Die vier bekanntesten Ransomware-Stämme des Jahres 2020, Maze, Egregor, SunCrypt und Doppelpaymer, haben Verbindungen, die auf dasselbe Ransom as a Service (RaaS)-Netzwerk und seine Partner zurückführen.
Laut einem neuen Krypto-Kriminalitätsbericht von Chainalysis 2021 deuten die Verbindungen zwischen den vier Stämmen darauf hin, dass sie beides sind von derselben Personengruppe kontrolliert oder ausgeführt werden.
„Angesichts der Anzahl der einzelnen Angriffe, der unterschiedlichen Belastungen und der den Opfern gestohlenen Menge sind möglicherweise weniger Cyberkriminelle für Ransomware-Angriffe verantwortlich als ursprünglich angenommen.“
RaaS ist ein Geschäftsmodell, das von Ransomware-Entwicklern entwickelt wurde, die verschiedene Arten ihrer Ransomware an verbundene Unternehmen vermieten oder verkaufen, die sie wiederum verwenden, um Angriffe auf Einzelpersonen oder Organisationen durchzuführen.
Cybersicherheitsforscher haben starke Verbindungen zwischen den vier Stämmen identifiziert, die alle im Jahr 2020 relativ aktiv waren. Sie wurden verwendet, um verschiedene Unternehmen und Institutionen anzugreifen, darunter Barnes & Noble, LG, Pemex und das University Hospital New Jersey.
„Alle vier verwenden das RaaS-Modell, was bedeutet, dass Affiliates die Ransomware-Angriffe selbst durchführen und einen Prozentsatz der Zahlung jedes Opfers an die Ersteller und Administratoren des Stubs zahlen.“
Darüber hinaus haben alle Stämme die gleiche Methode der doppelten Erpressung angewandt, um ihre Opfer zu erpressen, damit sie damit drohen, Daten zurückzuhalten und sie zur weiteren Einschüchterung online zu stellen.
Ransomware-Stämme sind verlinkt
Der Maze-Stamm verschwand kurz nachdem Egregor im vierten Quartal 2020 aktiv wurde. Seine Administratoren gaben dann im November bekannt, dass seine Website wegen geringerer Aktivität geschlossen werde.
“Einige Cybersicherheitsforscher sehen dies als Beweis dafür, dass Maze und Egregor irgendwie verwandt sind.”
Die Forscher behaupteten weiter, dass die Maze-Betreiber entweder ihren Namen in Egregor geändert oder sich den Betreibern des letzteren angeschlossen hätten, wobei ein Streit zwischen den beiden Gruppen zu einer Spaltung führte.
„Maze und Egregor teilen einen Großteil des gleichen Codes, die gleiche Lösegeldforderung und haben sehr ähnliche Opfer-Zahlungsseiten.“
SunCrypt wurde auch individuell mit Maze in Verbindung gebracht, unter anderem durch einen privat veröffentlichten Bericht einer Threat-Intelligence-Firma, der besagt, dass SunCrypt ein Re-Image eines bekannten Ransomware-Stammes ist.
Eine Verbindung zwischen Egregor und Doppelpaymer wurde auch durch eine Lösegeldzahlung von 78,8 BTC für Egregor hergestellt, die im Verdacht stand, ein Administrator-Wallet von Doppelpaymer zu sein.
Nützliche Informationen für die Strafverfolgung
Chainalysis kommt zu dem Schluss, dass die Strafverfolgungsbehörden von diesen Informationen profitieren könnten, um ihre Razzien auszuweiten und sogar den Betrieb bekannter, miteinander verbundener Stämme mit einer einzigen Deaktivierung einzustellen.
„Es gibt Hinweise darauf, dass die Ransomware-Welt angesichts der Anzahl einzigartiger Stämme, die derzeit in Betrieb sind, kleiner ist als ursprünglich angenommen.“
Ransomware-Angriffe nahmen im Jahr 2020 um 311 % zu, wobei 350 Millionen US-Dollar von Ransomware-Opfern an Angreifer gezahlt wurden, trotz eines Rückgangs der kryptobezogenen kriminellen Aktivitäten um 83 %.