Ransomware: Durchschnittliche Lösegeldzahlungen nähern sich der 1-Million-Dollar-Grenze

Während der RSA-Konferenz 2022 berichtet Palo Alto Networks über die bisher im Jahr 2022 beobachteten Ransomware-Aktivitäten

[datensicherheit.de, 08.06.2022] Ryan Olson, Vize-Präsident „Unit 42 Incident Response and Threat Research Team“ bei Palo Alto Networks, hat nach eigenen Angaben die aktuelle Entwicklung der real bezahlten Lösegeldforderungen nach Ransomware-Angriffen beobachtet und aktuell ausgewertet. In seiner aktuellen Stellungnahme geht er auf seine Beobachtungen ein. Während sich Tausende von Cyber-Sicherheitsfachleuten in San Francisco zur jährlichen „RSA-Konferenz“ versammelten, sei ein guter Zeitpunkt, um einen kurzen Blick auf die von Palo Alto Networks bisher im Jahr 2022 beobachteten Ransomware-Aktivitäten zu werfen.

Foto: Palo Alto Networks

Ryan Olson: Diesjähriger Anstieg der Zahlungen durch zwei Lösegeldzahlungen in Höhe von mehreren Millionen US-Dollar in die Höhe getrieben

Durchschnittliche Ransomware-Zahlung auf 925.162 US-Dollar gestiegen

Die Zahlen seien erschreckend: „Die durchschnittliche Ransomware-Zahlung in Fällen, die von ,Unit 42 Incident Responders‘ bearbeitet wurden, stieg in den ersten fünf Monaten des Jahres 2022 auf 925.162 US-Dollar und näherte sich damit der beispiellosen 1-Million-Dollar-Marke, da sie im Vergleich zum letzten Jahr um 71 Prozent gestiegen ist.“ Das sei vor den zusätzlichen Kosten, welche den Opfern entstanden seien, darunter Kosten für die Behebung des Schadens, der Ausfallzeit, der Rufschädigung und anderer Schäden.

Diese Kosten sind insbesondere deshalb erschreckend, „wenn man sich die Entwicklung dieser Kosten vor Augen führt“. Die durchschnittliche Zahlung in den von den „Unit 42“-Beratern bearbeiteten Fällen habe sich im Jahr 2020 auf etwa 300.000 US-Dollar belaufen. „Es ist kaum zu glauben, dass die meisten Transaktionen, mit denen die Berater im Jahr 2016 konfrontiert wurden, 500 Dollar oder weniger betrugen.“

Täglich Daten von sieben neuen Opfern auf Leak-Seiten im DarkWeb veröffentlicht

Jeden Tag würden die Daten von durchschnittlich sieben neuen Opfern auf den Leak-Seiten im sogenannten DarkWeb veröffentlicht, welche von Ransomware-Banden genutzt würden, um die Opfer zur Zahlung von Lösegeld zu zwingen. Diese als „Doppelte Erpressung“ bezeichnete Technik erhöhe den Druck auf die Opfer, weil sie zu der Schwierigkeit, den Zugriff auf Dateien zu verlieren, noch eine Ebene der öffentlichen Demütigung hinzufüge, „indem sie die Opfer identifiziert und angebliche Ausschnitte sensibler Daten, die aus ihren Netzwerken gestohlen wurden, weitergibt“. Die beobachtete Rate der Doppelten Erpressung bedeute, dass alle drei bis vier Stunden ein neues Opfer auftauche, so die laufende Analyse der Leak-Site-Daten durch „Unit 42“.

Die Cyber-Erpressungskrise halte an, weil Cyber-Kriminelle unerbittlich zunehmend ausgefeilte Angriffswerkzeuge, Erpressungstechniken und Marketingkampagnen einführten, welche diese beispiellose, weltweite digitale Verbrechenswelle anheizten. Das RaaS-Geschäftsmodell (Ransomware-as-a-Service) habe gleichzeitig die technische Einstiegshürde gesenkt, indem es diese leistungsstarken Tools mit benutzerfreundlichen Schnittstellen und Online-Support auch für nicht versierte Cyber-Erpresser zugänglich mache.

Ransomware-Erpresserbanden werden wohl kaum aufhören, Zahlungen in Höhe mehrerer Millionen US-Dollar zu fordern

Die Folgen könnten verheerend sein: „Die Regierung Costa Ricas wurde in diesem Jahr bereits mehrfach Opfer von Ransomware-Angriffen, darunter auch im Mai, als die Erbringung von Gesundheitsdiensten unterbrochen wurde. Das 157 Jahre alte Lincoln College wurde letzten Monat geschlossen, nachdem ein Ransomware-Angriff den Zugang zu allen Universitätsdaten gekappt und die Zulassungen für den Herbst 2022 unterbrochen hatte – ein harter Schlag für eine Einrichtung, die sich bereits von der Pandemie erholen wollte.“

Der diesjährige Anstieg der Zahlungen sei durch zwei Lösegeldzahlungen in Höhe von mehreren Millionen Dollar in die Höhe getrieben worden – eine an eine aufstrebende Gruppe, „Quantum Locker“, und eine an „LockBit 2.0“, welche bisher in diesem Jahr – 2022 – die aktivste Ransomware-Bande auf Leak-Seiten mit Doppelter Erpressung gewesen sei. Olsons gegenwärtiges Fazit: „Leider haben die Berater von ,Unit 42‘ keinen Grund zu der Annahme, dass Erpresserbanden aufhören werden, Zahlungen in Höhe von mehreren Millionen Dollar zu fordern. Kritisch sind insbesondere Fälle, in denen Unternehmen in den Ruin getrieben werden könnten, wenn sie nicht zahlen.“

Weitere Informationen zum Thema:

paloalto NETWORKS Blog, Ryan Olson, 07.06.2022
Average Ransom Payment Up 71% This Year, Approaches $1 Million

datensicherheit.de, 01.07.2021
Ransomware-Bedrohung nimmt zu: Diskussion um Verbot von Lösegeldzahlungen / Adam Kujawa fordert, nicht die Ransomware-Opfer zu bestrafen, sondern diese zur Meldung des Vorfalls zu veranlassen