Thought Leadership
Die Ransomware-Landschaft ist nach wie vor dynamisch und schnelllebig. Das zeigt der deutliche Anstieg von Ransomware-Angriffen und deren Auswirkungen im zweiten Quartal (April-Juni) 2024.
Trotz des Rückgangs der Vorfälle und der relativ geringen Auswirkungen von Ransomware-Angriffen im ersten Quartal ist im zweiten Quartal ein erneuter Anstieg zu verzeichnen. Diese Rückkehr zu den Zahlen des letzten Jahres ist besonders bemerkenswert, da große Ransomware-Gruppen im ersten Quartal 2024 aufgrund von Strafverfolgungsmaßnahmen schwere Rückschläge hinnehmen mussten.
Ransomware-Angriffe nahmen im 2. Quartal deutlich zu
Während die Aktivitäten einiger führender Ransomware-Gruppen durch diese anfänglichen Störungen vorübergehend eingeschränkt wurden, hat sich die Zahl der Ransomware-Angriffe im zweiten Quartal im Vergleich zum ersten Quartal fast verdoppelt. So wurde beispielsweise ALPHV (auch bekannt als BlackCat) im Dezember 2023 von einer Strafverfolgungsoperation der USA ins Visier genommen, die schließlich zum Ende der Gruppe im März 2024 führte. Die Strafverfolgungsmaßnahmen gegen LockBit 3.0 im Februar 2024 führten zu einem deutlichen Rückgang ihrer Aktivitäten . Dmitry Khoroshev, eine Schlüsselfigur der LockBit Ransomware Group, wurde auf eine Fahndungsliste gesetzt. Trotz dieser bedeutenden Maßnahmen haben diese Gruppen ihre Strategien schnell angepasst und neu ausgerichtet, so dass die Zahl der Vorfälle wieder deutlich angestiegen ist. Die Zunahme dieser Aktivitäten hat die Ransomware-Operationen auf eine neue Ebene gehoben und zu erheblichen Betriebsunterbrechungen in Industrieunternehmen geführt.
Die Umbenennung von Royal Ransomware in BlackSuit spiegelt eine strategische Neuausrichtung der Ransomware-Gruppe wider und zeigt erweiterte Fähigkeiten wie ausgefeiltere Verschlüsselung und verbesserte Lateral-Movement-Taktiken. In ähnlicher Weise verwandelte sich die Ransomware Knight in RansomHub. Die Widerstandsfähigkeit und Anpassungsfähigkeit von Ransomware-Gruppen erhöht die anhaltende Bedrohung für Industriesektoren. In diesem Quartal hat sich auch die Landschaft der Ransomware-as-a-Service (RaaS) deutlich verändert. Gruppen wie BlackSuit und RansomHub traten mit aktualisierten Taktiken und Methoden in Erscheinung – darunter raffiniertere Verschlüsselungsalgorithmen, verbesserte Lateral-Movement-Methoden in Netzwerken und effektivere Ausweichmechanismen zur Umgehung von Erkennungsmechanismen.
Kritische Industriebetriebe sind das Hauptziel von Ransomware-Aktivitäten
Der Industriesektor bleibt aufgrund der kritischen Natur seiner Abläufe und der potenziell großen Auswirkungen von Störungen ein Hauptziel für diese Gruppen. Ransomware wirkt sich zunehmend auf Industrieunternehmen aus, wobei sich Ransomware-Gruppen auf leistungsstarke Betreiber konzentrieren, um ihre Gewinne zu maximieren. Das Risiko von Ransomware wird noch dadurch verschärft, dass regierungsnahe Gruppen Ransomware-Taktiken anwenden und Hacktivisten zunehmend eigene Ransomware-Tools verwenden und sogar entwickeln. So wurde beispielsweise berichtet, dass das Ikaruz Red Team kritische Infrastrukturen auf den Philippinen mit Ransomware ins Visier nimmt, was die Verschmelzung von ideologischen und finanziellen Motiven in der Cyber-Bedrohungslandschaft verdeutlicht. Dieser wachsende Trend zeigt, dass sich die Bedrohung durch Ransomware weiterentwickelt und eskaliert. Sie geht über traditionelle cyberkriminelle Organisationen hinaus und umfasst auch politisch und ideologisch motivierte Gegner.
Auswirkungen von Ransomware-Operationen auf Industrieunternehmen
Im zweiten Quartal 2024 bestätigte sich die Einschätzung von Dragos, dass Ransomware-Angriffe einen größeren Einfluss auf das Geschäft von Industrieunternehmen haben. Die Vorfälle zeigten schwerwiegendere Auswirkungen als in den vorherigen Quartalen. Die Häufigkeit und das Ausmaß der Angriffe haben in diesem Quartal deutlich zugenommen, was die Entwicklung der Bedrohungslandschaft und das anhaltende Risiko durch Ransomware-Gruppen widerspiegelt.
(pd/Dragos)
