Kaspersky-Analyse

Fast jede zweite Cyberattacke 2021 hängt mit Ransomware zusammen

Uhr
von Pascal Wojnarski und kfi

Kaspersky hat Ransomware zum Thema des Jahres ausgewählt. Die Zahl der Angreifer ist massiv gestiegen. Unternehmen zahlen noch immer zu oft Lösegelder.

(Source: zephyr_p/AdobeStock.com)
(Source: zephyr_p/AdobeStock.com)

Die IT-Sicherheitsfirma Kaspersky hat Ransomware zum Thema des Jahres für das jährliche Security Bulletin gewählt. Damit steht das Thema nach 2019 erneut im Mittelpunkt, erklärt das Newsportal von Kaspersky "Securelist". Demnach seien rund die Hälfte aller Angriffe Ransomware zuzuordnen. Im Gegensatz zu 2019 spricht Kaspersky heute jedoch von "Ransomware 2.0". Die bekannten Ransomware-Anbieter würden die Opfer demnach doppelt erpressen. Laut Bericht werden die Daten dabei nicht mehr nur verschlüsselt, sondern gleichzeitig auch gestohlen. Die Opfer sollen dann Lösegeld zahlen, damit die Daten entschlüsselt und nicht vom Angreifer veröffentlicht werden. So hätten einige Ransomware-Banden "Wall of Shames" eingerichtet, auf der die gestohlenen Daten veröffentlicht werden.

Starker Anstieg an Ransomware-Angriffen

Kaspersky zufolge sei die Zahl der Opfer bereits von Januar bis November 2021 um 30 Prozent höher als im gesamten Jahr 2020. Es seien schätzungsweise 1500 Organisationen betroffen, die tatsächliche Anzahl sei jedoch nur schwer nachvollziehbar.

Eine weitere Entwicklung gegenüber 2019 sei, dass Kriminelle in einem Ökosystem zusammenarbeiten und Ransomware-as-a-Service (RaaS) anbieten. In diesem Ökosystem habe jeder Akteur eine spezifische Rolle inne.

Die einen stellen etwa die Verschlüsselungssoftware sowie eine Plattform für die Verhandlungen zur Verfügungen. Die anderen führen die Attacken durch. Durch diese Effizienz würde das System um RaaS weiter verstärkt. Laut Bericht sind damit schon mehrere hundert oder gar tausende Millionen US-Dollar erpresst worden. Das US-Finanzministerium schätzt etwa, dass alleine US-Unternehmen in der ersten Jahreshälfte 2021 rund 600 Millionen US-Dollar an Ransomware-Gruppen gezahlt haben.

Ein prominenter Fall sei die Abschaltung des grössten US-Kraftstofflieferanten "Colonial Pipeline" gewesen. Dort habe es Anfang Mai einen Diebstahl von fast 100 Gigabyte Daten gegeben. Die Pipeline wurde laut Bericht zudem sechs Tage lang abgeschaltet. Schlussendlich zahlte Colonial Pipeline 4,4 Millionen US-Dollar Lösegeld an die Ransomware-Bande DarkSide.

Notstand in den USA

Im Zuge derartiger Angriffe habe US-Präsident Biden den Notstand ausgerufen. Auch hat er sich laut Bericht mit dem russischen Präsidenten Putin getroffen, um ein gemeinsames Vorgehen gegen Ransomware-Bedrohungen planen zu können. Generell habe die Beteiligung von Regierungen und eine internationale Zusammenarbeit gegen Ransomware zugenommen. Dieses Vorgehen gegen RaaS-Anbieter habe beispielsweise zur vorübergehenden Schliessung vom Botnet Emotet geführt. Mittlerweile scheint Emotet jedoch wieder aktiv zu sein, wie Sie hier nachlesen können.

Die Hauptakteure

Die Hauptakteure des Jahres 2021 seien mittlerweile ausgeschaltet oder hätten sich zurückgezogen. Dennoch kämen viele der Gruppen mit neuem Namen wieder zurück. So seien die Gruppen REvil und Babuk ursprünglich aus dem geschlossenen Gruppen GrandCab und Vasa Locker hervorgegangen.

Die Ransomware-Bande Conti, welche unlängst Fotos von Schweizer IDs im Darknet veröffentlichte, existiere bereits seit 2019 und ist laut Bericht auch heute noch aktiv. Sie haben laut Bericht erfolgreich die Server von öffentlichen Schulen in Florida sowie die Server der irischen Gesundheitsbehörde angegriffen. Conti habe zwar zwischenzeitlich ihre Infrastruktur teilweise abschalten müssen, jedoch seien die Server innerhalb von vierundzwanzig Stunden wieder online gewesen.

Aus dem Bericht geht auch hervor, dass die prominentesten RaaS-Anbieter nicht automatisch auch die sind, die am häufigsten Angreifen. Ältere Ransomware-Gruppen würden sich eher für kleinere Zahlungen interessieren und greifen daher eher Privatpersonen an. Diese Gruppen kämen daher seltener in der Berichterstattung vor.

Die Verteilung der Ransomware-Angriffe (Source: Securelist)

Die neuen Trends

Gemäss Kaspersky bilden sich im Hinblick auf Ransomware-Angriffe zwei neue Trends heraus. Einer davon sei, dass auch vermehrt Linux-Server angegriffen würden. Damit würden die Ransomware-Banden ihre Angriffsfläche erhöhen und virtuelle Maschinen, die auf "ESXi-Servern" gehostet werden, attackieren können.

Auch würden die Angreifer versuchen, die Aktienkurse von Unternehmen zu beeinflussen. Im Jahr 2020 habe ein Mitglied von REvil einen Beitrag dazu veröffentlicht. Das FBI habe hierzu eine Warnung herausgegeben. So würden die Angreifer "bedeutende finanzielle Ereignisse wie Fusionen und Übernahmen nutzen, um Opfer-Unternehmen für Ransomware-Infektionen anzusprechen und zu nutzen".

Wie es weitergehen könnte

Zum Abschluss des Berichts zieht Kaspersky ein Fazit und prognostiziert die Entwicklung für das kommende Jahr. Demnach sei grosse Aufmerksamkeit für die Ransomware-Anbieter nicht immer eine gute Sache. Die Erfahrung aus der Vergangenheit zeige, dass die Massnahmen von Regierungen und Strafverfolgungsbehörden durchaus in der Lage seien, gegen die Angreifer vorzugehen.

Aber auch Unternehmen könnten durch diese steigende Aufmerksamkeit Probleme bekommen. So wies laut Bericht das US Office of Foreign Assets Control (OFAC) die Opfer darauf hin, dass Lösegeldzahlungen einen Verstoss gegen internationale Sanktionen darstellt. Ein grosses Problem sei, dass Unternehmen grundsätzlich lieber die Lösegelder zahlen würden als die Konsequenzen der Angriffe zu tragen. Dadurch blieben diese Attacken weiter profitabel. So müssen laut Kaspersky die Regierungen Vorkehrungen treffen, um das Zahlen von Lösegeldern zu unterbinden.

Das beste Hilfsmittel gegen Cyberangriffe ist, sie gar nicht erst geschehen zu lassen. Im Interview mit Markus Graf, dem COO von Avantec können Sie nachlesen, warum er Security-Awareness-Trainings für so wichtig hält.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_240968

Dossiers

» Mehr Dossiers

Aktuelle Ausgabe

Direkt in Ihren Briefkasten CHF 60.- » Magazin Abonnieren » Zum shop » Newsletter