Ransomware-Attacken zurück im Geschäft

Die Vereinigten Staaten blieben mit 38,9 % aller Opfer von Ransomware-Angriffen die am häufigsten betroffene Nation. Im Vergleich zum ersten Quartal 2022 stieg die Zahl der Opfer in diesem Land um 35,6 %. Die USA werden wahrscheinlich auch in den kommenden Quartalen die am häufigsten angegriffene Nation bleiben, da sie als die profitabelste Region für Ransomware-Gruppen gilt.

Den zweiten Platz belegt Deutschland (plus 66,7 % gegenüber Q1 2022), dicht gefolgt vom Vereinigten Königreich (plus 16,2 %), Italien (plus 6,7 %), Kanada (plus 50 %) und Frankreich (plus 26,1 %).

Die Ransomware-Gruppe LockBit stellte im zweiten Quartal 2022 einen neuen Rekord auf und veröffentlichte unter dem Slogan „Make Ransomware Great Again!“ eine verbesserte Version ihrer Ransomware-as-a-Service. Das zeigt die vierteljährliche Analyse von Digital Shadows mit dem Titel „Ransomware back in Business“.

Der Threat Intelligence-Anbieter beobachtet täglich über 88 verschiedene Data Leak Sites (DLS), auf denen mit der Veröffentlichung von Ransomware-Daten gedroht wird. Im Zeitraum von April bis Juni zählten die Analysten dort insgesamt 705 gelistete Unternehmen und Organisationen, das sind 21% mehr als noch im Quartal zuvor. Sollte sich dieser Aufwärts-Trend in den nächsten Monaten fortsetzen, könnte 2022 zum neuen Rekordjahr in Sachen Ransomware werden.

Kritische Infrastrukturen im Visier

Dabei haben es die Angreifer insbesondere auf kritische Sektoren und Infrastrukturen (KRITIS) abgesehen. Der Technologiesektor verzeichnete einen Anstieg der Angriffe um 118%. Das Gesundheitswesen wurde im Vergleich zum letzten Quartal mehr als doppelt so oft attackiert (137%). Und staatliche Einrichtungen sahen sich insgesamt 56% mehr Angriffen ausgesetzt. Doch auch in andere Branchen gab es in den letzten drei Monaten keine Atempause: Die fertigende Industrie sowie der Dienstleistungssektor gehören mit 18% weiterhin zu den am häufigsten von Ransomware betroffenen Branchen. Dahinter folgt der Technologiesektor (9%), die Bauwirtschaft (8%), das Gesundheitswesen (6%) sowie Behörden (6%).

Deutschland in der Länderliste auf Platz 2
Wie in den Quartalen zuvor konzentrierten sich die Ransomware-Angriffe in Q2 2022 vor allem auf Länder, in denen Unternehmen den Erpressungsversuchen in der Regel nachgeben und hohe Lösegeldsummen für ihre Daten zahlen. Spitzenreiter ist hier mit Abstand die USA mit 274 Treffern. Deutschland schaffte es mit 50 Ransomware-Angriffen im letzten Quartal erstmals auf Platz 2 der Länderliste – ein Anstieg von 67% im Vergleich zu Q1. Die heimischen Unternehmen scheinen sich zunehmend als lukratives Angriffsziel zu etablieren. Tatsächlich dürfte die Dunkelziffer sogar höher liegen, da es sich bei den Zahlen nur um DLS-gelistete Ransomware-Opfer handelt.

LockBit stellt neuen Ransomware-Rekord auf

Der Anstieg an Ransomware-Attacken ist auf eine insgesamt höhere Aktivität der kriminellen Gruppen zurückzuführen. Bemerkenswert umtriebig waren unter anderem die Angreifer rund um Alphv (+118%) und Vice Society (+100%). Spitzenreiter bleibt allerdings LockBit, die mit überwältigenden Vorsprung die Liste der erfolgreichsten und damit gefährlichsten Ransomware-Akteure anführen. In Q2 2022 zählte die Gruppe mehr als dreimal so viele Opfer wie jede andere Initiative und stellte mit 231 erfolgreichen Angriffen einen neuen Rekord auf. Damit geht ein Drittel (33%) aller Ransomware-Fälle, die Digital Shadows auf DLS beobachtete, auf das Konto von LockBit. Die Zahl der Opfer insgesamt nähert sich stetig, aber sicher der 1.000 Marke.

„Make Ransomware Great Again!“
Die Erfolgsgeschichte von LockBit wird sich angesichts des im Juni vorgestellten Release LockBit 3.0 wohl auch im laufenden Quartal fortsetzen. Die neue Version der Ransomware-as-a-Service bietet Angreifern neben verbesserten Features sogar ein eigenes Bug-Bounty-Programm. Anwender, die Fehler auf der Webseite melden, Schwachstellen in der Verschlüsselungssoftware identifizieren oder persönlich identifizierbare Informationen (PII) finden, dürfen sich über eine Belohnung ab 1.000 US-Dollar freuen. Auch kreative Ideen und relevante Hinweise sind willkommen und erhalten eine Prämie – zumindest so die Ankündigung.

Parallel zu LockBit 3.0 stellte die Gruppe eine neue Data Leak Site im Darknet vor – mit neuen Services für betroffene Unternehmen. So sind Lösegeldzahlung dort zukünftig auch in Form der Kryptowährung Zcash möglich. Zudem können Ransomware-Opfer zwischen zwei Optionen wählen: Entweder sie zahlen sofort für die Vernichtung ihrer gestohlenen Daten oder sie verlängern ihre Zahlungsfrist um 24 Stunden. Damit hat die Professionalisierung rund um Ransomware ein neues Level an Absurdität erreicht.

Aus für Conti: Der König ist tot, es lebe der König

Es gab jedoch in den letzten Monaten auch eine gute Nachricht: Im Mai kündigte die Ransomware-Gang Conti an, sämtliche Aktivitäten einzustellen. Der Grund für das Ende ist nicht bekannt, steht aber mit großer Wahrscheinlichkeit im Zusammenhang mit einem internen Leak im April. Eine anonyme Quelle veröffentlichte via Twitter über 60.000 Chats, die einen tiefen Einblick in die Techniken, Taktiken und Prozeduren (TTP) sowie die Organisation von Conti liefern. Die Gruppe zählte seit Mitte 2020 zu den erfolgreichsten Akteuren im Ransomware-Bereich. Noch im zweiten Quartal verzeichnete Digital Shadows über 50 Opfer auf der Conti.News-Seite, was der Ransomware-Gang über ein Jahr lang den zweiten Platz hinter LockBit sicherte. Potentielle Nachfolger stehen allerdings bereits in den Startlöchern – darunter Neulinge wie Black Basta, Mindware, Cheers, RansomHouse, Industrial Spy, Yanluowang, Onyx, NOKOYAWA und DarkAngels.