Ransomware gewinnt global immer stärker an Bedeutung. Analysen von Chainalysis belegen, dass die erpresserischen Software-Angriffe neben finanziellen auch zunehmend geopolitische Dimensionen aufweisen.
Die Höhe von Ransomware-Zahlungen ist seit 2019 weltweit dramatisch angestiegen und lag 2021 bei mindestens 602 Millionen US-Dollar. Diese bislang nachgewiesenen finanziellen Schäden für das abgelaufene Jahr liegen unserer Einschätzung nach erheblich unter der tatsächlichen Summe. Wir gehen davon aus, dass es, wie auch in den vergangenen Jahren, eine hohe Dunkelziffer gibt, deren Dimension sich erst später zeigen wird. Aber auch die verifizierten Zahlen offenbaren interessante Trends und langfristige Tendenzen.
Starke Zunahme der Angriffe
Die durchschnittliche Höhe von Ransomware-Zahlungen lag 2021 bei über 118.000 US-Dollar, gegenüber 88.000 US-Dollar im Jahr 2020 und 25.000 US-Dollar im Jahr 2019. Ein Grund für diesen erheblichen Anstieg der Lösegeldbeträge ist die Fokussierung der Ransomware-Angreifer auf große Unternehmen. Diese Strategie wird zum Teil dadurch ermöglicht, dass Angreifer mittlerweile verstärkt Tools von Drittanbietern nutzen, um ihre Attacken effektiver zu gestalten.
Chainalysis hat außerdem festgestellt, dass 2021 mindestens 140 Ransomware-Gruppen (sog. Strains) Zahlungen von Opfern erhielten. 2020 waren es noch 119 und 2019 lediglich 79. Eine interessante Erkenntnis ist, dass die meisten dieser Gruppen in Wellen auftreten und meist nur eine kurze Zeit aktiv sind.
Gemessen am Umsatz war letztes Jahr Conti mit mindestens 180 Millionen erpressten US-Dollar der größte Angreifer. Es wird vermutet, dass Conti in Russland ansässig ist und nach dem Ransomware-as-a-Service (RaaS)-Modell arbeitet. Das bedeutet, dass die Betreiber von Conti ihren Partnern gegen eine Gebühr erlauben, Angriffe mit ihrem Ransomware-Programm zu starten. Conti war der einzige Strain, der 2021 durchgängig aktiv war und dessen Anteil an den gesamten Ransomware-Umsätzen im Laufe des Jahres zunahm. Insgesamt fällt Contis Durchhaltevermögen jedoch zunehmend aus der Norm.
Ransomware-Strains werden recycelt
Vor zwei Jahren blieb die durchschnittliche Ransomware-Gruppe genau ein Jahr lang aktiv, 2021 lag dieser Wert im Schnitt bei nur noch zwei Monaten. Ransomware-Strains wurden häufig von ihren Betreibern öffentlich „abgeschaltet“, bevor sie unter einem neuen Namen wieder an den Start gingen und sich als neue, separate cyberkriminelle Gruppe präsentierten. Da sie jedoch starke Ähnlichkeiten in ihrem Code aufweisen oder durch Erkenntnisse aus Cybercrime-Foren und Blockchain-Analysen zugeordnet werden können, wissen wir, dass viele der mindestens 140 identifizierten aktiven Ransomware-Strains in Wirklichkeit von denselben cyberkriminellen Gruppen betrieben wurden.
Geldwäsche ist Schwachpunkt
In den letzten Jahren haben die meisten Ransomware-Gruppen ihre gestohlenen Gelder über zentrale Börsen gewaschen, wobei auch beträchtliche an sogenannte Mixer (Dienste, die Krypto-Geldmengen mischen und so die einzelnen Spuren anonymisieren), sowie an Adressen geschickt werden, die mit anderen Formen illegaler Aktivitäten in Verbindung gebracht werden. Die Geldwäschetrends werden noch interessanter, wenn wir die einzelnen Dienste aufschlüsseln, die Gelder aus Ransomware erhalten. Eine Blockchain-Analyse der Rebranding- und Geldwäsche-Aktivitäten deutet darauf hin, dass das Ransomware-Ökosystem immer noch auf wenige Akteure begrenzt ist. 56 Prozent der Gelder, die seit 2020 von Ransomware-Adressen gesendet wurden, landeten bei einem von nur sechs Kryptowährungs-Unternehmen.