Ransomware: Lösegeld-Forderungen haben sich verfünffacht

9. August 2021, 12:49
  • security
  • studie
  • cybercrime
  • palo alto
image

Die Erpresser fordern immer mehr, Opfer zahlen immer mehr, sagt die Forschungsabteilung von Palo Alto Networks.

Das vergangene Jahr war nicht nur das Jahr der grossen Covid-Epidemie. Gleichzeitig grassierte auch eine Ransomware-Epidemie. Natürlich kann man die Schwere der Auswirkungen der Ransomware-Epidemie nicht mit denen der Corona-Pandemie vergleichen. Aber für betroffene Unternehmen und Organisationen ist ein Angriff trotzdem schmerzhaft. Und im Gegensatz (hoffentlich) zur Covid-Epidemie, intensiviert sich die Ransomware-Epidemie immer noch kontinuierlich. Die Angriffe auf Unternehmen werden nicht nur immer häufiger, auch die Forderungen der Erpresser sowie die tatsächlich gezahlten Lösegelder steigen rasant.
Unit 42, die Security-Research- und -Consulting-Abteilung von Palo Alto Networks, belegt dies anhand einer Analyse von einigen Dutzend Ransomware-Fällen, mit denen sich Unit-42-Consultants im 1. Halbjahr 2021 beschäftigten. Im vergangenen Jahr 2020 forderten die Ransomware-Banden laut Unit 42 nach einem erfolgreichen Angriff im Durchschnitt 847'000 Dollar von den Opfern. In des ersten sechs Monaten dieses Jahres waren es bereits 5,3 Millionen Dollar. Das ist mehr als 5 mal mehr. Das höchste geforderte Lösegeld waren 50 Millionen Dollar.
Palo Alto nennt den Namen des betroffenen Unternehmens nicht, aber es könnte sich um den Apple-Zulieferer Quanta handeln. Dieser wurde im April 2021 von der Ransomware-Bande Revil angegriffen.
Die durchschnittlich tatsächlich gezahlten Lösegelder liegen deutlich tiefer. Viele Opfer zahlen gar nicht, und in manchen Fällen senken die Angreifer auch ihre Forderungen, nachdem ihre Opfer Verhandlungen aufgenommen haben. Aber auch die gezahlten Lösegelder steigen. In den von der Unit 42 untersuchten Fällen wurde im 1. HJ 2021 im Schnitt 570'000 Dollar bezahlt, 82% mehr als 2020. Schon 2020 waren die durchschnittlichen Lösegeldzahlungen im Vergleich zu 2019 um 171% hochgeschnellt.
Das höchste bezahlte Lösegeld, das öffentlich bekannt wurde, waren 2021 bisher die 11 Millionen Dollar, die der Fleischproduzent JBS herausrückte

Neue Methoden, noch mehr Druck

Um ihre immer höher steigenden Forderungen durchzusetzen, versuchen die Ransomware-Angreifer, den Druck auf ihre Kunden noch weiter zu verstärken, indem sie neue Methoden anwenden. Im Laufe des vergangenen Jahres wurden Ransomware-Angriffe immer mehr zur doppelten Bedrohung. Professionelle Ransomware-Banden dringen meist schon lange, bevor sie mit der Verschlüsselung von Files beginnen, in die Systeme ihrer Opfer ein, um sich dort umzuschauen. Ende 2019 und verstärkt 2020 begannen sie damit, in dieser Vorbereitungszeit auch vertrauliche Daten zu kopieren. Nach dem eigentlichen Verschlüsselungsangriff drohten sie nun den Opfern auch oft damit, diese Daten im Darknet zu veröffentlichen oder zu verkaufen.
In 1. HJ 2021, so Unit 42, haben die Banden nun zu zwei weiteren Druckmitteln gegriffen, die meist dann eingesetzt werden, wenn ihre Opfer nicht schnell nachgeben. Erstens kontaktieren sie Kunden und Partner und sogar Medien und informieren sie über den Hack. Damit sollen die betroffenen Unternehmen einerseits der Lächerlichkeit preisgegeben werden, und zweitens wird Panik gesät, dass auch die Systeme von Kunden und Partnern kompromittiert worden sein könnten.
Ein zweites neues Mittel um Opfer in die Knie zu zwingen, sind DoS-Angriffe. An sich natürlich nichts neues, aber nun greifen auch Ransomware-Banden zusätzlich zu diesem Mittel, um das Chaos bei den Betroffenen noch zu verstärken.
Insgesamt nennt Unit 42 diese Kombination von Druckmethoden "Quadruple Threat", auch wenn es noch selten sei, dass ein Unternehmen gleich mit allen 4 Erpressungsmethoden konfrontiert wird.

Und nun?

In Zukunft, so sagt Unit 42 voraus, werden die Ransomware-Gruppen auch nach neuen Techniken suchen, mit denen sie die ICT-Systeme ihrer Opfer noch stärker schädigen können, als "nur" mit den bisher eingesetzten Verschlüsselungstools. Zum Beispiel habe man seit kurzem erste Versuche beobachtet, Hypervisoren zu verschlüsseln. Dadurch könnten mehrere virtuelle Instanzen, die auf dem gleichen Server laufen, korrumpiert werden. Man erwarte, so Unit 42, dass in den kommenden Monaten solche Angriffe und generell Angriffe auf Managed Infrastructure Software zunehmen werden. Ebenfalls zu erwarten seien vermehrte Angriffe auf Managed Service Provider und deren Kunden.

Loading

Mehr zum Thema

image

Wie es zur Warnung vor Kaspersky kam

Dokumente des deutschen Amtes für Cybersicherheit stützen die Position von Kaspersky. Der Security-Anbieter kritisierte die BSI-Warnung als politischen Entscheid.

publiziert am 5.8.2022
image

Microsoft liefert neue Daten an SOCs

Die Redmonder erweitern ihr Security-Portfolio und geben Unternehmen neue Einblicke in die Bedrohungslage, Cyber-Crime-Banden und deren Tools.

publiziert am 4.8.2022
image

Bern ist weltweit der beste Ort für Tech-Karrieren – noch vor Zürich

In einem neuen City-Ranking der globalen Hotspots für ICT-Jobs liegen die beiden Schweizer Städte an der Spitze. In Zürich lässt sich nur knapp weniger verdienen als in San Francisco.

publiziert am 3.8.2022
image

Bund beschafft zentrale Bug-Bounty-Plattform

Das NCSC leitet die künftigen Programme, Bug Bounty Switzerland liefert und verwaltet die Plattform.

publiziert am 3.8.2022