Laut Incident Response Ransomware Report sind KMU am stärksten von Ransomware betroffen. Der Report liefert Informationen zur Entwicklung der globalen Cyberbedrohungslandschaft in der ersten Jahreshälfte 2023.
Symbolbild von KI erstellt
Dark Web Monitoring zeigt starken Anstieg der Ransomware-Angriffe
Im Dark Web unterhalten Bedrohungsakteure sogenannte Leak- oder auch Shame-Sites. Auf diesen Seiten drohen sie ihren Opfern mit der Veröffentlichung ihrer Daten und setzen sie so unter Druck, Lösegeldforderungen nachzukommen. Obwohl diese Sites keine exakte Dokumentation aller globalen Cyberangriffe darstellen, sind sie dennoch ein guter Indikator für Aktivitäten im Dark Web und ermöglichen es, die aktuelle Bedrohungslandschaft zu kontextualisieren.
Arctic Wolf überwacht aktiv bekannte Leak-Sites, um die Dynamik der Bedrohungslandschaft besser zu verstehen.
Die deutlich gestiegene Zahl der Ransomware-Angriffe und Dark Web-Aktivitäten in der ersten Jahreshälfte 2023 (H1) ergab den größten Datensatz, den Arctic Wolf jemals über seine Dark Web-Überwachung und IR-Falldaten gesammelt hat. So beobachtete der Security Operations-Experte im H1 2023 einen Anstieg der Ransomware-Vorfälle um 43 % im Vergleich zur zweiten Jahreshälfte 2022.
Führende Bedrohungsakteure
- Lockbit war die Bedrohungsgruppe, die im H1 2023 am häufigsten auf Shame Sites im Dark Web gepostet hat, wobei das Volumen ihrer Postings im Vergleich zum Vorjahreszeitraum noch einmal um mehr als 17 % anstieg. Nach einem Aktivitätshoch in den ersten vier Monaten des Jahres ging die Zahl der Dark-Web-Posts im Mai und Juni jedoch zurück und die Gruppe wurde von der Spitzenposition verdrängt.
- MalasLocker tauchte im Mai auf. In ihren ersten Dark-Web-Posts veröffentlichte die Gruppe Daten einer grossen Zahl von in Russland ansässigen Opfern. Ob dies Zufall oder Absicht ist, kann nicht mit Gewissheit gesagt werden. Die geographische Lage der Opfer ist jedoch eher ungewöhnlich. Ausserdem enthalten sowohl die Shame Site als auch die Lösegeldforderungen von MalasLocker Botschaften, die auf eine „hacktivistische“ Motivation schließen lassen.
- CI0p, eine Ransomware-Gruppe, die erstmals im Februar 2019 auftauchte, wurde im Juni als Urheber hinter den gross angelegten MOVEit Transfer-Exploits (CVE-2023-34362, CVE-2023-35036, CVE-2023-35708 und CVE-2023-36934) bestätigt. Arctic Wolf verfolgte deren Aktivitäten auf Leak Sites zwischen dem 14. Juni und 14. Juli 2023 und konnte 169 Fälle beobachten, davon 120 in den USA, neun im Vereinigten Königreich und acht in Deutschland.
Abgesehen von MalasLocker, die anscheinend politisch motiviert ist, sind Cl0p, Lockbit und die grosse Mehrheit der Angriffsgruppen finanziell getrieben. Unabhängig von der Branche, dem Umsatz oder der Anzahl der Mitarbeitenden der Opferunternehmen starten viele Bedrohungsakteure ihre Angriffe dabei, indem sie, wie CI0p, nach aussen gerichtete Schwachstellen ausnutzen oder massenhaft ausgeklügelte Phishing-E-Mails an Organisationen weltweit senden.
Fertigungsindustrie im Visier von Ransomware-Gruppen
Im gesamten H1 2023 wurden Fertigungsunternehmen mit deutlichem Abstand am häufigsten Opfer von Ransomware-Angriffen. Trotz der hohen Anzahl an Postings auf Dark Web Shame Sites im Vergleich zu anderen Branchen lag der Median* der Ransomware-Forderungen von Betroffenen aus der Fertigungsindustrie unter dem Median der gesamten Forderungen der erfassten IR-Fälle. Das zeigt, dass die Manufacturing-Branche für Bedrohungsakteure zwar nicht die höchste Rentabilität aufweist, aufgrund des Umfangs und der Komplexität ihrer Geschäftstätigkeit jedoch leichter auszunutzen ist.
Lösegeldforderungen steigen branchenübergreifend an: Inflation?
Die durchschnittliche Lösegeldforderung bei allen Ransomware-Vorfällen, auf die Arctic Wolf in der ersten Jahreshälfte reagiert hat, betrug 600'000 US-Dollar, ein Anstieg um 43 % im Vergleich zum Vorjahreszeitraum.
Ist der Inflationsdruck auch im Cyber Crime Business angekommen? Eher nicht. Wahrscheinlicher ist ein Zusammenspiel mehrerer Faktoren: Zum einen versuchen Ransomware-Gruppen, den Umsatzeinbruch zu kompensieren, nachdem sie ihre Aktivitäten 2022 aufgrund des russischen Angriffskriegs drosseln mussten. Zum anderen sind Kryptowährungen im vergangenen Jahr im Wert gestiegen. So ist der Kurs des Bitcoin von etwa 25'000 US-Dollar am 30. Juni 2022 auf über 40'000 US-Dollar am 30. Juni 2023 angestiegen.
Betrachtet man die einzelnen Branchen, so zeigt sich im Vergleich zum Vorjahr eine gewisse Varianz bei den Lösegeldforderungen in bestimmten Branchen, wobei der Medianwert* der Forderungen im Technologiebereich erneut am höchsten und im Bauwesen am niedrigsten war. Diese stagnierenden Positionen spiegeln die Raffinesse der Bedrohungsakteure wider und zeigen, dass sie sehr gut wissen, wie viel welche Branchen zahlen können. Und das sowohl auf Grundlage öffentlich zugänglicher Finanzdaten der Unternehmen als auch auf Basis der Informationen, die sie bei Angriffen auf Tausende von Unternehmen jedes Jahr sammeln.
KMU am stärksten von Ransomware betroffen
Kleine und mittelständische Unternehmen (KMU) sind besonders von dem Anstieg der Ransomware betroffen. 82 % der Opfer in H1 2023 hatten weniger als 1000 Mitarbeitende.
Obwohl auch Grossunternehmen und Konzerne nicht davor gefeit sind, Opfer zu werden, verfügen sie häufiger über grössere Sicherheitsbudgets. KMUs sind aufgrund mangelnder finanzieller Ressourcen und interner Sicherheitsexpertise daher oft stärker gefordert, ein effektives Security Operations-Programm zu implementieren. Im Vergleich zu grossen Unternehmen mit Milliardenumsätzen sind KMUs zudem weniger in der Lage, die finanziellen Auswirkungen von Betriebsunterbrechungen als Folge eines Cybervorfalls zu verkraften. Deshalb sind Eigentümer eher bereit, schnell Lösegeld zu zahlen, um den Betrieb wieder aufzunehmen. Das macht sie zu einem attraktiven Ziel.
Mit dem IR Ransomware Report informiert Arctic Wolf die Cybersicherheits-Community und Unternehmen über aktuelle Cybercrime- und Dark Web-Trends. Die gewonnenen Erkenntnisse sind zudem eine wichtige Ressource, um die Detection und Response-Fähigkeiten von Arctic Wolf weiter zu verbessern und neue Angriffstaktiken und -techniken frühzeitig zu erkennen. Das Unternehmen hat kürzlich auch sein Incident Response Portfolio auf die DACH-Region ausgeweitet, einschliesslich des Incident Response Jump Start Retainer. Damit unterstützt Arctic Wolf Organisationen jeder Grösse dabei, ihre Cybersecurity-Resilienz vor, während und nach einem Sicherheitsvorfall aufzubauen und zu stärken.
* Zu Vergleichszwecken werden hier Medianwerte verwendet, da die Kosten einer Lösegeldforderung je nach Grösse der Organisation und des beteiligten Bedrohungsakteurs variieren können. Medianwerte bieten die beste Annäherung daran, wie ein „typischer“ Vorfall aussieht, da Ausreisser, also sehr grosse und sehr kleine Ransomware-Vorfälle bei der Angabe von Durchschnittswerten einen erheblichen Einfluss haben können.