Cyber-Gang holt sich Lösegeld in Millionenhöhe
Laut einem Bericht von Zscaler ThreatLabz zahlte ein Fortune 50-Unternehmen der Dark Angels Ransomware-Bande ein rekordverdächtiges Lösegeld von 75 Mio. Dollar.
Ein Unternehmen aus den Top 50 der «Fortune»-Liste – einer Liste der umsatzstärksten Unternehmen weltweit – hat einem Bericht von Zscaler Threat-Labz zufolge ein nie dagewesenes Lösegeld in Höhe von 75 Millionen Dollar gezahlt (rund 66 Millionen Schweizer Franken). Diese Summe soll an eine Ransomware-Gruppe namens «Dark Angels» gegangen sein.
Zscaler ist ein deutsches Unternehmen für Cybersecurity. Das Unternehmen nutzt die grösste Security Cloud der Welt, um globale Unternehmen abzusichern.
In seinem Ransomware Report 2024 berichtet Zscaler: «Anfang 2024 deckte Threat-Labz einen Fall auf, bei dem Dark Angels eine Zahlung von 75 Millionen Dollar erhielt – mehr als jeder bisher öffentlich bekannte Betrag. Ein Erfolg, der sicherlich das Interesse anderer Angreifer wecken wird, die versuchen werden, diesen Erfolg durch Übernahme ihrer Schlüsseltaktiken zu replizieren.»
Wer hat das Lösegeld überwiesen?
Diese rekordverdächtige Zahlung wurde zusätzlich durch das Crypto-Intelligence-Unternehmen Chainalysis bestätigt. Welcher Konzern dieses enorme Lösegeld bezahlte, das behielt Zscaler zwar für sich.
Nur so viel wurde verraten: Bei dem Unternehmen handle es sich um einen Akteur aus der Fortune-50-Liste. Ein Blick auf diese Liste wiederum rückt Cencora in den Fokus, einen Arzneimittelhersteller aus den USA.
Im Februar dieses Jahres war Cencora Opfer eines Cyber-Angriffs geworden. Keine Ransomware-Gruppe reklamierte Verantwortung für diesen Angriff – und genau das könnte darauf hindeuten, dass es tatsächlich zu einer Lösegeldzahlung kam.
Wer sind die Dark Angels?
Die Ransomware-Hacker Dark Angels sind seit gut zwei Jahren im Web aktiv und nehmen Unternehmen weltweit ins Visier. Wie bei den meisten von Menschen betriebenen Ransomware-Banden dringen die Betreiber der Dark Angels in Unternehmensnetzwerke ein und bewegen sich dort seitwärts, bis sie schliesslich administrativen Zugang erlangen.
Dabei stehlen sie auch Daten von kompromittierten Servern – was später als zusätzlicher Hebel bei Lösegeldforderungen genutzt wird.
Sobald die Bedrohungsakteure Zugriff auf den Windows-Domänencontroller haben, setzen sie ihre spezifische Ransomware ein. Alle Geräte im Netzwerk werden verschlüsselt und erst dann wieder freigegeben, wenn die eingeforderte Geldforderung gezahlt wurde.
Hochwertige Unternehmen gezielt ins Visier genommen
Die Akteure betreiben auch eine Datenleckseite namens «Dunghill Leaks», mit deren Hilfe sie ihre Opfer erpressen und drohen, Daten zu leaken, falls kein Lösegeld gezahlt wird.
Angaben von Zscaler Threat-Labz zufolge setzen die Dark Angels ausserdem die «Big Game Hunting»-Strategie ein.
Anstatt viele Unternehmen gleichzeitig anzugreifen und auf zwar kleinere, aber mengenmässig viele Lösegeldzahlungen zu setzen, nehmen die Hacker gezielt wenige, jedoch hochwertige Unternehmen ins Visier. Das Kalkül: auf diesem Weg an extrem hohe Lösegeldzahlungen zu kommen.
Der neue Trend unter Ransomware-Banden
Diese Strategie steht laut Zscaler im krassen Gegensatz zu den meisten Ransomware-Gruppen, die ihre Opfer willkürlich auswählen und den Grossteil des Angriffs an Netzwerke von Erstzugriffsvermittlern und Penetrationstestteams auslagern.
Nach Angaben von Chainalysis ist die Taktik des «Big Game Huntings» in den letzten Jahren zum dominanten Trend bei zahlreichen Ransomware-Banden geworden.
