Doppelte Erpressung möglich: Cyberkriminelle im Clinch

Ein Revierkampf zweier krimineller Ransomware-Gruppen könnte zu mehr Cyberangriffen und größeren Schäden für betroffene Unternehmen führen. Das berichtete am Montag die britische Tageszeitung Financial Times mit Verweis auf Cyber-Sicherheitsexperten, die die Auseinandersetzungen in dem wachsenden kriminellen Ransomware-Sektor verfolgen.

Demnach sind DragonForce, eine Gruppe überwiegend russischsprachiger Cyberkrimineller, und einer ihrer größten Konkurrenten, RansomHub, aneinandergeraten. Die Sicherheitsexperten warnen, dass der Konflikt „die Risiken für Unternehmen erhöhen könnte, einschließlich der Gefahr, zweimal erpresst zu werden“, schreibt die Financial Times.

Die DragonForce-Gruppe trat erstmals im August 2023 in Erscheinung. Nach Angaben des Cybersicherheitsunternehmens Group-IB verzeichnete sie in den darauffolgenden zwölf Monaten insgesamt 82 Opfer auf ihrer Dark-Web-Seite. RansomHub wurde ebenfalls 2023 bekannt. Diese Gruppe wird für einige spektakuläre Cyberattacken verantwortlich gemacht, wie jene auf den US-amerikanischen Gas- und Öl-Dienstleister Halliburton, einen der weltweit größten Öl-Dienstleister, auf das renommierte britische Auktionshaus Christie’s oder die Non-Profit-Organisation Planned Parenthood, die unter anderem medizinische Dienste zu Schwangerschaftsabbrüchen anbietet.

Rivalisierende Cybercrime-Gangs

Nun scheinen DragonForce und RansomHub untereinander in Konflikt geraten zu sein. „Die meisten Cyber-Kriminalitätsgruppen haben ein tief verwurzeltes Bedürfnis nach Ruhm und Überlegenheit, das sie dazu bringen könnte, zu versuchen, einander zu übertreffen, indem sie versuchen, dasselbe Ziel anzugreifen und zu erpressen“, zitiert Financial Times Toby Lewis, globaler Leiter der Bedrohungsanalyse bei der britischen Cybersicherheitsfirma Darktrace. Gruppen wie die beiden genannten verkaufen laut dem Blatt die Werkzeuge und die Infrastruktur, die erforderlich sind, um auf die internen Systeme von Unternehmen zuzugreifen und diese gegen Geld zu erpressen. Sie operieren vornehmlich im Dark Web. Ihre Kunden sind sogenannte „Affiliates“ wie Scattered Spider, also Gruppen, die Cyberangriffe begehen wollen.

Die Beziehung zwischen DragonForce und RansomHub habe sich verschlechtert, so Financial Times weiter, nachdem sich DragonForce im März in ein „Kartell“ umbenannt und sein Angebot an „Dienstleistungen“ und seine Reichweite erweitert hat, um mehr Affiliate-Partner zu gewinnen.

Experten bei Sophos, einem britischen Hersteller von Sicherheitssoftware, vermuten, dass DragonForce die Webseite von RansomHub „gehackt“ haben könnte. Als Vergeltung drang ein Mitglied von RansomHub in die Webseite von DragonForce ein und bezeichnete die Gruppe als „Verräter“. Ähnlich wie Lewis glaubt Rafe Pilling, Director of Threat Intelligence bei Sophos, dass der Konflikt zwischen den beiden Cybercrime-Gangs im schlimmsten Fall dazu führen könnte, dass beide im Kampf ums Geschäft dieselben Opfer angreifen. Cyber-Kriminelle seien eine skrupellose Bande, so Pilling. „Ein Verrat zwischen Partnern kann dazu führen, dass das Opfer zweimal erpresst wird.“

(akn)