Ransomware
Weniger Angriffe mehr Geld
Die jüngsten Entwicklungen bei Ransomware-Angriffen zeichnen ein komplexes Bild: Während die Anzahl der Lösegeldzahlungen insgesamt zurückzugehen scheint, steigen die Summen offenbar stark an. Was passiert und wie sollten Unternehmen reagieren?
Ransomware ist nach wie vor eine der größten Bedrohungen für Unternehmen weltweit. In einem kürzlich veröffentlichten Bericht von Chainalysis, einem führenden Unternehmen im Bereich Blockchain-Analyse, werden die kumulierten Ransomware-Zahlungsbeträge in den ersten sechs Monaten des Jahres 2024 auf rund 449,1 Millionen US-Dollar geschätzt. Diese Summe liegt unter den 602 Millionen US-Dollar des gleichen Zeitraums 2023. Interessant ist jedoch, dass dieser Rückgang der Summen nicht auf weniger Ransomware-Angriffe zurückzuführen ist, sondern vielmehr auf eine Veränderung der Zahlungsdynamik.
Während die Anzahl der tatsächlich geleisteten Lösegeldanweisungen gesunken ist, sind die durchschnittlich geforderten Summen stark angestiegen. Dies ist ein Hinweis darauf, dass Ransomware-Gruppen ihre Taktiken angepasst haben und nun gezielt Unternehmen angreifen, die bereit oder in der Lage sind, höhere Summen zu zahlen. Ein prominentes Beispiel sind die 75 Millionen US-Dollar, die an die Ransomware-Gruppe Dark Angels gingen. Es zeigt, wie drastisch die Forderungen mittlerweile sein können.
Die Rolle der Blockchain-Analyse
Ein wichtiger Aspekt bei der Untersuchung ist der Einsatz von Blockchain-Technologie zur Nachverfolgung der Zahlungen. Unternehmen wie Chainalysis sind führend in der Analyse von Kryptowährungstransaktionen, die häufig für Ransomware-Anweisungen verwendet werden. Diese Analysen bieten wertvolle Einblicke in das Verhalten der Kriminellen und die Geldströme, die durch ihre Handlungen generiert werden.
Allerdings sind dem Einsatz dieser Technologien auch Grenzen gesetzt. Es ist zwar möglich, die Geldströme zu den Ransomware-Gruppen zu verfolgen, doch ist es schwierig, eine vollständige End-to-End-Analyse durchzuführen, die auch die Opfer und ihre Zahlungsmoral einbezieht. Dies liegt vor allem daran, dass die Transaktionen häufig über verschiedene Wallets und Kryptowährungsbörsen verschleiert werden, was die Rückverfolgung erschwert. Zudem sind die Opfer in vielen Fällen nicht bereit, über ihre Erfahrungen zu berichten, und das schränkt die Datenverfügbarkeit weiter ein.
Veränderte Strategien der Angreifer
Für die veränderte Zahlungsdynamik lassen sich mehrere Thesen finden. Sicherlich sind die Veränderungen zum Teil auf die zunehmende Resilienz der angegriffenen Unternehmen zurückzuführen. Viele Unternehmen haben ihre Sicherheitsstrategien verbessert, auch Themen wie Backup und Restore sind unserer Erfahrung nach mittlerweile im Durchschnitt besser umgesetzt worden als noch vor Jahren. Diese Maßnahmen ermöglichen es in vielen Fällen, Daten wiederherzustellen, ohne Lösegeld zahlen zu müssen. Der Schaden der angegriffenen Firmen bleibt durch Ausfälle auf verschiedenen Geschäftsebenen zwar weiterhin massiv, allerdings lässt sich oftmals zumindest vermeiden, durch das Eingehen auf die Lösegeldforderungen die Bemühungen der Angreifergruppen weiterhin zu stärken.
Hinzu kommt, dass das Vertrauen in die Seriosität der Angreifer noch weiter gesunken ist. Unternehmen bezweifeln zunehmend, dass die Angreifer nach einer Zahlung tatsächlich die zur Entschlüsselung notwendigen Schlüssel herausgeben und befürchten zudem, erneut zum Ziel zu werden.
Diese Entwicklungen haben dazu geführt, dass einige Ransomware-Gruppen ihre Strategien angepasst haben. Anstatt auf Masse zu setzen, konzentrieren sie sich nun auf sogenannte „Big Game Hunting“-Taktiken. Dabei werden gezielt größere Unternehmen oder Organisationen angegriffen, bei denen potenziell höhere Lösegeldforderungen durchgesetzt werden können. Es wird vermutet, dass die Angreifer die exfiltrierten Daten detailliert analysieren, um den Druck auf die Opfer zu maximieren und so höhere Summen zu erzwingen.
Dabei ist jedoch immer zu beachten, dass das Feld der Ransomware-Akteure mittlerweile relativ unübersichtlich geworden ist. Es reicht von relativ schlecht aufgestellten Affiliate-Gruppen bis hin zu äußerst versierten Gruppen, die sehr zielgerichtet vorgehen.
Incident Response und Prävention
Angesichts dieser Entwicklungen wird deutlich, wie wichtig präventive Maßnahmen und eine gut vorbereitete Incident Response sind. Unternehmen, die über robuste Backup- und Restore-Systeme sowie ein starkes Incident Response Team verfügen, sind besser in der Lage, Ransomware-Angriffe zu bewältigen, ohne auf die Forderungen der Angreifer eingehen zu müssen. Dies hat dazu geführt, dass immer mehr Unternehmen weniger bereit sind, Lösegeld zu zahlen.
Ein weiterer entscheidender Aspekt im Kampf gegen Ransomware ist die Implementierung effektiver Erkennungsmaßnahmen, die darauf abzielen, Angriffe bereits in einem sehr frühen Stadium zu entdecken und abzuwehren. Technologien wie Extended Detection and Response (XDR) spielen hierbei eine zentrale Rolle. Diese frühzeitige Erkennung ermöglicht es Sicherheitsteams, schnell zu reagieren und die Ausbreitung eines Angriffs zu verhindern, bevor er ernsthaften Schaden anrichten kann.
Darüber hinaus ist es für Unternehmen essenziell, ihre Angriffsfläche kontinuierlich zu überwachen und zu minimieren. Durch eine gründliche Überwachung der Angriffsoberfläche, also aller potenziellen Angriffspunkte, lässt sich die Chance erhöhen, dass Angreifer im besten Fall gar keinen Erstzugriff erhalten.
Zu den Maßnahmen gehört die regelmäßige Bewertung von Schwachstellen, das Patchen von Sicherheitslücken und die strenge Kontrolle von Zugriffsrechten. Eine sorgfältige Verwaltung und Überwachung der Angriffsfläche reduziert das Risiko, dass Angreifer unbemerkt in das Netzwerk eindringen können, und ergänzt somit präventive Maßnahmen wie XDR, um ein umfassendes Sicherheitsnetz zu schaffen. Indem Unternehmen sowohl präventive als auch Erkennungsmaßnahmen priorisieren, erhöhen sie ihre Widerstandsfähigkeit gegen die wachsende Bedrohung durch Ransomware erheblich.
Schlussfolgerung
Die jüngsten Entwicklungen im Bereich Ransomware zeigen, dass die Bedrohung nach wie vor hoch ist, auch wenn die Anzahl der Zahlungen zurückgeht. Steigende Lösegeldforderungen und veränderte Taktiken der Angreifer erfordern von Unternehmen eine kontinuierliche Anpassung ihrer Sicherheitsstrategien. Prävention, eine starke Incident Response und der Einsatz moderner Technologien zur Bedrohungsanalyse sind entscheidende Faktoren für eine erfolgreiche Abwehr von Ransomware-Angriffen. Nur mit einem proaktiven Ansatz können Unternehmen die Risiken minimieren und sich vor den finanziellen und betrieblichen Auswirkungen von Ransomware schützen.