Ransomware-Zahlungen explodieren inmitten “vierfacher Erpressung

  • Unit 42 beziffert die durchschnittliche Auszahlung auf über eine halbe Million, während Barracuda einen Anstieg der Zahl der Angriffe um 64 Prozent im Vergleich zum Vorjahr beobachtet hat.

    Zwei Berichte belegen mit harten Zahlen, was ohnehin schon klar ist: Ransomware-Angriffe sind in die Höhe geschossen, und Ransomware-Zahlungen sind die Kometenschweife, die ihnen in den Himmel folgen.

    Die durchschnittlichen Ransomware-Zahlungen sind im Vergleich zum Vorjahr um 82 % gestiegen: Laut dem Update-Bericht für das erste Halbjahr 2021 von Unit 42 von Palo Alto Networks liegt sie jetzt bei über einer halben Million Dollar. Was die schiere Anzahl der Angriffe angeht, so berichteten die Forscher von Barracuda am Donnerstag, dass sie im Jahr 2021 bisher 121 Ransomware-Vorfälle identifiziert und analysiert haben, was einem Anstieg der Angriffe um 64 Prozent im Vergleich zum Vorjahr entspricht.

    Was dazu beigetragen hat, die Erpressungszahlungen zu intensivieren, ist die Tatsache, dass Cyberkriminelle Geld in “hochprofitable Ransomware-Operationen” gesteckt haben, schreiben die Forscher von Unit 42, einschließlich eines neuen, beunruhigenden Trends: Der Anstieg der “vierfachen Erpressung”.

    Daumenschrauben haben sich vervierfacht

    Doppelte Erpressung gibt es seit mehr als einem Jahr: Dabei legen Bedrohungsakteure nicht nur die Systeme und/oder Daten eines Opfers lahm, sondern drohen auch damit, die kompromittierten Daten weiterzugeben oder für künftige Spam-Angriffe zu verwenden, wenn sich die Opfer weigern, die Erpressungsforderungen zu erfüllen.

    In der ersten Hälfte des Jahres 2021 beobachteten die Forscher von Unit 42 jedoch, dass Ransomware-Gruppen in der Regel bis zu vier Techniken einsetzen, um die Daumenschrauben bei ihren Opfern anzuziehen, wobei auch Denial-of-Service (DoS)-Angriffe und die Störung der Verbindungen eines Opfers zu den Schmerzen hinzukommen: Verschlüsselung: Die Opfer zahlen, um wieder Zugang zu verschlüsselten Daten und kompromittierten Computersystemen zu erhalten, die nicht mehr funktionieren, weil wichtige Dateien verschlüsselt sind. Datendiebstahl: Hacker geben sensible Informationen frei, wenn kein Lösegeld gezahlt wird. DoS: Ransomware-Banden starten DoS-Angriffe, die die öffentlichen Websites des Opfers lahmlegen. Belästigung: Cyberkriminelle kontaktieren Kunden, Geschäftspartner, Mitarbeiter und Medien, um ihnen mitzuteilen, dass das Unternehmen gehackt wurde.

    Diese “zunehmend aggressiven” Taktiken haben die ohnehin schon hohen Lösegelder weiter in die Höhe getrieben. Unit 42 berichtete letztes Jahr, dass die durchschnittliche Lösegeldzahlung im letzten Jahr um 171 Prozent auf mehr als 312.000 Dollar gestiegen war. In der ersten Hälfte dieses Jahres stieg diese Summe auf einen Rekordwert von 570.000 Dollar.

    “Obwohl es selten vorkommt, dass ein Unternehmen Opfer aller vier Techniken wird, haben wir in diesem Jahr zunehmend beobachtet, dass Ransomware-Banden zusätzliche Methoden anwenden, wenn die Opfer nach der Verschlüsselung und dem Datendiebstahl nicht zahlen”, berichtet Unit 42.

    “Unter den Dutzenden von Fällen, die die Berater von Unit 42 in der ersten Hälfte des Jahres 2021 untersuchten, lag die durchschnittliche Lösegeldforderung bei 5,3 Millionen Dollar. Das sind 518 Prozent mehr als im Jahr 2020, als der Durchschnitt bei 847.000 Dollar lag”, so die Forscher.

    Zu den weiteren Statistiken gehört die höchste Lösegeldforderung eines einzelnen Opfers, die von Unit 42 entdeckt wurde: Sie stieg in der ersten Hälfte des Jahres 2021 auf 50 Millionen Dollar, gegenüber 30 Millionen Dollar im letzten Jahr. Die bisher größte von Unit 42 bestätigte Zahlung in diesem Jahr waren die 11 Millionen Dollar, die JBS SA nach einem massiven Angriff im Juni bekannt gab. Im vergangenen Jahr belief sich die größte von Unit 42 beobachtete Zahlung auf 10 Mio. USD.

    Barracuda hat auch einen Anstieg der Lösegeldforderungen festgestellt: Bei den von Barracuda beobachteten Angriffen lag die durchschnittliche Lösegeldforderung pro Vorfall bei mehr als 10 Millionen US-Dollar, wobei nur 18 Prozent der Vorfälle eine Lösegeldforderung von weniger als dieser Summe enthielten. Bei 30 Prozent der Vorfälle wurden Lösegeldforderungen von mehr als 30 Millionen Dollar gestellt.

    Barracuda seinerseits führte die Ursache für den Anstieg der Erpressungsforderungen auf die zunehmende Verbreitung von Kryptowährungen zurück. Das Unternehmen erklärte, dass die zunehmende Verbreitung von Kryptowährungen zu “einer Korrelation zwischen vermehrten Ransomware-Angriffen und höheren Lösegeldbeträgen” geführt hat. Mit dem verstärkten Vorgehen gegen Bitcoin und der erfolgreichen Rückverfolgung von Transaktionen beginnen Kriminelle, alternative Zahlungsmethoden anzubieten, wie z. B. die REvil-Ransomware-Bande, die Monero anstelle von Bitcoin verlangt.”

    Die neue Taktik von REvil: Mit einem teuren Entschlüsselungsschlüssel locken

    Die Forscher von Unit 42 wiesen auch auf eine neue Taktik hin, die REvil aus dem Hut zauberte: Nachdem sie Kaseya und seine Kunden angegriffen hatten, boten die REvil-Betreiber einen universellen Entschlüsselungsschlüssel zum Preis von 70 Millionen US-Dollar an, mit dem alle von dem Angriff betroffenen Organisationen entschlüsselt werden könnten – ein Preis, den sie schnell auf 50 Millionen US-Dollar senkten.

    Das hätte vielen Kunden von Kaseya geholfen, von denen viele Managed Service Provider (MSPs) waren, die das VSA-Produkt des Unternehmens verwenden. Mindestens 60 Kunden in 22 Ländern waren von den weltweiten Cyberangriffen am 2. Juli betroffen. Letztendlich konnte Kaseya einen Entschlüsseler erwerben, aber es ist unklar, ob und wie viel es dafür bezahlt hat. (Ein angeblicher Hauptschlüssel wurde Anfang dieser Woche im Internet veröffentlicht, aber Forscher sagten, dass der Entschlüsseler für andere Unternehmen, die von den Angriffen betroffen waren, nur von geringem Nutzen ist, denn die Angriffe fanden statt, bevor die berüchtigte Ransomware-Gruppe untertauchte.)

    Harter Tauschhandel

    Der Rückgang des Preises für das Entschlüsselungsprogramm von REvil spiegelt sich in anderen Fällen von sinkenden Lösegeldforderungen wider. Barracuda wies auf mehrere Fälle hin, in denen Ransomware-Banden auf Verhandlungstaktiken reagierten, darunter:

    • JBS handelte eine Lösegeldzahlung von 22,5 Millionen Dollar auf 11 Millionen Dollar herunter.
    • Brenntag, ein Chemiedistributor in Deutschland, handelte eine Lösegeldforderung in Höhe von 7,5 Millionen Dollar auf 4,4 Millionen Dollar herunter.

    “Die anfängliche Lösegeldforderung ist möglicherweise nicht die endgültige Forderung, daher ist es für Ransomware-Opfer wichtig, Verhandlungsoptionen zu nutzen, wenn sie vorhaben zu zahlen”, so Fleming Shi von Barracuda. “Das Ergebnis können Einsparungen in Millionenhöhe sein.”

    Wer angegriffen wird

    In seinem Beitrag vom Donnerstag erklärte Shi, dass die Ransomware-Schläger Opfer aller Größenordnungen aufs Korn nehmen. “Die düsteren Aussichten für die Zukunft von Ransomware lassen niemanden von finanziellen Schäden oder markenschädigenden Schlagzeilen verschont”, schrieb Shi. “Ransomware-Kriminelle dringen in das Fundament unserer digitalen Wirtschaft ein, von vertrauenswürdigen Softwareanbietern bis hin zu IT-Dienstleistern.”

    Während Ransomware-Banden immer noch stark auf Kommunen, das Gesundheits- und Bildungswesen abzielen, nehmen die Angriffe auf andere Unternehmen stark zu”, so der Forscher. “Angriffe auf Unternehmen, wie Infrastruktur, Reisen, Finanzdienstleistungen und andere Unternehmen, machten zwischen August 2020 und Juli 2021 57 Prozent aller Ransomware-Angriffe aus, gegenüber nur 18 Prozent in unserer Studie von 2020. Auf infrastrukturbezogene Unternehmen entfielen 10 Prozent aller untersuchten Angriffe.”

    Nach der Analyse von mehr als 120 Vorfällen von August 2020 bis Juli 2021 stellte das Forschungsteam von Barracuda fest, dass Ransomware-Angriffe im Vergleich zum Vorjahr um 64 Prozent zunahmen und dass REvil und DarkSide für 27 Prozent dieser Angriffe verantwortlich waren.

    Es kommt ein Multiplikatoreffekt ins Spiel, da sich Ransomware-Angriffe “schnell zu Software-Supply-Chain-Angriffen entwickeln, die mit einem einzigen Versuch mehr Unternehmen erreichen”, erklärte Shi, wobei Kaseya nur ein Beispiel ist. Andere Beispiele sind die Luftfahrtindustrie und die Angriffe auf JBS Foods, die dazu führten, dass der Fleischlieferant gezwungen war, seinen Betrieb in den USA und Australien einzustellen.

    [Blocked Image: https://alltechnews.de/daten/2021/08/Ransomware-Zahlungen-explodieren-inmitten-vierfacher-Erpressung.jpeg]

    Quelle: Barracuda.

    Während die USA immer noch im Fadenkreuz der Angreifer stehen, hat Barracuda herausgefunden, dass sich Ransomware-Angriffe weltweit ausbreiten. “Knapp die Hälfte der Angriffe in den letzten 12 Monaten betrafen US-amerikanische Organisationen (44 Prozent). Im Vergleich dazu ereigneten sich 30 Prozent der Vorfälle in der EMEA-Region, 11 Prozent in Ländern des asiatisch-pazifischen Raums, 10 Prozent in Südamerika und 8 Prozent in Kanada und Mexiko”, so Shi.

    [Blocked Image: https://alltechnews.de/daten/2021/08/1628784711_820_Ransomware-Zahlungen-explodieren-inmitten-vierfacher-Erpressung.jpeg]

    Quelle: Barracuda.

    Die Ransomware-Kristallkugel

    Unit 42 prognostizierte, dass die Lösegeldforderungen weiter ansteigen werden, dass sich aber einige Banden weiterhin auf kleinere Unternehmen konzentrieren werden, die es sich nicht leisten können, viel in die Cybersicherheitsabwehr zu investieren.

    “In diesem Jahr haben wir bereits Gruppen wie NetWalker, SunCrypt und LockBit beobachtet, die Zahlungen in Höhe von 10.000 bis 50.000 US-Dollar gefordert und erhalten haben”, so die Forscher. “Auch wenn diese Beträge im Vergleich zu den größten Lösegeldern, die wir beobachtet haben, gering erscheinen mögen, können Zahlungen dieser Größenordnung eine kleine Organisation stark beeinträchtigen.”

    Unit 42 erwartet auch, dass mehr Hypervisoren ins Visier genommen werden, da dies zur Beschädigung mehrerer virtueller Instanzen auf einem einzigen Server führen kann. Ein Beispiel hierfür wurde letzten Monat beobachtet, als Forscher eine Linux-Variante der REvil-Ransomware beobachteten, die auf die VMware ESXi-Verwaltungssoftware für virtuelle Maschinen und NAS-Geräte (Network Attached Storage) abzielte, die auf dem Linux-Betriebssystem (OS) laufen.

    [Blocked Image: https://alltechnews.de/daten/2021/07/1627497625_347_BlackMatter-Haron-Boese-Ransomware-Neugeburten-oder-Wiedergeburten.jpg]Machen Sie sich Sorgen, woher der nächste Angriff kommen könnte? Wir halten Ihnen den Rücken frei. Melden Sie sich JETZT für unser kommendes Live-Webinar “How to Think Like a Threat Actor” in Zusammenarbeit mit Uptycs am 17. August um 11 AM EST an und finden Sie heraus, wo genau Angreifer es auf Sie abgesehen haben und wie Sie dort zuerst ankommen. Schließen Sie sich der Moderatorin Becky Bracken und den Uptycs-Forschern Amit Malik und Ashwin Vamshi am 17. August um 11 Uhr EST für diese LIVE-Diskussion an.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com