Ransomware-Zahlungen erreichen Rekordhöhe

Gute Geschäfte für Erpresser: Ransomware-Angriffe beherrschten im Jahre 2021 weltweit die Schlagzeilen, und es gibt keine Anzeichen für eine Abschwächung. Ransomware-Zahlungen erreichten im Jahr 2021 neue Rekorde, da Cyberkriminelle zunehmend auf „Leak-Seiten“ im Dark Web zurückgreifen. Mit der Drohung, sensible Daten freizugeben, setzen sie ihre Opfer unter Druck, um sie zur Zahlung zu bewegen. Dies berichtet Unit 42 von Palo Alto Networks in der heute veröffentlichten Studie 2022 Unit 42 Ransomware Threat Report.

Tatsächlich fanden die Cyberkriminellen zusätzliche Wege, um Opfer in Verbindung mit Ransomware zu erpressen. Die doppelte Erpressung kam erstmals im Jahr 2020 mit dem Aufkommen von Dark-Web-Leak-Sites in Mode, die Cyberkriminelle nutzen, um Ransomware-Opfer zu identifizieren und damit zu drohen, sensible Unternehmensdaten preiszugeben. Im Jahr 2021 hoben Ransomware-Banden diese Taktiken auf eine neue Ebene und nutzten  Multi-Erpressungstechniken, die die die Kosten und die Unmittelbarkeit der Bedrohung zu erhöhen. Palo Alto hat zum Beispiel gesehen, wie Banden Drohanrufe an Mitarbeiter und Kunden tätigen und Denial-of-Service-Angriffe (DoS) starten, um die Website eines Opfers lahmzulegen und so einen Anreiz für Zahlungen zu schaffen.

Ransomware-as-a-Service (RaaS)-Betreiber sind auf dem Vormarsch. RaaS-Betreiber bieten eine breite Palette an benutzerfreundlichen Tools und Diensten an, die das Starten von Ransomware-Angriffen fast so einfach machen wie die Nutzung einer Online-Auktionsseite. Diese Betreiber haben den letzten Jahren investiert, um ihr Geschäft zu optimieren – sie haben ihre Malware perfektioniert, Marketingstrategien entwickelt, um mehr Partner zu rekrutieren, und haben sogar einen technischen Support aufgebaut, der den Opfern hilft, wieder online zu gehen, sobald sie das Lösegeld bezahlt haben.

Die durchschnittliche Lösegeldforderung in Fällen, die von Unit 42, den IT-Sicherheitsanalysten von Palo Alto Networks, bearbeitet wurden, stieg im Jahr 2021 um 144 Prozent auf 2,2 Millionen US-Dollar. Die durchschnittliche Zahlung stieg im gleichen Zeitraum um 78 Prozent auf 541.010 US-Dollar.

„Im Jahr 2021 beeinträchtigten Ransomware-Angriffe alltägliche Aktivitäten, die Menschen auf der ganzen Welt für selbstverständlich halten – vom Einkauf von Lebensmitteln über das Tanken von Benzin für ihre Autos bis hin zum Notruf und der medizinischen Versorgung“, erklärt Jen Miller-Osborn, Deputy Director von Unit 42 Threat Intelligence.

Die Ransomware-Gruppe Conti war für die meisten Aktivitäten verantwortlich und machte mehr als einen von fünf Fällen aus, mit denen die Analysten von Unit 42 im Jahr 2021 zu tun hatten. REvil (auch bekannt als Sodinokibi) lag mit 7,1 Prozent auf Platz 2, gefolgt von Hello Kitty und Phobos (jeweils 4,8 Prozent). Conti hat außerdem die Namen von 511 Unternehmen auf seiner Leak-Site im Dark Web veröffentlicht, so viele wie keine andere Gruppe.

Der Bericht beschreibt, wie das Ökosystem der Cyber-Erpressung im Jahr 2021 mit dem Auftauchen von 36 neuen Ransomware-Banden wuchs. Er dokumentiert, wie kriminelle Gruppen unerwartete Gewinne in die Entwicklung von Tools investierten, die bei Angriffen, die zunehmend Zero-Day-Schwachstellen ausnutzen, leichter zu verwenden sind.

Die Zahl der Opfer, deren Daten auf Leak-Sites veröffentlicht wurden, stieg laut der Analyse von Unit 42 im Jahr 2021 um 85 Prozent auf 2.566 Unternehmen. Etwa 60 Prozent der Leaksite-Opfer befanden sich in Nord- und Südamerika, gefolgt von 31 Prozent in Europa, dem Nahen Osten und Afrika sowie mit 9 Prozent in der Region Asien-Pazifik. Die am stärksten betroffenen vertikalen Branchen waren freiberufliche und juristische Dienstleistungen, das Baugewerbe, der Groß- und Einzelhandel, das Gesundheitswesen sowie das produzierende Gewerbe. Am häufigsten betroffen sind Unternehmen in den USA mit 49 Prozent aller Angriffe, aber auch in Deutschland finden vier Prozent der Angriffe statt.