Immer mehr kleine und mittlere Unternehmen (KMU) stehen vermehrt im Fokus von Cyber-Erpressern. Die APT-Gruppen Lockbit, BlackCat und Clop (oder Cl0p) sind besonders aktiv mit der Anzahl ihrer Attacken. Im EU-Vergleich wird Deutschland besonders stark angegriffen.
Trend Micro hat eine neue Analyse veröffentlicht, aus der hervorgeht, dass sich ein Großteil aller Ransomware-Angriffe in letzter Zeit auf drei große Bedrohungsakteure Lockbit, BlackCat und Clop zurückführen lässt. Der Bericht weist auch darauf hin, dass die Anzahl der neuen Opfer seit dem zweiten Halbjahr 2022 um 47 Prozent gestiegen ist.
APT-Gruppen Lockbit, BlackCat und Clop
Die Untersuchung zeigt, dass es viele Ransomware-as-a-Service-Bedrohungsakteure nicht mehr auf „große Ziele“ abgesehen haben, sondern sich auf kleinere Unternehmen konzentrieren, von denen sie annehmen, dass sie weniger gut geschützt sind. In der ersten Hälfte des untersuchten Zeitraums sind die meisten LockBit-Opfer (57 Prozent) und ein erheblicher Anteil der BlackCat-Opfer (45 Prozent) weltweit Unternehmen mit weniger als 200 Mitarbeitern. Im Fall von Clop entfällt die Hälfte der Angriffe (50 Prozent) auf Großunternehmen, während 27 Prozent kleine Unternehmen betreffen.
Basierend auf den Telemetriedaten des japanischen Cybersecurity-Spezialisten wurden in den ersten sechs Monaten des Jahres 2023 6.697.853 Ransomware-Bedrohungen auf E-Mail-, URL- und Dateiebene erkannt und blockiert. Diese Zahl stellt einen leichten Rückgang von 3,64 Prozent im Vergleich zum zweiten Halbjahr 2022 dar, in dem insgesamt 6.950.935 Ransomware-Bedrohungen erkannt wurden.
Europas Unternehmen im Visier
Nordamerika ist die von LockBit bevorzugte Region mit etwa 41 Prozent aller Opfer der Gruppe. Auf Europa entfällt gut ein Viertel der LockBit-Opfer. Auch ungefähr 57 Prozent der BlackCat-Opfer befinden sich in Nordamerika, gefolgt von Europa und dem asiatisch-pazifischen Raum. Die Clop-Akteure zeigen ähnliche geographische Vorlieben.
Im Jahr 2022 sorgte gerade BlackCat für erhebliches Aufsehen in Europa, nachdem die Gruppe mehrere bedeutende Ziele angriff, darunter deutsche Ölversorger und die Kärntner Landesregierung.
Globale Ergebnisse des Berichts
- Die Zahl der Opfer von Ransomware-as-a-Service (RaaS) nahm vom zweiten Halbjahr 2022 zum ersten Halbjahr 2023 um 47 Prozent zu (von 1.364 auf 2.001 Unternehmen).
- Die Anzahl neuer RaaS-Gruppierungen stieg um 11,3 Prozent in diesem Zeitraum auf insgesamt 69 im ersten Halbjahr 2023.
LockBit, die führende Ransomware-Familie seit 2022, ist für gut ein Viertel der Angriffe verantwortlich, während auf BlackCat und Clop jeweils etwa 10 Prozent entfallen. - Das Finanzwesen, der Einzelhandel sowie die Logistik waren im ersten Halbjahr 2023 die am stärksten von Ransomware betroffenen Branchen.
„Wir haben seit der zweiten Hälfte des Jahres 2022 einen deutlichen Anstieg der Zahl der Ransomware-Opfer beobachtet“, so Richard Werner, Business Consultant bei Trend Micro. „Die Bedrohungsakteure sind weiterhin innovativ, zielen auf mehr Opfer ab und verursachen erhebliche finanzielle und Imageschäden. Unternehmen jeder Größe müssen ihre Cybersicherheitsmaßnahmen priorisieren und optimieren. Unser Bericht soll Sicherheitsexperten, politischen Entscheidungsträgern und anderen Stakeholdern dabei helfen, im Kampf gegen Ransomware besser informierte Entscheidungen zu treffen.“
Hintergrund zur Untersuchung
In die Analyse flossen Daten ein, die aus Quellen wie den Leak-Websites von Ransomware-as-a-Service (RaaS)- und Erpressergruppen, Trend Micros Open-Source-Intelligence (OSINT)-Forschung sowie dem Trend Micro Smart Protection Network stammen.
Mehr bei TrendMicro.com
Über Trend Micro Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können..