Ransomware stellte auch im dritten Quartal von 2020 eine beständige Bedrohung dar. Dabei bevorzugten es die Angreifer, vor dem Ausliefern des Ransomware-Payloads die Opfer zunächst zu kompromittieren, um die anvisierten Systeme ausgiebig auszukundschaften und sich Daten zu verschaffen. Immer mehr Ransomware-Gruppen versuchten zudem, die gestohlenen Daten als Druckmittel einzusetzen, wie Avaddon, Conti, DarkSide, SunCrypot oder LockBit. In diesem Quartal wurden auch wieder neue Seiten veröffentlicht, um die Daten publik zu machen oder zu verkaufen.
Einige Angreifer haben auch den Beginn des neuen Schuljahrs genutzt, um Ransomware in Schulsystemen zu installieren, die sie bereits Tage oder Wochen vorher kompromittiert hatten. Dazu haben sie höchstwahrscheinlich mit dem Verschlüsseln gewartet, bis die Schüler wieder in der Schule waren, um den größtmöglichen Schaden anzurichten. Auf diese Weise konnten sie die Schulbezirke noch stärker unter Druck setzen, den Vorfall zu beheben und das Lösegeld zu bezahlen. Das könnte auch der Grund sein, weshalb einige Schulen (wie die von Hartford) direkt am ersten Tag getroffen wurden. Darüber hinaus könnte das erhöhte Risiko durch Onlinelernen zu den Ransomware-Zahlen in diesem Quartal beigetragen haben.
Insbesondere die Ransomware-Gruppe Maze war für Bildungseinrichtungen eine anhaltende Bedrohung. Sie war für die Infektion von zwei der größten Schulbezirke in den USA verantwortlich (Clark County und Fairfax County), die über mehr als 500 000 Schüler verfügen. In beiden Fällen hatten die Angreifer vertrauliche Daten gestohlen und auf ihrer Website veröffentlicht, nachdem die Bezirke eine Lösegeldzahlung verweigert hatten.
Leider kam es in diesem Quartal auch zu dem wahrscheinlich ersten Todesfall aufgrund von Ransomware. Im September 2020 hatten Angreifer 30 Server der Universitätsklinik in Düsseldorf mit Ransomware infiziert, wodurch das Krankenhaus gezwungen war, Notfallpatienten abzuweisen. Eine der Patientinnen in lebensbedrohlichem Zustand wurde stattdessen nach Wuppertal gebracht, wo sie jedoch aufgrund der verspäteten Behandlung verstarb. Sie ist damit das erste Todesopfer als direkte Folge eines Ransomware-Angriffs. Es ist jedoch zu befürchten, dass sie nicht das letzte bleibt.
Die folgenden Statistiken basieren auf den 120 368 Ransomwares, die zwischen dem 1. Juli und dem 30. September 2020 bei Emsisoft und ID Ransomware eingesendet wurden. Über den von Michael Gillespie, Sicherheitsforscher bei Emsisoft, ins Leben gerufenen Dienst ID Ransomware können Unternehmen und Privatpersonen nachvollziehen, welche Ransomware-Version ihre Dateien verschlüsselt hat, und erhalten kostenlos Zugang zu einem Decrypter, sofern es bereits einen dafür gibt.
Die am häufigsten gemeldeten Ransomware-Familien im dritten Quartal 2020
Die folgende Übersicht zeigt die zehn im dritten Quartal am häufigsten gemeldeten Ransomwares. Die als STOP/Djvu bekannte Ransomware-Familie ist dabei am häufigsten aufgetreten und zeichnet für 69,9 % aller Einsendungen verantwortlich.
- STOP (Djvu): 69,90 %
- Phobos: 9,10 %
- Dharma: 8,10 %
- REvil/Sodinokibi: 3,30 %
- Avaddon: 2,90 %
- LockBit: 2,20 %
- Magniber: 1,60 %
- Makop: 1,20 %
- GlobeImposter 2.0: 0,90 %
- Cryakl: 0,90 %
Die am häufigsten gemeldeten Ransomware-Familien im dritten Quartal 2020 (ohne STOP)
In der folgenden Übersicht sind die zehn am häufigsten gemeldeten Ransomwares des dritten Quartals ohne STOP aufgeführt.
- Phobos: 29,40 %
- Dharma: 26,30 %
- REvil/Sodinokibi: 10,70 %
- Avaddon: 9,20 %
- LockBit: 7,20 %
- Magniber: 5,20 %
- Makop: 3,90 %
- GlobeImposter 2.0: 2,90 %
- Cryakl: 2,80 %
- Medusa Locker: 2,40 %
Die meisten Ransomware-Einsendungen nach Land
In der folgenden Übersicht sind die zehn Länder aufgeführt, aus denen die meisten Ransomware-Einsendungen des dritten Quartals 2020 kamen (inkl. STOP).
- Indien: 28,50 %
- Indonesien: 16,30 %
- Pakistan: 9,10 %
- USA: 8,10 %
- Südkorea: 8,10 %
- Ägypten: 7,80 %
- Brasilien: 7,70 %
- Philippinen: 5,90 %
- Bangladesch: 4,50 %
- Türkei: 3,80 %
Diskussion
STOP/DJVU war bereits im ersten und zweiten Quartal von 2020 die am meisten gemeldete Ransomware und hat sich diesen Spitzenplatz auch in diesem Quartal gesichert. Mit über 160 bestätigten Varianten ist STOP damit die am meisten verbreitete Ransomware-Familie und für 69,9 % aller Einsendungen verantwortlich. Es war jedoch ein leichter Rückgang zu den 71,7 % im zweiten Quartal zu verzeichnen.
Im weiteren Vergleich zwischen den beiden Quartalen lassen sich bei den am meisten gemeldeten Ransomwares einige Änderungen beobachten. Payment45 und GoGoogle wurden in den Top 10 von Avaddon und Cryakl ersetzt, die nun auf Platz 5 und 10 sind. Die vier Spitzenplätze teilen sich hingegen weiter STOP, Phobos, Dharma und REvil/Sodinokibi.
Hinsichtlich der geographischen Verteilung liegt der Schwerpunkt auf Asien. Asiatische Länder meldeten im dritten Quartal mehr als drei Viertel (76,2 %) aller Ransomwares, was im Vergleich zu 60 % im zweiten Quartal ein recht starker Anstieg ist. An den Spitzenplätzen hat sich nichts geändert. Indien verzeichnet einen leichten Anstieg von 28,4 % im zweiten Quartal auf 28,5 % im dritten Quartal.
Während die USA zum zweiten Quartal hin einen starken Anstieg um 5,9 % hatte, war in diesem Quartal das Gegenteil zu beobachten. Während es im zweiten Quartal 16,1 % waren, machten die Einsendungen im dritten Quartal nur noch 8,1 % aus. Das ist ein Rückgang um 8,0 %. Der einzige Neuzugang hier war Bangladesch mit 4,5 %, wodurch Algerien aus den Top 10 verdrängt wurde.
- Statistikbericht zu Ransomware (1. Quartal 2020) (auf Englisch)
- Statistikbericht zu Ransomware (2. Quartal 2020)
- The State of Ransomware in the US: Report and Statistics for Q1 2020 (auf Englisch)
- State of Ransomware in the US: Report and Statistics for Q1 and Q2 2020 (auf Englisch)
- Bericht: Die länderspezifischen Kosten für Ransomware 2020
Übersetzung: Doreen Schäfer