Der Trend führt sich fort: Auch im Jahr 2021 rissen die Nachrichten zu Ransomware-Angriffen nicht ab. Umfangreiche Sicherheitsverletzungen, massive Lösegeldforderungen und Attacken auf Unternehmen jeder Größe und aus den unterschiedlichsten Branchen zogen die Aufmerksamkeit von Medien und Aufsichtsbehörden auf sich, welche im letzten Quartal des Jahres verstärkt auf diese Entwicklungen reagierten. Mit neuen Vorschriften soll erreicht werden, dass Unternehmen und insbesondere ihre IT- und Verwaltungsbeauftragten die Bedrohung durch Ransomware ernst nehmen.

Die fünf wichtigsten Erkenntnisse aus dem 4. Quartal 2021

Fundierte Kenntnisse über die aktuellen Ransomware-Entwicklungen sind entscheidend, um Maßnahmen zum Schutz der Unternehmensressourcen ergreifen zu können.

  1. Das US-Außenministerium macht die Meldung von Cyberkriminalität durch Kopfgeld attraktiver.
    Das Außenministerium der USA setzte 2021 ein Kopfgeld von 10 Millionen US-Dollar auf die Ransomware-Gruppen DarkSide und Sodinokibi aus und ein Kopfgeld von 5 Millionen US-Dollar auf Partner besagter Cyber-Banden. Das Aussetzen eines Kopfgeldes ist eine bewährte Maßnahme: Seit 1984 bezahlte das Ministerium mehr als 200 Millionen Dollar für überlieferte Informationen, die der Sicherheitslage der USA zuträglich waren.

  2. Cyber-Versicherer beziehen eine konservativere Haltung.
    2021 schlossen immer mehr Unternehmen aufgrund der stetig steigenden Zahlen an Cyber-Angriffen eine Cyber-Versicherung ab. Das wiederum lässt auch die Zahl der Ansprüche gegen Cyber-Versicherungspolicen steigen. Cyber-Versicherer entwickeln sich im Zuge dieser Dynamik weiter. Lloyds of London deckt beispielsweise nicht mehr jegliche Art von Schäden ab. So werden zum Beispiel im Fall von Cyber-Warfare oder vergeltenden Cyber-Aktivitäten keine Entschädigungen mehr gezahlt.

  3. Die Regierung macht Namen publik.
    Im November 2021 wurden vom ukrainischen Sicherheitsdienst die Namen und Positionen von fünf Mitgliedern eines großen Cybercrime-Syndikats und deren Verbindung zur Krim-Abteilung des Inlandsgeheimdienst der Russischen Föderation (FSB) offengelegt. Ebenso wurden aufgezeichnete Telefongespräche veröffentlicht, in denen über Angriffe und interne Gehälter diskutiert wurde. Der ukrainische Sicherheitsdienst gibt an, dass besagte Gruppe die ukrainische Regierung in mehr als 5.000 Cyber-Angriffen massiv attackierte. Trotz der Offenlegung der Informationen setzte die Gruppe ihre Angriffe weiterhin fort, während die Spannungen zwischen Russland und der Ukraine weiter eskalieren und momentan ihren tragischen Höhepunkt finden.

  4. Sanktionen zeigen Wirkung.
    Eine Ransomware-Gruppe, die mit Evil Corp - einer sanktionierten Organisation - verbunden ist, veröffentlichte im Oktober 2021 Informationen, die angeblich von der amerikanischen National Rifle Association (NRA) gestohlen wurden. Dieser Angriff wurde von der NRA nie bestätigt; mutmaßlich unter anderem deshalb, weil sie sich mit einem Geständnis selber in eine Zwickmühle bringen würden. Denn würden sie die Angreifer bezahlen, könnte ihnen die US-Regierung Sanktionen auferlegen.

    Sanktionen wirken sich auch auf das Verhalten von Ransomware-Gruppen aus: Sanktionierte Gruppen schaffen es seltener, ihre Opfer zur Zahlung zu bewegen. Aber auch für dieses Problem finden gewiefte Cyber-Angreifer adäquate Lösungen. Zum Beispiel mit der Gründung von Tochtergesellschaften oder Ablegern, die für unwissende Opfer in keinem Zusammenhang mit dem sanktionierten Unternehmen zu stehen scheinen. Sind sich Cyber-Opfer der Verbindung zwischen der Gruppen nicht bewusst, so sind sie eher bereit Lösegeld zu zahlen und zudem abgeneigter die Angriffe öffentlich zu melden. Sollten die Angriffe aber doch von den zuständigen Behörden entdeckt und aufgedeckt werden, so reicht es oft nicht die eigene Unschuld zu beteuern um Konsequenzen und Strafen zu vermeiden.

  5. Marktakteure in der Ransomware-Wirtschaft geraten unter Beschuss.
    Das undurchsichtige Geflecht der Ransomware-Wirtschaft umfasst nicht nur Ransomware-Betreiber. Im Dezember 2021 brachten Forscher mehr als 15 mit Ransomware in Verbindung stehende Kryptobörsen mit einem einzigen prestigeträchtigen Wolkenkratzer in Moskau in Verbindung - dem höchsten der Stadt, um genau zu sein. Die gewonnenen Erkenntnisse befeuern Sicherheitsexperten in ihrer Annahme, dass russische Behörden einen großen Bogen um Ransomware-Banden und deren Bekämpfung machen.
Was haben diese Erkenntnisse zu bedeuten?

Im letzten Quartal des Jahres wurden viele Ransomware-Operationen geprüft. Ransomware zu stoppen scheint jedoch weiterhin ein Ding der Unmöglichkeit. Wird eine Gruppe enttarnt und in diesem Zug aufgelöst, so gründen ihre Betreiber einfach eine neue Marke und nutzen so weiterhin ihre Ressourcen. Ransomware wird uns noch eine lange Zeit begleiten. Und die Risiken für Unternehmen, die ihnen zum Opfer fallen, werden aufgrund der neuen Sanktionen nur steigen. Aus diesem Grund ist der Schutz vor Ransomware unabdinglich und eine zwingend notwendige Maßnahme für Unternehmen.

Die Ransomware-Takeaways aus Q2 bieten weitere interessante Informationen zur Entwicklung des ersten Halbjahres 2021. Warum Datensicherung ein Thema für die Geschäftsführung ist erfahren Sie hier.

Quellen:
https://www.backblaze.com/blog/ransomware-takeaways-from-q4-2021/
https://www.ashurst.com/en/news-and-insights/insights/ransomware-new-legislation-should-criminalise-making-ransomware-payments