Die vier beliebtesten Ransomware-Stämme des Jahres 2020, Maze, Egregor, SunCrypt und Doppelpaymer, haben Verbindungen, die auf dasselbe Ransom as a Service (RaaS)-Netzwerk und seine Partner zurückgehen.
Laut einem neuen Crypto Crime Report von Chainalysis 2021 zeigen die etablierten Verbindungen zwischen den vier Stämmen, dass sie von derselben Personengruppe kontrolliert oder getötet werden.
„Es gibt möglicherweise weniger Cyberkriminelle, die für Lösegeldangriffe verantwortlich sind, als man zunächst denkt, aufgrund der Anzahl der einzelnen Angriffe, der unterschiedlichen Belastungen und der gestohlenen Beträge.“
RaaS ist ein Geschäftsmodell von Lösegeldentwicklern, die verschiedene Arten ihrer Ransomware an Partner vermieten oder verkaufen, die sie wiederum verwenden, um Angriffe auf Einzelpersonen oder Organisationen zu starten.
Cybersicherheitsforscher haben starke Verbindungen zwischen den vier Stämmen identifiziert, die bis 2020 alle relativ aktiv sein werden. Sie wurden verwendet, um verschiedene Unternehmen und Institutionen anzugreifen, darunter Barnes & Noble, LG, Pemex und das University New Jersey Hospital.
„Alle vier verwenden das RaaS-Modell, was bedeutet, dass die Partner die Lösegeldangriffe selbst durchführen und einen Prozentsatz der Gebühr jedes Opfers an die Ersteller und Administratoren der Sorte zurückzahlen.“
Darüber hinaus verwenden alle Stämme dieselbe doppelte Erpressungsmethode, um ihre Opfer zu erpressen, indem sie damit drohen, Daten zurückzuhalten und sie zur weiteren Einschüchterung online zu veröffentlichen.
Ransomware-Stämme sind beteiligt
Der Maze-Stamm verschwand kurz nachdem Egregor im 4. Quartal 2020 aktiv wurde. Seine Administratoren gaben später im November bekannt, dass seine Website wegen geringerer Aktivität geschlossen wurde.
„Einige Cybersicherheitsforscher sehen dies als Beweis dafür, dass Maze und Egregor in irgendeiner Weise miteinander verbunden sind.“
Die Forscher behaupteten sogar, dass Maze-Betreiber Egregor umbenannt oder sich später Betreibern angeschlossen hätten, wobei ein Streit zwischen den beiden Gruppen zu einer Spaltung führte.
„Maze und Egregor teilen einen Großteil des gleichen Codes, den gleichen Einlösungsschein und haben die gleichen Opfer-Zahlungsseiten.“
SunCrypt wurde auch in einige der Labyrinthe verwickelt, unter anderem durch einen privat verbreiteten Bericht einer Threat-Intelligence-Firma, in dem behauptet wird, SunCrypt sei ein Rebranding eines berüchtigten Ransomware-Stammes.
Eine Verbindung zwischen Egragor und Doppelpaymer wurde auch durch eine Lösegeldgebühr von 78,8 BTC für Egregor hergestellt, der verdächtigt wird, die Brieftasche eines Doppelpaymer-Managers zu sein.
Nützliche Informationen für die Strafverfolgung
Chainalysis kommt zu dem Schluss, dass Strafverfolgungsbehörden von diesen Informationen profitieren könnten, um ihre Razzien auszuweiten und sogar Operationen auf bekannten Verbindungslinien bei einer Löschung auszusetzen.
“Die Beweise deuten darauf hin, dass die Welt der Erlösung kleiner ist, als man glauben könnte, aufgrund der Anzahl einzigartiger Stämme, die heute in Betrieb sind.”
Ransomware-Angriffe nahmen bis 2020 um 311 % zu, wobei 350 Millionen US-Dollar von Ransomware-Opfern an Angreifer gezahlt wurden, obwohl kryptobezogene kriminelle Aktivitäten um 83 % zurückgingen.
Leave a Reply