Cybersicherheitsforscher haben eine weitere Variante der Phobos-Ransomware-Familie namens Faust entdeckt. Das Unternehmen Fortinet FortiGuard Labs, das die neueste Version der Ransomware detailliert beschreibt, gibt an, dass sie über eine Infektion verbreitet wird, die ein Microsoft Excel-Dokument (.XLAM) mit einem VBA-Skript enthält. Die Angreifer haben den Gitea-Dienst genutzt, um mehrere in Base64 codierte Dateien zu speichern, die jeweils eine schädliche Binärdatei enthalten. Wenn diese Dateien in den Speicher eines Systems eingeschleust werden, starten sie einen Dateiverschlüsselungsangriff. Faust ist die neueste Ergänzung zu mehreren Ransomware-Varianten aus der Phobos-Familie, darunter Eking, Eight, Elbie, Devos und 8Base. Es ist erwähnenswert, dass Faust bereits im November 2023 von Cisco Talos dokumentiert wurde. Das Cybersicherheitsunternehmen beschreibt die Variante als seit 2022 aktiv und „zielt nicht auf bestimmte Branchen oder Regionen ab“.
Die Angriffskette beginnt mit einem XLAM-Dokument, das beim Öffnen Daten aus Gitea im Base64-Format herunterlädt, um eine harmlose XLSX-Datei zu speichern. Gleichzeitig wird heimlich eine ausführbare Datei abgerufen, die sich als Updater für die AVG AntiVirus-Software („AVG updater.exe“) tarnt. Die Binärdatei funktioniert als Downloader, um eine weitere ausführbare Datei mit dem Namen „SmartScreen Defender Windows.exe“ abzurufen und zu starten. Dadurch wird der Verschlüsselungsprozess durch einen angriffslosen Angriff gestartet, bei dem der bösartige Shellcode eingesetzt wird. Die Faust-Variante weist die Fähigkeit auf, die Persistenz in einer Umgebung aufrechtzuerhalten und mehrere Threads für eine effiziente Ausführung zu erstellen.
Parallel dazu haben neue Ransomware-Familien wie Albabat (auch bekannt als White Bat), DHC, Frivinho, Kasseika, Kuiper, Mimus, NONAME und NOOSE an Bedeutung gewonnen. Trellix hat die verschiedenen Versionen der Kuiper-Ransomware diesen Monat untersucht und sie auf einen Bedrohungsakteur namens RobinHood zurückgeführt, der sie erstmals im September 2023 in Untergrundforen beworben hat. NONAME ahmt die Datenleck-Site der LockBit-Gruppe nach und könnte entweder eine weitere Variante von LockBit sein oder durchgesickerte Datenbanken sammeln, die von LockBit im offiziellen Leckportal geteilt wurden.
In einer Untersuchung von Intrinsec wurde die aufstrebende 3AM-Ransomware mit der Royal/BlackSuit-Ransomware in Verbindung gebracht, die wiederum nach der Abschaltung des Conti-Cybercrime-Syndikats im Mai 2022 aufgetaucht war. Die Verbindungen ergeben sich aus einer signifikanten Überschneidung in den Taktiken und Kommunikationskanälen zwischen der 3AM-Ransomware und der „geteilten Infrastruktur des ehemaligen Conti-Ryuk-TrickBot-Netzwerks“.
Des Weiteren wird beobachtet, dass Ransomware-Akteure erneut TeamViewer als Initialzugriffsvektor verwenden, um in Zielumgebungen einzudringen und Verschlüsselungsprogramme basierend auf dem LockBit-Ransomware-Builder zu implementieren.
Trotz der immer neuen und unberechenbaren Natur des Ransomware-Ökosystems gibt es Anzeichen dafür, dass Opfer zunehmend darauf verzichten, Lösegeld zu zahlen. Im vierten Quartal 2023 sank der Anteil der Ransomware-Opfer, die sich für eine Zahlung entschieden haben, auf 29%, verglichen mit 41% im dritten Quartal und 34% im zweiten Quartal. Die durchschnittliche Lösegeldzahlung für diesen Zeitraum sank um 33%, von 850.700 US-Dollar auf 568.705 US-Dollar, während die Median-Lösegeldzahlung mit 200.000 US-Dollar unverändert blieb. Coveware, ein Unternehmen für Ransomware-Verhandlungen, stellt fest, dass die Branche immer klüger wird, was mit einem Lösegeldzahlung erreicht werden kann, was zu besserer Beratung der Opfer und weniger Zahlungen für immaterielle Zusicherungen führt.