Analyse der Ransomware-Aktivitäten in Q3
Wir haben die Landschaft der Ransomware-Familien sowie die Arten von Branchen und Unternehmen, die sie im dritten Quartal 2021 ins Visier genommen haben, untersucht: REvil und LockBit gehörte zu den aktivsten.
Originalartikel von Trend Micro
Wir haben die Landschaft der Ransomware-Familien sowie die Arten von Branchen und Unternehmen, die sie im dritten Quartal 2021 ins Visier genommen haben, untersucht: REvil und LockBit gehörte zu den aktivsten.
Betreiber moderner Ransomware waren im dritten Quartal 2021 recht aktiv. Wir haben insgesamt 3.462.489 Ransomware-Bedrohungen über unsere E-Mail-, Datei- und URL-Ebenen erkannt und blockiert haben. Unsere Nachverfolgung und Untersuchung erstreckte sich sowohl auf die Familien selbst als auch auf die Arten von Branchen und Unternehmen, die angegriffen wurden.
Insbesondere die Betreiber von REvil (alias Sodinokibi) sind zu nennen, über die Anfang Juli berichtet wurde, dass böswillige Akteure Zero-Day-Schwachstellen in der VSA-Software der IT-Verwaltungsplattform Kaseya ausnutzen, um ein bösartiges Skript auf Systemen angreifbare Kunden abzulegen. VSA wird normalerweise von Kaseya verwendet, um Anwendern Updates zur Verfügung zu stellen, wurde aber von den böswilligen Akteuren als Waffe eingesetzt, um die REvil-Ransomware zu laden. Diese Ransomware ist dafür bekannt, dass sie eine doppelte Erpressungstaktik anwendet, um die Opfer zur Zahlung des Lösegelds zu bewegen.
Auch die Ransomware-Gruppe LockBit wurde überwacht, die mit LockBit 2.0 im Juli und August wieder aktiv wurde. Diese Version verfügt augenscheinlich über eine der derzeit schnellsten und effizientesten Verschlüsselungsmethoden. Sie versucht auch, weitere Partner zu rekrutieren, indem sie Unternehmens-Insidern, die der Gruppe Anmeldedaten und Zugang verschaffen können, „Millionen von Dollar“ verspricht.
Die fünf wichtigsten Ransomware-Erkennungen nach Unternehmenssegmenten
Die Entdeckungszahlen von REvil erreichten im Juli ihren Höhepunkt, und LockBit erschien im August und September auf der Bildfläche. Die älteren Ransomware-Familien WannaCry und Locky waren ebenfalls in allen Unternehmensgrößen aktiv. WannaCry war in allen drei Monaten die am häufigsten entdeckte Ransomware-Familie im Unternehmenssegment, und Locky wurde am häufigsten im Verbrauchersegment erkannt.
Bild 1. Erkennung von Ransomware-Dateien im dritten Quartal 2021 in verschiedenen Segmenten
Bild 2. Die fünf wichtigsten Ransomware-Familien im dritten Quartal 2021 in den einzelnen Geschäftssegmenten (REvil und LockBit sind hervorgehoben, um die Aktivität in Verbindung mit Nachrichtenberichten zu zeigen)
Die 10 wichtigsten Ransomware-Familien
Die alten Ransomware-Familien WannaCry, Locky, Cerber und GandCrab wurden im dritten Quartal 2021 durchgängig erkannt. Modernere Ransomware-Familien wie REvil und LockBit waren dagegen unbeständiger. Die Betreiber moderner Ransomware-Familien wählen ihre Ziele in der Regel sorgfältig aus und setzen ihre Payload differenzierter ein, so dass die Aktivität dieser Familien unregelmäßiger ist.
Auch Conti war in diesem Zeitraum besonders aktiv. Im September berichteten die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) und das FBI über mehr als 400 Angriffe auf US-amerikanische und internationale Organisationen mit Conti. In dieser Zeit wurden auch Mount-Locker-Aktivitäten aufgedeckt, und in den folgenden Monaten wurden neue Geschäftsmodelle im Zusammenhang mit dieser Familie entdeckt.
Bild 3. Die wichtigsten aktiven Ransomware-Familien im dritten Quartal 2021
Die drei am häufigsten betroffenen Branchen
Die Behörden und das Gesundheitswesen standen bei der Entdeckung von Ransomware an erster Stelle der Rangliste. Die Telekommunikations-, Fertigungs- und Finanzbranche waren in diesen drei Monaten ebenfalls stark betroffen. Die REvil-Aktivitäten stiegen sprunghaft an, wobei die Zunahme der Aktivitäten vor allem in der Telekommunikationsbranche zu beobachten war. In der Zwischenzeit wurde LockBit in Behörden und Organisationen des Gesundheitswesens entdeckt, und auch Clop war in der Gesundheitsbranche aktiv. Clop ist eine moderne Ransomware-Familie, die über verschiedene und zunehmend zerstörerische Erpressungstechniken verfügt.
Bild 4. Die drei von Ransomware-Dateien am häufigsten betroffenen Branchen im dritten Quartal 2021
Bild 5. Die drei wichtigsten Ransomware-Familien mit Angriffen auf die wichtigsten Branchen im dritten Quartal 2021 betreffen (auffällige Familien hervorgehoben)
Die fünf Länder mit den meisten Ransomware-Erkennungen
Wie bereits erwähnt, sind die Aktivitäten moderner Ransomware aufgrund der gezielten Ausrichtung auf bestimmte Zielgruppen unbeständiger. Dies zeigt sich im Fall von REvil, das im Juli in den USA seinen Höhepunkt erreichte und im September praktisch verschwunden war. Die REvil-Aktivitäten gingen auch in anderen Ländern zurück. In der Zwischenzeit tauchte LockBit im Juli in Japan auf und gewann an Zugkraft. Im September wurden weitere Ziele in der ganzen Welt angegriffen.
Bild 6. Die fünf Top-Länder mit den meisten Ransomware-Funden, und die 10 wichtigsten Ransomware-Familien, die im Juli 2021 in den Ländern entdeckt wurden (auffällige Familien hervorgehoben)
Bild 7. Die fünf Top-Länder mit den meisten Ransomware-Funden, und die 10 wichtigsten Ransomware-Familien, die im August 2021 in den Ländern entdeckt wurden (auffällige Familien hervorgehoben)
Bild 8. Die fünf Top-Länder mit den meisten Ransomware-Funden, und die 10 wichtigsten Ransomware-Familien, die im September 2021 in den Ländern entdeckt wurden (auffällige Familien hervorgehoben)
Verhindern von Ransomware und Minimierung der Auswirkungen
Unternehmen können die Risiken moderner Ransomware mindern, indem sie in mehrschichtige Erkennungs- und Reaktionslösungen investieren, die Ransomware-Aktivitäten, -Techniken und -Bewegungen vorhersehen und darauf reagieren können, bevor die Betreiber einen Angriff starten können. Eine solche Lösung ist die Cybersicherheitsplattform Trend Micro Vision OneTMmit Managed XDR, die dabei helfen kann, Ransomware-Komponenten zu erkennen und zu blockieren.
Zum weiteren Schutz ermöglicht Network Detection and Response (NDR) die Überwachung des Netzwerkverkehrs und die Reaktion auf bösartige Aktivitäten und verdächtiges Verhalten auf der Netzwerkebene und darüber hinaus. Trend Micro Network One kann nicht nur Zero-Day-Angriffe abwehren, sondern liefert auch wichtige Netzwerk-Telemetriedaten an Trend Micro Vision One, so dass sich Sicherheitsteams ein klareres Bild von ihrer Umgebung machen können, um die Reaktion zu beschleunigen und zukünftige Angriffe zu verhindern.
Laden Sie hier unsere Ransomware-Erkennungsdaten für das dritte Quartal 2021 herunter.