Lösegeldzahlungen für Ransomware sinken

Eine Analyse des Cybersecurity-Unternehmens Coveware hat ergeben, dass die durchschnittliche Lösegeldzahlung nach einer Ransomware-Attacke im letzten Quartal 2020 um ein Drittel gesunken ist – von 233.817 Dollar in den drei Monaten zuvor auf 154.108 Dollar.

Das Unternehmen führt den Rückgang darauf zurück, dass die Opfer der Forderung nach Zahlung von Bitcoin im Austausch für den Entschlüsselungsschlüssel nicht nachgegeben haben, mit dem die Kriminellen behaupten, das Netzwerk wieder funktionsfähig zu machen.

Obwohl es positiv ist, dass sich ein höherer Prozentsatz der Opfer dafür entscheidet, nicht an die Cyberkriminellen zu zahlen, gibt es immer noch eine große Anzahl von Organisationen, die nachgeben – und damit Ransomware weiterhin erfolgreich machen, auch wenn die Hintermänner der Angriffe etwas weniger Geld verdienen. Dennoch könnte es für einige Ransomware-Betreiber genug sein, um zu überlegen, ob sich der Aufwand lohnt.

„Wenn weniger Unternehmen zahlen, egal aus welchem Grund, hat das langfristige Auswirkungen, die sich über die Zeit summieren und einen wesentlichen Unterschied im Volumen der Angriffe ausmachen können“, heißt es in einem Blogbeitrag von Coveware.

Die Zunahme von Unternehmen, die sich entscheiden, nicht auf die Erpressungstaktiken rund um Ransomware einzugehen, hat auch dazu geführt, dass die Banden ihre Taktik geändert haben, wie die Zunahme von Ransomware-Angriffen zeigt, bei denen Kriminelle damit drohen, gestohlene Daten zu veröffentlichen, wenn das Opfer nicht zahlt. Laut Coveware machten diese 70 % der Ransomware-Angriffe in den letzten drei Monaten des Jahres 2020 aus – im Vergleich zu 50 % in den drei Monaten zuvor.

Während jedoch fast drei Viertel der Unternehmen, die zwischen Juli und September mit der Veröffentlichung von Daten bedroht wurden, Lösegeld zahlten, sank diese Zahl bei Unternehmen, die zwischen Oktober und Dezember Opfer wurden, auf 60 %.

Die Forscher weisen darauf hin, dass es selbst bei Zahlung des Lösegelds keine Garantie dafür gibt, dass die Kriminellen die Daten löschen und sie stattdessen für andere böswillige Zwecke verwenden, was Unternehmen bei ihrer Entscheidung über die Zahlung berücksichtigen sollten.

Und, wie Cybersecurity-Unternehmen und Strafverfolgungsbehörden warnen, motiviert jede Zahlung nach einem Ransomware-Angriff die Kriminellen nur dazu, weitere Angriffe durchzuführen.

Ransomware ist auch deshalb weiterhin erfolgreich, weil Cyberkriminelle in der Lage sind, erfolgreich in unsichere Netzwerke einzudringen, um die Grundlagen für Angriffe zu legen.

Phishing-E-Mails und die Ausnutzung des Remote Desktop Protocol (RDP) sind die häufigsten Methoden für Ransomware-Angriffe, um in Netzwerke einzudringen. Während eine Phishing-E-Mail darauf beruht, dass die Opfer bösartige Dokumente oder Links öffnen, um den Angriff in Gang zu setzen, muss bei RDP überhaupt keine Person in der Organisation des Opfers beteiligt sein, da die Angreifer in der Lage sind, durchgesickerte Anmeldeinformationen zu missbrauchen.

Ismail Elmas, Geo VP EMEA & APAC bei Zscaler, warnt. „Die Tatsache, dass so viele Unternehmen ihre Cloud-Infrastruktur noch immer mit traditionellen Remote Desktop- und VPN-Lösungen kombinieren, adressiert die modernen Herausforderungen nicht effizient.“

In beiden Fällen findet die Ransomware einen Weg in Netzwerke, weil Cyber-Kriminelle Sicherheitslücken ausnutzen. Die Anwendung von Sicherheits-Patches, die verhindern, dass böswillige Hacker bekannte Schwachstellen ausnutzen, kann einen großen Beitrag dazu leisten, die Ausführung von Malware im Netzwerk zu verhindern.

Der Einsatz von Tools wie die Zwei-Faktor- oder Multi-Faktor-Authentifizierung kann verhindern, dass Angreifer im Netzwerk Fuß fassen, denn selbst wenn sie die richtigen Anmeldedaten haben, ist es viel schwieriger, diese auszunutzen.

Die regelmäßige Aktualisierung von Offline-Backups durch die Sicherung auf Bandlaufwerke bietet Unternehmen eine Möglichkeit, das Netzwerk wiederherzustellen, ohne dass die Erpresser belohnt werden.