Über Jahre hinweg wurde die RaaS-Szene als hierarchisch und durchaus strukturierte Organisation wahrgenommen. Die Cyber-Kriminellen rund um die Groove Gang lassen die früheren RaaS-Hierarchien allerdings gerne beiseite und konzentrieren sich auf die unrechtmäßigen Gewinne, die durch die Kontrolle der Netzwerke der Opfer erzielt werden können, anstatt wie bisher die Kontrolle über die Ransomware selbst zu priorisieren.

Die wichtigsten Ergebnisse der neuen Forschung des Advanced Threat Research Teams sind:

• Der Fallout: Nach dem turbulenten Shutdown der Babuk-Gruppe und den Auswirkungen der Angriffe auf die Colonial Pipeline und Kaseya scheinen einige Cyber-Kriminelle der Ransomware-Szene in einem Forum namens „RAMP“ ein neues Zuhause gefunden zu haben. RAMP wurde im Juli 2021 gegründet und ursprünglich auf der gleichen TOR-basierten Ressource gehostet, die zuvor einen von der Babuk-Ransomware-Gruppe betriebenen Blog sowie den Payload.bin-Marktplatz für geleakte Unternehmensdaten beherbergte.
• Der Auslöser: Einige beliebte Foren für Cyber-Kriminelle haben Ransomware-Akteuren seit dem Colonial Pipeline-Angriff untersagt ihre Plattform für Werbung zu nutzen, was es RaaS-Gruppen erschwert, Glaubwürdigkeit aufzubauen und ihre derzeitige Spitzenposition im Untergrund beizubehalten.
• Die böswilligen Akteure: Der Cyber-Kriminelle bekannt unter dem Namen „Orange“ rief innerhalb der Szene zur Zusammenarbeit auf und wies darauf hin, dass die Groove Gang seit zwei Jahren eine finanziell motivierte kriminelle Organisation ist, die sich mit Industriespionage befasst. Er behauptete, dass einige Opfer der Angriffe von Babuk der Groove-Gruppe zu viel Aufmerksamkeit verholfen haben.
• Finanzielle Motivation: Aufgrund des Zusammenfalls von Babuk, der Ähnlichkeiten zwischen den RaaS-Gruppen und der Entwicklung im Untergrund, gehen die Forscher von McAfee Enterprise davon aus, dass es sich bei der Groove Gang, um ehemalige Mitglieder oder eine Untergruppe von Babuk handelt. Die Gruppe ist bereit mit anderen Parteien zusammenzuarbeiten, solange es für sie dabei einen finanziellen Gewinn gibt.

Die sich verändernde cyber-kriminelle Untergrundlandschaft schuf die perfekte Gelegenheit für den Bedrohungsakteur Orange – mit der Groove Gang im Schlepptau, die neue Arbeitsweisen anbot, bei denen der Wert eines Mitarbeiters ausschließlich auf seiner Fähigkeit basierte – Lösegeld zu verdienen. Das bestätigt im Wesentlichen die Überzeugung von McAfee Enterprise, dass die Groove Gang und Babuk miteinander verbunden sind.

Alle weiteren Informationen zu den neuen Forschungsergebnissen entnehmen Sie dem Blogpost.      

Sollten Sie an einem Interview mit einem Forscher von McAfee Enterprise interessiert sein, kommen Sie gerne auf uns zu. Darüber hinaus sprechen die Sicherheitsexperten gerne darüber, welche Auswirkungen Ransomware-as-a-Service generell hat und welche Schritte Unternehmen zur Vermeidung von Ransomware-Angriffen einleiten sollten.