Bis heute haben Cybersicherheits-Forscher Tausende von verschiedenen Ransomware-Varianten oder „Familien“ identifiziert – einzigartige „Stämme“ mit eigenen Codesignaturen und Funktionen.
Dabei sind einige Stämme aufgrund des Ausmaßes der durch sie verursachten Zerstörung, ihres Einflusses auf die Entwicklung von Ransomware oder der Bedrohung, die sie heute noch darstellen, besonders bemerkenswert.
CryptoLocker
CryptoLocker erschien erstmals im September 2013 und wird weithin dafür verantwortlich gemacht, das moderne Zeitalter der Ransomware eingeläutet zu haben.
CryptoLocker wurde über ein Botnet (ein Netzwerk gekaperter Computer) verbreitet und war eine der ersten Ransomware-Familien, die die Dateien der Benutzer stark verschlüsselte. Mit CryptoLocker wurden schätzungsweise 3 Mio. USD erpresst, bevor die internationalen Strafverfolgungsbehörden es 2014 zur Strecke brachten.
Der Erfolg von CryptoLocker brachte zahlreiche Nachahmer hervor und ebnete den Weg für Varianten wie WannaCry, Ryuk und Petya.
WannaCry
Der erste aufsehenerregende Kryptowurm – eine Ransomware, die sich über ein Netzwerk auf andere Geräte ausbreiten kann – wurde mit WannaCry auf über 200.000 Computern in 150 Ländern eingeschleust. Die betroffenen Computer waren anfällig, weil die Administratoren es versäumt hatten, Patches für die EternalBlue-Sicherheitslücke in Microsoft Windows zu installieren.
Die Ransomware WannaCry verschlüsselte nicht nur vertrauliche Daten, sondern drohte auch damit, Dateien zu löschen, wenn die Betroffenen nicht innerhalb von sieben Tagen eine Zahlung leisten würden. Mit geschätzten Kosten von bis zu 4 Mrd. USD handelt es sich nach wie vor um eine der bislang größten Ransomware-Attacken.
Petya und NotPetya
Im Gegensatz zu anderer Krypto-Ransomware verschlüsselt Petya die Dateisystemtabelle und nicht einzelne Dateien, sodass der infizierte Computer Windows nicht mehr starten kann.
Eine stark modifizierte Version, NotPetya, wurde 2017 für einen groß angelegten Cyberangriff vor allem auf die Ukraine verwendet. NotPetya war ein Wischer, der nicht in der Lage war, Systeme zu entsperren, selbst nachdem die Opfer bezahlt hatten.
Ryuk
Ryuk tauchte 2018 erstmals auf und machte „Big-Game-Ransomware“-Angriffe gegen bestimmte hochwertige Ziele populär, wobei die Lösegeldforderungen durchschnittlich über 1 Mio. USD betrugen. Ryuk kann Sicherungsdateien und Systemwiederherstellungsfunktionen finden und deaktivieren. Eine neue Sorte mit Kryptowurm-Funktionen erschien 2021.
DarkSide
DarkSide wird von einer Gruppe betrieben, die vermutlich von Russland aus tätig ist, und ist die Ransomware-Variante, die am 7. Mai 2021 die US-amerikanische Colonial Pipeline angriff. In einer Aktion, die von vielen als der bisher schlimmste Cyberangriff auf kritische US-Infrastrukturen angesehen wird, legte DarkSide vorübergehend die Pipeline lahm, die 45 % des Treibstoffs für die US-Ostküste liefert.
Die DarkSide-Gruppe führt nicht nur direkte Angriffe durch, sondern lizenziert ihre Ransomware auch über RaaS-Vereinbarungen an Partner.
Locky
Locky ist eine verschlüsselnde Ransomware mit einer besonderen Infizierungsmethode: Sie verwendet Makros, die in E-Mail-Anhängen (Microsoft Word-Dateien) versteckt sind, die sich als legitime Rechnungen ausgeben. Wenn ein Benutzer das Microsoft Word-Dokument herunterlädt und öffnet, laden schädliche Makros die Ransomware-Nutzdaten heimlich auf das Gerät des Benutzers herunter.
REvil
REvil, auch bekannt als Sodin oder Sodinokibi, trug dazu bei, den RaaS-Ansatz für die Verbreitung von Ransomware bekannt zu machen.
REvil ist bekannt für seinen Einsatz bei Angriffen auf hochkarätige Ziele und Doppelerpressungsangriffen und steckte hinter den Angriffen gegen die Unternehmen JBS USA und Kaseya Limited im Jahr 2021. JBS zahlte ein Lösegeld in Höhe von 11 Millionen USD, nachdem die Hacker den gesamten US-Rindfleischverarbeitungsbetrieb unterbrochen hatten. Mehr als 1.000 Software-Kunden von Kaseya waren von erheblichen Ausfallzeiten betroffen.
Der russische Föderale Sicherheitsdienst berichtete, er habe REvil demontiert und Anfang 2022 mehrere seiner Mitglieder angeklagt.
Conti
Die Conti-Bande wurde erstmals im Jahr 2020 beobachtet und betrieb ein umfangreiches RaaS-System, bei dem sie Hackern ein regelmäßiges Gehalt für die Nutzung ihrer Ransomware zahlte. Conti wandte eine einzigartige Form der doppelten Erpressung an, bei der die Bande drohte, den Zugang zum Netzwerk des Opfers an andere Hacker zu verkaufen, wenn das Opfer nicht zahlte.
Conti löste sich auf, nachdem die internen Chatprotokolle der Bande im Jahr 2022 durchsickerten, aber viele ehemalige Mitglieder sind immer noch in der Welt der Cyberkriminalität aktiv. Laut dem X-Force Threat Intelligence Index wurden ehemalige Conti-Mitarbeiter mit einigen der heute am weitesten verbreiteten Ransomware-Varianten in Verbindung gebracht, darunter BlackBasta, Royal und Zeon.
LockBit
LockBit ist laut X-Force Threat Intelligence Index eine der häufigsten Ransomware-Varianten im Jahr 2023 und zeichnet sich durch das sachliche Verhalten seiner Entwickler aus. Die LockBit-Gruppe ist dafür bekannt, dass sie andere Malware-Stämme auf die gleiche Art und Weise übernimmt wie seriöse Unternehmen andere Firmen.
Obwohl die Strafverfolgungsbehörden im Februar 2024 einige Websites von LockBit beschlagnahmten und die US-Regierung Sanktionen gegen einen der führenden Köpfe der Bande verhängte, greift LockBit weiterhin Opfer an.