Das US-Außenministerium hat eine Belohnung von bis zu 10 Millionen US-Dollar für Informationen über Personen angekündigt, die wichtige Positionen in der Hive-Ransomware-Operation innehaben. Es werden zusätzlich 5 Millionen US-Dollar für Informationen angeboten, die zur Verhaftung und/oder Verurteilung von Personen führen könnten, die „Verschwörungen zur Teilnahme an der Hive-Ransomware-Aktivität planen oder daran beteiligt sind“. Diese Belohnungen kommen etwas mehr als ein Jahr nachdem ein koordinierter Strafverfolgungsversuch die Darknet-Infrastruktur, die mit der Hive-Ransomware-as-a-Service (RaaS) Gang in Verbindung stand, heimlich infiltriert und demontiert hat. Eine Person mit Verdacht auf Verbindungen zu der Gruppe wurde im Dezember 2023 in Paris verhaftet.
Hive, die im Sommer 2021 entstanden ist, hat über 1.500 Opfer in mehr als 80 Ländern ins Visier genommen und illegal etwa 100 Millionen US-Dollar eingenommen. Im November 2023 enthüllte Bitdefender, dass eine neue Ransomware-Gruppe namens Hunters International den Quellcode und die Infrastruktur von Hive übernommen hat, um ihre eigenen Anstrengungen zu starten.
Es gibt einige Hinweise, dass die Hackern von Hunters International wahrscheinlich in Nigeria ansässig sind, insbesondere eine Person namens Olowo Kehinde, wie der Sicherheitsforscher Rakesh Krishnan von Netenrich herausgefunden hat, obwohl es sich auch um eine falsche Identität handeln könnte, die von den Hackern angenommen wurde, um ihre tatsächliche Herkunft zu verbergen.
Das Blockchain-Analyseunternehmen Chainalysis schätzte in seinem letzten Woche veröffentlichten Bericht für das Jahr 2023, dass Ransomware-Gruppen 1,1 Milliarden US-Dollar an erpressten Kryptowährungszahlungen von Opfern erhalten haben, verglichen mit 567 Millionen US-Dollar im Jahr 2022, was nahezu bestätigt, dass Ransomware im Jahr 2023 nach einem relativen Rückgang im Jahr 2022 wieder im Aufwind war.
„2023 markiert ein großes Comeback für Ransomware, mit rekordbrechenden Zahlungen und einer deutlichen Zunahme von Umfang und Komplexität der Angriffe – eine signifikante Umkehrung des Rückgangs in 2022“, heißt es in dem Bericht.
Der Rückgang der Ransomware-Aktivitäten im Jahr 2022 wurde als statistische Ausnahme angesehen, wobei dieser Rückgang dem Russo-ukrainischen Krieg und der Unterbrechung von Hive zugeschrieben wurde. Darüber hinaus stieg die Gesamtzahl der Opfer auf Datenleak-Seiten im Jahr 2023 auf 4.496, verglichen mit 3.048 im Jahr 2021 und 2.670 im Jahr 2022.
Palo Alto Networks Unit 42 nannte in ihrer eigenen Analyse der öffentlichen Liste der Opfer von Ransomware-Banden auf Darkweb-Seiten die Fertigungsindustrie als am stärksten betroffene Branche im Jahr 2023, gefolgt von Berufs- und Rechtsdienstleistungen, Hochtechnologie, Einzelhandel, Bauwesen und Gesundheitswesen.
Obwohl die Strafverfolgungsmaßnahmen Zahlungen in Höhe von ungefähr 130 Millionen US-Dollar an Hive verhinderten, wird gesagt, dass dies auch „die weiteren Aktivitäten der Hive-Filialen beeinflusst hat, was die Anzahl der zusätzlichen Angriffe, die sie durchführen konnten, wahrscheinlich verringert hat“. Insgesamt könnte die Aktion mindestens 210,4 Millionen US-Dollar an Zahlungen vermieden haben.
Zusätzlich zur Eskalation der Häufigkeit, des Umfangs und der Menge der Angriffe gab es im vergangenen Jahr auch einen Anstieg der neuen Akteure und Ableger, was darauf hindeutet, dass das Ransomware-Ökosystem kontinuierlich neue Spieler anzieht, die von hohen Gewinnen und geringeren Einstiegshürden angelockt werden.
Die Verschiebung zum sogenannten „Big Game Hunting“ ist auch eine Folge davon, dass Unternehmen zunehmend auf eine Beilegung der Angriffe verzichten, da die Zahl der Opfer, die sich zur Zahlung entschieden haben, im letzten Quartal 2023 mit 29% einen neuen Tiefstand erreichte, so Daten von Coveware.
Die Ausnutzung von Sicherheitslücken durch Ransomware-Gruppen kann in zwei klare Kategorien eingeteilt werden: Sicherheitslücken, die nur von ein oder zwei Gruppen ausgenutzt wurden, und solche, die von mehreren Bedrohungsakteuren weit verbreitet ausgenutzt wurden.
„Außerdem wurde im letzten Jahr ein Anstieg der Infektionen von DarkGate und PikaBot nach der Zerschlagung des QakBot-Malware-Netzwerks beobachtet, das der bevorzugte Einstiegsweg in Zielnetzwerke für Ransomware-Operationen war“, so Unit 42.
Die kontinuierliche Anpassung, die bei kriminellen Cybercrews beobachtet wird, zeigt sich auch in der Zunahme von Infektionen durch DarkGate und PikaBot nach der Zerschlagung des QakBot-Malware-Netzwerks, das der bevorzugte Eintrittsweg in Zielnetzwerke für Ransomware-Angriffe war.
