Im ersten Halbjahr 2024 verzeichnete Falconfeeds.io für Europa 3529 DDoS-Attacken, 677 Opfer von Ransomware-Angriffen und 695 Data Breaches. Die Monitoring-Plattform der Security-Firma Technisanct wertet für ihre Analysen verschiedene Quellen wie Darkweb-Seiten von Ransomware-Banden, Einträge in Hacker- und Leak-Foren sowie andere Kanäle von Cyberkriminellen aus.

Laut der Analyse waren Spanien und die Ukraine die meist angegriffenen Länder, gefolgt von Grossbritannien, Italien, Frankreich und Deutschland. Aber wie sieht die Lage in der Schweiz aus? Das Unternehmen hat für inside-it.ch die Zahlen für den Zeitraum zwischen dem 1. Januar und dem 13. August 2024 aufgeschlüsselt.

Falconfeeds.io registrierte 118 Cyberangriffe in der Schweiz. Dazu gehören 49 DDoS-Angriffe, 22 Ransomware-Vorfälle und 21 Data-Breaches. Die am stärksten betroffenen Branchen sind Konsumgüter und Dienstleistungen, Behörden und öffentlicher Sektor, Technologie und IT-Dienstleistungen sowie Transport und Logistik.

In der Schweiz seien Cyberangriffe im Vergleich zu grösseren europäischen Ländern weniger häufig, würden aber einen höheren Anteil an DDoS-Angriffen aufweisen, erklärt Technisanct-CEO Nandakishore Harikumar auf Anfrage. Für die DDoS-Häufung seien nicht zuletzt politische Motive und Ereignisse wie die Ukraine-Friedenskonferenz auf dem Bürgenstock im Juni verantwortlich. Die prorussische Gruppe Noname fällt in diesem Zusammenhang besonders auf. Sie wird von Falconfeeds für 1331 DDoS-Attacken in Europa seit Jahresbeginn verantwortlich gemacht, die hauptsächlich auf Regierungsstellen, öffentliche Verwaltungen und kritische Infrastrukturen abzielten.

Bei den Ransomware-Banden verzeichnen 8Base, Lockbit und Black Basta im untersuchten Zeitraum die meisten Schweizer Opfer. Zu diesen gehörten unter anderem im April die Medtech-Firma Mikrona (8Base) und die BKW-Tochter Swisspro (Black Basta). "Am stärksten betroffen von diesen Ransomware-Angriffen in der Schweiz waren die Sektoren Bauwesen, Business und Professional Services sowie Fertigung und Industrie", erklärt Harikumar. Die Cyber-Vorfälle hierzulande seien vielfältig und neben den DDoS-Attacken primär durch Noname habe man auch bei den Ransomware-Angriffen einen Anstieg verzeichnet.

Lockbit bleibe trotz internationaler Störungsbemühungen die führende Ransomware-Gruppe, hält er fest. "Nach einer vorübergehenden Unterbrechung durch die Operation Cronos von Polizeibehörden im Februar 2024 hat sich die Gruppe schnell wieder erholt und zielt weiterhin auf kritische Sektoren wie die verarbeitende Industrie, das Gesundheitswesen sowie Transport und Logistik ab." Durch die Nutzung des Modells Ransomware-as-a-Service könne die Gruppe ein hohes Aktivitätsniveau aufrechterhalten, was für die Strafverfolgungsbehörden eine ständige Herausforderung darstelle.

Die Widerstandsfähigkeit von Lockbit verdeutliche, wie schwierig es sei, gegen gut etablierte cyberkriminelle Netzwerke vorzugehen. Eine weitere Erkenntnis der letzten Monate ist, dass Cyberkriminelle häufiger verschiedene Hackerforen nutzen, um Breaches zu veröffentlichen sowie Datensätze und Zugänge zu verkaufen. Eine hohe Aktivität verzeichnen vor allem Breachforums und das Exploit-Forum, gefolgt von Xss und Leakbase.

"Darüber hinaus unterstreicht das schiere Volumen der DDoS-Angriffe, die andere Arten von Angriffen bei weitem übertrafen, die zunehmende Nutzung von DDoS als Mittel zur Störung, insbesondere bei wichtigen politischen Ereignissen", so der Technisanct-CEO.