Ransomware: Erpresser werden gieriger, Angriffe raffinierter

Ransomware ist bereits seit einigen Jahren in aller Munde. Und die Verschlüsselungs-Malware bleibt weiterhin Cyber-Gefahr Nummer eins, wie das Deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) kürzlich festhielt.
 
Auch in der Schweiz sind Angriffe gefürchtet. Ende letztes Jahr wurden Datensätze der Stadt Uster bei einem Angriff mit "GandCrab" verschlüsselt. Im Februar erwischte es den Baarer Cloud-Provider Meta10. Und momentan wird darüber spekuliert, ob die IT-Probleme des Frauenfelder Fahrzeugbauers Aebi Schmidt auf einen Angriff mit Ransomware zurückzuführen seien.
 
Nun gibt es schlechte News von der Ransomware-Front: Mit dem Angriff kommt in aller Regel auch eine Forderung von Lösegeld, mit dem Versprechen Opfer könnten den Betrag bezahlen und ihre verschlüsselten Daten wiedererlangen. Die durchschnittliche Höhe ebendieses Lösegelds hat sich innert kürzester Zeit nahezu verdoppelt. Hat es im letzten Quartal 2018 noch 6700 Dollar betragen, musse man nun im Schnitt beinahe 13'000 Dollar bezahlen. Dies geht aus einer aktuellen Untersuchung der Cyber-Security-Firma Coveware hervor.
 
Die Forscher führen diese Entwicklung darauf zurück, dass mittlerweile raffiniertere und gefährlichere Malware wie Ryuk, Bitpaymer und Dharma im Umlauf seien. Denn diese würden nun häufig – statt via Phishing-Email massenhaft versandt zu werden – in gezielten Attacken eingesetzt. Im Falle von Ryuk-Angriffen hat Coveware eine durchschnittliche Forderung von fast 290'000 Dollar errechnet.
 
Auch die durch Ransomware verursachten Störungen haben sich laut Coveware deutlich verlängert: Waren es 2018 noch 6,2 Tage, dauern sie nun rund 7,3 Tage im Schnitt. Dies wird in der Untersuchung damit begründet, dass raffiniertere Malware die Entschlüsselung erschwert. Die Downtime koste die Opfer im Schnitt mittlerweile fast
Die häufigsten Ransomware-Typen waren im letzen Quartal Dharma, GanCrab und Ryuk. Grafik: Coveware
65'000 Dollar.
 
Behörden empfehlen, dass man das Lösegeld nicht bezahlt. Nun schreibt Coveware, dass Opfer im ersten Quartal 2019 in 96 Prozent der Fälle tatsächlich ein Entschlüsselungstool erhalten hätten, wenn das Geld bezahlt worden sei. Damit konnten offenbar 93 Prozent der verschlüsselten Daten auch wiederhergestellt werden.
 
"Wir sind der Meinung, dass die meisten Ransomware-Distributoren wirtschaftlich rational handeln und ihre Operationen wie Unternehmer führen, die sich um ihren Ruf kümmern", sagt Bill Siegel, CEO und Mitbegründer von Coveware, zu 'ZDNet'. Es wäre geschäftsschädigend, wenn auskommen würde, dass die Erpresser ihren Teil der "Abmachung" nicht einhalten würden.
 
Allerdings sei hier nachgeschoben, dass die Bezahlung von Lösegeld in jedem Fall die Kriminellen zu weiteren Taten ermutigt. Und man sendet das Signal, dass man selbst zu bezahlen bereit ist. (ts)