Ransomware ausser Kontrolle

Einen drastischen Anstieg von Ransomware zeigt der Cyber Threat Report 2022 von SonicWall. 2021 registrierte das SonicWall-Threat-Research-Team 623,3 Millionen Ransomware-Angriffe weltweit. Dies ist ein Anstieg von 105 Prozent gegenüber 2020 und mehr als dreimal so viel wie im Jahr 2019. Am schwers-ten betroffen waren die USA, Deutschland und Grossbritannien. Die Forscher verzeichneten Treffer von rund 1000 verschiedenen Ransomware-Signaturen und mehr als 300 Ransomware-Familien. Auf drei Familien entfielen jedoch 62,1 Prozent aller Ransomware im Jahr 2021 aus, und das waren die gleichen Spitzenreiter wie im Vorjahr: Ryuk (180 Millionen), SamSam (104 Millionen) und Cerber (103 Millionen). Ryuk- Angriffe haben zwar abgenommen, das Auftauchen neuer Funktionen ist jedoch ein Anzeichen dafür, dass die Bedrohungsakteure an Ryuk festhalten werden. Damit sehen wir diese Ransomware-Familie wahrscheinlich auch in absehbarer Zukunft an der Spitze der Liste.

Daten aus dem Unternehmen wegkopieren
Erschreckend ist eine neue Taktik der Angreifer, die dreifache Erpressung. Bis anhin war der Trend der doppelten Erpressung, bei der Ransomware-Gruppen zuerst Daten wegkopieren, bevor sie eine Lösegeldforderung stellen und das System anschliessend verschlüsseln. Diese Daten werden zusätzlich als Druckmittel eingesetzt, um die Chancen auf eine Zahlung zu erhöhen.
Inzwischen verweigern immer mehr Unternehmen die Zahlung. Entweder aus Prinzip oder sie vermuten, oft zu Recht, dass durch die Zahlung des Lösegelds die Wiederherstellung ihrer Daten nicht wirklich garantiert ist. Doch die Ransomware-Gangs haben herausgefunden, dass die Weigerung eines Unternehmens Lösegeld zu zahlen nicht bedeutet, dass auch deren Kunden nicht zahlen.
Wie bei der doppelten Erpressung beginnt auch die dreifache Erpressung damit, dass die Ransomware-Betreiber grosse Datenmengen aus dem Unternehmen wegkopieren, bevor sie die Daten des Opfers verschlüsseln. Doch während die Hacker-Gruppen bei der doppelten Erpressung damit drohen, diese Daten im Darkweb zu veröffentlichen, filtern die Erpresser bei der dreifachen Erpressung die Daten, finden heraus, wer am meisten zu verlieren hat, und fordern anschliessend auch von diesen Personen Lösegeld.
Einer der ersten beobachteten Fälle von dreifacher Erpressung verdeutlicht die Skrupellosigkeit dieses Vorgehens. Im Oktober 2020 kontaktierte ein Angreifer, der sich «ransom_man» nannte, den finnischen Psychotherapieanbieter Vastaamo. Der Angreifer teilte dem Anbieter mit, dass er im Besitz grosser Mengen von Mitarbeiter- und Patientendaten von Vastaamo sei und forderte ein Lösegeld von 40 Bitcoin. Berichten zufolge zahlte das Unternehmen das Lösegeld, doch das war ransom_man nicht genug. Anstatt die gestohlenen Daten zu löschen, kontaktierte der Angreifer die Therapie-Patienten selbst und versuchte, je $ 240 von ihnen zu erpressen ($ 500, wenn nicht innerhalb von 24 Stunden gezahlt wird), damit die persönlichen Therapieaufzeichnungen nicht veröffentlicht werden.

Lösegeld wurde bezahlt
Weitere nennenswerte Angriffe waren zum Beispiel im Mai 2021. Die Gruppe Darkside verschaffte sich über ein kompromittiertes Passwort, das im Dark-Web veröffentlicht wurde, Zugang zu Amerikas grösster Treibstoffpipeline: Colonial Pipeline. Der Angriff ermöglichte nicht nur den Diebstahl von fast 100 GB an Daten, sondern führte auch zu einem sechstägigen Ausfall, was zu Treibstoffknappheit, Gashortung und Panik führte. Obwohl Colonial Berichten zufolge das Lösegeld zahlte, um die Veröffentlichung der Daten zu verhindern. Nachdem der Angriff internationales Aufsehen erregt hatte, entschuldigte sich DarkSide dafür, «Probleme für die Gesellschaft geschaffen zu haben», und löste sich Berichten zufolge kurz darauf auf.
Ebenfalls im Mai wurde der weltgrösste Fleischproduzent Opfer eines Ransomware-Angriffs, der von der cyberkriminellen Gruppe REvil verübt wurde. Der Angriff zwang das Unternehmen zur vorübergehenden Schliessung seiner Rinderfabriken in den USA, legte ein kanadisches Werk lahm und brachte die Fleischverarbeitung in Australien zum Erliegen. Obwohl JBS behauptet, dass keine seiner Daten gestohlen wurden, gab das Unternehmen angesichts der Aussicht auf einen längeren Stillstand im Juni zu, dass ein Lösegeld in Höhe von $ 11 Millionen gezahlt wurde.
Im September 2021 verschaffte sich die Ransomware-Gruppe BlackMatter Zugriff auf das Netzwerk von NEW Cooperative. Die Hacker-Gruppe stahl Berichten zufolge 1 TB an Daten und drohte, diese freizugeben, wenn nicht ein Lösegeld in Höhe von $ 5,9 Millionen gezahlt würde. In der Zwischenzeit verlor das Unternehmen den Zugang zu den Netzwerken, die für die Annahme von Getreidelieferungen, die Lieferung von Futtermitteln und die Einhaltung von Fütterungsplänen für Millionen von Hühnern, Schweinen und Rindern verwendet werden.

Der Zuwachs an Angriffen hat massiv zugenommen
Dies waren sicherlich sehr spektakuläre Vorfälle, die schon länger zurück liegen, doch wie sah die Lage im November 2022 aus? Hier einige Schlagzeilen:

• 2.11.2022: Rüstungskonzern Thales: Datendiebstahl durch Lockbit-Cybergang
• 11.11.2022: Daten von Kreisverwaltung aus dem Rhein-Pfalz-Kreis im Darknet veröffentlicht
• 11.11.2022: Continental-Einbruch: Lockbit-Cybergang fordert 50 Millionen US-Dollar
• 18.11.2022: Kriminelle bestehlen St.Galler Kantonalbank
• 18.11.2022: Hackerangriff auf Uni Duisburg-Essen: IT lahmgelegt

Auch dieses Jahr zeichnete sich ein Trend ab: der Zuwachs an Ransomware-Angriffen auf kritische Bereiche wie Behörden (917 Prozent), Bildungseinrichtungen (615 Prozent) und das Gesundheitswesen (594 Prozent) haben massiv zugenommen.
Auch die finanzielle Entwicklung zeigt in diese Richtung. Gemäss Palo Alto wurden Rekordlösegelder verlangt: die durchschnittliche Forderung stieg von $ 840’000 auf satte 5,3 Millionen. Auch das durchschnittlich bezahlte Lösegeld steig um 82 Prozent von $ 312’000 auf 570’000.
Einblicke bietet auch die Studie von Sophos: 5400 IT-Manager aus 30 Länder wurden befragt. Allein in der DACH-Region waren 44 Prozent der Einzelhandelsunternehmen Opfer eines Angriffs. Die Gesamtkosten für die Behebung eines Ransomware-Angriffs inklusive Ausfallzeiten, Geräte- und Netzwerkkosten, entgangener Verdienstmöglichkeiten usw. betrugen in dieser Branche durchschnittlich EUR 1,2 Millionen.
Doch auch den Hackern können Missgeschicke passieren. So veröffentlichte Sophos eine Panne der Maze-Angreifergruppe, die eine grosse Menge Daten von einem Unternehmen gestohlen hatte. Die Gruppe stellte fest, dass diese nicht lesbar waren, da sie bereits eine Woche zuvor von der Konkurrenz verschlüsselt wurden.
Diese Entwicklung wird leider auch im kommenden Jahr nicht geringer werden. Daher ist es wichtig, alle Mitarbeitenden gut und regelmässig zu schulen. Solche Angriffe beginnen oft mit einer harmlosen Phishing-Mail. Ist aber der Hacker erst einmal im Netzwerk, kann er grossen Schaden anrichten. Bleiben Sie daher wachsam.

ZUM AUTOR
Andreas Wisler, Dipl. Ing FH
goSecurity AG
Schulstrasse 11
CH-8542 Wiesendangen
T +41 (0)52 511 37 37
www.goSecurity.ch
wisler@gosecurity.ch