Image
Cyberattacken mit Ransomware haben im vergangenen Jahr gegenüber 2020 extrem zugenommen.
Foto: Group-IB
Cyberattacken mit Ransomware haben im vergangenen Jahr gegenüber 2020 extrem zugenommen.

IT-Sicherheit

Cyberattacken mit Ransomware nehmen dramatisch zu

Der Cybersicherheits-Spezialist Group-IB stellt eine Studie zu Ransomware-Attacken vor. Dabei zeigt sich: Die Angriffe haben extrem zugenommen.

Das neue Kompendium enthält eine Bestandsaufnahme der aktuellsten Taktiken, Techniken und Prozesse (TTPs) von Ransomware-Akteuren, die von Group-IBs DFIR-Team („Digital Forensics und Incident Response“) an allen Standorten des Unternehmens weltweit beobachtet wurden. Neben der Analyse von über 700 Angriffen, die im Rahmen von Group-IBs eigenen Incident-Response-Aktivitäten und Cyberbedrohungsanalysen im Jahr 2021 untersucht wurden, befasst sich das Kompendium auch mit den Onlineplattformen, wo Daten von Ransomware-Opfern geleakt werden (DLS = „Data Leak Sites“).

Von Menschen durchgeführte Ransomware-Angriffe führten die globale Cyberbedrohungslandschaft in den letzten drei Jahren weiterhin mit soliden Margen an. Der im Bericht „Hi-Tech Crime Trends“ von Group-IB beschriebene Anstieg von Erstzugangs-Brokern (IAS = „Initial Access Brokers“) und die Ausweitung von Ransomware-as-a-Service-Programmen (Raas) sind die Hauptantriebskräfte für das kontinuierliche Wachstum von Ransomware-Operationen. Raas ermöglicht es gering qualifizierten Cyberkriminellen, in das Spiel einzusteigen und die Zahl der Opfer in die Höhe zu treiben

Auf der Grundlage der Analyse von über 700 Angriffen im Jahr 2021 schätzen die DFIR-Experten der Group-IB, dass die Lösegeldforderung im Jahr 2021 durchschnittlich 247.000 US-Dollar betrug, 45 % mehr als 2020. Die Ransomware-Attacken wurden immer ausgefeilter, was sich deutlich an den Ausfallzeiten der Opfer zeigt, die von 18 Tagen im Jahr 2020 auf 22 Tage im Jahr 2021 anstiegen.

Erpressungstechniken von Ransomware werden weiter verfeinert

Raas-Anbieter begannen damit, ihren Partnern nicht nur Ransomware-Kits, sondern auch benutzerdefinierte Tools für die Datenexfiltration anzubieten. Dies ermöglicht es, die Operationen zu vereinfachen und zu rationalisieren. Dadurch verbreitete sich die zweifache Erpressungstechnik noch weiter. In 63 % der von Group-IBs DFIR-Team analysierten Fälle wurden sensible Opferdaten herausgeschleust, um die Lösegeldzahlung zu erzwingen. Zwischen dem ersten Quartal 2021 und dem ersten Quartal 2022 haben Ransomware-Gangs Daten von über 3.500 Opfern auf „Data Leak Sites“ (DLS) veröffentlicht. Die meisten Unternehmen, deren Daten im Jahr 2021 von Ransomware-Akteuren auf DLS gepostet wurden, hatten ihren Sitz in den Vereinigten Staaten (1.655). 986 hingegen die betroffenen europäischen Unternehmen. Mit 143 Unternehmen, deren Daten nach einer Ransomware-Attacke veröffentlicht wurden, belegt Deutschland Platz 6 des weltweiten Rankings und Platz 4 in Europa. Die meisten tangierten Organisationen gehören dem Industriesektor (322, in Deutschland 30 Opfer), der Immobilien- (305, in Deutschland 13 ) sowie der professionellen Dienstleistungsbranche (256) an. Mit 20 Unternehmen, deren Daten auf DLS hochgeladen wurden, ist in Deutschland der Transportsektor ebenfalls betroffen.

Lockbit, Conti und Pysa erwiesen sich als die aggressivsten Gangs mit auf DLS hochgeladenen Daten von jeweils 670, 640 und 186 Opfern, wovon jeweils 45, 25 und 12 deutsche Unternehmen. Die beiden Neulinge im Jahr 2021, Hive und Grief (eine Neuauflage der DoppelPaymer-Gruppe), schafften es schnell in die Top 10 der kriminellen Organisationen – gemessen an der Zahl der Opfer, wovon Daten auf DLS hochgeladen wurden.

BSI-Lagebild: Ransomware bedroht vernetzte Gesellschaft

Das aktuelle deutsch-französische Lagebild des BSI zeigt: Ransomware ist aktuell eine der größten Bedrohungen für eine stark digitalisierte Gesellschaft.
Artikel lesen

Trügerische Bots werden zur latenten Gefahr

Der Missbrauch von öffentlich zugänglichen RDP-Servern war auch im Jahr 2021 wieder die häufigste Methode, um im Zielnetzwerk einzudringen. 47% aller von Group-IBs DFIR-Experten untersuchten Angriffe begannen mit der Kompromittierung eines externen Remote-Dienstes.

Spear-Phishing-E-Mails, die herkömmliche Malware enthalten, stehen an zweiter Stelle (26%). Unter Ransomware-Betreibern erfreute sich die Nutzung von Standard-Malware in der Anfangsphase einer Attacke zunehmender Beliebtheit. Dadurch wurde allerdings die Zuweisung von Ransomware-Angriffen im Jahr 2021 zusehends komplizierter, da viele Bots wie Emotet, Qakbot und Iced ID von verschiedenen Bedrohungsakteuren eingesetzt wurden. 2020 wiesen hingegen bestimmte Standard-Malware-Familien eine starke Zugehörigkeit zu bestimmten Ransomware-Gangs auf. So beobachtete das DFIR-Team von Group-IB, dass beispielsweise Icedid von verschiedenen Ransomware-Organisationen für den Erstzugang genutzt wurde.

Im Allgemeinen begnügten sich zahlreiche Ransomware-Gruppen im Laufe der Angriffe auch mit herkömmlichen Techniken und legitimen Tools. Häufig wurde Standard-Malware verwendet, um – nach der Ausbeutung – über Lade-Frameworks wie „Cobalt Strike“ anderweitige Aktivitäten zu starten (beobachtet bei 57 % der Angriffe).

Andererseits gingen einige Ransomware-Gangs sehr unkonventionell vor: Revil-Mitglieder nutzten Zero-Day-Schwachstellen, um die Kunden von Kaseya anzugreifen. Der Bazarloader, der bei Ryuk-Operationen eingesetzt wurde, wurde über Vishing (Voice-Phishing) verbreitet. In diesem Fall enthielten die Phishing-E-Mails Informationen über „kostenpflichtige Abonnements“, die angeblich per Telefon gekündigt werden konnten. Während des Anrufs lockten die Cyberkriminellen das Opfer auf eine gefälschte Website und gaben Anweisungen zum Herunterladen und Öffnen eines manipulierten Dokuments, das das Herunterladen und Ausführen von Bazarloader veranlasste.

Fünf Wege, wie Hacker Rechner mit Ransomware infizieren

Bitdefender schildert fünf typische Wege für erpresserische Angriffe mittels Ransomware – auch auf privat genutzte Rechner. 
Artikel lesen

Methoden von Cyberangriffen werden immer ausgefeilter

„Angesichts der zahlreichen Umbenennungen, die durch die Strafverfolgungsbehörden erzwungen wurden, und der Verschmelzung der TTPs aufgrund der ständigen Migration von Partnern von einem Raas-Programm („Ransomware as a Service“) zu anderen wird es für Sicherheitsexperten immer schwieriger, den Überblick über die sich ständig weiterentwickelnden Taktiken und Tools der Ransomware-Akteure zu behalten“, erläutert Oleg Skulkin, Leiter des DFIR-Teams von Group-IB. „Um Cybersicherheitsverantwortliche von Unternehmen auf dem Laufenden zu halten und sie bei der Vorbereitung auf Ransomware-Vorfälle zu unterstützen, haben wir die wichtigsten Trends und TTP-Änderungen skizziert und daraus umsetzbare Erkenntnisse produziert, die entsprechend organisiert sind.“

Die zweite Ausgabe 2021/2022 des Ransomware-Uncovered-Reports enthält eine Matrix, die Informationen über die bei von Menschen durchgeführten Ransomware-Angriffen am häufigsten vorkommenden TTPs enthält. Der neue Bericht steht auf der Website von Group-IB zum Download bereit.

Image
rohde schwarz_bitkom_studie.jpeg
Foto: Rohde & Schwarz Cybersecurity

Hacker-Abwehr

Cyberattacken und Ransomware bedrohen Netzwerke

Eine aktuelle Studie des Digitalverbands Bitkom bewertet Ransomware als Haupttreiber für den enormen Anstieg an Cyberattacken.

Image
fokusthema_it-sicherheit_krankenhaus.jpeg
Foto: Keeve

IT-Sicherheit

Verwaltung im Fadenkreuz von IT-Angriffen

Bereits vor Corona gab es wiederholt Angriffe auf IT-Systeme von Verwaltungseinrichtungen. In den letzten zwei Jahren haben diese aber deutlich zugenommen.

Image
Foto: Samsung

Samsung

Vandalismussichere Domekameras

Samsung Techwin stellt mit der SNV-6084 eine neue vandalismussichere Domekamera mit Full-HD-Auflösung vor, die zudem für Wetterextreme ausgelegt und gegen physische Angriffe gewappnet ist.

Image
Im Jahr 2021 hatte das deutsche Gesundheitswesen mit zahlreichen schweren Cyber-Angriffen und Erpressungsfällen durch Ransomware zu kämpfen.
Foto: Zarathustra - Fotolia

IT-Sicherheit

Hackerangriffe und Ransomware im Gesundheitswesen

Das deutsche Gesundheitswesen stand 2021 im Fokus von Hacker- und Ransomware-Attacken. Teil 2 unseres IT-Rückblicks beleuchtet einige Fälle.