Die Angriffe mit Ransomware steigen. Aber nicht nur das: Auch das geforderte und gezahlte Lösegeld nimmt zu. Dies ist eine von vielen Erkenntnissen einer Studie von Palo Alto Networks.
Malware ist eine ernsthafte Bedrohung für viele Unternehmen und Organisationen. Doch welche Trends sind derzeit rund um das Thema Erpressungssoftware zu beobachten? Das Unit 42 Threat Intelligence Team von Palo Alto Networks und das Crypsis Incident Response Team haben zusammengearbeitet, um die Ransomware-Bedrohungslandschaft im Jahr 2020 zu analysieren. Der daraus entstandene "
Unit 42 Ransomware Threat Report" enthält Details zu den wichtigsten Ransomware-Varianten, durchschnittliche Ransomware-Zahlungen, Ransomware-Vorhersagen und umsetzbare nächste Schritte zur sofortigen Reduzierung des Ransomware-Risikos.
Lösegeldeinnahmen fast verdreifacht
So stellen die Security-Experten fest, dass das durchschnittlich gezahlte Lösegeld für Unternehmen stieg, und zwar von 115'123 Dollar im Jahr 2019 auf 312'493 Dollar im Jahr 2020. Dies entspricht einem Anstieg von 171 Prozent im Vergleich zum Vorjahr. Darüber hinaus verdoppelte sich das höchste gezahlte Lösegeld von fünf Millionen US-Dollar (2019) auf zehn Millionen US-Dollar (2020).
In der Zwischenzeit werden die Cyberkriminellen immer gieriger. Von 2015 bis 2019 lag die höchste Ransomware-Forderung bei 15 Millionen US-Dollar, im Jahr 2020 stieg sie auf 30 Millionen US-Dollar. Durchschnittlich lagen die Lösegeldforderungen im vergangenen Jahr bei 847'344 Dollar. Cyberkriminelle wissen also, dass sie mit Ransomware Geld verdienen können und werden mit ihren Forderungen immer dreister.
Organisationen im Gesundheitswesen im Fadenkreuz
Der Report zeigt darüber hinaus, dass die Cyberkriminellen es immer besser verstehen, auf aktuelle Ereignisse zu reagieren. So nutzen Ransomware-Betreiber die Covid-19-Pandemie, um besonders von dem Ereignis betroffene Organisationen auszuspionieren. So musste 2020 insbesondere das Gesundheitswesen dran glauben, das im Jahr 2020 am häufigsten Ziel von Ransomware war. Die Ransomware-Betreiber waren bei ihren Angriffen dreist und versuchten, so viel Geld wie möglich zu verdienen. Sie wussten, dass Organisationen im Gesundheitswesen ihren Betrieb aufrechterhalten mussten, um Covid-19-Patienten zu behandeln und Leben zu retten. Kliniken konnten es sich nicht leisten, auf ihre Systeme zu verzichten, und waren eher bereit, Lösegeld zu zahlen.
Aber auch andere Branchen wurden gerne als Opfer der Ransomware-Angreifer. Viele Unternehmen hatten das ganze Jahr über mit einer fragileren Finanzlage und mit zusätzlichen Herausforderungen zu kämpfen, etwa dem Fakt, dass Mitarbeiter nun von zu Hause aus arbeiten. Mit weniger Personal und Budgetkürzungen kann es schwieriger sein, das Bewusstsein für Cyberbedrohungen zu schärfen und Schutzmaßnahmen für die Cybersicherheit zu implementieren.
Ransomware wird zugänglicher
Ransomware ist immer leichter zu bekommen und mittlerweile in vielen Formaten verfügbar, die auf verschiedene Plattformen abzielen. Aber die Angriffe werden auch gezielter: So haben die Experten eine Verschiebung von hochvolumigen und Spray-and-Pray-Modellen hin zu einem fokussierteren "Stay and Play"-Modell beobachtet, bei dem sich die Betreiber Zeit nehmen, um die Opfer und ihre Netzwerke kennenzulernen, und einem traditionelleren Ansatz zur Netzwerkpenetration folgen.
Daneben wurde auch beobachtet, dass Erpressersoftware nicht nur auf Microsoft
Windows, Apple macOS und mobilen Betriebssystemen, sondern jetzt auch auf Linux abzielt.
Unterdessen braucht es auch kaum noch ausgefeiltes technisches Verständnis, um Ransomware einzusetzen. Denn Angriffe lassen sich ganz einfach mieten. Denn Angreifer wissen, dass Ransomware, insbesondere das auf Abonnements basierende Modell «Ransomware as a Service» (RaaS), einfach auszuführen, äußerst effektiv und potenziell profitabel ist – sowohl durch direkte Zahlungen als auch durch den Verkauf wertvoller Informationen.
Das RaaS-Modell ermöglicht es zudem sogenannten Affiliates, vorhandene Ransomware-Software zur Durchführung von Angriffen zu nutzen und so einen Anteil an jeder erfolgreichen Lösegeldzahlung zu verdienen.
Trend zur doppelten Erpressung
Ein üblicher Ransomware-Angriff besteht darin, dass der Ransomware-Betreiber Daten verschlüsselt und das Opfer zur Zahlung eines Lösegelds zwingt, um sie zu entsperren. Doch dies reicht vielen Cyberkriminellen nicht mehr. Sie wollen noch mehr absahnen und greifen daher zum Mittel der doppelten Erpressung.
Bei einer doppelten Erpressung verschlüsseln und stehlen die Ransomware-Betreiber Daten, um das Opfer weiter zu zwingen, ein Lösegeld zu zahlen. Wenn das Opfer das Lösegeld nicht zahlt, veröffentlichen die Ransomware-Betreiber die Daten auf einer Leak-Site oder einer Dark-Web-Domain, wobei die meisten Leak-Sites im Dark Web gehostet werden.
Und das Vorgehen scheint Schule zu machen. Denn mindestens 16 verschiedene Ransomware-Varianten drohen unterdessen damit, Daten preiszugeben oder Leak-Sites zu nutzen, und weitere Varianten werden diesen Trend wahrscheinlich fortsetzen. Einige Ransomware-Betreiber beweisen ihr Wissen über die Netzwerkumgebung eines Opfers zusätzlich, indem sie die Daten in Form von Verzeichnissen oder Dateibäumen anzeigen.
Mehrere Ransomware-Familien, wie NetWalker, RagnarLocker, DoppelPaymer und viele andere, haben ihre Fähigkeit zur Exfiltration von Daten und zur Verwendung doppelter Erpressungstechniken gezeigt. Die Ransomware-Familie, die sich diese Taktik am häufigsten zunutze machte, war NetWalker. Von Januar 2020 bis Januar 2021 ließ NetWalker Daten von 113 Opferorganisationen weltweit durchsickern und übertraf damit andere Ransomware-Familien bei weitem. RagnarLocker lag an zweiter Stelle und ließ Daten von 26 Opfern weltweit durchsickern.Daten gehostet wurden, ist nicht mehr zugänglich.
Die Zukunft von Ransomware
Anhand der Aktivitäten im Jahr 2020 und der weiter zurück liegenden Zeit haben die Palo-Alto-Experten eindeutige Trends identifiziert. Diese sind:
- Trend zum Ransomware-as-a-Service-Modell: Die Leichtigkeit, mit der Ransomware-Angriffe erfolgreich sind, lässt vermuten, dass immer mehr finanziell motivierte Betreiber auf der Bildfläche erscheinen werden. Angreifer aller Art sind ständig auf der Suche nach Unternehmen, die sie ins Visier nehmen können, und sie wissen, dass Ransomware nicht nur effektiv ist, sondern auch mit geringem Aufwand verbunden sein kann, insbesondere, wenn sie das Ransomware-as-a-Service-Modell nutzen. Die Forscher gehen davon aus, dass immer mehr Betreiber diesem Modell folgen werden, um Geld zu erpressen.
- Zunahme von Varianten und Fähigkeiten: Einige der am weitesten verbreiteten Ransomware-Familien, die im Jahr 2020 beobachtet wurden, waren weniger als ein Jahr alt. Es werden weiterhin neue und aktualisierte Ransomware-Varianten entwickelt und eingesetzt, die als eigenständige Malware oder zusammen mit herkömmlicher Malware verwendet werden. Da Linux immer häufiger zum Ziel von Ransomware wird, ist es klar, dass Angreifer weiterhin die Fähigkeit entwickeln werden, alle Arten von Systemen anzugreifen.
- Mehr Profit durch doppelte Erpressung: "Proof of Compromise"- und doppelte Erpressungstechniken waren zu Beginn des Jahres 2020 ebenfalls weniger als ein Jahr alt, aber sie sind jetzt laut den Experten von Palo Alto in ihrer Popularität explodiert. Mindestens 16 verschiedene Ransomware-Varianten drohen nun damit, Daten preiszugeben oder Leck-Seiten zu nutzen, und weitere Varianten werden diesen Trend wahrscheinlich fortsetzen. In diesem Sinne wird auch die Nutzung von Tor und anderen anonymen Diensten weiter zunehmen. Die Verwendung von anonymen Diensten erschwert es Sicherheitsforschern und Strafverfolgern, Aktivitäten zu verfolgen und Indikatoren zu identifizieren, die zur Netzwerkverteidigung genutzt werden können.
- Steigende Lösegeld-Forderungen: Die höchste Lösegeldforderung ist in nur wenigen Jahren von 500 US-Dollar auf mehr als 30 Millionen US-Dollar gestiegen und hat sich allein von 219 bis 2020 verdoppelt von 15 auf 30 Millionen US-Dollar. Solange die Angreifer weiterhin bezahlt werden, werden diese Forderungen weiter steigen. Nur sehr wenige Betreiber stellen Lösegeldforderungen in anderen Formen als virtueller Währung, wobei sie in der Regel Bitcoin bevorzugen, obwohl in mehreren von den Forschern beobachteten Vorfällen auch Monero gefordert wurde.