Neue Gruppe startet Aktivitäten

Nachfolger der Hive-Ransomware-Gang

Eine Analyse der Ransomware durch die Bitdefender Labs bestätigt das Statement der neu auftretende Gruppe Hunters International, die sich selber bereits als Nachfolger der Hive-Betreiber erklärt hat, und gibt Hinweise, wieweit Entwickler erpresserischer Attacken ständig ihre Malware-Tools optimieren.

Bild: BitDefender GmbH

Hunters International steht am Anfang seiner Aktivitäten mit ersten Opfern in Deutschland, Großbritannien, den Vereinigten Staaten von Amerika und Namibia. Die Hive-Gruppe war im Januar 2023 als Ergebnis einer konzertierten Aktion des FBI, des BKA, des Polizeipräsidiums Reutlingen und niederländischer Behörden enttarnt worden. Zu den Opfern von Hive gehörten 1.500 Krankenhäuser, Schulbehörden, Finanzdienstleister und andere Organisationen, deren Informationen die Angreifer offenlegten. Als Folge der sieben Monate dauernden Ermittlungen wurde die Webseite von Hive abgeschaltet. 300 aktuelle Opfer erhielten einen Entschlüsselungs-Key, was diesen Lösegeldzahlungen in Höhe von 130 Millionen Dollar ersparte. Wie so häufig, kam es zu keinen Verhaftungen, aber die Ermittler legten die Infrastruktur der Gruppe offen. Zu häufig agieren die Hintermänner von Ländern aus, die mit anderen Ermittlungsbehörden nicht kooperieren.

Die Bitdefender Labs liefern nun in einer neuen Analyse zur neuen Ransomware-as-a-Service-Gruppe Ergebnisse, die die Selbstaussage der Hunter-International-Betreiber, sie seien eine Neuauflage von Hive, bestätigen, da schon von Sicherheitsforschern wie Rivitna2 oder BushidoToken Überlappungen im Code gefunden wurden. Hunter International ist laut eigener Aussage eine unabhängige Gruppe, die Quellcode und Infrastruktur von Hive käuflich erworben hat. In ihrer Kommunikation positionieren sie sich als Weiterentwickler und Verbesserer des Codes. Ransomware-Akteure müssen sich nicht nur gegenüber Opfern, sondern auch gegenüber der Konkurrenz und den Kunden der Ransomware-as-a-Service-Schattenwirtschaft positionieren. Die Analysen bestätigen ebenso die Selbstaussage von Hunters International, dass ihr Hauptaugenmerk darauf liegt, Daten offenzulegen. Verschlüsselt wurden Daten bisher in keinem Fall. Die Code-Analyse zeigt auch, dass die Entwickler bei Hunters International den Code vereinfacht haben. Der Code besteht aus weniger Kommandozeilen, der Speicherprozess der Verschlüsselungs-Keys ist einfacher gestaltet. Nicht relevante Dateinamen, Dateierweiterungen oder Directories werden nicht verschlüsselt. Zudem greift die Ransomware gezielt Backup- und Wiederherstellungsfunktionalitäten an. Ziel ist das Deaktivieren von Backups und das Stoppen einer Recovery.

Bitdefender empfiehlt Unternehmen dringend einen Schutz gegen Ransomware sowie einen Maßnahmenkatalog zur sicheren Abwehr und zur Wiederherstellung von Daten nach einem erfolgten Angriff. Ebenso wichtig ist es, Backups sicherzustellen – auch gegen Attacken bösartiger Angreifer mit erweiterten Privilegien. Ein Offline-Backup spielt weiterhin eine zentrale Rolle. Außerdem sollten die Verantwortlichen die Sicherheitskontrollen auf ihren praktischen Wert regelmäßig bewerten. Die Bitdefender-Lösungen erkennen die neue Ransomware-Familie als Trojan.Ransom.Hunters.

Das könnte Sie auch interessieren:

44% der Cyberangriffe erfolgreich
Studie zur Abwehrmechanismen deutscher Unternehmen

Tenable hat im Zuge einer Studie herausgefunden, dass 44% der Cyberangriffe, denen deutsche Unternehmen in den vergangenen zwei Jahren ausgesetzt waren, erfolgreich verliefen. Sicherheitsteams seien daher gezwungen, Arbeitszeit und Maßnahmen auf eine reaktive Eindämmung von Cyberangriffen zu fokussieren, anstatt diese schon im Vorfeld zu verhindern.‣ weiterlesen

IT-Sicherheit für industrielle Automatisierungssysteme
Entwicklungsprozess zertifiziert

Der Mannheimer Automatisierungsspezialist Pepperl+Fuchs ist jetzt entsprechend IEC62443-4-1 zertifiziert. Im Rahmen einer Übergabefeierlichkeit erhielten die Experten für industrielle Sensorik und elektrischen Explosionsschutz auf der Fachmesse SPS in Nürnberg aus den Händen des prüfenden TÜV Süd die Zertifizierungsurkunde.‣ weiterlesen

Auf dem Prüfstand
ChatGPTs Potenzial bei der Malware-Erstellung

Trend Micro hat die von OpenAI implementierten Sicherheitsfilter gegen schädliche Codegenerierung zur Entwicklung von Malware mit ChatGPT untersucht. Getestet wurden die Fähigkeiten von ChatGPT 3.5, automatisch und ohne menschliche Interaktion gebrauchsfertige Malware zu generieren.‣ weiterlesen

Hürden aufbauen, Faulheit ausnutzen
Jahresrückblick auf Cyberkriminalität

Ein Statement von Chester Wisniewski, Director, Global Field CTO bei Sophos, zur Cyberkriminalität im Jahr 2023.‣ weiterlesen

Gesetz zu künstlicher Intelligenz
EU einigt sich auf AI Act

Die europäischen Gesetzgeber, das Europäische Parlament und der Rat der EU haben sich auf das Gesetz über die künstliche Intelligenz geeinigt. „Künstliche Intelligenz verändert schon heute unseren Alltag. Und das ist erst der Anfang. Klug und breit eingesetzt, verspricht KI enorme Vorteile für unsere Wirtschaft und Gesellschaft. Daher begrüße ich die heutige politische Einigung des Europäischen Parlaments und des Rates über den Rechtsakt zur Künstlichen Intelligenz sehr“, sagte Ursula von der Leyen, Präsidentin der Europäischen Kommission.‣ weiterlesen

Electronic Data Interchange aus der Cloud
EDI-Onboarding in wenigen Tagen

Automobilzulieferer können neue Partner kaum lange warten lassen, bis die EDI-Verbindung steht und das Geschäft losgehen kann. Daher hat der Magnetventil-Spezialist Rapa die eigene EDI-Systemlandschaft von Aimtec gründlich modernisieren lassen. Heute dauert das Onboarding neuer Partner nur ein paar Tage. ‣ weiterlesen

Schulung, virtuelle Fertigung, Echtzeit-Simulation
Ein zweites Leben für Simulationsmodelle

Die Virtuelle Inbetriebnahme (VIBN) hilft, Steuerungssoftware funktionstechnisch abzusichern. Etwaige Anwendungen beschränken sich jedoch oft auf den Zeitraum vor dem Produktionsstart. Wie die Modelle der VIBN weiterverwendet werden können, beleuchtet dieser Artikel. ‣ weiterlesen

Customer Experience modellieren
Mit Produktnutzungsdaten zu neuen Geschäftsmodellen

Die IT-Systeme sollen Transparenz und Synergien bei Produkt- und Kundenlebenszyklen schaffen, um eine zukunftsweisende Produktion als Werttreiber zu etablieren. Dazu tragen das Customer Relationship Management und Produktnutzungsdaten bei. ‣ weiterlesen

Bitkom zum EU AI Act
„Ein regulatorischer Klotz am Bein“

Nach langen Verhandlungen haben sich Europäisches Parlament, der Rat der Europäischen Union und die Europäische Kommission auf einen Kompromiss zum EU AI Act geeinigt. Dieser muss nun noch formell beschlossen werden. Nach Ansicht Branchenverbands Bitkom schießt der Kompromiss jedoch über das Ziel hinaus.‣ weiterlesen

Fertigungsindustrie und kritische Infrastrukturen betroffen
Fehlendes Budget führt zu Cybersicherheitsvorfällen

Ein nicht unerheblicher Teil der Cybersicherheitsvorfälle in Deutschland (18%) sind auf fehlende Cybersicherheitsinvestitionen zurückzuführen, wie eine aktuelle Kaspersky-Umfrage zeigt. Dennoch hält hierzulande die große Mehrheit (79%) das vorhandene Etat für ausreichend. Im Europa-Vergleich wird deutlich, dass vor allem die Fertigungsindustrie und kritische Infrastrukturen deswegen mit Sicherheitsvorfällen zu kämpfen haben.‣ weiterlesen

Verwaltung einer Distributed Multicloud
Cloud Services am Würfelmodell analysieren

Analytik-Dashboards, Datenplattformen, IoT-Hubs, Machine-Learning-Services und natürlich Systeme für PLM, ERP und MES – fast jede Software für Produzenten lässt sich heute aus der Cloud beziehen. Die so entstehenden Distributed Multiclouds lassen sich anschaulich in einem Würfel-Modell analysieren. ‣ weiterlesen