„Die Anzahl der Kernpersonen, die an Ransomware beteiligt sind, ist im Vergleich zur Wahrnehmung unglaublich klein. Es sind vielleicht ein paar Hundert“, sagt Bill Siegel, CEO und Mitbegründer des Ransomware-Incident-Response-Unternehmens Coveware. „Es sind dieselben Kriminellen, sie lackieren nur ihre Fluchtautos um.“ Siegel wies darauf hin, dass diese Aktivitäten in letzter Zeit zugenommen haben und dass die Mitglieder jetzt viel eher häufig den Anbieter wechseln, anstatt über einen längeren Zeitraum bei einem Anbieter zu bleiben. Doch trotz der Anstrengungen der Ransomware-Angreifer ermöglicht die Transparenz der Blockchain den Ermittlern, diese Rebranding-Bemühungen praktisch in Echtzeit zu erkennen.
Ransomware-Opfer zahlen seltener
Auf der Grundlage der Chainalysis zurzeit vorliegenden Daten schätzen wir, dass der Gesamtumsatz mit Ransomware im Jahr 2022 von 765,6 Millionen US-Dollar im Jahr 2021 auf mindestens 456,8 Millionen US-Dollar gefallen ist. Dies ist ein enormer Rückgang von 40,3 Prozent. Wir haben jedoch Hinweise, dass dies eher auf die zunehmende Unwilligkeit der Opfer zurückzuführen ist, Ransomware-Angreifer zu bezahlen, als auf einen Rückgang der tatsächlichen Zahl der Angriffe. Wir haben mit einer Reihe von Ransomware-Experten gesprochen, um mehr zu erfahren.
Die erste Frage, die sich aufdrängt: Woher wissen wir eigentlich, dass weniger Opfer zahlen, wenn man bedenkt, wie lange es dauert, bis Ransomware-Adressen identifiziert werden, und wie groß die Dunkelziffer der Opfer bei Angriffen ist? Michael Phillips, Chief Claims Officer des Cyber-Versicherungsunternehmens Resilience, weist darauf hin, dass sich Unternehmen nicht beruhigt zurücklehnen sollten, nur weil die Einnahmen aus Ransomware zurückgegangen sind. „Daten aus Schadensfällen in der gesamten Cyber-Versicherungsbranche zeigen, dass Ransomware weiterhin eine zunehmende Cyber-Bedrohung für Unternehmen und Betriebe darstellt. Es gibt jedoch Anzeichen dafür, dass disruptive Ereignisse dazu führen, dass die erfolgreichen Erpressungsversuche von Ransomware-Akteuren geringer ausfallen als erwartet“, erklärte er. Phillips nannte als Beispiele für derartige Störungen den Krieg zwischen Russland und der Ukraine sowie den zunehmenden Druck auf Ransomware-Banden durch westliche Strafverfolgungsbehörden, einschließlich Verhaftungen und Wiedererlangung erpresster Kryptowährung.
Der Analyst und Ransomware-Experte Allan Liska von Recorded Future, der auch als Ransomware-Sommelier bekannt ist, wies auf Daten hin, die Teams wie das seine von Data Leak Sites (DLS) sammeln. Dort veröffentlichen viele Ransomware-Angreifer die von den Opfern gestohlenen Daten, um so Zahlungen zu erzwingen. „Die meisten Unternehmen scrapen [DLS]-Daten, um eine grundlegende Viktimologie zu erstellen. Auf dieser Grundlage gingen die Ransomware-Angriffe zwischen 2021 und 2022 um 10,4 Prozent von 2.865 auf 2.566 zurück“, so Liska.
Wenn wir die DLS-Opfer-Leaks als Indikator für die Anzahl der Angriffe nehmen, gibt es immer noch eine riesige Lücke zwischen dem 10,4-prozentigen Rückgang der Leaks und dem 40,3-prozentigen Rückgang der Gesamtumsätze mit Ransomware. Aus Gesprächen mit Vertretern von Cyber-Versicherungs- und Incident-Response-Firmen schließen wir, dass ein Großteil des Umsatzrückgangs darauf zurückzuführen ist, dass die Opfer weniger häufig zahlen. Bill Siegel von Coveware lieferte uns Statistiken über die Wahrscheinlichkeit, dass ein Ransomware-Opfer ein Lösegeld zahlt, basierend auf den Kundenangelegenheiten seiner Firma in den letzten vier Jahren:
2019 | 2020 | 2021 | 2022 | |
Bezahlt | 76% | 70% | 50% | 41% |
Nicht bezahlt | 24% | 30% | 50% | 59% |
Der Trend ist sehr ermutigend: Seit 2019 ist die Zahl der Zahlungen innerhalb von drei Jahren von 76 auf nur noch 41 Prozent gesunken. Aber was genau ist der Grund für diese Verschiebung? Ein wichtiger Faktor ist, dass die Zahlung von Lösegeld rechtlich riskanter geworden ist, insbesondere nach einer OFAC-Richtlinie im September 2021 über mögliche Sanktionsverstöße bei der Zahlung von Lösegeld. „Mit den potenziellen Sanktionen drohen zusätzlich rechtliche Konsequenzen für die Bezahlung [von Ransomware-Angreifern]“, so Liska. Bill Siegel stimmte dem zu und sagte uns, dass seine Firma sich weigert, Lösegeld zu zahlen, wenn es auch nur den Hauch einer Verbindung zu einer sanktionierten Einrichtung gibt.
Weniger Zahlungen aufgrund verschärfter Maßnahmen
Ein weiterer wichtiger Faktor ist die Sichtweise der Cyber-Versicherungsunternehmen, die in der Regel die Opfer für Ransomware-Zahlungen entschädigen. „Cyber-Versicherungen haben die Führung übernommen, indem sie nicht nur verschärft haben, wen sie versichern, sondern auch, wofür Versicherungszahlungen verwendet werden können. Sie erlauben ihren Kunden viel seltener, eine Versicherungsleistung zur Zahlung von Lösegeld zu verwenden“, sagte Liska. Phillips schloss sich dieser Meinung in seinen Ausführungen an. „Heutzutage müssen Unternehmen strenge Cybersicherheits- und Backup-Maßnahmen erfüllen, um gegen Ransomware versichert zu sein. Es hat sich gezeigt, dass diese Anforderungen Unternehmen aktiv dabei helfen, sich von Angriffen zu erholen, anstatt Lösegeldforderungen zu zahlen. Ein verstärkter Fokus auf die Absicherung gegen Faktoren, die zum Erfolg von Ransomwareangriffen beitragen, hat zu niedrigeren Kosten für Unternehmen geführt und zu einem rückläufigen Trend bei Erpressungszahlungen beigetragen.“
Siegel stimmte zu, dass die Forderung der Cyberversicherungsunternehmen nach besseren Cybersicherheitsmaßnahmen eine wichtige Triebkraft für den Trend zu seltener werdenden Lösegeldzahlungen ist und beschrieb einige der Maßnahmen, zu deren Umsetzung sie ihre Kunden drängen. „Viele Versicherungsträger verschärfen die Zeichnungsstandards und erneuern eine Police nur dann, wenn der Versicherte über umfassende Backup-Systeme verfügt, Endpoint Detection and Response (EDR)-Lösungen einsetzt und eine Mehrfachauthentifizierung vornimmt. Dies hat viele Unternehmen dazu veranlasst, ihre Sicherheit zu erhöhen“, so Siegel. Liska stimmte zu, dass sich die Maßnahmen in den letzten Jahren stark verbessert haben. „Damals, im Jahr 2019, als ‚Big Game Hunting‘ und RaaS so richtig Fahrt aufnahmen, betonten viele Sicherheitsexperten die Bedeutung von Backups. Eine effektive Backup-Lösung verhindert zwar keine Ransomware-Angriffe und hilft auch nicht bei Datendiebstahl, aber sie gibt den Opfern mehr Möglichkeiten, damit sie nicht zur Zahlung gezwungen werden können“, sagte er.
Schadensreduzierung durch Datensicherung und Security-Übungen
Siegel erläuterte, dass Unternehmen mit gut segmentierten, aber hochverfügbaren Datensicherungen viel seltener von den Auswirkungen eines Ransomware-Angriffs betroffen sind und dass sie ihren Kunden regelmäßig raten, nur dann zu zahlen, wenn die Zahlung aufgrund der Schwere der Auswirkungen wirtschaftlich gerechtfertigt ist. Liska betonte auch, dass Backups kein Allheilmittel sind, und wies darauf hin, dass der Datenwiederherstellungsprozess Monate dauern kann und Ransomware-Opfer während dieses Prozesses anfällig für Folgeangriffe sind, wie der Fall des australischen Logistikunternehmens Toll Group zeigt, das im Jahr 2022 innerhalb von drei Monaten zwei Angriffe erlitt.
Am besten ist es natürlich, wenn Unternehmen gar nicht erst Opfer von Ransomware-Angriffen werden. Zu diesem Zweck empfiehlt Liska, dass Unternehmen regelmäßig Übungen durchführen, bei denen alle relevanten Teams – etwa Cybersicherheit, Netzwerke, IT, Serveradministration, Backup-Teams, PR und Finanzen – mit der Unternehmensleitung zusammenkommen, um zu ermitteln, wie sich das Unternehmen schützen und Schwachstellen identifizieren sowie verstehen kann, wer für die gesamten Sicherheitsaspekte verantwortlich ist. „Wenn ein Unternehmen ein realistisches Bild von seinen Stärken und Schwächen hat, kann es sich besser auf einen Ransomware-Angriff vorbereiten. Und die Unternehmensleitung weiß, wo sie investieren muss, um das Netzwerk vor einem Angriff besser zu schützen“, so Liska.
Wenn mehr Unternehmen diese Best Practices ebenso umsetzen wie Datensicherungen und andere Sicherheitsmaßnahmen, stehen die Chancen gut, dass die Ransomware-Umsätze im Jahr 2023 und darüber hinaus weiterhin sinken werden.
Autor: Thomas Gregg, Area VP Central EMEA bei Chainalysis
www.chainalysis.com