Neuer Trend: doppelte Erpressung
Online-Erpresser nehmen Deutschland ins Visier
Cybercrime ist leider ein lukratives Geschäft. Im Jahr 2020 haben sich die Lösegeldforderungen nach einer Ransomeware-Attacke verdoppelt. Rekordforderung: 30 Millionen Dollar. Die Hacker gehen dabei sehr dreist vor. Sie drohen nicht nur, die Daten zu verschlüsseln, sondern diese zu veröffentlichen.
Wie ist der aktuelle Stand der Ransomware-Bedrohungslandschaft? Wie stark sind deutsche Unternehmen bedroht? Was geschieht mit gestohlenen Daten? Das Unit 42 Threat Intelligence Team von Palo Alto Networks und das Crypsis Incident Response Team haben zusammengearbeitet, um die Ransomware-Bedrohungslandschaft im Jahr 2020 zu analysieren. Der Unit 42 Ransomware Threat Report enthält Details zu den wichtigsten Ransomware-Varianten, durchschnittliche Ransomware-Zahlungen, Ransomware-Vorhersagen und umsetzbare nächste Schritte zur sofortigen Reduzierung des Ransomware-Risikos.
Besonders bemerkenswert: Der Auswertung zufolge waren lediglich in den USA und Canada mehr Unternehmen von der illegalen Offenlegung von Daten betroffen als in Deutschland, das damit auf Rang 3 gelandet ist.
Cyberkriminelle verdienen und fordern mehr Geld als je zuvor
Die folgenden Daten stammen aus den USA, Kanada und Europa. Das durchschnittlich gezahlte Lösegeld für Unternehmen stieg von 115.123 US-Dollar im Jahr 2019 auf 312.493 US-Dollar im Jahr 2020, ein Anstieg von 171 Prozent im Vergleich zum Vorjahr. Darüber hinaus verdoppelte sich das höchste gezahlte Lösegeld von fünf Millionen US-Dollar (2019) auf zehn Millionen US-Dollar (2020). In der Zwischenzeit werden die Cyberkriminellen immer gieriger. Von 2015 bis 2019 lag die höchste Ransomware-Forderung bei 15 Millionen US-Dollar, im Jahr 2020 stieg sie auf 30 Millionen US-Dollar.
Bemerkenswert ist, dass die Lösegeldforderungen für Maze im Jahr 2020 durchschnittlich 4,8 Millionen US-Dollar betrugen, ein deutlicher Anstieg im Vergleich zum Durchschnitt von 847.344 US-Dollar für alle Ransomware-Familien im Jahr 2020. Cyberkriminelle wissen, dass sie mit Ransomware Geld verdienen können und werden mit ihren Forderungen immer dreister.
Die Welt änderte sich mit Covid-19, und Ransomware-Betreiber nutzten die Pandemie, um Organisationen auszuspionieren – insbesondere das Gesundheitswesen, das im Jahr 2020 am häufigsten Ziel von Ransomware war. Die Ransomware-Betreiber waren bei ihren Angriffen dreist und versuchten, so viel Geld wie möglich zu verdienen. Sie wussten, dass Organisationen im Gesundheitswesen ihren Betrieb aufrechterhalten mussten, um Covid-19-Patienten zu behandeln und Leben zu retten. Kliniken konnten es sich nicht leisten, auf ihre Systeme zu verzichten und waren eher bereit, Lösegeld zu zahlen.
2020 Top-Beobachtungen zu Ransomware
Cyberangreifer nutzen aktuelle Ereignisse wie die Covid-19-Pandemie, um Opfer zum Öffnen von Phishing-E-Mails, zum Besuch gefälschter Websites oder zum Herunterladen bösartiger Dateien zu verleiten. Ein Beispiel: Die weltweiten Auswirkungen der Covid-19-Pandemie wurden als Thema für Ransomware-Angriffe auf eine Vielzahl von Branchen ausgenutzt. Während der Gesundheitssektor aufgrund des Coronavirus im Jahr 2020 ein Top-Ziel war, litten viele andere Branchen stark unter Ransomware-Vorfällen. Da sie das ganze Jahr über mit einer fragileren Finanzlage und den zusätzlichen Herausforderungen von Mitarbeitern, die von zu Hause aus arbeiten, zu kämpfen hatten, mussten viele Unternehmen mit weniger auskommen. Mit weniger Personal und Budgetkürzungen kann es schwieriger sein, das Bewusstsein für Cyberbedrohungen zu schärfen und Schutzmaßnahmen für die Cybersicherheit zu implementieren.
Ransomware ist immer leichter zu bekommen und in vielen Formaten verfügbar, die auf verschiedene Plattformen abzielen. Die Forscher haben eine Verschiebung von hochvolumigen und Spray-and-Pray-Modellen hin zu einem fokussierteren „Stay-and-Play“-Modell beobachtet, bei dem sich die Betreiber Zeit nehmen, um die Opfer und ihre Netzwerke kennenzulernen, und einem traditionelleren Ansatz zur Netzwerkpenetration folgen.
Ransomware wird nicht nur auf Microsoft Windows, Apple macOS und mobilen Betriebssystemen beobachtet, sondern zielt jetzt auch auf Linux ab.
Angreifer wissen, dass Ransomware, insbesondere das auf Abonnements basierende Modell »Ransomware as a Service« (RaaS), einfach auszuführen, äußerst effektiv und potenziell profitabel ist – sowohl durch direkte Zahlungen als auch durch den Verkauf wertvoller Informationen. Das RaaS-Modell ermöglicht es Affiliates, vorhandene Ransomware-Software zur Durchführung von Angriffen zu nutzen und so einen Anteil an jeder erfolgreichen Lösegeldzahlung zu verdienen.
Ransomware-Betreiber verschaffen sich weiterhin mit herkömmlichen Methoden Zugang zu den Umgebungen der Opfer, etwa durch Phishing, schwache oder kompromittierte RDP-Anmeldeinformationen (Remote Desktop Protocol) und Ausnutzung von Anwendungs-/Softwareschwachstellen. Trotz der größeren Anzahl von Telearbeitern im Jahr 2020 sind diese Zugangstechniken gleichgeblieben. Viele Betreiber kombinieren auch Standard-Malware wie Dridex, Emotet und Trickbot für den Erstzugang. Sobald sie in ein Netzwerk eingedrungen sind, verwenden die Angreifer native Tools wie PSExec und PowerShell, um das Netzwerk aufzuzählen und sich seitlich zu bewegen.
- Online-Erpresser nehmen Deutschland ins Visier
- Trend zur doppelten Erpressung
Lesen Sie mehr zum Thema
