Conti und Lockbit mit schweren Angriffen in Q4 2021
Unser Bericht gibt einen Überblick über die Ransomware-Bedrohungslandschaft in Q4 2021 und zeigt die wichtigsten Familien sowie die davon betroffenen Branchen und Unternehmensgrößen. Am aktivsten waren im letzten Quartal wohl Conti und LockBit.
Von Trend Micro
Unser neuester Bericht gibt einen Überblick über die Ransomware-Bedrohungslandschaft im vierten Quartal 2021 und zeigt die wichtigsten Familien der Malware sowie die Arten von Branchen und Unternehmen, die betroffen waren. Ransomware-Akteure beendeten 2021 mit einer Welle aufsehenerregender Angriffe. Vor allem die Betreiber von LockBit und Conti fielen im letzten Quartal mit modernen Ransomware-Kampagnen gegen verschiedene Organisationen in unterschiedlichen Ländern auf.
Die Ransomware-Gruppe LockBit 2.0 eröffnete das Quartal, indem sie im Oktober behauptete, sensible Unternehmensdaten der E.M.I.T. Aviation Consulting Ltd., einer Organisation für Luft- und Raumfahrt und Verteidigung in Israel, gestohlen und mit der Weitergabe an Dritte gedroht zu haben. Die Ransomware-Gruppe Conti wiederum steckte angeblich hinter einem Angriff auf den Londoner Juwelier Graff, bei dem sie die sensiblen Daten von 11.000 Kunden des Unternehmens gestohlen und im November 69.000 Dateien im Dark Web veröffentlicht haben soll. Die Gruppe griff auch mehrere Organisationen aus verschiedenen Branchen in Australien an, darunter angeblich CS Energy, den Stromversorger des Landes. Gegen Ende November sah sich der Hersteller Advantech, der Chips für die Industrieautomatisierung und das industrielle Internet der Dinge (IIoT) produziert, mit einer Lösegeldforderung in Höhe von 14 Millionen Dollar konfrontiert, um Unternehmensdokumente entschlüsseln und das Datenleck schließen zu können.
Mithilfe der Daten aus dem Trend MicroTM Smart ProtectionTM Network konnten wir die Bedrohungslandschaft für das vierte Quartal untersuchen und entdeckten insgesamt 3.250.504 mit digitaler Erpressung im Zusammenhang stehende Bedrohungen in unseren Datei-, URL- und Mail-Layern. Die Telemetrie zeigte zudem insgesamt einen Rückgang der Ransomware-Bedrohungen um 6,12 % im Vergleich zum dritten Quartal.
Top 10-Ransomware-Familien
Interessanterweise war LockBit durchgängig unter den fünf führenden Ransomware-Familien des Quartals zu finden, während Contis Position in der Liste häufiger wechselte. Diese Unregelmäßigkeit ist auf die Tatsache zurückzuführen, dass moderne Ransomware-Akteure bei ihren Angriffen von einer „Spray-and-Pray“-Taktik zu einem gezielteren Ansatz für die Verbreitung ihrer bösartigen Payloads übergehen. Vom Umfang der Entdeckungen her führten ältere Ransomware-Familien die Liste der Top-10 an.
Die fünf wichtigsten Ransomware-Entdeckungen nach Unternehmensgröße
LockBit wurde von Oktober bis Dezember 2021 durchgehend im Enterprise-Segment und im Oktober und November im Segment der kleinen und mittleren Unternehmen (SMB) entdeckt. Conti hingegen gehörte im Dezember zu den fünf häufigsten Familien im Enterprise-Segment und im November in den KMUs.
Unsere Erkennungen zeigen lediglich wie aktiv LockBit- und Conti-Akteure während der letzten drei Monate waren. LockBit-Betreiber behaupteten, Ransomware-Angriffe auf die europäische Kryptowährungsbörse BTC-Alpha, den Hubschrauberhersteller Kopter und das mexikanische IT-Unternehmen Telepro gestartet zu haben. Die Conti-Gruppe wiederum kompromittierte im Dezember die Hotelreservierungs-, Check-in- und Check-out-Systeme sowie die Systeme zur Erstellung von Zimmerschlüsseln der Nordic Choice Hotels, einer der größten Hotelketten im skandinavischen Raum. Auch griff die Gruppe die Hotelkette McMenamins in Portland, Oregon, an, und kompromittierte die Server, Maschinen und Kassensysteme. Noch vor Jahresende nutzte die Gruppe die Log4Shell-Schwachstelle über eine vollständige Angriffskette, die das Emotet-Botnet, Cobalt Strike und Kerberoast umfasste.
Die drei am häufigsten angegriffenen Branchen
Ähnlich wie im dritten Quartal 2021 waren die Regierungs- und Gesundheitsbranche wieder diejenigen mit den meisten Ransomware-Erkennungen. Den dritten Platz belegten die Finanz-, Versicherungs- und Transportbranche.
Legacy-Familien führten die Liste in allen Bereichen an, allerdings gab es im November einen Anstieg der LockBit-Entdeckungen im Gesundheitswesen. In der Vergangenheit behaupteten LockBit-Akteure, es nicht auf das Gesundheits- und Bildungswesen, soziale Dienste und Wohltätigkeitsorganisationen abgesehen zu haben. Im September 2021 veröffentlichte das Health Sector Cybersecurity Coordination Center (HHS) jedoch eine Warnmeldung, in der Gesundheitseinrichtungen vor der Gruppe und ihrer bevorzugten Methode des Eindringens, nämlich über ungepatchte Systeme, gewarnt wurden.
Die fünf am häufigsten betroffenen Länder
Die Akteure von Conti, LockBit, Clop und Maze starteten im vierten Quartal unregelmäßig Angriffe und setzten damit den Trend der unregelmäßigen Aktivitäten aus dem dritten Quartal fort. Conti wurde im November in den USA am häufigsten erkannt, LockBit führte die Liste in Brasilien an. Details zu den Ländern finden Sie im Originalbeitrag.
Verteidigung gegen Ransomware-Angriffe
Um zu verhindern, dass Ransomware-Angriffe wichtige Daten kompromittieren und ausspionieren, sollten Unternehmen diese Sicherheitsempfehlungen befolgen:
- Aktivieren Sie eine Mehrfaktor-Authentifizierung.
- Seien Sie vorsichtig beim Öffnen ungeprüfter Mails. Vermeiden Sie es, auf eingebettete Links zu klicken, da diese den Installationsprozess der Ransomware starten können.
- Sichern Sie wichtige Dateien. In der Regel sollten sich Unternehmen beim Backup an die 3-2-1-Regel halten: Erstellen Sie drei Sicherungskopien in zwei verschiedenen Dateiformaten, wobei sich eine der Sicherungen an einem separaten Ort befinden sollte.
- Spielen Sie immer Patches und Updates für Ihre Systeme auf. Es ist wichtig, dass alle Betriebssysteme und Anwendungen sowie die gesamte relevante Software gepatcht und aktualisiert werden.
Unternehmen sollten auch die Vorteile von mehrschichtigen Detection-and-Response-Lösungen nutzen. Trend Micro Vision One™ ist eine speziell zur Abwehr von Bedrohungen entwickelte Plattform, die einen Mehrwert und Vorteile bietet, die über erweiterte Erkennungs- und Reaktionslösungen (Extended Detection and Response, XDR) hinausgehen. Sie ermöglicht es Unternehmen, mehr zu erkennen und schneller zu reagieren. Trend Micro Vision One bietet tiefgreifende und umfassende XDR-Funktionen, die Daten über mehrere Sicherheitsebenen - Mail, Endpunkte, Server, Cloud-Workloads und Netzwerke - sammeln und automatisch korrelieren, um die meisten Angriffe durch automatisierten Schutz zu verhindern.
Trend Micro Network One liefert kritische Netzwerk-Telemetriedaten an Trend Micro Vision One. So können sich Sicherheitsteams ein klareres Bild von ihrer Umgebung machen, schneller reagieren und zukünftige Angriffe verhindern.
Laden Sie unsere Ransomware-Erkennungsdaten für das 4. Quartal 2021 herunter.