Ransomware-Gruppe RansomHouse (bekannt durch Cyberangriff auf AMD)

2021 wurde ein massiver Cyberangriff auf das Technologieunternehmen AMD öffentlich. Bei diesem Angriff wurden angeblich 450 GB an Daten dieses Unternehmens gestohlen. Dahinter steckte, so die Mutmaßung, eine relativ neue Angreifergruppe RansomHouse. Die haben aber ein anderes Geschäftsmodell als die typischen Ransomware-Gruppen – der neuen Gruppe geht es rein um Erpressung, wie Tenable eruiert hat.

Reine Erpressergruppe

Sicherheitsforscher von Tenable, Inc., ein Unternehmen, welches auf Cyber Exposure-Lösungen spezialisiert ist, haben sich die Aktivitäten der Gruppe RansomHouse (ein Newcomer unter den Ransomware-Gruppen) näher angesehen. Satnam Narang, leitender Forschungsingenieur bei Tenable, schreibt dazu, dass die RansomHouse-Gruppe trotz ihres Namens nicht ganz unter das Label einer Ransomware-Gruppe im herkömmlichen Sinne passe. Während die Gruppe im Rahmen ihrer Operationen ein Lösegeld verlange, scheint es so, dass diese Gruppe keine schädliche Software in den Opferorganisationen verteilen.

Neuer Trend zur Erpressung

Ich hatte Ende Juni 2022 bereits im Artikel Ransomware: Zahlungen sind ein geostrategisches Risiko auf den neuen Trend hingewiesen, dass Cyberangreifer auf die Verschlüsselung der Dateien verzichten. So bleibt viel Zeit, unter dem Radar von Sicherheitslösungen, die auf Verschlüsselung anspringen, Daten zu analysieren und auszuleiten. Anschließend werden die Opfer mit der Drohung zur Veröffentlichung der Daten erpresst. Tenable zählt RansomHouse daher als reine Erpressergruppe, deren Renaissance die Tenable Sicherheitsforscher in den letzten Monaten beobachteten.

Es bleibt schwierig

RansomHouse selbst hat behauptet, dass sie weder hinter Sicherheitsverletzungen stecken noch Ransomware im Rahmen ihrer Bemühungen entwickeln oder einsetzen, so Tenable. Aber nach Einschätzung der Sicherheitsforscher ist es schwer, dem Wort der Gruppe zu vertrauen. Denn die Gruppen versucht sich möglicherweise davor zu schützen, in eine Kategorie von Ransomware gesteckt zu werden und durch Strafverfolgungsoperationen zu einem größeren Ziel zu werden.

Diversifizierung der Cybergangs

Selbst mit dem Erfolg der doppelten Erpressung, bei der Ransomware-Gruppen viele Dateien innerhalb eines Netzwerks verschlüsseln sowie Dateien stehlen und damit drohen, sie im Dark Web zu veröffentlichen, scheint der Erpressungsfaktor zum zentralen Punkt unter Erpressungsgruppen wie RansomHouse und Lapsus$ geworden zu sein.

Als die Conti-Ransomware-Gruppe begann, ihre Aktivitäten zusammenzulegen, beinhaltete ein Teil ihrer großen Pläne, sich in mehrere Ransomware-Gruppen aufzuspalten, einschließlich solcher, die auf Erpressung ausgerichtet sind, wie BlackByte und Karakurt.

Wie die Tenable Sicherheitsforscher in ihrem jüngsten Bericht über das Ransomware-Ökosystem hervorheben, haben sich Ransomware-Gruppen im Laufe der Jahre weiterentwickelt, einen geschäftsähnlichen Ansatz für ihre Bemühungen angenommen und Geschäftspartnerschaften mit anderen Akteuren des Ökosystems wie verbundenen Unternehmen und Maklern für den Erstzugang geschmiedet. Dazu meint Satnam Narang: Es bleibt abzuwarten, ob dieser Trend zu einem ausschließlichen Fokus auf Erpressung Teil seiner natürlichen Entwicklung werden wird.