für Banken, Versicherungen, Kanzleien und Behörden, um diese explizit vor Ransomware-Angriffen zu schützen. Ob Pysa wirklich längere Zeit inaktiv war oder lange im Verborgenen vorbereitete und jetzt nur noch wirklich große Ziele angreift ist noch nicht ganz klar. Sicher ist aber, dass dieser Angriff den Ruf dieser Gruppe in der Szene nochmals deutlich verbessert.