Ransomware-Analyse von Palo Alto Networks

Das steckt hinter Bluesky und Tropical Scorpius

Uhr
von René Jaun und cka

Eine neue Ransomware namens Bluesky versucht, Cyberabwehrmassnahmen mit neuen Tricks zu überlisten. Dagegen ist die Cuba Ransomware etwas älter, wird jedoch nach wie vor erfolgreich eingesetzt.

(Source: peshkov/iStock.com)
(Source: peshkov/iStock.com)

Ransomware ist nicht gleich Ransomware. Die Welt der erpresserischen Schädlinge ist ständig in Bewegung. Der kalifornische Anbieter von Cybersecurity-Lösungen Palo Alto Networks stellt auf seinem Blog zwei aktuelle Entwicklungen vor.

Bei Bluesky handelt es sich demnach um eine neue Ransomware-Familie, die mithilfe moderner Technologie versucht, Abwehrmassnahmen von Windows-Systemen zu umgehen. Konkret sind einige der zu Bluesky gehörenden Scripts verschlüsselt oder codiert, schreibt Palo Alto Networks. Ausserdem infiziert die Ransomware Systeme in mehreren Schritten, wobei sie den Code für den anstehenden Schritt jeweils nachlädt.

Das Verschlüsseln der Dateien erledigt Bluesky vergleichsweise schnell. Laut Palo Alto Networks liegt dies daran, dass die Schadsoftware Multithreading einsetzt. Um die Arbeit von Sicherheitsforschern zu erschweren, verbauten die Kriminellen hinter Bluesky Verschleierungstechniken wie zudem API-Hashing in den Schädling.

Während Bluesky noch neu ist, fand Palo Alto Networks Verbindungen zu durchaus bekannten Akteuren aus der Welt der Cyberkriminalität. Man habe Code-Fingerprints von Bluesky-Ransomwaresamples gefunden, die mit der Conti-Ransomware-Gruppe in Verbindung gebracht werden können. Bluesky ähnelt ausserdem stark der Ransomware Babuk, wie das Unternehmen schreibt. Übrigens haben die USA im August ein Kopfgeld für fünf hochrangige Mitglieder der Ransomware-Gruppe Conti ausgesetzt. Mehr dazu erfahren Sie hier.

Nicht neu ist eine Ransomware namens Cuba, mit der sich Palo Alto Networks in einem weiteren Blogbeitrag befasst. Demnach tauchte der Schädling erstmals Ende 2019 auf, doch die Kriminellen hinter der Ransomware - eine Gruppe namens Tropical Scorpius - passten ihre Erpressungstaktik über die Jahre an. So unterhält die Gruppe neuerdings eine Seite im Darknet, auf der sie Daten jener Unternehmen anbietet, die nicht auf ihre Erpressungsversuche eingegangen sind. Diese Daten biete Tropical Scorpius teils kostenlos, teils gegen Bezahlung an gemäss Palo Alto Networks. Ausserdem bestehe eine Verbindung zwischen "Industrial Spy", einem auf den Handel mit gestohlenen Daten spezialisierten Darkweb-Marktplatz und der Hackergruppe.

Unter Berufung auf FBI-Angaben schreibt Palo Alto Networks weiter, dass die Hackergruppe hinter Cuba bislang mindestens 43,9 Millionen US-Dollar durch Lösegeldzahlungen eingenommen und mindestens 74 Millionen US-Dollar gefordert habe.

Wie sehr sich die Ransomware-Landschaft verändert, zeigt auch der Cisco Threat Assessment Report. Dessen Autoren schrieben im Mai dieses Jahres, dass sie keine Ransomware-Familie mehr als einmal beobachtet haben und sprechen von einem Trend der Heterogenisierung von Ransomware-Angreifern, wie Sie hier lesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_264583