Ransomware-Attacken zurück im Geschäft

Doch keine Sommerpause: Nach einem leichten Rückgang zu Beginn des Jahres hat die Zahl der Ransomware-Angriffe im zweiten Quartal 2022 erneut zugelegt. Die Attacken auf Deutschland nahmen sogar um zwei Drittel zu.

Die Vereinigten Staaten blieben mit 38,9 % aller Opfer von Ransomware-Angriffen die am häufigsten betroffene Nation. Im Vergleich zum ersten Quartal 2022 stieg die Zahl der Opfer in diesem Land um 35,6 %. Die USA werden wahrscheinlich auch in den kommenden Quartalen die am häufigsten angegriffene Nation bleiben, da sie als die profitabelste Region für Ransomware-Gruppen gilt.

Den zweiten Platz belegt Deutschland (plus 66,7 % gegenüber Q1 2022), dicht gefolgt vom Vereinigten Königreich (plus 16,2 %), Italien (plus 6,7 %), Kanada (plus 50 %) und Frankreich (plus 26,1 %).

Die Ransomware-Gruppe LockBit stellte im zweiten Quartal 2022 einen neuen Rekord auf und veröffentlichte unter dem Slogan „Make Ransomware Great Again!“ eine verbesserte Version ihrer Ransomware-as-a-Service. Das zeigt die vierteljährliche Analyse von Digital Shadows mit dem Titel „Ransomware back in Business“.

Der Threat Intelligence-Anbieter beobachtet täglich über 88 verschiedene Data Leak Sites (DLS), auf denen mit der Veröffentlichung von Ransomware-Daten gedroht wird. Im Zeitraum von April bis Juni zählten die Analysten dort insgesamt 705 gelistete Unternehmen und Organisationen, das sind 21% mehr als noch im Quartal zuvor. Sollte sich dieser Aufwärts-Trend in den nächsten Monaten fortsetzen, könnte 2022 zum neuen Rekordjahr in Sachen Ransomware werden.

Dabei haben es die Angreifer insbesondere auf kritische Sektoren und Infrastrukturen (KRITIS) abgesehen. Der Technologiesektor verzeichnete einen Anstieg der Angriffe um 118%. Das Gesundheitswesen wurde im Vergleich zum letzten Quartal mehr als doppelt so oft attackiert (137%). Und staatliche Einrichtungen sahen sich insgesamt 56% mehr Angriffen ausgesetzt. Doch auch in andere Branchen gab es in den letzten drei Monaten keine Atempause: Die fertigende Industrie sowie der Dienstleistungssektor gehören mit 18% weiterhin zu den am häufigsten von Ransomware betroffenen Branchen. Dahinter folgt der Technologiesektor (9%), die Bauwirtschaft (8%), das Gesundheitswesen (6%) sowie Behörden (6%).

Der Anstieg an Ransomware-Attacken ist auf eine insgesamt höhere Aktivität der kriminellen Gruppen zurückzuführen. Bemerkenswert umtriebig waren unter anderem die Angreifer rund um Alphv (+118%) und Vice Society (+100%). Spitzenreiter bleibt allerdings LockBit, die mit überwältigenden Vorsprung die Liste der erfolgreichsten und damit gefährlichsten Ransomware-Akteure anführen. In Q2 2022 zählte die Gruppe mehr als dreimal so viele Opfer wie jede andere Initiative und stellte mit 231 erfolgreichen Angriffen einen neuen Rekord auf. Damit geht ein Drittel (33%) aller Ransomware-Fälle, die Digital Shadows auf DLS beobachtete, auf das Konto von LockBit. Die Zahl der Opfer insgesamt nähert sich stetig, aber sicher der 1.000 Marke.

Parallel zu LockBit 3.0 stellte die Gruppe eine neue Data Leak Site im Darknet vor – mit neuen Services für betroffene Unternehmen. So sind Lösegeldzahlung dort zukünftig auch in Form der Kryptowährung Zcash möglich. Zudem können Ransomware-Opfer zwischen zwei Optionen wählen: Entweder sie zahlen sofort für die Vernichtung ihrer gestohlenen Daten oder sie verlängern ihre Zahlungsfrist um 24 Stunden. Damit hat die Professionalisierung rund um Ransomware ein neues Level an Absurdität erreicht.

Es gab jedoch in den letzten Monaten auch eine gute Nachricht: Im Mai kündigte die Ransomware-Gang Conti an, sämtliche Aktivitäten einzustellen. Der Grund für das Ende ist nicht bekannt, steht aber mit großer Wahrscheinlichkeit im Zusammenhang mit einem internen Leak im April. Eine anonyme Quelle veröffentlichte via über 60.000 Chats, die einen tiefen Einblick in die Techniken, Taktiken und Prozeduren (TTP) sowie die Organisation von Conti liefern. Die Gruppe zählte seit Mitte 2020 zu den erfolgreichsten Akteuren im Ransomware-Bereich. Noch im zweiten Quartal verzeichnete Digital Shadows über 50 Opfer auf der Conti.News-Seite, was der Ransomware-Gang über ein Jahr lang den zweiten Platz hinter LockBit sicherte. Potentielle Nachfolger stehen allerdings bereits in den Startlöchern – darunter Neulinge wie Black Basta, Mindware, Cheers, RansomHouse, Industrial Spy, Yanluowang, Onyx, NOKOYAWA und DarkAngels.