Nach heftigen Angriffen zu Beginn des Jahres (Stichwort: Solar Winds) zeigt sich auch im Q2 2021 kein Abschwächen in Sachen Ransomware. Im Gegenteil: Die Bedrohungslandschaft hat sich verschärft und die Gruppen neu profiliert.
Threat-Intelligence Experte Digital Shadows hat die wichtigsten Entwicklungen zwischen April und Juni zusammengefasst. Ein Vorfall in Q2 steht wie kein anderer für das Ausmaß, das Ransomware mittlerweile angenommen hat: Der Angriff auf den Betreiber Colonial legte die größte Benzin-Pipeline der USA für Tage still und zeigte damit eindrücklich die unmittelbaren Folgen von Cyberkriminalität auf weite Teile der Bevölkerung. Die Attacke zog ein entschiedenes Vorgehen von Seiten der Regierung nach sich. Die verantwortliche Ransomware-Gruppe DarkSide kündigte bereits nach wenigen Tagen an, „ihr Partnerprogramm“ zu beenden. Den Behörden gelang es darüber hinaus, die 2,3 Millionen Dollar Lösegeld abzufangen. Das schnelle und gezielte Vorgehen zeigt: Ransomware hat als Cyberbedrohung Nr. 1 unwiderruflich die volle Aufmerksamkeit von Wirtschaft und Politik auf sich gezogen.
Diese konzentrierte Aufmerksamkeit ist innerhalb der cyberkriminellen Community keinesfalls gewünscht. Weniger als eine Woche nach Bekanntwerden des Colonial-Angriffs kündigten einschlägige Foren wie XSS und Exploit an, Ransomware bezogene Inhalte von ihren Marktplätzen zu entfernen und auch zukünftig entsprechende Beiträge und Diskussionen ihrer Mitgliedern zu unterbinden. Es scheint, dass den Darknet-Admins angesichts des Medien-Hypes sowie den Aktionen der Strafverfolgungsbehörden das Pflaster schlichtweg zu heiß geworden ist.
Die Ransomware-Opfer: 47% mehr als in Q1
Insgesamt hat sich in den letzten Monaten der Trend zur Double-Extortion (Erpressen & Veröffentlichen) weiter durchgesetzt – was Sicherheitsexperten interessante Einblick erlaubt. Digital Shadows beobachtet über 31 Data Leak Sites (DLS), auf denen mit der Veröffentlichung von einmal erbeuteten Ransomware-Daten gedroht wird. Dabei zählten die Analysten insgesamt rund 2.600 Opfer. Im Zeitraum von Q2 2021 wurden allein 740 Opfer verzeichnet. Im Vergleich zum ersten Quartal ist die Anzahl der von Ransomware Betroffenen damit um 47% gestiegen.
Deutschland im weltweiten Vergleich noch sicher
Im internationalen Vergleich kommt Deutschland mit insgesamt 24 Ransomware-Angriffen in Q2 2021 noch glimpflich davon. An der traurigen Spitze von Ransomware-Opfern steht – mit Abstand – die USA mit 378 verzeichneten Angriffen. 60% aller von Ransomware betroffenen Unternehmen haben ihren Hauptsitz in den USA. Unter den Top 5 befinden sich zudem Frankreich (46), UK (39), Italien (35), Kanada (28). Ein Blick auf die Daten aus dem Vorquartal zeigt, dass Kanada als einziges Land die Angriffe auf heimische Unternehmen reduzieren konnte (-28%).
Bildquelle: Digital Shadows
Fertigende Industrie, Bauwirtschaft und Handel sind Angriffsziele
Zu den Branchen, die am häufigsten von Ransomware betroffenen sind, gehören die fertigende Industrie, die Bauwirtschaft, der Handel, der Technologiesektor sowie das Gesundheitswesen. Damit setzt sich der Trend aus den Vorquartalen fort. Branchenübergreifend hat sich die Anzahl der Angriffe jedoch deutlich erhöht. Besonders hart trifft es den Einzelhandel mit einem Anstieg von 183%. Auch das Gesundheitswesen hat nichts von seiner Popularität unter Ransomware-Gruppen eingebüßt – trotz öffentlicher Beteuerung vieler Cyberkriminellen, öffentliche Einrichtungen des Gesundheitssektors auszusparen.
Bildquelle: Digital Shadows
Alte Bekannte und neue Feinde
Im zweiten Quartal 2021 haben einige bekannte Gruppen ihre Ransomware-Aktivitäten eingestellt, darunter Avaddon, Babuk Locker, DarkSide und Astro Locker. Umgekehrt sind jedoch auch neue Akteure mit eigenen DLS auf der Bildfläche erschienen wie Hive, Vice Society, Prometheus, LV Ransomware, Xing und Grief.
Bildquelle: Digital Shadows
Hinsichtlich der auf DLS genannten Opfern gehört Conti zu den eifrigsten Akteuren der letzten Monate, dicht gefolgt von Avaddon, PYSA, und REvil. Conti gehört schon länger zu den aktivsten Ransomware-Gruppen überhaupt. Die Gruppe, von der angenommen wird, dass sie mit der Ransomware Ryuk in Verbindung steht, geht äußerst rücksichtslos vor und hat es insbesondere auf Organisationen in kritischen Sektoren abgesehen. Dazu gehören auch Notfalldienste und der Katastrophenschutz. Conti gilt als verantwortlich für die Angriffe auf das irische Gesundheitssystem (Health Service Executive) und sowie First-Responder-Netzwerke in den USA (911-Zentralen).
www.digitalshadows.com