logo SOS Ransomware
Kontakt 24/7

Herausforderungen durch neue Ransomware-Gruppen: RansomHub im Visier

Die Cyberkriminalität entwickelt sich in einem rasanten Tempo und stellt die Widerstandsfähigkeit der Sicherheitsinfrastrukturen ständig auf die Probe. Zu den neuesten aufkommenden Bedrohungen gehört die Gruppe RansomHub, die durch koordinierte und ausgeklügelte Angriffe schnell an Bekanntheit gewonnen hat. Sie entstand nach dem Zusammenbruch anderer bekannter Gruppen wie Alphv/BlackCat und LockBit und stellt eine neue Generation von Ransomware dar, die nach dem Modell„Ransomware as a Service“ (RaaS) operiert. Dank seiner besonders ausgeklügelten Techniken und Strategien konnte sich RansomHub schnell im Ransomware-Ökosystem etablieren.

Geschichte und Aufstieg

Die Gruppe trat erstmals Anfang 2024 nennenswert in Erscheinung. Wie das Cybersicherheitsunternehmen Forescout in seiner Analyse im Mai dieses Jahres feststellte , kündigte RansomHub sein Partnerprogramm am 2. Februar 2024 an. Die Ankündigung wurde von einem gewissen „Koley“ in das Darkweb-Forum RAMP (Russian Anonymous Market Place) gestellt und lautete wie folgt:

RansomHub ransomware annonce pour l'affiliation
Werbeanzeige für das Partnerprogramm von RansomHub – Quelle Forescout.

„Willkommen bei der Mitgliedschaft in unserem RANSOMHUB-Partnerprogramm.

Wir haben alle Vor- und Nachteile der bisherigen Partnerprogramme berücksichtigt und die nächste Generation von Ransomware entwickelt.

Wir haben festgestellt, dass die Polizei die Konten einiger Affiliates beschlagnahmt oder sie an der Fortsetzung ihrer betrügerischen Aktivitäten gehindert hat, wodurch Sie Ihre Gelder verloren haben. Wir haben eine neue Strategie eingeführt. Sie können Ihre Brieftasche in den Chatroom schicken und den Entschlüsselungscode nach Bestätigung der Zahlung versenden. Sie müssen sich keine Sorgen um die Sicherheit Ihrer Gelder machen.

Unsere feste Provision beträgt 10 % und Sie zahlen uns, wenn Sie das Geld erhalten“.

RansomHub sucht mit seiner Botschaft nach Partnern und bietet ihnen ein Modell an, bei dem die Zahlungen fest geteilt werden. Wenn das Lösegeld gezahlt wird, beträgt die feste Provision von RansomHub 10% und der Rest, also 90%, geht an den Partner. RansomHub hat auch ein eigenes Panel für Datenleck-Websites entwickelt, damit seine Partner die Verhandlungen mit ihren Opfern führen können, und hat für jeden Partner eigene Bedingungen und Regeln aufgestellt. Diese lukrative Rate, die über den üblichen Angeboten liegt, wird wahrscheinlich erfahrene Partner aus anderen Ransomware-Gruppen anziehen und so die Zahl der Angriffe und Opfer im Zusammenhang mit RansomHub erhöhen.

Ransomhub ist in Golang und C++ geschrieben und unterstützt u. a. Windows, Linux und ESXi und gehört damit zu den modernen Ransomware-Programmen. Eine seiner Besonderheiten ist auch sein Zahlungsmodell, das sich von dem von ALPHV unterscheidet und ihm wahrscheinlich die Gunst vieler Affiliates eingebracht hat, die von anderen Programmen enttäuscht waren. Forscher fanden außerdem Ähnlichkeiten im Code mit der Ransomware Knight (früher bekannt als Cyclops), deren Code im Februar 2024 im Dark Web verkauft wurde.

RansomHub ein würdiger Erbe von Alphv/BlackCat und Lockbit?

Diese schnelle Expansion wurde durch das Vakuum erleichtert, das durch den Fall von Alphv/BlackCat und den schweren Schlag gegen Lockbit bei der internationalen Operation Cronos im Februar 2024 entstanden war. Diese schweren Schläge gegen diese prominenten Ransomware-Gruppen haben zweifellos denrasanten Aufstieg von RansomHub ermöglicht.

Ein weiteres auffälliges Element im Aufschwung von RansomHub ist der Zusammenbruch der Alphv/BlackCat-Gruppe, der von einigen Quellen als strategische Gelegenheit zur Gewinnung ehemaliger Mitglieder dargestellt wurde. Im März hatte Alphv bekannt gegeben, dass es sich nach einer Intervention der Strafverfolgungsbehörden plötzlich aufgelöst hatte, was von mehreren Sicherheitsforschern bezweifelt wurde, die darin eher einen „Exit Scam“(Austrittsbetrug) sahen. In Wirklichkeit stellte sich schnell heraus, dass es sich bei der Auflösung nur um eine Täuschung handelte. Die angebliche Beschlagnahmung der Server durch das FBI wurde von den zuständigen Behörden dementiert, was auf einen Exit Scam hindeutete, der von den Betreibern von Alphv/BlackCat inszeniert worden war. Die Bande wäre demnach mit den Zahlungen der Partner verschwunden, darunter ein Betrag von 22 Millionen US-Dollar, der nach dem Angriff auf Change Healthcare ausgezahlt wurde.

Exit Scam

RansomHub konnte mit seinem Modell, Zahlungen direkt an Affiliates zu verteilen, dieses Klima des Misstrauens nutzen, um diese desillusionierten Akteure anzulocken. Diese Umstände begünstigten die Einstellung von erfahrenen Talenten durch RansomHub , die nun von ihren früheren Verpflichtungen befreit waren. Diese Transfers von Mitgliedern ermöglichten es RansomHub nicht nur, sein Aktionsgebiet zu vergrößern, sondern auch seine Methoden zu perfektionieren, indem es sich von den früheren Erfolgen (und Misserfolgen) seiner Vorgänger inspirieren ließ.

Ein erfolgreiches Betriebsmodell: RaaS

RansomHub zeichnet sich durch die Übernahme des RaaS-Modells (Ransomware-as-a-Service) aus, das es den Affiliates ermöglicht, ihre Infrastruktur zu nutzen, um Angriffe auf verschiedene Ziele durchzuführen. Dieses Modell bietet eine höhere Flexibilität und Effizienz, bei der jeder Affiliate seine Angriffsmethoden individuell anpassen kann, wodurch die Aufgabe der Verteidiger deutlich komplexer wird.

Der rasante Erfolg von RansomHub beruht zum Teil auf der schnellen Integration von Affiliates aus anderen aufgelösten Gruppen wieAlphv/BlackCat und LockBit. Diese Affiliates bringen nicht nur technische Fähigkeiten, sondern auch wertvolle Felderfahrung mit. Andererseits verursacht dieser massive Transfer eine doppelte Herausforderung: die Ziele zu diversifizieren und gleichzeitig ihre bewährten Sicherheitssysteme beizubehalten.

Ein strategischer Schwerpunkt: Diversifizierte Zielbranchen.

Eine Besonderheit von RansomHub ist die Vielfalt der Zielbranchen. Zu ihren Opfern zählen IT-Unternehmen, Finanzinstitute, Gesundheitsdienstleister, der öffentliche Dienst und die verarbeitende Industrie. Diese Diversifizierung erschwert den Versuch einer einheitlichen Kategorisierung und erfordert je nach spezifischem Kontext angepasste Reaktionen.

RansomHub hat sich durch seine Fähigkeit hervorgetan, kritische Sektoren wie Wasser, Notdienste, Transport und Finanzen anzugreifen, wobei die Opfer von Kreditgenossenschaften wie Patelco über multinationale Unternehmen wie den Ölriesen Halliburton bis hin zum Auktionshaus Christie’s und zuletzt Kawasaki Europe reichten.

RansomHub attaques par régions
RansomHub-Angriffe nach Regionen – Quelle: ZeroFox Intelligence

Dieses Diversifizierungsmuster, gepaart mit einer starken Präsenz in Europa (34 % der Angriffe) und einer zunehmenden Expansion in Nordamerika, spiegelt eine strategische Bewegung wider, die darauf abzielt, die Lösegeldmöglichkeiten zu maximieren und gleichzeitig die Risiken zu streuen. Dank dieses globalisierten und branchenübergreifenden Ansatzes konnte sich RansomHub schnell als fester Bestandteil der Ransomware-Landschaft etablieren. Mit bereits über 250 Angriffenschätzt dasSynetis CERT, dass RansomHub aufgrund seiner Effizienz und seines schnellen Wachstums bis 2024 zu einem wichtigen Akteur in der Welt der Ransomware werden könnte.

Angriffstechniken: Effektive Ausnutzung von Schwachstellen

RansomHub ist technischbesonders erfinderisch und kombiniert klassische Methoden des Social Engineering wie Phishing mit ausgefeilteren Techniken. In ihrer jüngsten Studie erklärten die Cybersicherheitsforscher von Trend Micro: „RansomHub verschafft sich in der Regel einen ersten Zugang, indem er Systeme, die mit dem Internet in Kontakt stehen, und Endpunkte der Benutzer mit Methoden wie Phishing-E-Mails, Ausnutzung bekannter Schwachstellen und Passwort-Spraying-Angriffen ins Visier nimmt.“

Der Angriff einer Gruppe wie RansomHub beruht auf einer methodischen Strategie, die hier durch ihre Cyber Kill Chain dargestellt wird. Jede Phase des Angriffs ist darauf ausgelegt, Abwehrmaßnahmen zu umgehen und sich die maximale Kontrolle über die kompromittierten Systeme zu sichern.

Cyber Kill Chain RansomHub
Cyber Kill Chain RansomHub – Quelle Cert Synetis.

Ransomhub nutzt auch kritische Schwachstellen in weit verbreiteter Software und Diensten wie Citrix ADC (CVE-2023-3519) und Fortinet FortiOS (CVE-2023-27997) aus. Diese Schwachstellen ermöglichen einen anfänglichen Zugriff auf Zielsysteme, bevor Tools wie Mimikatz zur Eskalation von Privilegien eingesetzt werden können. Die Verwendung von Proof-of-Concept-Exploits macht ihre Angriffe noch schwieriger zu verhindern und zu entdecken.

Ihre Verwendung bereits existierender Tools, die häufig zweckentfremdet werden, zeugt davon. Ein prominentes Beispiel ist die Verwendung von TDSSKiller, einem legitimen, von Kaspersky entwickelten Tool, das komplexe Rootkits und Bootkits aufspüren und entfernen soll. Dieses wird von RansomHub jedoch in ein Instrument zur Deaktivierung von EDR-Diensten (Endpoint Detection and Response) umgewandelt.

Genau diese raffinierte Manipulation legitimer Lösungen macht ihre Erkennung so schwierig. Die Strategie besteht darin, TDSSKiller über Kommandozeilenskripte oder Batchdateien auszuführen und so ihre wahren Absichten zu verschleiern, bevor das Tool LaZagne gestartet wird, um Anmeldeinformationen aus verschiedenen Anwendungsdatenbanken zu sammeln. Dieses Verfahren ermöglicht es RansomHub dann, Seitwärtsbewegungen innerhalb der kompromittierten Netzwerke durchzuführen.

RansomHub ransomware MITRE
RansomHub’s MITRE ATT&CK ® Enterprise matrix mapping -Quelle IB Group.

Die Ausnutzung von TDSSKiller

Kaspersky hat TDSSKiller entwickelt, um Systeme auf schwer zu entdeckende Arten von Malware zu untersuchen. Indem die von EDR-Agenten aktivierte Abwehr umgangen wird, führt die von RansomHub modifizierte Version jedoch schädliche Aktionen aus, ohne Verdacht zu erregen. Dieses Verfahren umfasst erweiterte Funktionen wie das Löschen von Logs, die während der Extraktion sensibler Daten erstellt werden, und behindert so die Überwachungs- und Reaktionsbemühungen von Cybersicherheitsteams.

Was die Malware LaZagne betrifft, so ist sie zwar unter normalen Umständen leicht zu erkennen, wird aber unauffälliger, wenn ihr ein erfolgreicher Angriff auf die Schutzvorrichtungen über TDSSKiller vorausgeht. Mit LaZagne können Angreifer Anmeldeinformationen aus verschiedenen Anwendungen wie Browsern, E-Mail-Clients und Datenbanken abrufen und so ihre Fähigkeit, sich seitwärts durch das Netzwerk zu bewegen, verstärken. So verschaffen sich Hacker einen Vorsprung, indem sie Schutzbarrieren aushebeln, bevor sie mit dem Datendiebstahl fortfahren.

Chaîne infection RansomHub avec EDRKillShifter
RansomHub-Infektionskette mit EDRKillShifter – Quelle: Trend Micro.

Das EDRKillShifter-Tool funktioniert wie eine ausführbare „Lader“-Datei und dient als Liefermechanismus für einen legitimen Fahrer, der missbraucht werden kann, um Anwendungen im Zusammenhang mit Antivirenlösungen zu beenden. Diese Art von Tool wird oft als „Bring Your Own Vulnerable Driver “ (BYOVD) bezeichnet. Der Prozess der Ausführung dieses Ladegeräts besteht aus drei Hauptschritten“, heißt es in der am 20. September 2024 geposteten Studie von Trend Micro.

Die wichtigsten Schwachstellen, die von RansomHub ausgenutzt werden.

RansomHub ist dafür bekannt, sowohl bekannte Schwachstellen in weit verbreiteter Software als auch Zero-Day-Schwachstellen auszunutzen. Im Folgenden sind einige der wichtigsten Schwachstellen aufgeführt, die von dieser Gruppe ausgenutzt werden:

  • CVE-2023-27350: Kritische Sicherheitslücke in Microsoft Exchange, die Remotecodeausführung ermöglicht.
  • CVE-2022-1388: Sicherheitslücke in F5 BIG-IP, die es entfernten Angreifern ermöglicht, beliebige Befehle auszuführen.
  • CVE-2019-2725: Sicherheitsanfälligkeit in Oracle WebLogic, die Angreifern Zugriff ohne Authentifizierung ermöglicht.
  • CVE-2020-1472 (Zerologon): Kritische Sicherheitslücke im Netlogon-Protokoll von Microsoft, die es Angreifern ermöglicht, die Kontrolle über einen Computer, einschließlich Domänencontrollern, zu übernehmen und ohne Authentifizierung hohe Berechtigungen zu erlangen.
  • CVE-2023-3519: Sicherheitslücke in Citrix ADC und Gateway, die durch eine fehlerhafte Eingabevalidierung entsteht und häufig für Remotecodeausführung (RCE) ausgenutzt wird.
  • CVE-2023-27997: Pufferüberlauf im SSL-VPN-Client von Fortinet, der es nicht authentifizierten Angreifern ermöglicht, beliebigen Code auf anfälligen Geräten auszuführen.
  • CVE-2023-46604: Sicherheitsanfälligkeit durch Befehlsinjektion, die bestimmte Systeme, insbesondere industrielle Steuerungssysteme, betrifft und die Ausführung von Befehlen aus der Ferne ermöglichen kann.
  • CVE-2023-22515: Authentifizierungsumgehung in Confluence von Atlassian, die unbefugten Benutzern den Zugriff auf sensible Daten oder Systeme ermöglicht.
  • CVE-2023-46747: Sicherheitsanfälligkeit, die Remotecodeausführung in mehreren Plattformen ermöglicht und über unsichere Netzwerkdienste ausgenutzt werden kann.
  • CVE-2023-48788: Sicherheitslücke in einigen Softwareanwendungen, die bei Ausnutzung zu Privilegienausweitung oder willkürlicher Codeausführung führen kann.
  • CVE-2017-0144 (EternalBlue): Sicherheitsanfälligkeit im Windows SMB-Protokoll, die von der WannaCry-Ransomware ausgenutzt wird und Remotecodeausführung über speziell gestaltete SMB-Pakete ermöglicht.
  • CVE-2020-0787: Lokale Sicherheitslücke in Windows, die über eine fehlerhafte Verwaltung des virtuellen Speichers eine Erhöhung von Berechtigungen ermöglicht.

RansomHub bevorzugt diese Schwachstellen und zielt häufig auf Organisationen ab, die die Installation kritischer Updates verzögern. Ein rigoroses Schwachstellenmanagement ist daher unerlässlich, um sich nicht nur vor RansomHub, sondern vor allen Ransomware-Gruppen zu schützen.

Empfohlene Maßnahmen zur Schadensbegrenzung

Sicherheitsbehörden empfehlen dringend die Umsetzung proaktiver Maßnahmen, um die potenziellen Auswirkungen von RansomHub-Angriffen abzuschwächen. Zu diesen Maßnahmen gehören das regelmäßige Patchen bekannter ausnutzbarer Schwachstellen und die verstärkte Nutzung der Zwei-Faktor-Authentifizierung als wesentliche Verteidigungslinien.

Außerdem sollten Sie sich nicht auf Lösegeldzahlungen einlassen, da diese keine Garantie für eine vollständige Wiederherstellung der Dateien bieten und Angreifer dazu ermutigen können, weitere Organisationen ins Visier zu nehmen. Wachsamkeit und die ständige Anpassung der Sicherheitsstrategien sind die besten Waffen gegen diese sich entwickelnde Bedrohung.

Das technologische und sicherheitstechnische Umfeld entwickelt sich ständig weiter, und in dieser Hinsicht wird das Verständnis der Taktiken, die von Gruppen wie RansomHub verwendet werden, von entscheidender Bedeutung. Der Schutz sensibler Informationen erfordert eine kollektive Mobilisierung und eine ständige Anpassung der Verteidigungsprotokolle angesichts immer einfallsreicherer und entschlossenerer Gegner.

Referenzen und Analysen (auf Englisch) :

Analysis: A new ransomware group emerges from the Change Healthcare cyber attack (Analyse von Forescout Research – Vedere Labs).

RansomHub Draws in Affiliates with Multi-OS Capability and High Commission Rates (Bericht pdf Recorded Futur)

RansomHub ransomware-as-a-service ( group-ib Studie)

Threat Profile RansomHub ransomware (Blackpoint-Bericht zum Herunterladen)

RansomHub: Das neue Kind auf dem Block zu wissen (Cyberint)

RansomHub: New Ransomware has Origins in Older Knight (Threat Hunter TeamSymantec)

RansomHub Ransomware missbraucht Kaspersky TDSSKiller, um EDR-Software zu deaktivieren (Bleeping Computer)

How Ransomhub Ransomware Uses EDRKillShifter to Disable EDR and Antivirus Protections (Trend Micro).

RansomHub’s Rise to Power: The New Leader in Ransomware-as-a-Service (RansomHub’s Rise to Power: The New Leader in Ransomware-as-a-Service)

#StopRansomware: RansomHub Ransomware (CISA)

Picture of Florent Chassignol
Florent Chassignol

Partager cet article

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2025 SOS RANSOMWARE & RECOVEO TECHNOLOGY GROUP | Made by Tell It