Leichter Rückgang bei Ransomware-Angriffen

Die Analysten von Threat Intelligence-Anbieter Digital Shadows beobachteten von Juli bis September 2021 35 verschiedene Data Leak Sites (DLS), auf denen mit der Veröffentlichung von einmal erbeuteten Ransomware-Daten gedroht wird. Seit Beginn der „Double Extortion”-Strategie zählte Digital Shadows mehr als 3.000 Opfer. Im Zeitraum von Q3 2021 wurden insgesamt 571 Opfer verzeichnet – 13% weniger als noch im Quartal zuvor.

Trend zum Re-Branding

Der leichte Rückgang lässt sich mit großer Wahrscheinlichkeit auf das Ende mehrerer sehr aktiver Data Leak Sites zurückführen, darunter Avaddon, Happy Blog (REvil), DarkSide und Prometheus. Die Ransomware-Gruppen folgen dabei alle dem gleichen Schema: Nach einem erfolgreichen Angriff verschwinden sie zunächst von der Bildfläche, um später unter neuem Namen und mit verbesserter Ransomware wieder aufzutauchen. So trat im dritten Quartal die Gruppe SynAck unter dem Namen El_Cometa auf. DoppelPaymer scheint als Grief zu agieren, während hinter der Ransomware-Gruppe Karma die Akteure von Nemty vermutet werden.

Eine ähnliche Taktik verfolgte auch REvil. Die Ransomware-Gruppe hatte im Juli 2021 den IT-Dienstleister Kaseya angegriffen und damit eine Kettenreaktion im IT-Netzwerk von Managed Service Providern und ihren Kunden ausgelöst. Von der Cyberattacke waren mehrere hundert Unternehmen weltweit sowie eine Million Anwender betroffen. Nach dem öffentlichkeitswirksamen Angriff auf Kaseya verschwand REvil, ehe die Gruppe Anfang September „aus dem Urlaub“ zurückkehrte. Ende Oktober schließlich wurde die Erpressergruppe in einer vom FBI angeführten Aktion gehackt und ging offline. Ob sich die Gruppe unter anderem Namen neu formieren kann, bleibt abzuwarten.

Druck von innen, Druck von außen
Die Re-Branding Strategie von Ransomware-Gruppen ist größtenteils auf die entschiedenen Aktionen seitens der Strafverfolgungsbehörden zurückzuführen. Politik und Wirtschaft machen Druck. Erst im Juni traf sich US-Präsident Biden mit Russlands Präsident Putin, um über die Cybersicherheit von kritischen Infrastrukturen zu sprechen. Immer häufiger ist bei Ransomware-Angriffen von „terroristischen Akten“ die Rede – so etwa bei der Attacke auf Agrarwirtschafts-Dienstleister NEW Cooperative im September 2021.

Gleichzeitig haben die öffentlichkeitswirksamen Angriffe auch viel Kritik aus den eigenen kriminellen Reihen hervorgerufen. Vor allem nach der Attacke auf die US-Pipeline Colonial im Mai 2021 kündigten viele Foren an, Beiträge und Servicedienstleistungen rund um Ransomware zukünftig von ihren Marktplätzen zu verbannen. Eine Ausnahme stellt hier RAMP dar. Das russisch-sprachige Forum wurde im Sommer 2021 ins Leben gerufen und wirbt gezielt mit Ransomware-as-a-Service (RaaS) sowie anderen relevanten Dienstleistungen. Parallel zum Forum betreibt RAMP auch eine Data Leak Site namens Grove, auf der Opfer von Ransomware-Angriffen gelistet und Ankündigungen der Gruppe veröffentlicht werden.

Deutschland nach USA und Kanada auf Platz 3

Wie in den Quartalen zuvor konzentrierten sich die Ransomware-Angriffe in Q3 2021 vor allem auf Nordamerika. Fast die Hälfte aller Unternehmen (47%), die Digital Shadows auf DLS-Listen identifizierte, sitzen in den USA oder Kanada. Hier wurden in der Vergangenheit am häufigsten hohe Lösegeldforderungen von Unternehmen bezahlt, was die Angreifer zu neuen Attacken anspornt. In anderen Regionen ist die Zahl der Ransomware-Angriffe entweder leicht zurückgegangen oder im Vergleich zum zweiten Quartal konstant geblieben. Deutschland findet sich mit 24 Ransomware-Angriffen auf Platz drei, gefolgt von Großbritannien (23) und Frankreich (21). Dabei handelt es sich jedoch lediglich um die auf Data Leak Sites gelisteten Ransomware-Opfer. Die Dunkelziffer könnte deutlich höher liegen.

Fertigende Industrie und Dienstleistungssektor am stärksten betroffen

Die fertigende Industrie sowie der Dienstleistungssektor gehören laut Digital Shadows weiterhin zu den am häufigsten von Ransomware betroffenen Branchen. Damit setzt sich der Trend aus den Vorquartalen fort. An zweiter Stelle liegt der Technologiesektor, gefolgt von der Bauwirtschaft, dem Rechtswesen sowie der Finanzbranche. Branchenübergreifend jedoch hat sich die Anzahl der Angriffe jedoch im Vergleich zu Q2 2021 verringert. In der fertigenden Industrie sowie im Dienstleistungssektor gingen Ransomware-Attacken sogar um ganze 42% zurück. Auch das Gesundheitswesen konnte im dritten Quartal 31,8% weniger Angriffe verzeichnen als im Vorquartal. Ein Grund dafür könnte die Ausweitung von Ransomware-Angriffen auf andere Branchen sein. Eine Ausnahme bildet lediglich der Technologiesektor, in dem die Zahl von Ransomware-Angriffen um 29,8% zunahm.

LockBit 2.0 unter den Top Ten

Zu den zehn aktivsten Ransomware-Gruppen in Q3 2021 zählen LockBit 2.0, Conti, Hive, PYSA, BlackMatter, AvosLocker, Grief, Clop, Payload.bin, Everest, und Sodinokibi (REvil). Die relativ neue Gruppe rund um LockBit 2.0 tauchte erstmals im Juli 2021 auf und konnte schnell den Spitzenplatz einnehmen. Auf der DLS von LockBit 2.0 wurden von Juli bis September insgesamt 203 Ransomware-Opfer gelistet – fast dreimal so viel wie beim vorherigen Spitzenreiter Conti (71 Opfer). Die Erpresser-Malware gilt als Nachfolger und verbessertes Update von LockBit, einem Ransomware-as-a-Service (RaaS), der seit Dezember 2019 bekannt ist. Aufs Konto der Gruppe geht unter anderem der Angriff auf das Beratungshaus Accenture im August. Damals forderte die Gruppe ein Lösegeld von 50 Millionen US-Dollar. Doch obwohl die Frist für die Zahlung auf der DLS von LockBit längst abgelaufen ist, wurden bislang keine sensiblen Unternehmensdaten veröffentlicht.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

1 Tag ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

1 Tag ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

1 Tag ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago