Der Verizon Security Report offenbart, dass Ransomware an 24 % aller Cyber-Vorfälle beteiligt war. Diese Angriffe beschränken sich nicht mehr nur auf einzelne Unternehmensbereiche. Während ältere Ransomware-Formen, die sich hauptsächlich auf die Verschlüsselung von Dateien konzentrierten, von minimalen bis zu erheblichen Schäden in Unternehmen führten, haben moderne Ransomware-Angriffe weitreichendere Konsequenzen als je zuvor. Im Jahr 2023 standen deutsche Unternehmen einer Vielzahl von Cyberbedrohungen gegenüber, darunter Ransomware-Malware, Passwortattacken und Phishing.
31 % der Unternehmen waren von diesen Bedrohungen betroffen, wobei CEO-Betrug der am seltensten verzeichnete Angriffstyp war.
In diesem Artikel untersuchen wir die aktuellen Trends rund um Ransomware-Angriffe und erörtern, welche Schritte Unternehmen unternehmen können, um eine Verbreitung von Ransomware in ihrem Betrieb zu verhindern.
Unternehmen verfügen über verschiedene Strategien, um Ransomware zu blockieren. Dies umfasst den Einsatz von E-Mail-Sicherheitslösungen, die auf künstlicher Intelligenz basieren, Endpunktsicherheitssoftware und die Kooperation mit Firmen wie Forenova Security, um deren Managed Detection and Response (MDR)-Services in Anspruch zu nehmen.
Wie sieht die aktuelle Ransomware-Landschaft im Jahr 2024 aus?
Datenschutzverletzungen durch Ransomware sind für 2024 auf einem Aufwärtstrend, teilweise bedingt durch den anhaltenden Erfolg der Angreifer. Angriffe auf Lieferketten, Doppelerpressungstaktiken und Attacken auf nicht gepatchte Systeme bleiben auch in den Jahren 2023 und 2024 die bevorzugten Angriffsziele der Hacker.
- Lieferkette: Die Cl0p-Ransomware-Gruppe zählt zu den einflussreichsten Teams im Bereich der Cyberkriminalität. Mit ihren Angriffen auf Kaseya und SolarWinds in den vergangenen Jahren haben sie nahezu 1500 Unternehmen Schaden zugefügt. Diese und andere Hackergruppen erkennen ihren Vorteil im Angriff auf die Lieferkette, was ihnen erleichterte Zugänge verschafft, um mehrere Unternehmen innerhalb derselben Angriffskette zu kompromittieren.
- Doppelte Erpressung: Traditionelle Ransomware-Angriffe zielen darauf ab, die Dateien der Opfer zu verschlüsseln und Lösegeldforderungen zu stellen. Die Methode der doppelten Erpressung, eine Angriffstaktik der nächsten Generation, verschlüsselt die Daten der Opfer an mehreren Stellen und droht mit der Veröffentlichung ihrer Daten, sollten sie das geforderte Lösegeld nicht in Bitcoin oder einer anderen Kryptowährung begleichen.
- Angriff auf nicht gepatchte Systeme: Unternehmen, die Schwierigkeiten beim Aktualisieren ihrer Hosts, VMs und Anwendungen haben, laufen im Jahr 2024 ein erhöhtes Risiko, Ziel eines Ransomware-Angriffs zu werden. Die Investitionen von Hackern in die Entwicklung KI-gestützter Hacking-Werkzeuge ermöglichen es ihnen, ihre Malware über außergewöhnlich überzeugende Phishing-E-Mails zu verbreiten. Diese verleiten die Nutzer dazu, auf schädliche Links zu klicken, die den Malware-Download initiieren. Die so heruntergeladene schädliche Datei enthält Ransomware, die sich durch das Netzwerk des Opfers bewegen und ungepatchte Hosts ausnutzen kann.
Was sind die häufigsten Ransomware-Angriffe?
Im Jahr 2023 wurden zahlreiche nationale und internationale Ransomware-Angriffe verzeichnet, die erhebliche finanzielle und operative Schäden bei ihren Zielen verursachten. Betroffen waren Branchen wie das verarbeitende Gewerbe, das Bildungswesen, staatliche Behörden und Fluggesellschaften. Die meisten dieser Angriffe griffen entweder auf die traditionelle Methode der Dateiverschlüsselung zurück, bei der die Freigabe gegen Lösegeld erfolgte, oder die Angreifer veröffentlichten Teile der gestohlenen Daten, um die Opfer zur Zahlung zu drängen.
Deutschland 2022 – Semikron und Continental
Im August 2022, Semikron, ein deutscher Halbleiterhersteller, einem Ransomware-Angriff zum Opfer, bei dem Teile seines Netzwerks verschlüsselt wurden. Die Angreifer gaben an, 2 TB an Dokumenten gestohlen zu haben.
Im Oktober wurde Continental, ein deutscher Automobilzulieferer, von der LockBit Ransomware angegriffen. Die Hacker behaupteten, 40 TB an Daten entwendet zu haben und verlangten 50 Millionen Dollar für deren Rückgabe.
TSMC – Taiwan Semiconductor
Im Juni 2023 wurde ein in Taiwan ansässiger Halbleiterhersteller durch einen verheerenden Ransomware-Angriff getroffen, der mutmaßlich von der globalen Hackergruppe Lockbit ausgeführt wurde. Internationale Strafverfolgungsbehörden bewerten diesen Vorfall als einen Angriff auf die Lieferkette, der sich gegen einen Zulieferer von TSMC richtete. Lockbit führte den Angriff auf Kinnmax erfolgreich durch und forderte ein Lösegeld von 70 Millionen Dollar. Obwohl TSMC selbst nicht direkt von dem Angriff betroffen war, wurde der betroffene Zulieferer von seinem Datenaustauschportal abgetrennt. Die Hacker versuchten, TSMC durch die Drohung, ihre Dateien zu veröffentlichen, zu erpressen.
TSMC blieb standhaft und lehnte die Zahlung des Lösegelds ab. Trotzdem hatte dieser Angriff finanzielle und operative Auswirkungen auf die Lieferkette, da weitere Ökosystempartner vom Datenaustauschportal abgeschnitten blieben.
Stadt Dallas, Texas
Ransomware-Angriffe auf kommunale, landesweite und bundesstaatliche Behörden sind eine häufige Erscheinung. Im Jahr 2023 wurde Dallas, Texas, zum jüngsten Opfer solcher Attacken, ausgeführt von der bekannten Hackergruppe Royal.
Am Mittwoch, den 3. Mai 2023, führte Royal einen Ransomware-Angriff auf die Stadt Dallas durch, wobei Server mittels Microsoft-Tools verschlüsselt wurden. Die Stadtverwaltung reagierte prompt, indem sie hochpriorisierte Dienste vom Netz nahm. Die städtischen Teams bemühten sich, Royal aus dem Netzwerk zu eliminieren, bevor mit der Wiederherstellung der Dienste begonnen wurde. Die Ressourcen für die Wiederherstellung wurden mobilisiert, wodurch einige Dienste, wie das Public Safety Computer-Aided Dispatch, umgehend wieder in Betrieb genommen werden konnten.
Universität von Hawaii
Im Juli 2023 machte die Universität von Hawaii öffentlich, dass sie Zahlungen an Ransomware-Angreifer geleistet hatte. Dieser Vorfall ereignete sich vor Juli, als NoEscape, eine bis dahin unbekannte Hackergruppe, das Hawaiian Community College mit einem Ransomware-Angriff überzog. In diesem Zeitraum herrschte eine verstärkte Sensibilisierung für Cyberangriffe, insbesondere bezüglich der Angriffe auf MOVEit.
Die Angreifer entwendeten 65 GB Daten von der Universität und drohten mit deren Veröffentlichung, was die persönlichen Informationen von 28.000 Personen gefährdete. Um die Daten zu schützen, entschied sich die Universität für die Zahlung des Lösegelds und überwies fast 250.000 Dollar an die Hackergruppe. Der Großteil dieser Summe wurde durch den staatlichen Versicherungsfonds des Bundesstaates Hawaii bereitgestellt.
2023: Ein Comeback-Jahr für Ransomware
2023 gab es ein deutliches Comeback für Ransomware-Angriffe, einschließlich mehr Lösegeldzahlungen. In diesem Jahr wurden mehr KI-gestützte Ransomware- und E-Mail-Phishing-Angriffe verzeichnet – eine deutliche Veränderung gegenüber 2022.
- Im Jahr 2023 erreichten die Zahlungen für Ransomware mit $1 Milliarde Dollar einen neuen Rekordwert und verzeichneten damit einen alarmierenden Aufwärtstrend, obwohl es im Jahr 2022 einen leichten Rückgang gab. Dieser Betrag beinhaltet nicht die zusätzlichen Kosten, die durch Produktivitätsverluste und Reparaturen entstanden sind.
- Obwohl MGM Resorts das Lösegeld nicht gezahlt hat, entstand ihnen durch die Angriffe von ALPH V-BlackCat und Scattered Spider ein Schaden von über 100 Millionen Dollar.
Mehr noch: Laut Statista „beliefen sich die geschätzten Kosten der durch Ransomware-Angriffe verursachten Ausfallzeiten in US-Gesundheitsorganisationen von Januar bis Oktober 2023 auf 14,7 Milliarden US-Dollar.“
Was ist die Ursache für den jüngsten Anstieg der Ransomware-Angriffe?
Der Anstieg der Ransomware-Fälle könnte teilweise auf die Ereignisse im Zusammenhang mit dem russischen Einmarsch in die Ukraine zurückzuführen sein. Verschiedene Hackergruppen, darunter Überbleibsel von Anonymous, die Ukraine Underground Army, cl0p und die REViL-Gruppe, griffen in Reaktion darauf zu Cyberattacken gegen Russland. Im Jahr 2024 führten viele dieser Gruppen ihren Hacktivismus fort oder lösten sich auf, entweder weil sie vom russischen Geheimdienst aufgespürt oder von globalen Strafverfolgungsbehörden gefasst wurden.
Der Anstieg der Ransomware-Fälle könnte teilweise auf die Ereignisse im Zusammenhang mit dem russischen Einmarsch in die Ukraine zurückzuführen sein. Verschiedene Hackergruppen, darunter Überbleibsel von Anonymous, die Ukraine Underground Army, cl0p und die REViL-Gruppe, griffen in Reaktion darauf zu Cyberattacken gegen Russland.
Im Jahr 2024 führten viele dieser Gruppen ihren Hacktivismus fort oder lösten sich auf, entweder weil sie vom russischen Geheimdienst aufgespürt oder von globalen Strafverfolgungsbehörden gefasst wurden.
Was sind die Auswirkungen der Ransomware-Angriffe?
Finanziell
Die finanziellen Folgen von Ransomware erstrecken sich auf Ausgaben für Reparaturen, die Überwachung der Kreditwürdigkeit, steigende Prämien für Cyber-Versicherungen sowie mögliche Geldbußen und Strafen. Jeder Sicherheitsvorfall verursacht erhebliche Kosten, unabhängig davon, wie viele Systeme betroffen sind oder wie viele Opfer es gibt.
Im Jahr 2023 wurden weltweit 72 % der Unternehmen Ziel von Ransomware-Angriffen, was einen markanten Anstieg im Vergleich zu den Vorjahren darstellt. Seit 2018 berichtete jährlich mehr als die Hälfte der befragten Firmen, Opfer solcher Attacken geworden zu sein.
Laut einem Bericht von Axios.com haben lediglich 29% der von Ransomware betroffenen Unternehmen das geforderte Lösegeld bezahlt, um den Zugriff auf ihre Daten wiederzuerlangen.
Operativ
Beim Ransomware-Angriff auf die Stadt Dallas im Jahr 2023 entstanden der Stadt zwar Kosten in Millionenhöhe für Schadensersatz und Aufräumaktionen, jedoch wurde kein Lösegeld bezahlt. Der Betrieb der Stadt war dennoch erheblich beeinträchtigt. Gemäß dem von der Stadt Dallas veröffentlichten Nachbereitungsbericht (After Action Report) hatten mehrere Schlüsselabteilungen während des Sicherheitsvorfalls mit operativen Schwierigkeiten zu kämpfen.
- "Der ITS hat das Problem isoliert und stellt den Dienst schrittweise wieder her, wobei die öffentliche Sicherheit und die für die Einwohner zuständigen Abteilungen Vorrang haben.“
- "Dallas Water Utilities kann keine Zahlungen verarbeiten. Die Abtrennungen werden eingestellt, bis der Ausfall behoben ist.“
- "Vital Statistics gibt Datensätze mit begrenzter Kapazität heraus. Einige Datensätze können nicht verfügbar sein, insbesondere aus der Zeit vor 2005.“
Auswirkungen auf den Ruf
Finanzielle Gewinne sind nicht immer das Hauptziel eines Ransomware-Angriffs. Gruppen, die Hacktivismus betreiben, zielen darauf ab, Websites zu verunstalten, Distributed Denial-of-Service (DDoS)-Angriffe auf ausländische Regierungssysteme zu initiieren oder akzeptierte Methoden zu finden, um persönliche Informationen über CEOs oder Staatsoberhäupter offenzulegen.
Welche Ransomware-Trends werden wahrscheinlich auch 2024 anhalten?
Zwischen 2022 und 2023 verzeichneten Ransomware und Erpressung einen Anstieg von über 66 %. Ransomware-as-a-Service (RaaS) wird auf dem Dark Web zunehmend leichter zugänglich, wodurch Hacker nicht mehr über umfangreiche Programmierfähigkeiten verfügen müssen, um einen Ransomware-Angriff zu initiieren.
Die positive Entwicklung besteht darin, dass Unternehmen weiterhin in KI-gestützte Sicherheitsarchitekturen investieren, um Cyberangriffe zu verhindern. Dazu gehören Technologien wie erweiterte Erkennung und Reaktion (XDR), Zero-Trust-Modelle für den Fernzugriff Netzwerksegmentierung, Endpunktsicherheit, Entschlüsselungswerkzeuge sowie Backup- und Wiederherstellungssysteme.
Diese Maßnahmen dienen dazu, die Wiederherstellung von Daten vor einem Ransomware-Vorfall zu beschleunigen.
Warum Forenova Security für MDR-Dienste?
MDR ist ein entscheidender Bestandteil verschiedener Unternehmensvorschriften, darunter HIPAA, PCI-DSS, NIS2, DORA, GDPR und CCPA, um nur einige zu nennen. Diese Regelwerke fordern von den Unternehmen den Nachweis, dass sie über die notwendigen Kapazitäten und Fähigkeiten verfügen, um auf KI-gestützte Cyberangriffe der nächsten Generation sowie auf die zunehmende Geschwindigkeit dieser Angriffe effektiv reagieren zu können.
Forenova Security ist ein führender Anbieter von Cybersicherheitsdienstleistungen und MDR-Angeboten. Unternehmen, die einen Partner suchen, der ihr derzeitiges Team für Sicherheitsoperationen (SecOps) ergänzt oder eine komplette 24x7-Überwachung und -Reaktion, Bedrohungsdaten und andere Tools für die Cyberabwehr anbietet, haben bei Forenova Security Zugang zu erfahrenen Ingenieuren, die Ihre Geschäfts- und Compliance-Ziele erfüllen.
.svg)
.svg)
.svg)
.svg)
.svg)
