Unit 42 Ransomware Threat Report
Ransomware-Zahlungen auf neuem Höchststand
Die Höhe der von Unternehmen gezahlten Ransomware-Lösegelder hat sich im ersten Halbjahr 2021 gegenüber 2020 fast verdoppelt: Der Wert liegt nun laut dem aktuellen Ransomware Threat Report von Palo Alto Networks’ Security-Forschungstruppe Unit 42 bei 570.000 Dollar, ein Plus von 82 Prozent im Vergleich zu den 312.000 Dollar des Vorjahres. Kriminelle nutzen zugleich immer aggressivere Taktiken, um Unternehmen zur Zahlung der Lösegelder zu nötigen.
Der Report bestätigt: Die Ransomware-Krise verschärft sich weiter, da kriminelle Gruppen ihre Investitionen in das hochprofitable Ransomware-Geschäft erhöhen. Als neuen, beunruhigenden Trend beschreiben die Security-Forscher eine Entwicklung, die sie „vierfache Erpressung“ nennen und bei der Bearbeitung von Dutzenden Ransomware-Fällen in der ersten Hälfte des Jahres 2021 festgestellt haben. Die Betreiber von Ransomware verwenden laut Unit 42 inzwischen häufig bis zu vier Taktiken, um ihre Opfer zur Zahlung zu nötigen:
- Verschlüsselung: Die Opfer zahlen, um wieder Zugriff auf verschlüsselte Daten und kompromittierte Computersysteme zu erhalten – das „Kerngeschäft“ von Ransomware-Gangs.
- Datendiebstahl: Angreifer geben sensible Informationen frei, wenn kein Lösegeld gezahlt wird. Dieser Trend zur „doppelten Erpressung“ hat letztes Jahr richtig Fahrt aufgenommen, LANline berichtete.
- Denial of Service (DoS): Ransomware-Banden starten DoS-Angriffe, die Websites des betroffenen Unternehmens lahmlegen, wenn die Lösegeldzahlung ausbleibt.
- Belästigung: Cyberkriminelle kontaktieren Kunden, Geschäftspartner, Mitarbeiter und Medien, um ihnen mitzuteilen, dass das Unternehmen gehackt wurde.
Zwar komme es selten vor, dass ein Unternehmen Opfer aller vier Techniken wird, doch man habe dieses Jahr vermehrt beobachtet, dass Ransomware-Banden zusätzliche Maßnahmen ergreifen, wenn die Opfer nach der Verschlüsselung und dem Datendiebstahl nicht zahlen, so die Security-Forscher. Mit der Einführung dieser neuen Erpressungsmethoden seien die Ransomware-Banden noch gieriger geworden: Bei den Dutzenden Fällen, die Unit 42 im ersten Halbjahr 2021 untersucht hat, lag die durchschnittliche Lösegeldforderung bei 5,3 Millionen Dollar. Das ist mehr als eine Versechsfachung gegenüber 2020, als der Durchschnitt noch bei 847.000 Dollar lag.
Die höchste Lösegeldforderung eines einzelnen Opfers, die die Unit-42-Analysten beobachtet haben, lag bei 50 Millionen Dollar – das war die „Sammelforderung“ der REvil-Gruppe nach dem Angriff auf Kaseya, die zunächst kurzfristig sogar 70 Millionen Dollar haben wollte. Letztes Jahr betrug der Höchstwert noch 30 Millionen Dollar. Kaseya erhielt laut Unit 42 schließlich einen universellen Entschlüsselungsschlüssel, aber es sei unklar, ob und welche Zahlungen geleistet wurden. Die höchste bestätigte Zahlung war mit elf Millionen Dollar jene des Fleischverarbeitungskonzerns JBS.
Unit 42 geht davon aus, dass die Ransomware-Krise in den kommenden Monaten weiter an Dynamik gewinnen wird, da die Kriminellen ihre Taktiken weiter verfeinern, um die Opfer zur Zahlung zu zwingen, und neue Ansätze entwickeln, um die Angriffe noch schädlicher zu gestalten. So habe die Angreiferseite inzwischen damit begonnen, den Hypervisor zu verschlüsseln, um mehrere virtuelle Instanzen gleichzeitig unbrauchbar zu machen, die auf einem Server laufen.
Man erwarte, so die Security-Forscher weiter, dass die Lösegelder weiter steigen werden, gehe aber zugleich davon aus, dass sich einige Banden weiterhin auf das untere Ende des Marktes konzentrieren und regelmäßig kleine Unternehmen ins Visier nehmen, die nicht über die Ressourcen verfügen, um viel in die Cybersicherheit zu investieren. Dieses Jahr habe man bereits Gruppen wie NetWalker, SunCrypt und Lockbit beobachtet, die Zahlungen in Höhe von 10.000 bis 50.000 Dollar forderten und erhielten. Auch eine Zahlung in dieser vergleichsweise niedrigen Größenordnung könne für ein kleines Unternehmen verheerende Folgen haben, warnen die Security-Forscher.
Lesen Sie mehr zum Thema
