Zscaler-Forscher über neue Ransomware-Gruppe

Industrial Spyware mischt sich in den Ransomware-Markt ein

9. August 2022, 8:00 Uhr | Anna Molder
Die Gruppe startete ihre Aktivitäten als Marktplatz für Cyberkriminelle.
© Zscaler

Die Sicherheitsforscher des ThreatLabZ-Teams von Zscaler haben eine neue Ransomware-Gruppierung mit Namen Industrial Spyware entdeckt. Erste Spuren dieser Gruppe tauchten im April 2022 auf und seither ist Industrial Spyware mit unterschiedlichen Methoden aufgefallen.

Die Gruppe startete ihre Aktivitäten als Marktplatz für Cyberkriminelle und bot darüber gestohlene Daten großer Unternehmen zum Verkauf an.  Nach den anfänglichen Kampagnen führte die Bedrohungsgruppe ihre eigene Ransomware ein und setze auf Double-Extortion-Angriffe, die Datendiebstahl mit Dateiverschlüsselung kombinierten. Die Gruppe nutzt Loader und Infostealer wie SmokeLoader, GuLoader und Redline Stealer.

Die Ransomware-Familie ist relativ einfach aufgebaut, und Teile des Codes scheinen sich immer noch in der Entwicklung zu befinden. Industrial Spy verwendet nur sehr wenige Verschleierungsmethoden außer dem Aufbau von Strings auf dem Stack zur Runtime. Der Ransomware fehlen auch viele der Funktionen, die in modernen Ransomware-Familien üblich sind (zum Beispiel Anti-Debug, Anti-Sandbox), obwohl sich dies in Zukunft ändern könnte.

Derzeit sind noch nicht viele Industrial-Spy-Ransomware-Samples „in the wild“ beobachtet worden. Allerdings fügt die Gruppe pro Monat zwei neue Organisationen auf ihrem Datenleak-Portal hinzu, die ihren Angriffen zum Opfer gefallen sind. Das erste Opfer auf der Leak-Site hat man am 15.03.2022 aufgeführt. Die Gesamtzahl der Opfer auf dem Portal betrug am 25. Juli 2022 37.

Industrial Spy verkauft hauptsächlich einzelne Dateien anstelle von Dateibündeln in einer Preisspanne von einem Dollar bis zu Zehntausenden von Dollar. Es ist zu vermuten, dass die Gruppe die erbeuteten Dateien überprüft, bevor sie sensible Dateien mit einem hohen Preisschild versieht und den Rest der Dateien mit einem Preisschild von einem bis zwei Dollar verramscht. ThreatLabz hat beobachtet, dass Betriebssystemdateien mit begrenztem Wert wie desktop.ini und thumbs.db für zwei Dollar zum Angebot stehen.

Deepen Desai, CISO und VP of Security Research bei Zscaler kommentiert: „In den letzten Jahren ist die Ransomware-Bedrohung immer gefährlicher geworden. Neue Methoden wie Double Extortion und DDoS-Angriffe machen es Cyberkriminellen leicht, Unternehmen zu sabotieren und deren Ruf nachhaltig zu schädigen. Mit zunehmender Beliebtheit von RaaS wenden Cyberkriminelle doppelte Erpressungsmethoden an, die neben der ungewollten Verschlüsselung sensibler Daten auch die Exfiltration der wichtigsten Dateien beinhalten, um Lösegeld zu erpressen. Selbst wenn die betroffenen Unternehmen in der Lage sind, die Daten aus Backups wiederherzustellen, droht ihnen immer noch die öffentliche Preisgabe ihrer gestohlenen Daten durch die Angreifer, um der Lösegeldforderung Nachdruck zu verleihen.“

Industrial Spy ist ein Neueinsteiger im Ransomware-Ökosystem. Die Malware ist derzeit nicht sehr umfangreich ausgestattet, aber die Dateiverschlüsselung ist funktional, was sie zu einer gefährlichen Bedrohung macht. Dies belege die wachsende Anzahl an Opfern. Auf dem Ransomware-Markt gibt es viele Akteure, die kommen und gehen, und es ist schwierig, die Gruppen zu bestimmen, die sich langfristig durchsetzen werden. Es ist jedoch wahrscheinlich, dass diese Bedrohungsgruppe zumindest in naher Zukunft bestehen bleibt und weitere Ransomware-Updates und Funktionen folgen werden.

Anbieter zum Thema

zu Matchmaker+

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Zscaler GmbH

Weitere Artikel zu Bedrohungsabwehr

Weitere Artikel zu Desko GmbH

Weitere Artikel zu Hisense Germany

Matchmaker+