Report: Ransomware-Opfer haben letztes Jahr 600 Millionen Dollar bezahlt

11. Februar 2022, 13:05
  • security
  • ransomware
  • studie
  • cybercrime
image
Foto: Sharon McCutcheon / Unsplash

Eine Analyse der Ransomware-Bande Revil zeigt auf, wie raffiniert der Markt für Cybererpressung mittlerweile aufgebaut ist.

Die Ransomware-Bande Revil war äusserst erfolgreich: Den Kriminellen werden unter anderem die spektakulären Angriffe auf den Lebensmittelkonzern JBS Foods und auf den Managed-Service-Provider Kaseya zugeschreiben. Der jährliche Umsatz der Bande soll rund 100 Millionen Dollar betragen haben, das entspräche einem Ransomware-Marktanteil von 16,5%. Dies zumindest schreiben Security-Experten von Bitdefender in einer Analyse.
Die Gruppe erschien laut dem Bericht 2019 als Nachfolger der Malware Gandcrab auf der Bildfläche. Mittlerweile ist sie Geschichte: Im November 2021 wurden in einer von Europol koordinierten Aktion mehrere Beteiligte des umfassenden Revil-Ökosystems verhaftet. Im Januar 2022 folgte dann der nächste Schlag: Russische Strafverfolger nahmen 14 mutmassliche Mitglieder von Revil in Gewahrsam. Schon 2021 soll die Bande weniger als 50 Millionen Dollar eingetrieben haben, wie eine Analyse der Firma Chainalysis zeigt. Zwischen Juli und September war sie offline gegangen, mutmasslich um der Strafverfolgung zu entgehen.

Ein komplexes kriminelles Geflecht

Dominiert wurde der Markt letztes Jahr von Conti. Die Gang hat vom 600-Milliarden-Geschäft rund 180 Millionen Dollar einstreichen können, wie eine Analyse von Chainalysis zeigt. Conti betreibt wie einst Revil ein Ransomware-as-a-Service-Geschäft. Dabei mieten Partner Tools und Services der Kernbande. Dafür bezahlen sie entweder einen fixen Betrag oder beteiligen die Vermieter am Lösegeld. Das macht die Landschaft unübersichtlich, da sich grosse flexible Ökosysteme herausbilden. 2021 sollen etwa 16% des Lösegelds an Anbieter von Tools und Services geflossen sein.

2021 hat Chainalysis rund 140 aktive Ransomware-Stämme ausgemacht, an deren Betreiber Lösegeld überwiesen wurde. Zugleich war die Lebensdauer der jeweiligen Software mit durchschnittlich 60 Tagen so kurz wie noch nie. Die jeweiligen Banden treten nach dem Lebensende oft unter neuem Namen und mit modifizierter Malware auf, um die Strafverfolgung zu erschweren.

Die "Geschäftsleute" von Revil

Für Revil hat nun Bitdefender eine Analyse vorgelegt: Laut dem Bericht sollen neben 10 Kernmitgliedern bis zu 60 Partner an Aktionen beteiligt gewesen sein. Im Ransomware-as-a-Service-Modell erhielten Letztere demnach bis zu 80% des Lösegelds. Ein grosser Teil des Gewinns soll ins Geschäft reinvestiert worden sein: So wurden hochspezialisierte Informatiker angeworben und die Tools weiter verfeinert.
Revil zeigt einmal mehr eindrücklich, wie professionell das kriminelle Handwerk der Cybererpressung mittlerweile betrieben wird. Laut Bitdefender hat die Bande nicht nur verschiedene IT-Rollen beschäftigt, sondern auch ein Support-Portal für die Opfer betrieben: Dort konnten diese Unterstützung erhalten, um den TOR-Browser benutzen oder Kryptowährung zu erwerben, mit der die Forderungen von Revil zu begleichen war.
Die Kriminellen sahen sich als Geschäftsleute: So garantierten sie ihren Opfern, die sie personalisiert ansprachen, eine 100-prozentige Wiederherstellung ihrer Daten. Wollten diese aber nicht bezahlen, wurde stufenweise eskaliert: Übte die Verschlüsselung der Daten nicht genügend Druck aus, drohten die Angreifer mit Meldung an Datenschutzbehörden, dann veröffentlichten sie geklaute Informationen, schliesslich folgten DDoS-Angriffe auf die Opfer und deren Partner.
Mittlerweile sind auch weitere Manöver dazu gekommen: So erpressen Cyberbanden teilweise Kunden von Opfern mit den Daten aus einem Hack. Angesichts der hohen Dynamik des Systems und der immensen Profite der Banden, ist zu befürchten, dass damit noch längst nicht das Ende der Fahnenstange erreicht ist.

Loading

Mehr zum Thema

image

Slack gibt Passwort-Fehltritt zu

Fünf Jahre lang hätten böswillige Angreifer unter Umständen Passwörter abgreifen können.

publiziert am 9.8.2022
image

IT-Security: Personalmangel ist das Problem, nicht das Geld

Laut einer internationalen Umfrage sehen Security-Verantwortliche nur bei jedem 10. Unternehmen Probleme wegen des Security-Budgets.

publiziert am 8.8.2022
image

Wie es zur Warnung vor Kaspersky kam

Dokumente des deutschen Amtes für Cybersicherheit stützen die Position von Kaspersky. Der Security-Anbieter kritisierte die BSI-Warnung als politischen Entscheid.

publiziert am 5.8.2022
image

Microsoft liefert neue Daten an SOCs

Die Redmonder erweitern ihr Security-Portfolio und geben Unternehmen neue Einblicke in die Bedrohungslage, Cyber-Crime-Banden und deren Tools.

publiziert am 4.8.2022