Als Teil seines diesjährigen "State of Cyber Security"-Berichts analysiert der Security-Software-Anbieter Check Point einen auffälligen neuen Trend in der Ransomware-Szene. Anfänglich bestand das Geschäft der Ransomware-Banden darin, Daten der Opfer zu verschlüsseln und Lösegeld für die Herausgabe eines Schlüssels zur Wiederherstellung der Daten zu verlangen. Vor einigen Jahren entstand dann der neue Trend der "Doppelten Erpressung": Die Kriminellen verschlüsselten Daten nicht nur, sie kopierten auch vertrauliche Informationen aus den Systemen der Opfer und drohten mit deren Veröffentlichung oder Verkauf.

Vor allem seit dem letzten Jahr, so Check Point, tauchen nun aber immer mehr Akteure auf, die die Verschlüsselung ganz sein lassen, und nur noch mit der Veröffentlichung von gestohlenen Daten drohen. Dieser Trend, glaubt Check Point, werde sich in Zukunft noch verstärken.

Ransomware-Banden mögen skrupellos sein, aber sie handeln meist rational, um ihre Profite zu maximieren und ihr Risiko zu senken. Wie Check Point analysiert, gibt es sowohl technische als auch wirtschaftliche Gründe für den Verzicht auf Verschlüsselung. Diese verursacht beispielsweise, verglichen mit dem reinen Datenklau, viel mehr "Lärm" in einem geknackten Netzwerk. Dies erhöht die Gefahr, dass ein Angriff entdeckt und verhindert wird. Noch entscheidender dürfte es für die Banden sein, dass der "Customer Support" für mehrere Opfer gleichzeitig wie auch das Management der zugehörigen Schlüssel zur Datenwiederherstellung komplex und aufwendig sind, was Kosten mit sich zieht.

Auch Banden, die keine eigene Ransomware-Plattform betreiben, und die Malware sowie das Schlüsselmanagement einem Ransomware-as-a-Service-Anbieter überlassen, müssen für diese Kosten aufkommen.

Die gleichbleibenden oder sogar steigenden Kosten für Verschlüsselungsangriffe stehen tendenziell sinkenden Einkünften gegenüber. Wenn beim Schlüsselmanagement Fehler passieren und Opfer, die das Lösegeld bezahlt haben, die falschen Schlüssel erhalten, beschädigt dies die Reputation einer Cybercrime-Gruppierung. Wenn Opfer ihre Daten auch nach einer Lösegeldzahlung nicht wiederherstellen können, sind andere Opfer weniger bereit zu zahlen.

Zudem haben auch immer mehr Unternehmen und Behörden laufend aktualisierte und vor Ransomware geschütze Backup-Systeme für die relativ schnelle Wiederherstellung von Daten. Auch dies vermindert die Bereitschaft, Lösegelder zur Entschlüsselung von Unternehmensdaten zu bezahlen.

Laut Zahlen von Chainalysis ist das Gesamtvolumen der globalen Lösegeldzahlungen im vergangenen Jahr um mehr als ein Drittel auf 813 Millionen US-Dollar gesunken. Dies liege auch am Rückgang der Zahlungsbereitschaft von Opfern, deren Daten verschlüsselt wurden. Gemäss der Security-Firma Coveware haben demnach im Jahr 2019 noch 75% der Opfer bezahlt. Im dritten Quartal 2024 seien es dagegen nur noch 32% gewesen.

Der Anteil der Opfer, die Lösegeld bezahlen, um die Veröffentlichung ihrer vertraulichen Daten zu verhindern, sei hingegen in den letzten Jahren konstant bei rund 35% geblieben. Insgesamt mache es daher für Ransomware-Banden Sinn, nur noch mit der Datenveröffentlichung zu drohen und die Verschlüsselung wegzulassen. Ihr Umsatz sinkt dadurch zwar, aber sie können mit einer höheren Gewinnmarge rechnen.

Ein weiterer Vorteil für die Kriminellen, so Check Point, sei es, dass sie bei einer reinen Datenexfiltration normalerweise viel weniger Spuren hinterlassen. Dies erschwert eine Identifikation und macht es oft auch schwierig zu ermitteln, ob nur eine oder sogar mehrere Hackergruppen gleichzeitig in einem Netzwerk aktiv waren.

Unternehmen und Behörden, so das Fazit von Check Point, sollten deshalb in Zukunft vermehrt auf Data-Leak-Prevention-Strategien setzen und fortschrittliche Systeme zur Überwachung ihrer Netzwerke und zur Entdeckung von Eindringlingen installieren, um ihren Schutz weiter zu verbessern.