Die vier bekanntesten Ransomware-Stämme des Jahres 2020, Maze, Egregor, SunCrypt und Doppelpaymer, haben Verbindungen, die zu demselben Ransom Network as a Service (RaaS) und Tochterunternehmen führen.
Laut einem neuen Crypto Crime Report 2021 von Chainalysis deuten Verbindungen zwischen den vier Stämmen darauf hin, dass sie oder sind von derselben Personengruppe kontrolliert oder ausgeführt werden.
„Es gibt möglicherweise weniger Cyberkriminelle, die für Lösegeldangriffe verantwortlich sind, als man zunächst annehmen könnte, wenn man die Anzahl der einzelnen Angriffe, die unterschiedlichen Belastungen und die den Opfern gestohlenen Beträge bedenkt.“
RaaS ist ein Geschäftsmodell, das von Lösegeldentwicklern verwendet wird, die verschiedene Stämme ihrer Ransomware an Partner vermieten oder verkaufen, die sie wiederum verwenden, um Einzelpersonen oder Organisationen anzugreifen.
Cybersicherheitsforscher identifizierten starke Verbindungen zwischen den vier Stämmen, die bis 2020 alle relativ aktiv waren. Sie wurden verwendet, um verschiedene Unternehmen und Institutionen anzugreifen, darunter Barnes & Noble, LG, Pemex und das University Hospital New Jersey.
„Alle vier verwenden das RaaS-Modell, was bedeutet, dass Affiliates selbst Lösegeldangriffe durchführen und einen Prozentsatz jeder Opferzahlung an die Ersteller und Administratoren der Spannung zahlen.“
Darüber hinaus haben alle Stämme die gleiche Methode der doppelten Erpressung angewandt, um ihre Opfer zu erpressen, indem sie damit gedroht haben, Daten zu behalten und sie zur zusätzlichen Einschüchterung online zu stellen.
Die Ransomware-Stämme sind miteinander verbunden
Der Maze-Stamm verschwand kurz nachdem Egregor im vierten Quartal 2020 aktiv wurde. Seine Administratoren gaben später im November bekannt, dass seine Website wegen geringerer Aktivität geschlossen wurde.
“Einige Cybersicherheitsforscher sehen dies als Beweis dafür, dass Maze und Egregor in irgendeiner Weise verwandt sind.”
Die Forscher sagten auch, dass die Betreiber von Maze zu Egregor gewechselt oder sich den Betreibern des letzteren angeschlossen hatten, wobei ein Streit zwischen den beiden Gruppen zu einer Spaltung führte.
„Maze und Egregor teilen einen Großteil des gleichen Codes, die gleiche Lösegeldforderung und haben sehr ähnliche Opfer-Zahlungsseiten.“
SunCrypt wurde auch separat mit Maze verknüpft, unter anderem durch einen privaten Verbreitungsbericht eines Threat-Intelligence-Unternehmens, der besagt, dass SunCrypt ein Rebranding einer berühmten Art von Ransomware ist.
Eine Verbindung zwischen Egragor und Doppelpaymer wurde auch durch eine Lösegeldzahlung von 78,8 BTC für Egragor hergestellt, die im Verdacht stand, eine Doppelpaymer-Administrator-Wallet zu sein.
Nützliche Informationen für die Strafverfolgung
Chainalysis kommt zu dem Schluss, dass Strafverfolgungsbehörden diese Informationen nutzen könnten, um ihre Razzien auszuweiten und sogar den Betrieb bekannter Interlinker mit einer einzigen Landung zu unterbrechen.
“Angesichts der Anzahl einzigartiger Stämme, die derzeit in Betrieb sind, deuten Beweise darauf hin, dass die Rettungswelt kleiner ist, als Sie vielleicht zunächst denken.”
Ransomware-Angriffe werden bis 2020 um 311 % zunehmen, wobei 350 Millionen US-Dollar von Ransomware-Opfern an Angreifer gezahlt werden, obwohl kryptobezogene kriminelle Aktivitäten um 83 % zurückgegangen sind.