Ransomware-Angriffe werden teurer
Ransomware macht Cyberkriminalität zum Big Business – die Lösegeldforderungen steigen unablässig. Deutsche Unternehmen haben sich im Beuteschema krimineller Hacker auf den dritten Rang „vorgearbeitet“.
Die Geschäfte mit Cybererpressung blühen, die Lösegeldforderungen werden immer frecher. Gerade in Deutschland scheinen sich die Angriffe auszuzahlen.
Auch die Cyberkriminellen stecken in der digitalen Transformation: Cloudbasierte Abomodelle boomen, Hacker können zunehmend auf Ransomware as a Service (RaaS) zurückgreifen. Zudem können sich die Cybergangster über eine 171-prozentige Umsatzsteigerung freuen. Das durchschnittlich von Unternehmen gezahlte Lösegeld stieg von 115.123 Dollar in 2019 auf 312.493 Dollar im Jahr 2020. Der höchste gezahlte Lösegeldbetrag lag 2020 lag bei zehn Millionen Dollar.
Diese Zahlen nennt der jüngste „Ransomware Threat Report 2021“, der die globale Bedrohungslandschaft im Jahr 2020 analysiert. Der Bericht entstand aus der Zusammenarbeit des Unit 42 Threat Intelligence Teams von Palo Alto Networks und des Crypsis Incident Response Teams. Des Weiteren stellen die Autoren des Berichts fest, dass sich unter den Verbrechern ein neues Business-Modell durchsetzt: Der Trend geht zur doppelten Erpressung. So sollen die Opfer nicht nur für die Entschlüsselung ihrer Daten bezahlen, sondern auch dafür, dass die Kriminellen die erbeuteten Daten ihrer Opfer nicht veröffentlichen.
Dabei werden die Forderungen immer dreister. Die höchste Lösegeldforderung hat sich allein von 2019 bis 2020 verdoppelt – von 15 auf 30 Millionen Dollar. Doch damit dürfte das Ende der Fahnenstange noch nicht erreicht sein. Solange die Opfer weiterhin zahlen, warnen Experten, werden die Forderungen der Kriminellen immer höher. Dem Report zufolge waren lediglich in den USA und Kanada mehr Unternehmen von der illegalen Offenlegung von Daten betroffen als in Deutschland, das auf Rang drei gelandet ist.
Keine Skrupel kannten die Cyberkriminellen im letzten Jahr im Zusammenhang mit der Coronakrise. Während die Welt mit der Bekämpfung der Pandemie beschäftigt war und in den Unternehmen eine Vielzahl der Beschäftigten ins Home-Office umziehen mussten, nutzten die Gangster die weltweiten Auswirkungen der Krise als Hebel für ihre Ransomware-Angriffe. Die Coronapanik half
den Angreifern, Opfer zum Öffnen von Phishing-E-Mails, zum Besuch gefälschter Websites oder zum Herunterladen bösartiger Dateien zu verleiten.
Dabei hatten die Erpresser 2020 insbesondere das Gesundheitswesen im Visier. Bei ihren Attacken traten die Angreifer besonders dreist auf und versuchten so viel Geld wie möglich zu erbeuten. Dabei zogen sie ins Kalkül, dass die Gesundheitseinrichtungen ihren Betrieb aufrechterhalten mussten, um Covid-19-Patienten zu behandeln und Leben zu retten. In der gesundheitlichen Notlage konnten es sich die Kliniken nicht leisten, auf ihre Systeme zu verzichten und mussten deshalb wohl oder übel Lösegeld zahlen. Die bevorzugte Währung ist dabei Bitcoin.
Von Spray-and-Pray zu Stay-and-Play
Dabei gehen die Hacker immer zielgerichteter vor. So haben die Security-Spezialisten eine Verschiebung von breit gestreuten „Spray-and-Pray“-Attacken hin zu fokussierteren „Stay-and-Play“-Angriffen beobachtet. Bei letzteren nehmen sich die Betreiber Zeit, um die Opfer und ihre Netzwerke kennenzulernen und folgen so einem traditionelleren Ansatz zur Netzwerkpenetration. So werden etwa nach einem erfolgreichen Eindringen native Tools wie PSExec oder PowerShell genutzt, um das Netzwerk im Detail auszuspionieren.
Es ist ein weitverbreiteter und gefährlicher Trugschluss, dass primär Windows-Rechner das Ziel von Ransomware-Attacken sind. So haben die Angreifer mittlerweile auch Apple MacOS und mobile Betriebssysteme ins Visier genommen. Gleichzeitig wurde 2020 Linux immer häufiger zum Ziel von Ransomware. Für die Autoren des Threat Reports steht fest, dass die Angreifer ihre Fähigkeiten, alle Arten von Systemen anzugreifen, weiter verfeinern werden.
Dabei wird es den Kriminellen immer leichter gemacht: Sie brauchen kein eigenes Knowhow mehr, denn Ransomware ist wie ein Cloud-Service als „Ransomware as a Service“(RaaS) im Abonnement erhältlich und damit einfach auszuführen, effektiv und potenziell profitabel – sowohl aufgrund direkter Zahlungen als auch durch den Verkauf wertvoller Informationen.
Wie im klassischen E-Commerce-Geschäft entwickelt sich beim RaaS-Modells ein regelrechtes Provisionsgeschäft: Mit jeder erfolgreichen Lösegeldzahlung kassiert auch der Urheber der Schadsoftware einen Anteil an der Beute. Gleichzeitig wird hinter den Kulissen fleißig weiterentwickelt. Einige der meistverbreiteten Ransomware-Familien, die im Jahr 2020 beobachtet wurden, waren nicht einmal ein Jahr alt. Es werden ständig neue Ransomware-Varianten entwickelt und eingesetzt, die als eigenständige Malware oder zusammen mit herkömmlicher Malware zum Einsatz kommen.
Mit der ständigen Verbesserung der Ransomware-Software verändert sich auch die Wertschöpfungskette der Kriminellen. Die einfache Erpressung wird um Proof-of-Compromiseund doppelte Erpressungstechniken erweitert. Dabei verschlüsseln die Täter nicht nur die Daten, sondern stehlen sie auch, um das Opfer zu zwingen, weiter Lösegeld zu zahlen. Weigert sich das angegriffene Unternehmen, veröffentlichen die Ransomware-Betreiber die Daten auf einer Leak-Site oder einer Dark-Web-Domain, wobei die meisten LeakSites im Dark Web gehostet werden. Diese Hosting-Standorte werden von den Ransomware-Betreibern selbst erstellt und verwaltet. Dass es sich dabei nicht um leere Drohungen handelt, belegen einige Ransomware-Nutzer dadurch, dass sie ihren Opfern ihr Wissen um deren Netzinfrastruktur in Form von Verzeichnissen oder Dateibäumen demonstrieren.