Die Ransomware-Branche scheint zu boomen: So wie die Firmen im Zuge der globalen Corona-Krise verstärkt ihre Apps in die Cloud verlagerten, befinden sich auch die Cyberkriminellen mitten in der digitalen Transformation: Cloud-basierte Abomodelle offerieren zunehmend Ransomware as a Service (RaaS). Zudem kann sich die Branche über eine 171-prozentige Umsatzsteigerung "freuen". Das durchschnittlich von Unternehmen gezahlte Lösegeld stieg von 115.123 Dollar im Jahr 2019 auf 312.493 Dollar im Jahr 2020. Die höchste gezahlte Lösegeldsumme lag 2020 bei zehn Millionen Dollar.
Ransomware-Trends: Mehr Lösegeld, neue Geschäftsmodelle
Dabei werden die Forderungen der Erpresser immer dreister. Die höchste Lösegeldforderung ist in nur wenigen Jahren von 500 Dollar auf mehr als 30 Millionen Dollar gestiegen und hat sich allein von 2019 bis 2020 verdoppelt - von 15 auf 30 Millionen Dollar. Bemerkenswert ist dabei, dass die Lösegeldforderungen für Maze im Jahr 2020 durchschnittlich 4,8 Millionen Dollar betrugen, ein deutlicher Anstieg im Vergleich zum Durchschnitt von 847.344 Dollar für alle Ransomware-Familien im Jahr 2020. Doch damit dürfte das Ende der Fahnenstange noch nicht erreicht sein. Solange die Angreifer weiterhin bezahlt werden, so warnen Experten, werden die Forderungen der Kriminellen weiter steigen.
Diese Zahlen nennt der jüngste "Ransomware Threat Report 2021", der die globale Ransomware-Bedrohungslandschaft im Jahr 2020 analysiert. Der Bericht entstand aus der Zusammenarbeit des Unit 42 Threat Intelligence Team von Palo Alto Networks und des Crypsis Incident Response Team. Des Weiteren stellen die Autoren des Berichts fest, dass sich unter den Verbrechern ein neues Business-Modell durchsetzt: Der Trend geht zur doppelten Erpressung. So sollen die Opfer nicht nur für die Entschlüsselung ihrer Daten bezahlen, sondern auch dafür, dass die Kriminellen die geklauten Daten ihrer Opfer nicht veröffentlichen. Dem Report zufolge waren lediglich in den USA und Kanada mehr Unternehmen von der illegalen Offenlegung von Daten betroffen als in Deutschland, das damit auf Rang 3 gelandet ist.
Cybererpressung: Keine Skrupel trotz Corona
Keine Skrupel kannten die Cyberkriminellen im letzten Jahr im Zusammenhang mit der Corona-Krise. Während die Welt mit der Bekämpfung der Pandemie beschäftigt war und in den Unternehmen eine Vielzahl der Beschäftigten ins Homeoffice musste, nutzten die Gangster die weltweiten Auswirkungen der Pandemie als Thema für ihre Ransomware-Angriffe. Aktuelle Ereignisse wurden genutzt, um Opfer zum Öffnen von Phishing-E-Mails, zum Besuch gefälschter Websites oder zum Herunterladen bösartiger Dateien zu verleiten.
Dabei hatten die Verbrecher 2020 insbesondere das Gesundheitswesen im Visier. Die Ransomware-Betreiber waren bei ihren Angriffen dreist und versuchten, so viel Geld wie möglich zu verdienen. Wussten sie doch, dass die Organisationen im Gesundheitswesen ihren Betrieb aufrechterhalten mussten, um COVID-19-Patienten zu behandeln und Leben zu retten. Das menschverachtende Kalkül der Kriminellen dabei war: Kliniken können es sich in dieser gesundheitlichen Notlage nicht leisten, auf ihre Systeme zu verzichten und sind deshalb eher bereit, Lösegeld zu zahlen. Die bevorzugte Währung ist dabei Bitcoin.
Erpressungssoftware: Von Spray-and-Pray zu Stay-and-Play
Das Jahr 2020 stellt in Sachen Ransomware nicht nur wegen der Corona-Pandemie eine Zäsur dar. So haben die Forscher etwa eine Verschiebung von hochvolumigen und "Spray-and-Pray"-Modellen hin zu fokussierteren "Stay-and-Play"-Modellen beobachtet. Bei der letzteren Methodik nehmen sich die Betreiber Zeit, um die Opfer und ihre Netzwerke kennenzulernen und folgen so einem traditionelleren Ansatz zur Netzwerkpenetration. So werden etwa nach einem erfolgreichen Eindringen native Tools wie PSExec oder PowerShell genutzt, um das Netzwerk im Detail auszuspionieren.
Dabei ist es ein weitverbreiteter und gefährlicher Trugschluss, das primär nur Windows-Rechner das Ziel von Ransomware-Attacken sind. So haben die Angreifer mittlerweile auch Apple macOS und mobile Betriebssysteme im Visier. Gleichzeitig wurde 2020 Linux immer häufiger zum Ziel von Ransomware. Für die Autoren des Threat Reports steht fest, dass die Angreifer ihre Fähigkeiten, alle Arten von Systemen anzugreifen, weiter ausbauen werden.
Und dabei wird es den Kriminellen immer einfacher gemacht: Sie brauchen kein eigenes Know-how mehr, denn Ransomware ist wie ein Cloud-Service als "Ransomware as a Service" (RaaS) im Abonnement erhältlich und so einfach auszuführen, äußerst effektiv und potenziell profitabel - sowohl durch direkte Zahlungen als auch durch den Verkauf wertvoller Informationen. Wie im klassischen E-Commerce-Geschäft entwickelt sich im Rahmen des RaaS-Modells ein Affiliate Business: Vorhandene Ransomware-Software wird zur Durchführung von Angriffen zu genutzt - so kann ein Anteil an jeder erfolgreichen Lösegeldzahlung verdient werden.
Ransomware 2020: Die Top 10
Gleichzeitig wird hinter den Kulissen fleißig weiterentwickelt. Einige der meistverbreiteten Ransomware-Familien, die im Jahr 2020 beobachtet wurden, waren weniger als ein Jahr alt. Es werden neue und aktualisierte Ransomware-Varianten entwickelt und eingesetzt, die als eigenständige Malware oder zusammen mit herkömmlicher Malware verwendet werden. Ohne einen Anspruch auf Vollständigkeit zu erheben, gehören in eine Top 10 der Ransomware des Jahres 2020 sicher die unten aufgeführten Varianten:
Details zur Wirkungsweise und Verbreitung der unterschiedlichen Ransomware-Varianten zeigt die nachfolgende Grafik:
Ransomware-Lösegeld: Doppelt Abkassieren
Mit der Verjüngung der Ransomware-Software verändert sich gleichzeitig die Wertschöpfungskette der Kriminellen. Die einfache Erpressung wir um Proof-of-Compromise- und doppelte Erpressungstechniken erweitert. Bei einer doppelten Erpressung verschlüsseln die Täter nicht nur die Daten, sondern stehlen sie auch, um das Opfer zu zwingen, weiter Lösegeld zu zahlen.
Weigert sich das Opfer, veröffentlichen die Ransomware-Betreiber die Daten auf einer Leak-Site oder einer Dark-Web-Domain, wobei die meisten Leak-Sites im Dark Web gehostet werden. Diese Hosting-Standorte werden von den Ransomware-Betreibern selbst erstellt und verwaltet. Dass es sich dabei nicht um leere Drohungen handelt, belegen einige Ransomware-Nutzer dadurch, dass sie ihren Opfern ihr Wissen um deren Netzinfrastruktur in Form von Verzeichnissen oder Dateibäumen demonstrieren.
Nach Angaben der Forscher drohen bereits mindestens 16 verschiedene Ransomware-Varianten damit, Daten preiszugeben oder Leak-Sites zu nutzen. So haben Ransomware-Familien, wie NetWalker, RagnarLocker, DoppelPaymer und andere, ihre Fähigkeit zur Exfiltration von Daten und zur Verwendung doppelter Erpressungstechniken bereits unter Beweis gestellt.
Die Ransomware-Familie, die sich diese Taktik am häufigsten zunutze machte, war NetWalker. Von Januar 2020 bis Januar 2021 ließ NetWalker Daten von 113 Opferorganisationen weltweit durchsickern und übertraf damit andere Ransomware-Familien bei weitem. RagnarLocker lag an zweiter Stelle und ließ Daten von 26 Opfern weltweit durchsickern. Der Trend zur doppelten Erpressung dürfte sich leider 2021 fortsetzen.