Erfolgssträhne hält an, die durchschnittliche Lösegeldforderung steigt um 45 %Deutschland an vierter Stelle in Europa per Anzahl an Unternehmen, deren Daten auf DLS veröffentlicht wurden.
Group-IB stellt sein zweites jährliches Kompendium „Ransomware Uncovered 2021/2022“ über die Entwicklung der aktuellen Bedrohung Nummer 1 vor. Die Ergebnisse der zweiten Ausgabe des Berichts zeigen, die Erfolgssträhne des Ransomware-Imperiums erlitt keinen Halt und die durchschnittliche Lösegeldforderung stieg im Jahr 2021 um 45 % auf 247.000 US-Dollar. Die Ransomware-Gangs sind seit letztem Jahr auch viel gieriger geworden. Hive verlangte zum Beispiel das rekordverdächtige Lösegeld von 240 Millionen US-Dollar von MediaMarkt (im Jahr 2020 lag der Rekord noch bei 30 Millionen US-Dollar). Hive und ein weiterer Neuling auf Großwildjagd (das sogenannte Big Game Hunting) im Jahr 2021, Grief, schafften es schnell in die Top 10 der kriminellen Organisationen – gemessen an der Anzahl der Opfer, deren Daten auf dedizierten Leak-Sites (DLS) veröffentlicht wurden. Zwischen dem ersten Quartal 2021 und dem ersten Quartal 2022 betraf dieses zusätzliche Vergehen die Daten von 986 europäischen Unternehmen, Ransomware-Angriffen zum Opfer fielen. Mit 143 tangierten Organisationen ist Deutschland an sechster Stelle weltweit und an vierter Stelle in Europa.
Ransomware vom Fließband
Das neue Kompendium enthält eine Bestandsaufnahme der aktuellsten Taktiken, Techniken und Prozesse (TTPs) von Ransomware-Akteuren, die von Group-IBs DFIR-Team („Digital Forensics und Incident Response“) an allen Standorten des Unternehmens weltweit beobachtet wurden. Neben der Analyse von über 700 Angriffen, die im Rahmen von Group-IBs eigenen Incident-Response-Aktivitäten und Cyberbedrohungsanalysen im Jahr 2021 untersucht wurden, befasst sich das Kompendium auch mit den Onlineplattformen, wo Daten von Ransomware-Opfern geleakt werden (DLS = „Data Leak Sites“).
Von Menschen durchgeführte Ransomware-Angriffe führten die globale Cyberbedrohungslandschaft in den letzten drei Jahren weiterhin mit soliden Margen an. Der im Bericht „Hi-Tech Crime Trends“ von Group-IB beschriebene Anstieg von Erstzugangs-Brokern (IAS = „Initial Access Brokers“) und die Ausweitung von Ransomware-as-a-Service-Programmen (RaaS) sind die Hauptantriebskräfte für das kontinuierliche Wachstum von Ransomware-Operationen. RaaS ermöglicht es gering qualifizierten Cyberkriminellen, in das Spiel einzusteigen und die Zahl der Opfer in die Höhe zu treiben.
Auf der Grundlage der Analyse von über 700 Angriffen im Jahr 2021 schätzen die DFIR-Experten der Group-IB, dass die Lösegeldforderung im Jahr 2021 durchschnittlich 247.000 US-Dollar betrug, 45 % mehr als 2020. Die Ransomware-Attacken wurden immer ausgefeilter, was sich deutlich an den Ausfallzeiten der Opfer zeigt, die von 18 Tagen im Jahr 2020 auf 22 Tage im Jahr 2021 anstiegen.
RaaS-Anbieter begannen damit, ihren Partnern nicht nur Ransomware-Kits, sondern auch benutzerdefinierte Tools für die Datenexfiltration anzubieten. Dies ermöglicht es, die Operationen zu vereinfachen und zu rationalisieren. Dadurch verbreitete sich die zweifache Erpressungstechnik noch weiter. In 63 % der von Group-IBs DFIR-Team analysierten Fälle wurden sensible Opferdaten herausgeschleust, um die Lösegeldzahlung zu erzwingen. Zwischen dem ersten Quartal 2021 und dem ersten Quartal 2022 haben Ransomware-Gangs Daten von über 3.500 Opfern auf „Data Leak Sites“ (DLS) veröffentlicht. Die meisten Unternehmen, deren Daten im Jahr 2021 von Ransomware-Akteuren auf DLS gepostet wurden, hatten ihren Sitz in den Vereinigten Staaten (1.655). 986 hingegen die betroffenen europäischen Unternehmen. Mit 143 Unternehmen, deren Daten nach einer Ransomware-Attacke veröffentlicht wurden, belegt Deutschland Platz 6 des weltweiten Rankings und Platz 4 in Europa. Die meisten tangierten Organisationen gehören dem Industriesektor (322, in Deutschland 30 Opfer), der Immobilien- (305, in Deutschland 13 ) sowie der professionellen Dienstleistungsbranche (256) an. Mit 20 Unternehmen, deren Daten auf DLS hochgeladen wurden ist in Deutschland der Transportsektor ebenfalls betroffen.
Lockbit, Conti und Pysa erwiesen sich als die aggressivsten Gangs mit auf DLS hochgeladenen Daten von jeweils 670, 640 und 186 Opfern, wovon jeweils 45, 25 und 12 deutsche Unternehmen. Die beiden Neulinge im Jahr 2021, Hive und Grief (eine Neuauflage der DoppelPaymer-Gruppe), schafften es schnell in die Top 10 der kriminellen Organisationen – gemessen an der Zahl der Opfer, wovon Daten auf DLS hochgeladen wurden.
Trügerische Bots
Der Missbrauch von öffentlich zugänglichen RDP-Servern war auch im Jahr 2021 wieder die häufigste Methode, um im Zielnetzwerk einzudringen. 47% aller von Group-IBs DFIR-Experten untersuchten Angriffe begannen mit der Kompromittierung eines externen Remote-Dienstes.
Spear-Phishing-E-Mails, die herkömmliche Malware enthalten, stehen an zweiter Stelle (26%). Unter Ransomware-Betreibern erfreute sich die Nutzung von Standard-Malware in der Anfangsphase einer Attacke zunehmender Beliebtheit. Dadurch wurde allerdings die Zuweisung von Ransomware-Angriffen im Jahr 2021 zusehends komplizierter, da viele Bots wie Emotet, Qakbot und IcedID von verschiedenen Bedrohungsakteuren eingesetzt wurden. 2020 wiesen hingegen bestimmte Standard-Malware-Familien eine starke Zugehörigkeit zu bestimmten Ransomware-Gangs auf. So beobachtete das DFIR-Team von Group-IB, dass beispielsweise IcedID von verschiedenen Ransomware-Organisationen, darunter Egregor, REvil, Conti, XingLocker und RansomExx, für den Erstzugang genutzt wurde.
Im Allgemeinen begnügten sich zahlreiche Ransomware-Gruppen im Laufe der Angriffe auch mit herkömmlichen Techniken und legitimen Tools. Häufig wurde Standard-Malware verwendet, um – nach der Ausbeutung – über Lade-Frameworks wie „Cobalt Strike“ anderweitige Aktivitäten zu starten (beobachtet bei 57 % der Angriffe).
Andererseits gingen einige Ransomware-Gangs sehr unkonventionell vor: REvil-Mitglieder nutzten Zero-Day-Schwachstellen, um die Kunden von Kaseya anzugreifen. Der BazarLoader, der bei Ryuk-Operationen eingesetzt wurde, wurde über Vishing (Voice-Phishing) verbreitet. In diesem Fall enthielten die Phishing-E-Mails Informationen über „kostenpflichtige Abonnements“, die angeblich per Telefon gekündigt werden konnten. Während des Anrufs lockten die Cyberkriminellen das Opfer auf eine gefälschte Website und gaben Anweisungen zum Herunterladen und Öffnen eines manipulierten Dokuments, das das Herunterladen und Ausführen von BazarLoader veranlasste.
„Angesichts der zahlreichen Umbenennungen, die durch die Strafverfolgungsbehörden erzwungen wurden, und der Verschmelzung der TTPs aufgrund der ständigen Migration von Partnern von einem RaaS-Programm („Ransomware as a Service“) zu anderen wird es für Sicherheitsexperten immer schwieriger, den Überblick über die sich ständig weiterentwickelnden Taktiken und Tools der Ransomware-Akteure zu behalten“, erläutert Oleg Skulkin, Leiter des DFIR-Teams von Group-IB. „Um Cybersicherheitsverantwortliche von Unternehmen auf dem Laufenden zu halten und sie bei der Vorbereitung auf Ransomware-Vorfälle zu unterstützen, haben wir die wichtigsten Trends und TTP-Änderungen skizziert und daraus umsetzbare Erkenntnisse produziert, die entsprechend der MITRE-ATT&CK-Matrix organisiert sind.“
Die zweite Ausgabe 2021/2022 des Ransomware-Uncovered-Reports enthält eine MITRE-ATT&CK-Matrix, die Informationen über die bei von Menschen durchgeführten Ransomware-Angriffen am häufigsten vorkommenden TTPs enthält. Der neue Bericht steht auf der Website von Group-IB zum Download bereit.