[datensicherheit.de, 27.08.2024] Eine internationale Umfrage unter 900 IT- und Security-Verantwortlichen zeigt laut Semperis, „dass 83 Prozent der Unternehmen im vergangenen Jahr Ziel von Ransomware-Angriffen waren, was alarmierende Trends in Bezug auf Häufigkeit, Schwere und Folgen von Angriffen aufzeigt“. Semperis ging demnach mit einer internationalen Studie der Prävalenz, Häufigkeit und den durch Lösegeldzahlungen und Kollateralschäden verursachten Kosten von Ransomware-Angriffen auf den Grund. Für diese Studie seien Unternehmen aus verschiedenen Branchen in Deutschland, Frankreich, Großbritannien und den USA befragt worden.

Foto: semperis

Oliver Keizers: Entscheidungsträger im Ernstfall in dier Lage versetzen, den Ransomware-Angreifern eine Zahlung zu verweigern!

Wenige Unternehmen sehen Alternative zur Lösegeldzahlung nach Ransamoware-Befall…

Die Studie wurde nach eigenen Angaben in der ersten Jahreshälfte 2024 durchgeführt. Dies sind laut Semperis die wichtigsten Ergebnisse:

Ransomware-Angriffe bleiben kein einmaliges Ereignis
74 Prozent der Befragten, die in den letzten zwölf Monaten gegen Lösegeld attackiert wurden, seien mehrfach angegriffen worden – viele innerhalb einer Woche.

Unternehmen können es nicht mit Ransomware aufnehmen
In Deutschland seien 82 Prozent der befragten Unternehmen in den vergangenen zwölf Monaten von Ransomware betroffen gewesen, davon 78 Prozent sogar öfter als einmal. „66 Prozent bezahlten mehrfach Lösegeld, 49 Prozent – und mit diesem Wert ist Deutschland unter allen Regionen in dieser Studie Spitzenreiter – sogar öfter als vier Mal.“ Im Gesamtdurchschnitt aller befragten Länder hätten 78 Prozent der betroffenen Unternehmen Lösegeld gezahlt – davon 72 Prozent mehrmals und 33 Prozent viermal oder häufiger.

Nur wenige Unternehmen sehen eine Alternative zur Lösegeldzahlung
87 Prozent der Angriffe hätten zu Betriebsunterbrechungen geführt – selbst bei denen, die Lösegeld zahlten – einschließlich Datenverlust und der Notwendigkeit, Systeme offline zu nehmen. „Für 16 Prozent der Befragten stellte der Angriff ein Dilemma um Alles oder Nichts dar – bei den Befragten aus Deutschland lag dieser Wert bei 19 Prozent.“

Die Zahlung von Lösegeld garantiert keine Rückkehr zum normalen Geschäftsbetrieb
35 Prozent der Opfer, die Lösegeld gezahlt haben, hätten entweder keine oder fehlerhafte Decodierungsschlüssel erhalten.

Recovery Time Objectives (RTOs) werden nicht erreicht
49 Prozent der Befragten hätten ein bis sieben Tage benötigt, um den Geschäftsbetrieb nach einem Ransomware-Angriff auf ein Minimum an IT-Funktionalität wiederherzustellen, „und zwölf Prozent benötigten sieben Tage oder länger“.

Die o.g. Ergebnisse unterstrichen einen alarmierenden Trend zu mehreren, manchmal gleichzeitigen Angriffen, was Führungskräfte dazu zwinge, ihre Cyber-Resilienz-Strategien neu zu bewerten, um häufige Fehlerquellen, wie beispielsweise unzureichende Backup- und Wiederherstellungspraktiken für Identitätssysteme, zu beheben.

Nicht nur gegen Ransomware: IT-Umgebung verteidigungsfähig machen und sie dann verteidigen!

Nur wenige Unternehmen verfügten über umfassenden, dedizierten Identitätsschutz: „Obwohl 70 Prozent der Befragten angaben, dass sie über einen Plan zur Wiederherstellung von Identitäten verfügen, was einen starken Fortschritt in Richtung IAM-zentrierter Sicherheit signalisiert, gaben nur 27 Prozent (36% in Deutschland) an, über dedizierte, Active-Directory-spezifische Backup-Systeme zu verfügen.“ Ohne AD-spezifische, malware-freie Backups und einen getesteten Wiederherstellungsplan werde die Wiederherstellung länger dauern, was die Wahrscheinlichkeit erhöhe, dass sich das Unternehmen entscheidet, Lösegeld zu zahlen, um den Geschäftsbetrieb wiederherzustellen.

„Im Mittelpunkt dieser ganzen Diskussion steht die Rentabilität von Unternehmen. Angreifer versuchen, diese zu gefährden, um sie überzeugen können, sich freizukaufen. Wenn ihnen ein erfolgreicher Angriff auf die Identität gelingt, besitzen sie Privilegien, die sie dann zu ihrem Vorteil nutzen können“, so Chris Inglis, „Semperis Strategic Advisor“ und erster U.S. National Cybersecurity Director. Er führt weiter aus: „Wenn man bedenkt, dass es eine 24/7-Bedrohung für die heutigen Unternehmen gibt, kann man nie sagen ‚Ich bin in Sicherheit‘ oder sich einen Moment frei nehmen. Das Beste, was sie tun können, ist, ihre Umgebung verteidigungsfähig zu machen und sie dann zu verteidigen.“

Geschäftsleitung und Vorstand müssen bei Ransomwae-Angriff fundierte Entscheidung treffen können!

Von den anhaltenden Herausforderungen im Bereich der Cyber-Sicherheit, die Unternehmen nannten, habe die mangelnde Unterstützung durch den Vorstand ganz oben auf der Liste gestanden. Weitere Bedenken betrafen „Budgetbeschränkungen, Personalmangel, veraltete Systeme sowie Vorschriften und Richtlinien zur Cyber-Sicherheit“.

„Damit die Geschäftsleitung und der Vorstand eine fundierte Entscheidung gegen die Zahlung von Lösegeld treffen können, müssen sie wissen, wie lange die Wiederherstellung dauern wird und sich darauf verlassen können“, betont Oliver Keizers, „Area Vice President EMEA“ bei Semperis. Dafür müssten Unternehmen ihren Wiederherstellungsplan in einem möglichst realitätsnahen Szenario testen und ihn dem Vorstand vorstellen, bevor ein Angriff erfolgt. Keizers unterstreicht: „Auf diese Weise sind die Entscheidungsträger im Ernstfall in der Lage, den Angreifern eine Zahlung zu verweigern.“

Weitere Informationen zum Thema:

semperis
Ransomware-Risikobericht: Die Denkweise des Einbrechers annehmen / Opfer mehrfach getroffen, 78% zahlten Lösegeld

datensicherheit.de, 23.08.2024
Neuer WithSecure-Report zeigt: Jüngste Schläge gegen Ransomware-Gruppen hatten Wirkung / „Produktivität“ der Ransomware-Branche nach ihrem Höhepunkt Ende 2023 nicht weiter angestiegen

datensicherheit.de, 02.08.2024
Verschleierungstechnik für Spionage: Ransomware mit cyber-kriminellem Mehrfachnutzen / Ransomware-Bedrohungsakteure könnten von „ChamelGang“-Aktivitäten Kenntnis nehmen und ein weiteres Geschäftsmodell entwickeln

datensicherheit.de, 21.06.2024
Ransomware-Attacken: Druck zu mehr Transparenz wächst / Beispielhafte Folgen der jüngsten Ransomware-Attacken: 800 verschobene Operationen, geschlossene Rathäuser und ausgefallene Video-Dienste

[datensicherheit.de, 22.03.2023] Trend Micro hat nach eigenen Angaben eine neue Studie darüber veröffentlicht, wie Cyber-Kriminelle agieren und ihre Aktivitäten finanzieren. Demnach zeigen die Bedrohungsexperten darin, „dass nur zehn Prozent der von Ransomware betroffenen Unternehmen ihre Erpresser tatsächlich bezahlen“. Diese Zahlungen subventionierten jedoch zahlreiche weitere Angriffe.

Abbildung: Trend Micro

Aktuelle Studie von Trend Micro: „What Decision-Makers Need to Know About Ransomware Risk“

Daten und Kennzahlen sollen helfen, Ransomware-Gruppen zu vergleichen und Risiken abzuschätzen

Die Studie enthalte strategische, taktische, operative und technische Informationen zu Bedrohungen. Dafür seien datenwissenschaftliche Methoden verwendet worden, um verschiedene Informationen über Bedrohungsakteure zusammenzustellen. „Diese Daten und Kennzahlen helfen dabei, Ransomware-Gruppen zu vergleichen, Risiken abzuschätzen und das Verhalten von Bedrohungsakteuren zu modellieren.“

Zu den wichtigsten Ergebnissen gehörten:

• „Die zehn Prozent der Unternehmen, die ein Lösegeld zahlen, handeln in der Regel schnell. Sie sind in der Folge oft gezwungen, für jede weitere Kompromittierung auf höhere Forderungen einzugehen.“
• „Das Risikoniveau für Angriffe ist nicht homogen. Es variiert je nach Region, Branche und Unternehmensgröße.“
• „In bestimmten Branchen und Ländern zahlen die Betroffenen häufiger als in anderen. Deshalb werden Unternehmen in diesen Industrien und Ländern mit größerer Wahrscheinlichkeit zum Ziel eines Angriffs.“
• „Die Zahlung eines Lösegelds treibt oft nur die Gesamtkosten eines Vorfalls in die Höhe, ohne Vorteile zu bringen.“
• „Im Januar und im Zeitraum von Juli bis August sind die Aktivitäten von Ransomware-Angreifern am geringsten. Dies sind gute Zeiten für die Verteidiger, um ihre Infrastruktur wieder aufzubauen und sich auf zukünftige Bedrohungen vorzubereiten.“

Cyber-Sicherheitsbranche könnte dazu beitragen, die Ransomware-Rentabilität zu senken

Die Cyber-Sicherheitsbranche könne dazu beitragen, die Rentabilität von Ransomware zu senken. Dazu sollten die Beteiligten den Schutz in den frühen Phasen der „Kill Chain“ priorisieren, die Ransomware-„Ökosysteme“ gründlich analysieren und den Anteil der zahlenden Opfer verringern. Die Erkenntnisse aus dem Bericht des japanischen Cybersecurity-Anbieters könnten Entscheidungsträgern auch dabei helfen, mögliche von Ransomware ausgehende finanzielle Risiken besser einzuschätzen.

Außerdem eröffneten die gewonnenen, detaillierten Erkenntnisse eine Reihe weiterer Möglichkeiten:

• „IT-Führungskräfte können höhere Budgets für die Abwehr von Ransomware rechtfertigen.“
• „Regierungen können ihre Budgets für die Unterstützung bei der Wiederherstellung nach Angriffen und die Strafverfolgung sinnvoller planen.“
• „Versicherer können die Preise für ihre Leistungen genauer kalkulieren.“
• „Internationale Unternehmen können Ransomware besser mit anderen globalen Risiken vergleichen.“

Ransomware eine große Bedrohung für Unternehmen und Behörden

„Ransomware ist eine große Bedrohung für Unternehmen und Behörden. Sie entwickelt sich stetig weiter, weshalb wir in diesem Zusammenhang genauere datengestützte Methoden zur Modellierung von Risiken benötigen“, erläutert Richard Werner, „Business Consultant“ bei Trend Micro.

Abschließend betont er: „Unsere neue Studie soll IT-Entscheidern helfen, ihr Risiko besser einzuschätzen, und politischen Entscheidungsträgern die Informationen an die Hand geben, die sie benötigen, um effektivere und wirkungsvollere Bekämpfungsstrategien gegen Cyber-Kriminalität zu entwickeln.“

Weitere Informationen zum Thema:

Trend Micro Research
What Decision-Makers Need to Know About Ransomware Risk / Data Science Applied to Ransomware Ecosystem Analysis

[datensicherheit.de, 08.02.2023] Veritas Technologies warnt in einer aktuellen Stellungnahme im Kontext von Ransomware-Angriffen auf Unternehmen vor Lösegeld-Rückzahlungen – die Versicherungen könnten die Kosten der Schadensregulierung bald nicht mehr tragen. Auch 2023 müssten Unternehmen mit zunehmenden Kosten durch Ransomware-Angriffen rechnen. Doch neben den betroffenen Unternehmen klagten nun auch immer mehr Cyber-Versicherer über einen Anstieg der Kosten.

Foto: Veritas Technologies

Ralf Baumann: In der Versicherungsbranche hat angesichts der Lösegeld-Forderungen nach Ransomware-Angriffen ein Umdenken stattgefunden

Zahlreiche Versicherungen haben Maßnahmen zur Schadensbegrenzung nach Ransomware-Attacken ergriffen

Nach wie vor steige die Zahl der Cyber-Angriffe und die damit verbundenen Betriebsausfälle bei Firmen. Nach einer Studie der Allianz-Tochter „Allianz Global Coporate & Specialty“ (AGCS) müssten Unternehmen damit rechnen, dass Ransomware bis Ende des Jahres 2023 weltweit Schäden in Höhe von 30 Milliarden US-Dollar verursachen werde.

Laut AGCS habe der Wert von Versicherungsansprüchen durch solche Angriffe mehr als die Hälfte aller Schäden bei Cyber-Versicherungen ausgemacht, „an denen das Unternehmen gemeinsam mit anderen Versicherern beteiligt war“.

Die Folge: „Zahlreiche Versicherungen haben Maßnahmen zur Schadensbegrenzung ergriffen.“ Dazu gehöre beispielsweise die Erhöhung der Versicherungsbeiträge sowie die Anpassung der Richtlinien – viele Kunden müssten künftig mit einer höheren Selbstbeteiligung rechnen.

Anzahl der Ransomware-Angriffe 2022 nachgelassen – aber deutlicher Anstieg der Lösegeld-Forderungen

Zwar habe die Anzahl der Ransomware-Angriffe in der ersten Hälfte des Jahres 2022 nachgelassen. Doch trotz dieser rückläufigen Tendenz beklagten Unternehmen einen deutlichen Anstieg der Lösegeld-Forderungen. Es gebe allerdings erfreuliche Nachrichten: „Laut einer Studie des US-Krypto-Währungsspezialisten ,Chainalysis’ ist die Anzahl erfolgreicher Erpressungen im vergangenen Jahr weltweit um 40 Prozent gesunken.“ Diese Entwicklung lasse hoffen, dass weniger Firmen auf Lösegeldforderungen eingehen würden.

„Bisher wählten einige Unternehmen den schnellsten und einfachsten Weg: Sie zahlten Forderungen, um beispielsweise wieder an ihre verschlüsselten Daten zu gelangen“, berichtet Ralf Baumann, „Country Manager Germany“ bei Veritas Technologies und erläutert: „Dabei dachten sie jedoch, dass ihre Versicherung für den finanziellen Schaden aufkommt. Dies wird in Zukunft weniger der Fall sein, denn es hat in der Branche ein Umdenken stattgefunden.“

Als Reaktion auf die vergangenen Cyber-Schäden hätten viele Versicherer ihre Preise bereits massiv erhöht. Außerdem untersuchten sie die aktuellen Sicherheitsstrukturen jener Firmen, welche sich bei ihnen versichern lassen wollen. Vom Ergebnis dieser Prüfung sei abhängig, „ob diese Unternehmen eine Police erwerben dürfen“. In Deutschland lehne beispielsweise die Allianz-Tochter allein drei Viertel aller Anfragen aus diesem Grund ab. „Und in Frankreich erstattet das Versicherungsunternehmen AXA seit Mai 2021 gar keinen Schaden mehr durch Ransomware-Zahlungen. Die weitere Entwicklung bleibt abzuwarten.“

Nicht nur wegen Ransomware-Angriffen: Effizienter und automatisierter Backup- und Recovery-Plan wichtig!

Unternehmen sollten sich nicht mehr nur auf die finanzielle Unterstützung der Versicherungen verlassen. Ab jetzt müssten sie mit einer höheren Selbstbeteiligung rechnen – oder sogar mit einer kompletten Zahlungsverweigerung der Versicherung. „Daher empfiehlt es sich, bereits im Vorfeld umsichtig zu planen und effektive Prozesse einzurichten.“ Im Idealfall sollten die Unternehmen einen solchen Angriff schnellstmöglich erkennen, um daraufhin die richtigen Schritte einleiten und den Schaden minimieren zu können.

„Alle Daten sollten nahtlos mit einer Datenschutzlösung von der ,Edge’ über die zentralen Rechenzentren bis hin zur ,Cloud’ gesichert werden“, betont Baumann. Ebenso sei ein effizienter und automatisierter „Backup- und Recovery-Plan“ wichtig, um nach einem Angriff schnell wieder funktionsfähig zu sein.

Gerade die erste Stunde sei nach einem erfolgreichen Angriff entscheidend. In dieser Zeit gelte es, die infizierten Systeme vom Netzwerk zeitnah zu isolieren und damit eine weitere Ausbreitung zu verhindern. Ebenso sei es aber wichtig, die Ursache für den Angriff zu ermitteln. Bei den Verteidigungsmaßnahmen könnten vor allen Dingen die Mitarbeiter als Informationsträger helfen, einen erfolgreichen Angriff einzudämmen. Zusätzlich sollten aber auch gängige Abwehrsysteme für den Schutz, die Verwaltung, die Sicherung und Wiederherstellung der Daten einen integralen Bestandteil der Sicherheitsstruktur im Unternehmen darstellen.

Weniger Unternehmen wollen Forderungen von Ransomware-Erpressern nachkommen

Es gebe jedoch eine erfreuliche Tendenz bei diesem Thema: „Immer mehr Unternehmen sehen es nicht mehr als Lösung an, den Forderungen von Ransomware-Erpressern nachzukommen.“ So sei der Anteil der tatsächlichen Lösegeld-Zahlungen seit 2019 von 76 Prozent auf 41 Prozent gesunken.

„Viele Unternehmen erkennen, dass sie weder Garantien noch Rechtsansprüche haben, wenn sie Hacker auszahlen.“ Sie könnten nicht sicher sein, dass sie all ihre Daten zurückbekommen oder die Hacker keine Kopie wichtiger Dateien für spätere Aktionen zurückhielten.

Auch die Versicherungsbranche freue sich über die derzeitigen Entwicklungen. Dort bestehe die Hoffnung, „dass Kunden künftig weniger schwerwiegende Schäden durch solche Cyber-Angriffe erdulden müssen und somit ein langfristig tragfähiger Cyber-Versicherungsmarkt entsteht“.

Weitere Informationen zum Thema:

Chainanalysis, Team, 19.01.2023
Crime / Ransomware Revenue Down As More Victims Refuse to Pay

[datensicherheit.de, 27.06.2022] Laut einer aktuellen Stellungnahme von kaspersky hat eine Gruppe Professoren aus dem Bereich IT-Sicherheit die Bundesregierung am 27. Juni 2022 in einem Offenen Brief dazu aufgefordert, mehr Maßnahmen gegen Verschlüsselungssoftware, sogenannte Ransomware, umzusetzen. Die Professoren bemängeln demnach unter anderem „die hohe Zahlungsbereitschaft von Unternehmen in Deutschland, wenn diese solcher Software zum Opfer gefallen sind“. Dies werde durch eine aktuelle kaspersky-Studie belegt, laut der „88 Prozent der Unternehmen, die bereits Ziel eines Ransomware-Angriffes waren, bei einer erneuten Attacke Lösegeld zahlen würden“.

Foto: kaspersky

Christian Milde: Zahlung von Lösegeld scheint von Führungskräften oft als zuverlässiges Mittel zur Bewältigung des Problems angesehen zu werden…

kaspersky-Experten warnen ebenfalls davor, Cyber-Kriminelle zu bezahlen

„Bei Firmen, die noch nicht von einem Ransomware-Angriff betroffen waren, wären hingegen lediglich 67 Prozent prinzipiell bereit dazu – sie wären jedoch weniger geneigt, dies sofort zu tun“, berichtet Christian Milde, Geschäftsführer „Central Europe“ bei kaspersky. Die Zahlung von Lösegeld scheine von Führungskräften oft als zuverlässiges Mittel zur Bewältigung des Problems angesehen zu werden.

Die Experten von kaspersky untersuchten seit Langem Ransomware-Angriffe und warnten ebenfalls davor, Cyber-Kriminelle zu bezahlen, „da nicht gewährleistet ist, Daten danach auch wirklich komplett zurückzuerhalten“. Zudem würden Cyber-Kriminelle durch erfolgte Zahlungen in ihren Handlungen bestärkt.

Common TTPs of Modern Ransomware: kaspersky-Report veröffentlicht

Um Unternehmen im Kampf gegen Ransomware zu unterstützen, habe kaspersky nun den Report „Common TTPs of Modern Ransomware“ veröffentlicht. Der Leser soll mit den verschiedenen Phasen der Ransomware-Bereitstellung vertraut gemacht werden, „wie Cyber-Kriminelle RATs und andere Tools in den verschiedenen Phasen einsetzen und was sie erreichen wollen“.

Die Analyse biete zudem einen visuellen Leitfaden zur Abwehr zielgerichteter Ransomware-Angriffe, wobei die produktivsten Gruppen als Beispiele verwendet würden, und führe den Leser in die von kaspersky erstellten „SIGMA-Erkennungsregeln“ ein.

Ransomware zur ernsthaften Bedrohung für Unternehmen geworden

„Ransomware ist zu einer ernsthaften Bedrohung für Unternehmen geworden, da regelmäßig neue Muster auftauchen und APT-Gruppen sie für fortgeschrittene Angriffe nutzen“, warnt Milde und führt aus:

„Selbst eine versehentliche Infektion kann für ein Unternehmen zur Herausforderung werden. Da es hierbei oft um die Geschäftskontinuität geht, sehen sich Führungskräfte gezwungen, schwierige Entscheidungen hinsichtlich der Zahlung des Lösegelds zu treffen. Wir empfehlen jedoch grundsätzlich, Cyber-Kriminelle nicht zu bezahlen, da dies keine Garantie dafür bietet, dass die Daten tatsächlich wieder entschlüsselt werden; eine Zahlung ermutigt sie jedoch, ihre Vorgehensweise zu wiederholen.“

Bei kaspersky arbeiteten sie mit zunehmenden Erfolg daran, Unternehmen dabei zu helfen, solche Folgen zu vermeiden. Für Firmen sei es wichtig, grundlegende Sicherheitsprinzipien zu befolgen und sich mit zuverlässigen Sicherheitslösungen zu befassen, um das Risiko eines Ransomware-Vorfalls zu minimieren. „Der ,Anti-Ransomware-Tag‘ bietet sich an, genau an diese wichtigen Praktiken zu erinnern“, betont Milde abschließend.

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, 23.06.2022
The hateful eight: Kaspersky’s guide to modern ransomware groups’ TTPs

kaspersky, 11.05.2022
Ransomware: 88 Prozent der Firmen, die bereits betroffen waren, würden bei einem erneuten Angriff Lösegeld zahlen / Zwei Drittel der Unternehmen weltweit wurden bereits Opfer von Ransomware

[datensicherheit.de, 08.06.2022] Ryan Olson, Vize-Präsident „Unit 42 Incident Response and Threat Research Team“ bei Palo Alto Networks, hat nach eigenen Angaben die aktuelle Entwicklung der real bezahlten Lösegeldforderungen nach Ransomware-Angriffen beobachtet und aktuell ausgewertet. In seiner aktuellen Stellungnahme geht er auf seine Beobachtungen ein. Während sich Tausende von Cyber-Sicherheitsfachleuten in San Francisco zur jährlichen „RSA-Konferenz“ versammelten, sei ein guter Zeitpunkt, um einen kurzen Blick auf die von Palo Alto Networks bisher im Jahr 2022 beobachteten Ransomware-Aktivitäten zu werfen.

Foto: Palo Alto Networks

Ryan Olson: Diesjähriger Anstieg der Zahlungen durch zwei Lösegeldzahlungen in Höhe von mehreren Millionen US-Dollar in die Höhe getrieben

Durchschnittliche Ransomware-Zahlung auf 925.162 US-Dollar gestiegen

Die Zahlen seien erschreckend: „Die durchschnittliche Ransomware-Zahlung in Fällen, die von ,Unit 42 Incident Responders‘ bearbeitet wurden, stieg in den ersten fünf Monaten des Jahres 2022 auf 925.162 US-Dollar und näherte sich damit der beispiellosen 1-Million-Dollar-Marke, da sie im Vergleich zum letzten Jahr um 71 Prozent gestiegen ist.“ Das sei vor den zusätzlichen Kosten, welche den Opfern entstanden seien, darunter Kosten für die Behebung des Schadens, der Ausfallzeit, der Rufschädigung und anderer Schäden.

Diese Kosten sind insbesondere deshalb erschreckend, „wenn man sich die Entwicklung dieser Kosten vor Augen führt“. Die durchschnittliche Zahlung in den von den „Unit 42“-Beratern bearbeiteten Fällen habe sich im Jahr 2020 auf etwa 300.000 US-Dollar belaufen. „Es ist kaum zu glauben, dass die meisten Transaktionen, mit denen die Berater im Jahr 2016 konfrontiert wurden, 500 Dollar oder weniger betrugen.“

Täglich Daten von sieben neuen Opfern auf Leak-Seiten im DarkWeb veröffentlicht

Jeden Tag würden die Daten von durchschnittlich sieben neuen Opfern auf den Leak-Seiten im sogenannten DarkWeb veröffentlicht, welche von Ransomware-Banden genutzt würden, um die Opfer zur Zahlung von Lösegeld zu zwingen. Diese als „Doppelte Erpressung“ bezeichnete Technik erhöhe den Druck auf die Opfer, weil sie zu der Schwierigkeit, den Zugriff auf Dateien zu verlieren, noch eine Ebene der öffentlichen Demütigung hinzufüge, „indem sie die Opfer identifiziert und angebliche Ausschnitte sensibler Daten, die aus ihren Netzwerken gestohlen wurden, weitergibt“. Die beobachtete Rate der Doppelten Erpressung bedeute, dass alle drei bis vier Stunden ein neues Opfer auftauche, so die laufende Analyse der Leak-Site-Daten durch „Unit 42“.

Die Cyber-Erpressungskrise halte an, weil Cyber-Kriminelle unerbittlich zunehmend ausgefeilte Angriffswerkzeuge, Erpressungstechniken und Marketingkampagnen einführten, welche diese beispiellose, weltweite digitale Verbrechenswelle anheizten. Das RaaS-Geschäftsmodell (Ransomware-as-a-Service) habe gleichzeitig die technische Einstiegshürde gesenkt, indem es diese leistungsstarken Tools mit benutzerfreundlichen Schnittstellen und Online-Support auch für nicht versierte Cyber-Erpresser zugänglich mache.

Ransomware-Erpresserbanden werden wohl kaum aufhören, Zahlungen in Höhe mehrerer Millionen US-Dollar zu fordern

Die Folgen könnten verheerend sein: „Die Regierung Costa Ricas wurde in diesem Jahr bereits mehrfach Opfer von Ransomware-Angriffen, darunter auch im Mai, als die Erbringung von Gesundheitsdiensten unterbrochen wurde. Das 157 Jahre alte Lincoln College wurde letzten Monat geschlossen, nachdem ein Ransomware-Angriff den Zugang zu allen Universitätsdaten gekappt und die Zulassungen für den Herbst 2022 unterbrochen hatte – ein harter Schlag für eine Einrichtung, die sich bereits von der Pandemie erholen wollte.“

Der diesjährige Anstieg der Zahlungen sei durch zwei Lösegeldzahlungen in Höhe von mehreren Millionen Dollar in die Höhe getrieben worden – eine an eine aufstrebende Gruppe, „Quantum Locker“, und eine an „LockBit 2.0“, welche bisher in diesem Jahr – 2022 – die aktivste Ransomware-Bande auf Leak-Seiten mit Doppelter Erpressung gewesen sei. Olsons gegenwärtiges Fazit: „Leider haben die Berater von ,Unit 42‘ keinen Grund zu der Annahme, dass Erpresserbanden aufhören werden, Zahlungen in Höhe von mehreren Millionen Dollar zu fordern. Kritisch sind insbesondere Fälle, in denen Unternehmen in den Ruin getrieben werden könnten, wenn sie nicht zahlen.“

Weitere Informationen zum Thema:

paloalto NETWORKS Blog, Ryan Olson, 07.06.2022
Average Ransom Payment Up 71% This Year, Approaches $1 Million

datensicherheit.de, 01.07.2021
Ransomware-Bedrohung nimmt zu: Diskussion um Verbot von Lösegeldzahlungen / Adam Kujawa fordert, nicht die Ransomware-Opfer zu bestrafen, sondern diese zur Meldung des Vorfalls zu veranlassen

[datensicherheit.de, 07.12.2021] Laut einer aktuellen Stellungnahme von Kaspersky bieten einige Versicherungen im Falle eines Ransomware-Angriffs für versicherte Unternehmen Schadenszahlungen für das geforderte Lösegeld an – dieser Versicherungsschutz stehe nun bei Politikern im Kampf gegen Ransomware-Akteure zur Diskussion.

Ransomware nach wie vor großes Problem für Unternehmen

„Denn erhalten die Unternehmen keine Schadenszahlungen durch die Versicherungen, sind sie weniger gewillt, das geforderte Lösegeld zu zahlen – das Geschäftsmodell der Cyber-Kriminellen verliert damit seine Grundlage.“
Dass Ransomware nach wie vor ein großes Problem für Unternehmen ist, zeigten aktuelle Kaspersky-Analysen. Von Januar bis November 2021 habe fast jeder zweite (46,7%), vom „Global Emergency Response Team“ von Kaspersky bearbeitete Schadensvorfall im Zusammenhang mit Ransomware gestanden. Dies entspreche einem Anstieg um fast zwölf Prozentpunkte im Vergleich zum Jahr 2020.

Neue Ära der Ransomware in vollem Umfang in Kraft getreten

„Wir haben im Jahr 2020 damit begonnen, über sogenannte Ransomware 2.0 zu sprechen und in diesem Jahr haben wir gesehen, dass diese neue Ära der Ransomware in vollem Umfang in Kraft getreten ist“, berichtet Vladimir Kuskov, „Head of Threat Exploration“ bei Kaspersky.
Ransomware-Betreiber verschlüsselten nicht nur Daten – „sie stehlen Informationen von kritischen, großen Zielen und drohen damit, diese zu veröffentlichen, wenn die Opfer nicht zahlen“. Diese Art von „Ransomware 2.0“ werde im kommenden Jahr, 2022, bleiben, so Kuskov.

Strafverfolgungsbehörden arbeiten daran, Ransomware-Akteure zu Fall zu bringen

Fedor Sinitsyn, Sicherheitsexperte bei Kaspersky, ergänzt hierzu: „Gleichzeitig arbeiten die Strafverfolgungsbehörden nun daran, Akteure zu Fall zu bringen, da Ransomware in den Schlagzeilen ist – genau das ist in diesem Jahr mit ,DarkSide‘ und ,REvil‘ passiert.“
Die Lebenszyklen dieser Banden würden komprimiert. Sinitsyn erläutert: „Dies bedeutet, dass sie ihre Taktiken im Jahr 2022 verfeinern werden, um profitabel zu bleiben, insbesondere wenn Regierungen solche Lösegeldzahlungen als illegal erklären – was derzeit diskutiert wird.“

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, 07.12.2021
The story of the year: ransomware in the headlines

FONDS professionell ONLINE, 30.11.2021
Cyberpolicen: Versicherungsschutz für Lösegeld steht auf der Kippe

[datensicherheit.de, 10.08.2021] Die Ransomware-Krise hat sich offensichtlich in diesem Jahr – 2021 – noch weiter verschärft: Cyber-Kriminelle setzen raffinierte neue Erpressungstechniken ein, haben ihre Angreifer-Tools verbessert und ihre Geschäftsmodelle optimiert. Dies verhalf der „Branche“ laut Palo Alto Networks bereits im Jahr 2020 zu Rekord-Lösegeldern.

Dutzende von Ransomware-Fällen im ersten Halbjahr 2021 untersucht

Diese Trends werden demnach in einem neuen Bericht dokumentiert, der von Palo Alto Networks am 9. August 2021 veröffentlicht wurde. Untersucht worden seien in der ersten Hälfte des Jahres 2021 Dutzende von Ransomware-Fällen.

Die wichtigsten Ergebnisse aus dem Unit 42 Ransomware Threat Report, 1H 2021

• Durchschnittliche Lösegeldforderung auf 5,3 Millionen US-Dollar gestiegen – eine Zunahme um 518 Prozent (847.000 US-Dollar im Jahr 2020)
• Durchschnittlich gezahltes Lösegeld beträgt 570.000 Dollar – ein Anstieg um 82 Prozent (312.000 Dollar im Jahr 2020)
• Zunahme der Vierfachen Erpressung: Die Experten von Palo Alto Networks stellen fest, dass Ransomware-Akteure zunehmend vier Methoden einsetzen, um ihre Opfer zur Zahlung zu bewegen (Verschlüsselung, Datendiebstahl, DoS und Belästigung). Dies ist eine Veränderung gegenüber dem Jahr 2020, als Ransomware-Betreiber sich noch auf die Doppelte Erpressung (Verschlüsselung und Datendiebstahl/Daten-Leak) beschränkten.

Weitere Informationen zum Thema:

paloalto NETWORKS Blog, Ramarcus Baylor & Jeremy Brown & John Martineau, 09.08.2021
Extortion Payments Hit New Records as Ransomware Crisis Intensifies / Unit 42 Ransomware Threat Report, 1H 2021 Update

datensicherheit.de, 10.08.2021
Für Varonis steht Ransomware exemplarisch für Bedrohung der Datensicherheit / Varonis positioniert sich beim Schutz der Daten vor Ransomware, Exfiltration und anderen Attacken

datensicherheit.de, 26.07.2021
Ransomware-Attacken: Lehren aus dem Vorfall bei Colonial Pipeline / Cyber-Kriminelle wollen möglichst schnell und einfach möglichst viel Gewinn erzielen – Ransomware-Angriffe zumeist opportunistisch

datensicherheit.de, 12.07.2021
Zunahme von Ransomware-Angriffen nicht allein technisch zu begegnen / Grenzüberschreitende Bedrohung durch Ransomware erfordert auch Handeln auf politischer Ebene

datensicherheit.de, 09.07.2021
Ransomware-Attacken: Was wir heute von gestern für morgen lernen können / Ed Williams kommentiert aktuelle Hacker-Angriffe mit Ransomware, zeigt Trends auf und gibt Tipps

[datensicherheit.de, 01.07.2021] Ramsomware, also Schadsoftware, welche zuweilen ganze Rechenzentren lahmlegt, um von der betroffenen Organisation Lösegeld zu erpressen, wird offenbar immer mehr zum Mittel der Wahl für Cyber-Kriminelle. Das Bundeskriminalamt (BKA) hat Ransomware bereits in seinem „Bundeslagebild Cybercrime 2020“ als „die Bedrohung für öffentliche Einrichtungen und Wirtschaftsunternehmen“ ausgemacht, und in einem Gespräch mit dem „WALL STREET JOURNAL“ sieht FBI-Direktor Christopher Wray in Ransomware-Attacken ein den Anschlägen vom 11. September 2001 ähnliches Bedrohungspotenzial.

Plädoyers für mehr staatliche Maßnahmen gegen Ransomware in Europa und den USA

In einem aktuellen Artikel zum Thema auf „ZEIT ONLINE“ wird berichtet, dass „mindestens 100 deutsche Ämter, Regierungsstellen, landeseigene Kliniken, Stadtverwaltungen und Gerichte […] in den vergangenen sechs Jahren von Ransomware-Banden attackiert worden“ sind.
Mit seinem Plädoyer für mehr staatliche Maßnahmen gegen Ransomware steht dieser Artikel offensichtlich nicht allein: Selbst jenseits des Atlantiks fordern Politiker staatliches Vorgehen gegen diese Form der Cyber-Kriminalität. So lägen in vier US-Staaten Gesetzesvorschläge vor, welche Lösegeldzahlungen bei erfolgreichen Ransomware-Attacken verbieten sollen, um Cyber-Kriminellen den Anreiz zu nehmen.

Zahlung des Lösegelds nicht der teuerste Aspekt eines Ransomware-Angriffs

Entsprechend werde diese Herangehensweise nach der Devise „Kein Entgegenkommen für Erpresser“ in den USA bereits kontrovers diskutiert. „Und auch bei uns wird dieses Thema sicher über kurz oder lang auf die Tagesordnung gelangen. Auch den ,Law- & Order‘-Hardlinern hierzulande wird dieses Vorgehen sicher nicht unsympathisch erscheinen.“
Dem stünden allerdings Überlegungen gegenüber, welche einen besseren Schutz gegen Attacken und eine Verfolgung der Kriminellen, nicht der Opfer, in den Mittelpunkt rückten. „Die Entscheidung, Lösegeld zu bezahlen oder nicht, ist extrem schwierig für ein Unternehmen. Im Gegensatz zu dem, was viele glauben mögen, ist die Zahlung des Lösegelds nicht der teuerste Aspekt eines Angriffs und sicherlich nicht das Ende der Attacke für angegriffene Unternehmen“, kommentiert Adam Kujawa, Direktor des Malwarebytes Labs. Es gebe hierbei viele größere Probleme, die berücksichtigt werden müssten, einschließlich der Frage, „wie man diese Angriffe von vornherein verhindern und wie man gegen die Akteure selbst vorgehen kann“.

Effektivere Strategie gegen Ransomware: Jeder teils seine Angriffsdaten mit

Kujawa gibt zu bedenken: „Ein völliges Verbot von Lösegeldzahlungen würde bedeuten, dass viele Unternehmen, die versucht sind, das Lösegeld zu zahlen, mit geringerer Wahrscheinlichkeit den Angriff offenlegen, was sowohl unser Verständnis der neuesten Ransomware-Bedrohungen beeinträchtigen als auch die Kunden der betroffenen Unternehmen im Dunkeln lassen würde.“
Eine bessere Alternative sei es, Unternehmen zu verpflichten, Ransomware-Angriffe an eine zentrale Behörde zu melden. Kujawa betont abschließend: „Wir haben deutlich gesehen, dass eine effektivere Strategie gegen Ransomware darin besteht, dass jeder seine Angriffsdaten teilt und diese Informationen nutzt, um Ermittlungsdienste in die Lage zu versetzen, die Kriminellen zu verfolgen, nicht die Opfer.“

Weitere Informationen zum Thema:

THE WALL STREET JOURNAL, Aruna Viswanatha / Dustin Volz, 04.06.2021
FBI Director Compares Ransomware Challenge to 9/11 / Christopher Wray points to Russian hackers, calls for coordinated fight across U.S. society

Bundeskriminalamt, 10.05.2021
Bundeslagebild Cybercrime 2020

datensicherheit.de, 15.06.2021
Sol Oriens: Ransomware-Hacker attackierten Nuklear-Firma in den USA / Hacker-Gruppe „Revil“ soll auch für Ransomware-Angriff auf den Fleischkonzern JBS verantwortlich sein

datensicherheit.de, 12.06.2021
Ransomware-Angriffe: Nicht nachher zahlen, sondern rechtzeitig vorbereiten! / Edgard Capdevielle kommentiert Ransomware-Vorfall beim Fleischhersteller JBS

datensicherheit.de, 20.02.2018
datto-Report: Ransomware entzog KMU viele Millionen Euro Lösegeld / Zwischen 2016 und 2017 europäischen Mittelstandsunternehmen 80 Millionen Euro Lösegeld abgepresst

[datensicherheit.de, 12.06.2021] Im Kontext der jüngsten Ransomware-Attacke auf den mutmaßlich weltgrößten Fleischproduzenten JBS soll als Folge die Produktion an fünf Standorten in den USA kurzzeitig zum Erliegen gekommen sein. Anstatt aber – wie empfohlen – den Forderungen der Angreifer nicht nachzugeben, habe das Unternehmen das Lösegeld bezahlt, um die Produktion so schnell wie möglich wieder anlaufen zu lassen. Edgard Capdevielle, Präsident und „CEO“ von Nozomi Networks, gibt in seiner Stellungnahme die Empfehlung: „Nicht zahlen, sondern vorbereiten!“

Foto: Nozomi Networks

Edgard Capdevielle: Bedrohungslage für industrie und Kritis schon zu Beginn des Jahres 2021 hoch

Ransomware-Angriffe immer zahlreicher, raffinierter und hartnäckiger

Insbesondere wenn Kritische Infrastrukturen (Kritis) von einer solchen Attacke betroffen sind, neigen Entscheidungsträger laut Capdevielle dazu, nachzugeben, um die Produktion – und damit den Umsatz – am Laufen zu halten: „Auch im aktuellen Fall von JBS kostet jede Minute, in der die Produktion stillsteht, das Unternehmen selbst und eine Vielzahl von Zulieferern und Abnehmern bares Geld.“
Wie aus einer Studie von Nozomi Networks hervorgehe, sei die Bedrohungslage für industrielle und Kritische Infrastrukturen schon zu Beginn des Jahres 2021 hoch gewesen: „Cyber-Kriminelle konzentrieren sich immer mehr auf hochwertige Ziele, die fette Beute versprechen. Beliebtes Mittel dafür sind Ransomware-Angriffe, die zugleich immer zahlreicher, raffinierter und hartnäckiger werden.“

In Widerstandsfähigkeit des Unternehmens gegen Ransomware und andere Angriffe investieren!

Leider schaffen es jetzt Angriffe auf Kritis jede Woche in die Nachrichten – „und wir müssen schmerzhaft mit ansehen, wie der private und öffentliche Sektor versucht, den Rückstand aufzuholen“, so Capdevielle.
Er rät: „Unternehmen müssen sich auf das Unvermeidliche vorbereiten – und bereit sein, wenn ein Angreifer eindringt. Aus diesem Grund ist es neben der Stärkung der Cyber-Sicherheitsabwehr ebenso wichtig, in die Widerstandsfähigkeit des Unternehmens im Falle eines Angriffs zu investieren.“

Worst-Case-Szenarien wie Ransomware-Angriffe antizipieren und Wiederherstellungs- und Eindämmungsstrategie entwickeln!

Entscheidungsträger müssten davon ausgehen, dass ihr Unternehmen irgendwann angegriffen wird. Deshalb gelte es, sich auf diese Situation vorzubereiten, bevor sie eintritt. „Diese Denkweise für die Zeit nach einem Vorfall etabliert eine starke Cybersecurity-Kultur, die schwierige Fragen stellt, Worst-Case-Szenarien antizipiert und eine Wiederherstellungs- und Eindämmungsstrategie entwickelt, die darauf abzielt, die Widerstandsfähigkeit von Unternehmen zu maximieren – lange bevor eine Attacke stattfindet“, betont Capdevielle.
Sein Fazit: „Diejenigen Anbieter, die frühzeitig in starke Cyber-Sicherheitsprogramme und Widerstandsfähigkeit investieren, sind in der Lage, schneller und mit geringeren finanziellen Verlusten aus einem erfolgreichen Cyber-Angriff hervorzugehen.“

Weitere Informationen zum Thema:

NOZOMI NETWORKS
New OT/IoT Security Research Report / Protect your operations with new insight into the top OT/IoT threats and vulnerabilities

datensicherheit.de, 12.06.2021
Ransomware-Hacker: Nach dem Angriff könnte vor dem Angriff sein / Eric Waltert von Veritas Technologies kommentiert Ransomware-Angriffe auf JBS und Colonial Pipeline

datensicherheit.de, 09.06.2021
Fleischkonzern JBS als warnendes Beispiel: Cyber-Risiken globaler Lieferketten / Hacker-Angriff für Unternehmen und globalen Lieferketten mit zunehmend verheerenden Auswirkungen

[datensicherheit.de, 15.05.2021] Check Point Research geht in einer aktuellen Stellungnahme auf die offensichtliche Verschärfung der Ransomware-Attacken weltweit ein. Eigene Sicherheitsforscher beobachten demnach eine neue Taktik, „um Lösegeldforderungen erpresserischer zu gestalten“.

Ransomware zunehmend beliebter bei Hackern

Check Point Research, die „Threat Intelligence“-Abteilung der Check Point® Software Technologies Ltd., weist derzeit daraufhin, dass Ransomware zunehmend beliebter bei Hackern wird: „Weltweit sehen die Sicherheitsforscher am Beginn des Jahres 2021 einen durchschnittlichen Anstieg von getroffenen Unternehmen und Einrichtungen um 102 Prozent im Vergleich zum gleichen Zeitraum im vergangenen Jahr 2020.“
So würden seit Anfang April 2021 in der Woche rund 1.000 Organisationen aller Art attackiert – im letzten Jahr seien es zur gleichen Zeit rund 600 gewesen. „In Deutschland jedoch sanken die Angriffe um 60 Prozent seit Jahresbeginn, doch die Art und Weise wird aggressiver.“

Ransomware-Erpressungsversuche adressieren alle betroffenen Parteien

Schwerwiegend sei folgende Erkenntnis: „Viele Hacker wenden eine neue Taktik an, um ihren Lösegeldforderungen zu unterstreichen – Dreifache Erpressung!“ Das Vorgehen sieht laut Check Point Research so aus:

1. Daten werden gestohlen und es wird mit deren Veröffentlichung gedroht.
2. Daten werden zeitgleich verschlüsselt (soweit die bislang bekannte Doppelte Erpressung).
3. Lösegeldforderungen werden an Kunden, Patienten, Partner-Unternehmen oder Zulieferer geschickt, deren Integrität ebenfalls von den gestohlenen Daten bedroht ist.

Die Hacker streuten nun ihre Erpressungsversuche an alle betroffenen Parteien. „Es erhalten nicht mehr nur die Unternehmen eine Lösegeldforderung, deren Systeme von der Ransomware attackiert wurden, sondern Kunden oder Partner, deren Informationen in den gestohlenen Daten enthalten sind. So wollen die Kriminellen ihre Chancen auf Profit steigern.“

Erster Fall für Dreifache Erpressung per Ransomware-Angriff im Oktober 2020

Der erste Fall für Dreifache Erpressung sei im Oktober 2020 in Europa aufgetreten: Die finnische Klinik für Psychotherapie, Vastaamo, mit 40.000 Patienten habe ein Datenleck in Verbindung mit einer Ransomware erlebt, „welches sich über das ganze Jahr erstreckte“. Wie üblich, sei eine große Summe Lösegelds von der Klinik gefordert worden, doch überraschender sei gewesen, „dass einzelne Patienten ebenfalls Lösegeldforderungen in geringerer Höhe über E-Mail erhalten haben“. Die Hacker hätten diese mit der Veröffentlichung der Aufzeichnungen aus den Therapie-Sitzungen bedroht.
Außerdem sei die durchschnittliche Summe der Lösegeldforderungen über das letzte Jahr um 171 Prozent angestiegen und liege nun bei rund 257.000 Euro (310.000 US-Dollar). „Kürzlich traf es sehr prominent die US-amerikanische Firma Colonial, deren Pipeline für Brennstoff lahmgelegt wurde.“

Weitere Informationen zum Thema:

Check Point Blog
The New Ransomware Threat: Triple Extortion / Global surge in ransomware attacks hits 102% increase this year compared to the beginning of 2020, and shows no sign of slowing down

datensicherheit.de, 14.05.2021
Signifikanter Ransomware-Angriff auf IT-Systeme der Health Service Executive / Staatliches Gesundheitssystems Irlands meldet Abschaltung der eigenen IT-Systeme als Reaktion auf Ransomware-Attacke

datensicherheit.de, 12.05.2021
Ransomware-Angriff auf Colonial Pipeline nur Teil einer neuen Welle / Betreiber einer der größten Treibstoff-Pipelines der USA musste Betrieb nach Attacke mit DarkSide-Ransomware vorübergehend einstellen

TECHMONITOR, Matthew Gooding, 17.03.2021
Ransomware payouts top $300,000 with ‘double extortion’ attacks on the rise / The average ransomware payout grew 171% in 2020 as criminals threatened to post sensitive data online.

WIRED, William Ralston, 09.12.2020
A dying man, a therapist and the ransom raid that shook the world / Patients put their trust in a therapy company to keep their notes and diagnoses private. Then the ransom demands arrived