Avast verzeichnet in Deutschland seit März 2020 eine Zunahme von Ransomware-Angriffen um 20 Prozent im Vergleich zu Januar und Februar. Die meisten Angriffe wurden im März durchgeführt, während sich die Zahlen seit April wieder dem Normalniveau annähern. Die Entwicklung deckt sich mit einem weltweit beobachteten Anstieg von Ransomware-Angriffen um durchschnittlich 20 Prozent.
„Während der Pandemie im März und April mussten wir in Deutschland 20 Prozent mehr Anwender vor Ransomware schützen als im Januar und Februar“, beschreibt Jakub Kroustek, Malware-Forscher bei Avast. Auch bei den jüngst durchgeführten Angriffen auf die Universitätsklinik im tschechischen Brünn und im mittelböhmischen Kosmanos ist Ransomware eingesetzt worden, ebenso vermutlich Medienberichten zufolge bei der Attacke auf den deutschen Gesundheitskonzern Fresenius.
Die Zahl an Angriffen mit anderen Malware-Arten hat ebenfalls zugenommen, zudem haben sich die Angriffszeiten verschoben: „Bevor es Quarantäne-Maßnahmen gab, spiegelten Malware-Kampagnen üblicherweise die regulären Bürozeiten wider und waren an Wochenenden weniger aktiv als unter der Woche. Seit Beginn der Pandemie verschwimmen diese zeitlichen Unterschiede, da sowohl Nutzer als auch Angreifer wahrscheinlich mehr am Wochenende und von zu Hause aus arbeiten“, erklärt Kroustek die Ergebnisse der Analyse.
Die Avast-Experten beobachten derzeit zwei Haupttrends. Der erste besteht aus groß angelegten Angriffen, die sich gegen Endanwender und kleinere Fertigungs- und Dienstleistungsunternehmen richten. In der Regel verbreiten Cyberkriminelle Ransomware über E-Mails, Exploit-Kits oder als Teil illegaler Software, und die häufigsten Arten sind seit Langem Phobos-, CrySiS- oder STOP-Ransomware.
Der zweite Trend sind Ransomware-Angriffe, die sich gegen konkrete Ziele richten – entweder gegen große Unternehmen oder Institutionen aus dem Gesundheits-, Transport- und Bildungssektor. „Vor allem in den letzten anderthalb Jahren haben wir eine deutliche Zunahme dieser Angriffe erlebt, die während der Pandemie noch einmal erheblich angestiegen ist“, fügt Kroustek hinzu.
Angreifer nutzen oft Schwachstellen in schlecht gesicherten Anwendungen (vor allem über Remote Desktop Control) und Spear-Phishing zur Verbreitung von Ransomware – am häufigsten verbreiten sie Sodinokibi, Maze, Nemty oder Snake.
Die Akteure verwenden inzwischen eine Technik namens Doxing (von englisch „dox“, Abkürzung für documents, bedeutet „Dokumente“), bei der sie die Daten der Betroffenen – beispielsweise Dokumente, Mitarbeiter- und Kundenakten oder Quellcode – kopieren, bevor sie diese verschlüsseln. Wenn das Opfer sich weigert, Lösegeld zu zahlen, veröffentlichen die Angreifer die Daten oder verkaufen sie illegal.