Incident-Response-Ransomware-Report von Arctic Wolf stellt eine Inflation der Lösegeldforderungen fest

Arctic Wolf veröffentlicht seinen Incident-Response-Ransomware-Report. Das Unternehmen teilt darin aktuelle Incident-Response (IR) -Falldaten seiner Security-Operations-Platform und neueste Erkenntnisse der Dark Web-Überwachung der Arctic Wolf Labs.

 

Dark-Web-Monitoring zeigt starken Anstieg der Ransomware-Angriffe

Im Dark-Web unterhalten Bedrohungsakteure sogenannte Leak- oder auch Shame-Sites. Auf diesen Seiten drohen sie ihren Opfern mit der Veröffentlichung ihrer Daten und setzen sie so unter Druck, Lösegeldforderungen nachzukommen. Obwohl diese Sites keine exakte Dokumentation aller globalen Cyberangriffe darstellen, sind sie dennoch ein guter Indikator für Aktivitäten im Dark Web und ermöglichen es, die aktuelle Bedrohungslandschaft zu kontextualisieren. Arctic Wolf überwacht aktiv bekannte Leak-Sites, um die Dynamik der Bedrohungslandschaft besser zu verstehen.

Die deutlich gestiegene Zahl der Ransomware-Angriffe und Dark-Web-Aktivitäten in der ersten Jahreshälfte 2023 (H1) ergab den größten Datensatz, den Arctic Wolf jemals über seine Dark-Web-Überwachung und IR-Falldaten gesammelt hat. So beobachtete der Security-Operations-Experte im H1 2023 einen Anstieg der Ransomware-Vorfälle um 43 % im Vergleich zur zweiten Jahreshälfte 2022.

Führende Bedrohungsakteure

  • Lockbit war die Bedrohungsgruppe, die im H1 2023 am häufigsten auf Shame-Sites im Dark-Web gepostet hat, wobei das Volumen ihrer Postings im Vergleich zum Vorjahreszeitraum noch einmal um mehr als 17 % anstieg. Nach einem Aktivitätshoch in den ersten vier Monaten des Jahres ging die Zahl der Dark-Web-Posts im Mai und Juni jedoch zurück und die Gruppe wurde von der Spitzenposition verdrängt.
  • Malaslocker tauchte im Mai auf. In ihren ersten Dark-Web-Posts veröffentlichte die Gruppe Daten einer großen Zahl von in Russland ansässigen Opfern. Ob dies Zufall oder Absicht ist, kann nicht mit Gewissheit gesagt werden. Die geographische Lage der Opfer ist jedoch eher ungewöhnlich. Außerdem enthalten sowohl die Shame-Site als auch die Lösegeldforderungen von Malaslocker Botschaften, die auf eine „hacktivistische“ Motivation schließen lassen.
  • CI0p, eine Ransomware-Gruppe, die erstmals im Februar 2019 auftauchte, wurde im Juni als Urheber hinter den groß angelegten MOVEit-Transfer-Exploits (CVE-2023-34362, CVE-2023-35036, CVE-2023-35708 und CVE-2023-36934) bestätigt. Arctic Wolf verfolgte deren Aktivitäten auf Leak Sites zwischen dem 14. Juni und 14. Juli 2023 und konnte 169 Fälle beobachten, davon 120 in den USA, neun im Vereinigten Königreich und acht in Deutschland.

Abgesehen von Malaslocker, die anscheinend politisch motiviert ist, sind Cl0p, Lockbit und die große Mehrheit der Angriffsgruppen finanziell getrieben. Unabhängig von der Branche, dem Umsatz oder der Anzahl der Mitarbeitenden der Opferunternehmen starten viele Bedrohungsakteure ihre Angriffe dabei, indem sie, wie CI0p, nach außen gerichtete Schwachstellen ausnutzen oder massenhaft ausgeklügelte Phishing-E-Mails an Organisationen weltweit senden.

Fertigungsindustrie im Visier von Ransomware-Gruppen

 

Im gesamten H1 2023 wurden Fertigungsunternehmen mit deutlichem Abstand am häufigsten Opfer von Ransomware-Angriffen. Trotz der hohen Anzahl an Postings auf Dark-Web-Shame-Sites im Vergleich zu anderen Branchen lag der Median der Ransomware-Forderungen von Betroffenen aus der Fertigungsindustrie unter dem Median der gesamten Forderungen der erfassten IR-Fälle. Das zeigt, dass die Manufacturing-Branche für Bedrohungsakteure zwar nicht die höchste Rentabilität aufweist, aufgrund des Umfangs und der Komplexität ihrer Geschäftstätigkeit jedoch leichter auszunutzen ist.

Lösegeldforderungen steigen branchenübergreifend an: Inflation?

Die durchschnittliche Lösegeldforderung bei allen Ransomware-Vorfällen, auf die Arctic Wolf in der ersten Jahreshälfte reagiert hat, betrug 600.000 US-Dollar, ein Anstieg um 43 % im Vergleich zum Vorjahreszeitraum.

Ist der Inflationsdruck auch im Cybercrime-Business angekommen? Eher nicht. Wahrscheinlicher ist ein Zusammenspiel mehrerer Faktoren: Zum einen versuchen Ransomware-Gruppen, den Umsatzeinbruch zu kompensieren, nachdem sie ihre Aktivitäten 2022 aufgrund des russischen Angriffskriegs drosseln mussten. Zum anderen sind Kryptowährungen im vergangenen Jahr im Wert gestiegen. So ist der Kurs des Bitcoin von etwa 25.000 US-Dollar am 30. Juni 2022 auf über 40.000 US-Dollar am 30. Juni 2023 angestiegen.

Betrachtet man die einzelnen Branchen, so zeigt sich im Vergleich zum Vorjahr eine gewisse Varianz bei den Lösegeldforderungen in bestimmten Branchen, wobei der Medianwert der Forderungen im Technologiebereich erneut am höchsten und im Bauwesen am niedrigsten war. Diese stagnierenden Positionen spiegeln die Raffinesse der Bedrohungsakteure wider und zeigen, dass sie sehr gut wissen, wie viel welche Branchen zahlen können. Und das sowohl auf Grundlage öffentlich zugänglicher Finanzdaten der Unternehmen als auch auf Basis der Informationen, die sie bei Angriffen auf Tausende von Unternehmen jedes Jahr sammeln.

 

KMU am stärksten von Ransomware betroffen

Kleine und mittelständische Unternehmen (KMU) sind besonders von dem Anstieg der Ransomware betroffen. 82 % der Opfer in H1 2023 hatten weniger als 1.000 Mitarbeitende.

Obwohl auch Großunternehmen und Konzerne nicht davor gefeit sind, Opfer zu werden, verfügen sie häufiger über größere Sicherheitsbudgets. KMUs sind aufgrund mangelnder finanzieller Ressourcen und interner Sicherheitsexpertise daher oft stärker gefordert, ein effektives Security-Operations-Programm zu implementieren. Im Vergleich zu großen Unternehmen mit Milliardenumsätzen sind KMUs zudem weniger in der Lage, die finanziellen Auswirkungen von Betriebsunterbrechungen als Folge eines Cybervorfalls zu verkraften. Deshalb sind Eigentümer eher bereit, schnell Lösegeld zu zahlen, um den Betrieb wieder aufzunehmen. Das macht sie zu einem attraktiven Ziel.

Mit dem IR-Ransomware-Report informiert Arctic Wolf die Cybersicherheits-Community und Unternehmen über aktuelle Cybercrime- und Dark-Web-Trends. Die gewonnenen Erkenntnisse sind zudem eine wichtige Ressource, um die Detection und Response-Fähigkeiten von Arctic Wolf weiter zu verbessern und neue Angriffstaktiken und -techniken frühzeitig zu erkennen. Das Unternehmen hat kürzlich auch sein Incident-Response-Portfolio auf die DACH-Region ausgeweitet, einschließlich des Incident-Response-Jump Start-Retainer. Damit unterstützt Arctic Wolf Organisationen jeder Größe dabei, ihre Cybersecurity-Resilienz vor, während und nach einem Sicherheitsvorfall aufzubauen und zu stärken.

#ArcticWolf