Malwarebytes hat für den Mai 2022 einen Report zum Thema Ransomware zusammengestellt. Mit dabei Conti, LockBit & Co. Aber auch Newcomer wie BlackBasta und ALPHV sind leider immer erfolgreicher mit ihren Attacken.
Mit 73 Ransomware-Angriffen war LockBit nach der Analyse des Malwarebytes Threat Intelligence Teams die mit Abstand am weitesten verbreitete Ransomware im Mai 2022. Danach folgte Black Basta mit 22 Angriffen, ALPHV mit 15 Angriffen, Hive mit 14 Angriffen und Mindware mit 13 Angriffen. Conti landete im Mai hingegen nur auf dem sechsten Platz – Malwarebytes schrieb der Ransomware-Gruppe 12 Angriffe in seiner Analyse zu. Die Aktivität fiel im Vergleich zum Vormonat (43 Angriffe) deutlich geringer aus.
Conti überholt – trotzdem keine gute Nachricht
🔎 Bekannte Ransomware-Angriffe nach Ländern, Mai 2022 (Bild: Malwarebytes)
Auffällig dabei ist, dass drei der vier Gruppen, die Conti im Mai überholt haben, mit der aktuell diskutierten Auflösung von Conti in Verbindung stehen: Black Basta, ALPHV und Hive. Hive wurde beispielsweise als die Ransomware genannt, die beim Angriff auf den staatlichen Gesundheitsdienst in Costa Rica am 31. Mai verwendet wurde.
Betrachtet man die Verteilung der Ransomware-Angriffe nach Ländern, war im Mai 2022 die USA das mit Abstand am stärksten betroffene Land: 75 Angriffe bringt Malwarebytes mit den Vereinigten Staaten in Verbindung. 13 Angriffe können Deutschland zugeschrieben werden, dicht gefolgt von UK mit 12 Angriffen.
Was die Industrien betrifft, war im Mai insbesondere der Dienstleistungssektor betroffen: 38 Angriffe entfallen laut Malwarebytes auf diese Branche. Auf dem zweiten Platz befindet sich die Technologiebranche mit 26 Angriffen, gefolgt von Logistik mit 16 Angriffen.
Conti: Ransomware-Gruppe erweckt wiederholt Aufmerksamkeit
Auch wenn Conti im Mai 2022 nur 12 Angriffe zugeschrieben wurden, erregte die Ransomware-Gruppe die größte Aufmerksamkeit im letzten Monat. Conti zählt zu den größten und gefährlichsten Ransomware-Gruppen. Sie war bereits in hunderte von Angriffen verwickelt. Aktuell kursieren Spekulationen, dass sich die Gruppe auflöst und sich ihre Mitglieder neu organisieren. Das Malwarebytes Threat Intelligence Team konnte bestätigen, dass es eine interne Ankündigung für Conti-Mitglieder über die Auflösung gab und dass interne Chatserver der Gruppe nicht mehr erreichbar sind. Die Leak-Webseite der Gruppe ist hingegen noch in Betrieb und wird fast täglich mit Daten aktualisiert.
🔎 Bekannte Ransomware-Angriffe nach Industrie, Mai 2022 (Bild: Malwarebytes)
In jüngster Zeit hatte Conti tatsächlich einige Probleme zu bewältigen: Am 27. Februar begann eine Person, die Zugang zu internen Abläufen der Gruppe hatte, einen Datensatz zu veröffentlichen, der Quellcode, Dateien und zahlreiche interne Chat-Nachrichten enthielt. Dieser Vorgang wurde als „Conti-Leaks“ bekannt. Kurze Zeit später begann eine andere Hackergruppe, den durchgesickerten Quellcode für Angriffe auf Ziele in Russland zu verwenden, und brach damit eine der unausgesprochenen Ransomware-Regeln.
Anfang Mai setzte das FBI schließlich ein Kopfgeld in Höhe von 10 Millionen Dollar auf die Conti-Gruppe aus. Am 8. Mai rief der Präsident von Costa Rica den nationalen Notstand für den öffentlichen Sektor des Landes aus – als Reaktion auf die anhaltenden Auswirkungen eines Conti-Ransomware-Angriffs im April. Zuvor hatte Conti 672 Gigabyte an geklauten Daten der Regierung Costa Ricas im Darknet veröffentlicht.
Costa Rica-Attacke nur Show?
Es wäre daher anzunehmen, dass Conti noch ganz gut dasteht. Laut einer Analyse von Advintel waren die Angriffe auf Costa Rica jedoch vermutlich eine absichtliche Showeinlage einer Organisation, die aktuell nur noch mit Notbesetzung arbeitet. Es scheint, dass Contis Entscheidung, der russischen Regierung im Februar nach dem Einmarsch in die Ukraine „volle Unterstützung“ zu gewähren, ein fataler Fehler gewesen sein könnte. Indem sich die Gruppe dem russischen Staat anschloss, machte sie Lösegeldzahlungen zu einem potenziellen Sanktionsverstoß. Dies machte die Einnahmen der Gruppe zunichte. Laut Advintel gründete Conti infolgedessen Unterabteilungen – wie Black Basta – die sich nun etablieren sollen, bevor Conti verschwindet.
Mehr bei malwarebytes.com
Über Malwarebytes Malwarebytes schützt Privatanwender und Unternehmen vor gefährlichen Bedrohungen, Ransomware und Exploits, die von Antivirenprogrammen nicht erkannt werden. Malwarebytes ersetzt dabei vollständig andere Antivirus-Lösungen, um moderne Cybersecurity-Bedrohungen für Privatanwender und Unternehmen abzuwenden. Mehr als 60.000 Unternehmen und Millionen Nutzer vertrauen Malwarebytes innovativen Machine-Learning-Lösungen und seinen Sicherheitsforschern, um aufkommende Bedrohungen abzuwenden und Malware zu beseitigen, die antiquierte Security-Lösungen nicht entdecken. Mehr Informationen finden Sie auf www.malwarebytes.com.