Im ersten Halbjahr 2023 sind Ransomware-Angriffe um 46 % gestiegen. Hauptangreifer ist weiterhin Lockbit, Hauptopfer sind KMUs. Das zeigt der Incident Response Ransomware Report mit seinem Dark Web Monitoring.
Im Incident Response Ransomware Report von Arctic Wolf teilt das Unternehmen aktuelle Incident Response (IR) Falldaten seiner Security Operations Platform und neueste Erkenntnisse der Dark Web-Überwachung der Arctic Wolf Labs.
Dark Web Monitoring zeigt starken Anstieg der Ransomware-Angriffe
Im Dark Web unterhalten Bedrohungsakteure sogenannte Leak- oder auch Shame-Sites. Auf diesen Seiten drohen sie ihren Opfern mit der Veröffentlichung ihrer Daten und setzen sie so unter Druck, Lösegeldforderungen nachzukommen. Obwohl diese Sites keine exakte Dokumentation aller globalen Cyberangriffe darstellen, sind sie dennoch ein guter Indikator für Aktivitäten im Dark Web und ermöglichen es, die aktuelle Bedrohungslandschaft zu kontextualisieren. Arctic Wolf überwacht aktiv bekannte Leak-Sites, um die Dynamik der Bedrohungslandschaft besser zu verstehen.
Die deutlich gestiegene Zahl der Ransomware-Angriffe und Dark Web-Aktivitäten in der ersten Jahreshälfte 2023 (H1) ergab den größten Datensatz, den Arctic Wolf jemals über seine Dark Web-Überwachung und IR-Falldaten gesammelt hat. So beobachtete der Security Operations-Experte im H1 2023 einen Anstieg der Ransomware-Vorfälle um 43 % im Vergleich zur zweiten Jahreshälfte 2022.
Führende Bedrohungsakteure
- Lockbit war die Bedrohungsgruppe, die im H1 2023 am häufigsten auf Shame Sites im Dark Web gepostet hat, wobei das Volumen ihrer Postings im Vergleich zum Vorjahreszeitraum noch einmal um mehr als 17 % anstieg. Nach einem Aktivitätshoch in den ersten vier Monaten des Jahres ging die Zahl der Dark-Web-Posts im Mai und Juni jedoch zurück und die Gruppe wurde von der Spitzenposition verdrängt.
- MalasLocker tauchte im Mai auf. In ihren ersten Dark-Web-Posts veröffentlichte die Gruppe Daten einer großen Zahl von in Russland ansässigen Opfern. Ob dies Zufall oder Absicht ist, kann nicht mit Gewissheit gesagt werden. Die geographische Lage der Opfer ist jedoch eher ungewöhnlich. Außerdem enthalten sowohl die Shame Site als auch die Lösegeldforderungen von MalasLocker Botschaften, die auf eine „hacktivistische“ Motivation schließen lassen.
- CI0p, eine Ransomware-Gruppe, die erstmals im Februar 2019 auftauchte, wurde im Juni als Urheber hinter den groß angelegten MOVEit Transfer-Exploits (CVE-2023-34362, CVE-2023-35036, CVE-2023-35708 und CVE-2023-36934) bestätigt. Arctic Wolf verfolgte deren Aktivitäten auf Leak Sites zwischen dem 14. Juni und 14. Juli 2023 und konnte 169 Fälle beobachten, davon 120 in den USA, neun im Vereinigten Königreich und acht in Deutschland.
Abgesehen von MalasLocker, die anscheinend politisch motiviert ist, sind Cl0p, Lockbit und die große Mehrheit der Angriffsgruppen finanziell getrieben. Unabhängig von der Branche, dem Umsatz oder der Anzahl der Mitarbeitenden der Opferunternehmen starten viele Bedrohungsakteure ihre Angriffe dabei, indem sie, wie CI0p, nach außen gerichtete Schwachstellen ausnutzen oder massenhaft ausgeklügelte Phishing-E-Mails an Organisationen weltweit senden.
Fertigungsindustrie im Visier von Ransomware-Gruppen
Im gesamten H1 2023 wurden Fertigungsunternehmen mit deutlichem Abstand am häufigsten Opfer von Ransomware-Angriffen. Trotz der hohen Anzahl an Postings auf Dark Web Shame Sites im Vergleich zu anderen Branchen lag der Median* der Ransomware-Forderungen von Betroffenen aus der Fertigungsindustrie unter dem Median der gesamten Forderungen der erfassten IR-Fälle. Das zeigt, dass die Manufacturing-Branche für Bedrohungsakteure zwar nicht die höchste Rentabilität aufweist, aufgrund des Umfangs und der Komplexität ihrer Geschäftstätigkeit jedoch leichter auszunutzen ist.
Lösegeldforderungen steigen branchenübergreifend an: Inflation?
Die durchschnittliche Lösegeldforderung bei allen Ransomware-Vorfällen, auf die Arctic Wolf in der ersten Jahreshälfte reagiert hat, betrug 600.000 US-Dollar, ein Anstieg um 43 % im Vergleich zum Vorjahreszeitraum.
Ist der Inflationsdruck auch im Cyber Crime Business angekommen? Eher nicht. Wahrscheinlicher ist ein Zusammenspiel mehrerer Faktoren: Zum einen versuchen Ransomware-Gruppen, den Umsatzeinbruch zu kompensieren, nachdem sie ihre Aktivitäten 2022 aufgrund des russischen Angriffskriegs drosseln mussten. Zum anderen sind Kryptowährungen im vergangenen Jahr im Wert gestiegen. So ist der Kurs des Bitcoin von etwa 25.000 US-Dollar am 30. Juni 2022 auf über 40.000 US-Dollar am 30. Juni 2023 angestiegen.
Betrachtet man die einzelnen Branchen, so zeigt sich im Vergleich zum Vorjahr eine gewisse Varianz bei den Lösegeldforderungen in bestimmten Branchen, wobei der Medianwert* der Forderungen im Technologiebereich erneut am höchsten und im Bauwesen am niedrigsten war. Diese stagnierenden Positionen spiegeln die Raffinesse der Bedrohungsakteure wider und zeigen, dass sie sehr gut wissen, wie viel welche Branchen zahlen können. Und das sowohl auf Grundlage öffentlich zugänglicher Finanzdaten der Unternehmen als auch auf Basis der Informationen, die sie bei Angriffen auf Tausende von Unternehmen jedes Jahr sammeln.
KMU am stärksten von Ransomware betroffen
Kleine und mittelständische Unternehmen (KMU) sind besonders von dem Anstieg der Ransomware betroffen. 82 % der Opfer in H1 2023 hatten weniger als 1.000 Mitarbeitende.
Obwohl auch Großunternehmen und Konzerne nicht davor gefeit sind, Opfer zu werden, verfügen sie häufiger über größere Sicherheitsbudgets. KMUs sind aufgrund mangelnder finanzieller Ressourcen und interner Sicherheitsexpertise daher oft stärker gefordert, ein effektives Security Operations-Programm zu implementieren. Im Vergleich zu großen Unternehmen mit Milliardenumsätzen sind KMUs zudem weniger in der Lage, die finanziellen Auswirkungen von Betriebsunterbrechungen als Folge eines Cybervorfalls zu verkraften. Deshalb sind Eigentümer eher bereit, schnell Lösegeld zu zahlen, um den Betrieb wieder aufzunehmen. Das macht sie zu einem attraktiven Ziel.
Mehr bei ArcticWolf.com
Über Arctic Wolf Arctic Wolf ist ein weltweiter Marktführer im Bereich Security Operations und bietet die erste cloudnative Security-Operations-Plattform zur Abwehr von Cyber-Risiken. Basierend auf Threat Telemetry, die Endpunkt-, Netzwerk- und Cloud-Quellen umfasst, analysiert die Arctic Wolf® Security Operations Cloud weltweit mehr als 1,6 Billionen Security Events pro Woche. Sie liefert unternehmenskritische Erkenntnisse zu nahezu allen Security Use Cases und optimiert die heterogenen Sicherheitslösungen der Kunden. Die Arctic Wolf Plattform ist bei mehr als 2.000 Kunden weltweit im Einsatz. Sie bietet automatisierte Threat Detection und Response und ermöglicht es Unternehmen jeder Größe, auf Knopfdruck erstklassige Security Operations einzurichten.