Untersuchung zeigt: Neue Ransomware-Gruppen als Schrittmacher der Cyber-Angriffe

Die Anzahl neuer Ransomware-Gruppen in den ersten drei Quartalen 2023 ist laut WithSecure™ drastisch gestiegen

[datensicherheit.de, 25.11.2023] Fast die Hälfte der 60 durch WithSecure™ beobachteten Ransomware-Gruppen sind nach eigenen Angaben „neu auf dem Markt“ – diese zeichnen demnach bereits für ein Viertel der Leaks verantwortlich. Die Art der Ransomware-Angriffe habe sich ebenfalls stark verändert.

In den ersten neun Monaten 2023 bereits mehr Leaks durch Ransomware-Angriffe als im gesamten Jahr 2022

Ransomware ist offensichtlich seit vielen Jahren ein fortwährendes Sicherheitsproblem – hauptsächlich aufgrund der Fähigkeit von cyber-kriminellen Gruppen, sich kontinuierlich neu zu erfinden. Laut einer neuen Untersuchung von WithSecure™ (ehem. F-Secure Business) ist die Anzahl neuer Ransomware-Gruppen in den ersten drei Quartalen dieses Jahres, 2023, „drastisch gestiegen“. Diese seien extrem aktiv: „Schon in den ersten neun Monaten des laufenden Jahres gab es mehr Leaks durch Ransomware-Angriffe als im gesamten Jahr 2022.“

WithSecure™ warnt daher: „Ransomware ist zu einer beträchtlichen Einnahmequelle für Cyber-Kriminelle auf Kosten von Menschen, Organisationen und sogar Regierungen weltweit geworden.“ Obwohl ihre Verbreitung seit einigen Jahren konstant geblieben sei, hätten sich andere Aspekte der Bedrohung geändert.

In den letzten Jahren hätten mehrere Ransomware-Gruppen Berühmtheit erlangt, „indem sie Multi-Point-Ransomware-Angriffe durchgeführt haben“. Hierbei würden mehrere Methoden eingesetzt, um Opfer dazu zu zwingen, „ein Lösegeld zu zahlen, um die Kontrolle über ihre Daten zurückzugewinnen“. Zahlten die Opfer nicht, würden diese gestohlenen Daten online zum Verkauf angeboten, was die Erpressungssumme weiter in die Höhe treibe.

Neue Ransomware-Gruppen folgen Handbüchern etablierter Betreiber

Eine kürzliche Analyse der veröffentlichten Daten deute darauf hin, dass im Jahr 2023 viele neue Gruppen in diesem Bereich aktiv geworden seien. „Von den 60 Multi-Point-Ransomware-Gruppen, deren Aktivitäten WithSecure in den ersten neun Monaten des Jahres 2023 verfolgt hat, sind 29 neu.“ Diese erstmals 2023 in Erscheinung getretenen Banden zeichneten bereits für fast ein Viertel der Datenlecks verantwortlich.

Der Threat-Intelligence-Analyst Ziggy Davies erklärt, dass diese neuen Gruppen größtenteils den Handbüchern etablierter Betreiber folgten, „jedoch eine entscheidende Rolle bei der Aufrechterhaltung der Ransomware-Angriffe spielen, denen Organisationen gegenüberstehen“.

Davies führt weiter aus: „Code und andere Aspekte einer bestimmten Cybercrime-Operation werden oft anderswo verwendet, da Gruppen und ihre Mitglieder häufig die gleichen Ressourcen recyceln, wenn sie ihre Zusammenarbeit ändern. Viele der neuen Gruppen, die wir in diesem Jahr gesehen haben, haben klare Verbindungen zu älteren Ransomware-Operationen.“ Zum Beispiel wiesen „Akira“ und mehrere andere Gruppen viele Ähnlichkeiten mit der mittlerweile aufgelösten „Conti“-Gruppe auf und seien wahrscheinlich ehemalige „Conti“-Partner.

Ransomware bleibt effektiv – indes aber vorhersehbar

Die Analyse habe auch mehrere bemerkenswerte Erkenntnisse über Multi-Point-Ransomware-Angriffe im Jahr 2023 ergeben, darunter die folgenden:

• „In den ersten drei Quartalen des Jahres 2023 gab es einen Anstieg von 50 Prozent bei Datenlecks durch Ransomware-Gruppen im Vergleich zum gleichen Zeitraum des Vorjahres.“
• „,Lockbit’ machte den größten Anteil an den Leaks aus (21%).“
• „Die fünf Gruppen mit den meisten Leaks (,8Base’, ,Alphv/BlackCat’, ,Clop’, ,LockBit’ und ,Play’) machten über 50 Prozent des Gesamtvolumens aus.“
• Etwa 25 Prozent der in der Analyse enthaltenen Leaks stammten von Ransomware-Gruppen, die 2023 ihren Betrieb aufgenommen hatten.“
• „Nur sechs der 60 Gruppen haben im Jahr 2023 (bis dato) jeden Monat Opfer veröffentlicht.“

Während Cyber-Kriminelle anscheinend mehr Interesse an Ransomware zeigten als je zuvor, böten diese Gruppen den Verteidigern einige Vorteile: „Sie recyclen häufig die Handbücher der anderen.“

„Ransomware bleibt für Cyber-Kriminelle eine effektive Einnahmequelle, daher halten sie sich hauptsächlich an das grundlegende Handbuch, anstatt wirklich etwas Neues oder Unerwartetes zu entwickeln. Das macht sie ziemlich vorhersehbar, was für Verteidiger gut ist, da sie wissen, worauf sie sich einlassen“, so Davies abschließend.

Weitere Informationen zum Thema:

WITHsecure, Adam Pilkey, 16.11.2023
2023’s ransomware rookies are a remix of Conti and other classics

datensicherheit.de, 22.03.2023
Ransomware: Jede Lösegeld-Zahlung an Angreifer finanziert neun zukünftige Attacken / Neue Untersuchungen von Trend Micro über Ransomware-Branche publiziert

datensicherheit.de, 08.02.2023
Cyber-Versicherungen im Umbruch: Ransomware-Lösegeld-Forderungen bedrohen Unternehmen / Versicherer können Kosten der Ransomware-Schadensregulierung bald nicht mehr tragen