Groove: Ransomware-Angriff auf das Leibniz-Rechenzentrum

Artikel ansehen

HintergrĂĽndiges zur Groove-Gruppierung:

Eine weitere neue Ransomware-Gang macht mit ihrer unkonventionellen Struktur, ihrem einzigartigen Stammbaum und einem frĂĽhen Opfer von sich reden.

Eine Koalition von Forschern erklärte am Donnerstag, was Groove, eine Bande, die im Juli in aller Stille mit einer Website aufgetaucht ist, auszeichnet: Sie meidet die traditionelle Ransomware-as-a-Service-Hierarchie zugunsten eines opportunistischen Versprechens, dass sie mit jedem zusammenarbeitet, solange es Geld zu verdienen gibt.

Die Forscher - von McAfee, Intel 471 und Coveware - verfolgten die Ursprünge der Gruppe bis zu einer wahrscheinlichen Spaltung mit der Babuk-Bande zurück. Dies ist Teil eines Trends von Unruhen innerhalb von Erpressergruppen, die das Ransomware-as-a-Service (RaaS)-Modell verwenden, bei dem die Mitglieder die Malware einer Organisation im Austausch für eine Gewinnbeteiligung nutzen können. So hat beispielsweise ein verärgerter ehemaliger Conti-Mitarbeiter kürzlich das Angriffsplanbuch der Gruppe veröffentlicht.

Die Forscher haben bereits Beweise dafür gefunden, dass Groove mit einer anderen Ransomware-Bande, BlackMatter, zusammengearbeitet hat, die ebenfalls kürzlich aufgetaucht ist. Bei dieser Gruppe handelt es sich vermutlich um eine aktualisierte Version von DarkSide, einer in Russland ansässigen Gruppe, die hinter dem Angriff auf Colonial Pipeline im Mai stand.

Diese Woche hat Groove 500.000 Passwörter für virtuelle private Netzwerke von Fortinet veröffentlicht. Ebenfalls am Donnerstag wurde auf der Website der Gruppe angekündigt, dass sie bald ihre Fähigkeiten an US-Präsident Joe Biden „demonstrieren“ werde.

Fortinet sagte, es sei sich der durchgesickerten Zugangsdaten bewusst und sagte, sie stammten von Systemen, die einen im Mai 2019 veröffentlichten Patch noch nicht implementiert hatten. Diese Sicherheitslücke führte erst im April zu einer Warnung der US-Regierung. Fortinet veröffentlichte am Mittwoch einen Blogbeitrag über das Leck.

Ein Hacker, der unter dem Namen „Orange“ auftritt, hat im Juni eine Website namens RAMP eingerichtet. Orange beschimpfte die Babuk-Bande und behauptete, dass ein Teil von Babuks Erfolg auf eine Organisation namens Groove zurückzuführen sei. Die Forscher fanden weitere digitale Beweise, die Groove mit Babuk in Verbindung bringen.

Das Auftauchen von Groove kommt nicht nur in einer Zeit, in der sich Risse im Ransomware-as-a-Service-Modell bilden, sondern auch, nachdem eine Reihe hochkarätiger Ransomware-Gruppen verschwunden ist und einige cyberkriminelle Foren Werbung für diese Hacking-Methode verboten haben. Unzufriedene ehemalige Ransomware-Partner und andere scheinen von Groove angezogen zu werden.

„Für einige Affiliates bot sich die Gelegenheit, kompetente Cyberkriminelle zu werden, während bei vielen anderen das Fehlen von Belohnung und Anerkennung für ihre Bemühungen zu Unzufriedenheit führte“, schreiben die Forscher.

„In Kombination mit Untergrundforen, die Ransomware-Akteure verbieten, war dies die perfekte Gelegenheit für den als Orange bekannten Bedrohungsakteur, mit der Groove-Gang im Schlepptau aufzutauchen und neue Arbeitsweisen anzubieten, bei denen der Wert eines Mitarbeiters ausschließlich auf seiner Fähigkeit basiert, Geld zu verdienen.“

So ist es. Wer möchte, kann sich das gerne in Ruhe durchlesen:
How Groove Gang is Shaking up the Ransomware-as-a-Service Market to Empower Affiliates

1 Like

University Of Bristol - Deviant Security: The Technical Computer Security Practices of Cyber Criminals

Hab leider noch keine übersetzte Version gefunden… :rofl:

Fragt sich allerdings, was das Leibnitz-Institut wohl für Forschungsdaten besitzen könnte, die für Lösegeldforderungen gut sein könnten. Dort wird, so weit ich (aus bestens unterrichteter Quelle) weiss, öffentliche Forschung mit öffentlichen Geldern betrieben. Eigentlich gibt man dort sogar Geld (von dem ich gerade welches mit meiner „Quelle“ verfressen habe) dafür aus, Daten unter die Leute zu bringen.

Ich tippe mal auf einen Feldversuch?! Eine Koalition von Forschern erklärte am Donnerstag, was Groove, eine Bande, die im Juli in aller Stille mit einer Website aufgetaucht ist, so anders macht: Sie verzichtet nämlich auf die traditionelle Ransomware-as-a-Service-Hierarchie

Also testet man nun am lebenden Objekt quasi, wie weit man kommt mit der neuen Strategie!

28_fdd183fafdcc8be4f0dcce4768b58bb3

Die legen sich auch grade mit jedem aus der Security-Szene an! Siehe:

https://twitter.com/darktracer_int/status/1435955881129091075

1 Like

ezgif-2-9ae3cfeb71e6

0

Hier mal Bilder vom Groove-Ableger, bekannt als:

Nuclear-Boys :radioactive: