Zscaler veröffentlicht die neuesten Ergebnisse des jährlich erscheinden ThreatLabz Ransomware Reports. Die Studie zeigt, welche Branchen am stärksten im Visier von Cyber-Kriminellen stehen, erklärt den Schaden, der durch Double Extortion und Angriffe auf die Lieferkette entsteht, und katalogisiert die aktiven Ransomware-Gruppen.
Die wichtigsten Ergebnisse im Überblick:
- Ransomware-Angriffe haben im Vergleich zum Vorjahr um 80 Prozent zugenomme; acht der elf größten Ransomware-Familien werden über Ransomware-as-a-Service vertrieben.
- Fast jeder fünfte Ransomware-Angriff zielt auf Unternehmen der Fertigungsbranche, womit dieses Gewerbe das zweite Jahr in Folge am häufigsten betroffen ist.
- Das Gesundheitswesen sah einen Anstieg um 650 Prozent, das Restaurant- und Gaststättengewerbe verzeichnete einen Anstieg um 450 Prozent; damit verzeichneten diese Bereiche im Vergleich zu 2021 den größten Zuwachs an Ransomware-Angriffen.
- Ransomware-Familien geben sich neue Namen, um den Strafverfolgungsbehörden zu entgehen und weiterhin Unternehmen zu infizieren.
- Ransomware-Angriffe über Lieferketten vervielfachen den Schaden und ermöglichen es Angreifern, herkömmliche Sicherheitskontrollen zu umgehen.
- Der Russland-Ukraine-Krieg geht mit einer Zunahme von Ransomware in Kombination mit anderen Angriffstechniken einher, wie der Kombination von PartyTicket Ransomware und HermeticWiper Malware.
Die Taktik und der Umfang von Ransomware-Angriffen entwickeln sich ständig weiter. Das übergeordnete Ziel bleibt allerdings nach wie vor die Störung des Geschäftsbetriebs eines Unternehmens und der Diebstahl sensibler Informationen für die Lösegelderpressung. Die Höhe des Lösegelds hängt dabei oft von der Anzahl der infizierten Systeme und dem Wert der gestohlenen Daten ab.
Je höher der Einsatz, desto höher die geforderte Zahlung. Im Jahr 2019 aktualisierten viele Ransomware-Gruppen ihre Taktik und bauten den Datendiebstahl mit ein, bevor die Dateien verschlüsselt werden, was als Doppelte Erpressung bezeichnet wird.
Ein Jahr später fügten einige Gruppen eine weitere Angriffsebene mit DDoS-Taktiken (Distributed Denial of Service) hinzu, die die Webseite oder das Netzwerk des Opfers mit Anfragen bombardieren, um den Geschäftsbetrieb zu stören und das Opfer so unter Druck zu setzen, in Verhandlungen mit den Erpressern einzusteigen.
Der gefährlichste Ransomware-Trend in diesem Jahr sind Angriffe über die Lieferkette, die auf Zulieferer und deren Geschäftsbeziehungen abzielen und Anbindungen, sowie gemeinsam genutzte Dateien, Netzwerke oder Lösungen für Angriffe auf die Kunden dieses Zulieferers als zweiten Stufe nutzen.
ThreatLabz stellte außerdem einen fast 120-prozentigen Anstieg an Opfern von Ransomware-Attacken mit Doppelter Erpressung fest, bei denen gestohlene Daten auf Webseiten der Hacker veröffentlicht wurden.
Im zweiten Jahr in Folge waren Unternehmen der produzierenden Industrie am stärksten betroffen: Fast jeder fünfte Ransomware-Angriff richtete sich gegen Hersteller. Die Zahl der Angriffe auf andere Branchen nimmt jedoch rapide zu.
Besonders auffällig war die Wachstumsrate der Angriffe auf das Gesundheitswesen, wobei die Zahl der Angriffe mit Doppelter Erpressung im Vergleich zu 2021 um fast 650 Prozent zunahm. Danach folgte die Gastronomie, die einen Ransomware-Anstieg von über 450 Prozent verzeichnete.
Als Folge der wachsenden Beachtung, die Ransomware-Angreifer von Regierungen weltweit erfahren haben, haben sich viele Gruppierungen aufgelöst und unter anderem Namen neu formiert. So wurden beispielsweise DarkSide in BlackMatter, DoppelPaymer in Grief und Rook in Pandora umbenannt.
Das von diesen Gruppen ausgehende Bedrohungspotenzial hat sich jedoch nicht gewandelt, da vielfach auch Taktiken angepasst wurden. Viele dieser Gruppen haben ihr Geschäftsmodell geändert und bieten nun Tools im Dark Web zum Verkauf an und vergrößern ihren Umfang durch Ransomware-as-a-Service.
Anfang diesen Jahres hat die US-Regierung als Reaktion auf die Wirtschaftssanktionen gegen Russland eine Erklärung abgegeben, in der sie vor böswilligen Cyber-Angriffen auf die USA warnte. In der Erklärung wurde zu sofortigen Maßnahmen zur Stärkung der Abwehr in öffentlichen und privaten Organisationen aufgerufen.
Weitere Staaten auf der Seite der Ukraine haben ähnliche Warnungen ausgesprochen. Daraufhin hat ThreatLabz Angriffe identifiziert, bei der die Ransomware PartyTicket und die Malware HermeticWiper gegen die Ukraine zum Einsatz kamen. Darüber hinaus führte die Conti-Bedrohungsgruppe Angriffe gegen verschiedene Regierungseinrichtungen aus und das ThreatLabZ-Team wird diese geopolitischen Entwicklungen weiter beobachten.