Hochkarätige Operationen zur Zerschlagung von Ransomware-Gruppen mit bekannten Markennamen haben begonnen, Auswirkungen zu zeigen, indem sie Zwietracht unter Hackern säen und bedeutende Veränderungen im Cyber-Untergrund verursachen. Die US-Regierung und die Europäische Union haben ihre Bemühungen verstärkt, in den letzten Monaten Ransomware-as-a-Service (RaaS)-Operationen zu stören, insbesondere mit koordinierten Aktionen gegen die berüchtigten LockBit und ALPHV/BlackCat Gruppen. Die Polizei hat Drahtzieher identifiziert, bösartige Infrastruktur und Daten beschlagnahmt – darunter Informationen über Partner- und teilweise sogar Gegner mit Botschaften auf deren Leckseiten verärgert.
Obwohl gut gemeint, erhalten diese Missionen Kritik, wenn Tage oder Wochen nach dem angeblichen Untergang solch großer, diffuser Gruppen Überreste auftauchen. Immerhin, wenn die Bedrohungsakteure nicht beseitigt werden, womit hat das Ganze dann einen Sinn? Ein neuer Bericht von GuidePoint Security über den aktuellen Stand des Ransomware-Ökosystems liefert diese Antwort. Dank des Dramas, das die bekannten RaaS-Gruppen umgibt, haben sich Partner – die Hacker, die tatsächlich im Auftrag solcher Gruppen Angriffe durchführen – zunehmend von ihnen abgewandt, hin zu weniger bekannten RaaS-Neulingen, die das bieten konnten, was sie nicht konnten: Vertrauen.
Während das Vertrauen in ehemals vertrauenswürdige Namen im Bereich Ransomware schwindet, versuchen andere Gruppen, einzuspringen und ihren Platz einzunehmen. RaaS-Startups wie Cloak bieten beispielsweise eine überdurchschnittliche Gewinnbeteiligung von 85/15, ohne dass eine Vorauszahlung erforderlich ist, um auf deren angeblich starkes und modifizierbares Signature-Malware zuzugreifen. Die mittelständische RaaS-Gruppe Medusa versucht ehemalige ALPHV- und LockBit-Partner zu gewinnen, indem sie rund um die Uhr Zugang zu ihren Administrationsteams bietet und ein variabel gestaltetes Zahlungsmodell anbietet, das bei 70/30 beginnt, aber bei Lösegeldern über 1 Million US-Dollar auf 90/10 steigt. Eine andere aufstrebende Gruppe namens “RansomHub”, die aus dem gleichen russischsprachigen Untergrundforum wie Medusa rekrutiert – RAMP – bietet eine feste Gewinnbeteiligung von 90/10 und die Möglichkeit, frei mit anderen Gruppen zu verhandeln.