Statistikbericht zu Ransomware (Zusammenfassung 2020)

2020 – das Jahr der Pandemie – war für Ransomware ein weiteres lukratives Jahr. Während die ganze Welt darum kämpfte, die Ausbreitung des Virus zu verhindern, nutzten Cyberkriminelle das Chaos zu ihrem eigenen Vorteil.

Durch die nun größere Angriffsoberfläche, den Zugriff auf vertrauliche Unternehmensdaten von angreifbaren Geräten aus und die mitunter unvermeidbare Umgehung von Sicherheitsprotokollen aufgrund von Heimarbeit, bot COVID einen überaus fruchtbaren Nährboden für Ransomware.

Während kurzfristig Remote-Arbeitsplätze eingerichtet werden mussten, wurde RDP zu einem beliebten Angriffspunkt für Kriminelle. Ransomware-Gruppen nutzten derweil ihre vorhandene Infrastrukturen aus, um Kampagnen rund um das Thema COVID zu starten und damit das öffentliche Interesse an der aktuellen Gesundheitskrise auszunutzen.

Die COVID-bedingten Herausforderungen für die Sicherheit wurden durch die zunehmende Exfiltration von Daten noch weiter erschwert. Inspiriert von den Daten stehlenden Pionieren Maze begannen Dutzende andere Ransomware-Gruppen damit, auch bei ihren Angriffen Daten zu exfiltrieren und damit die Opfer weiter zu einer Zahlung unter Druck zu setzen. Wurde nicht gezahlt, führte das meistens dazu, dass die gestohlenen Daten verkauft, versteigert oder noch häufiger auf einer Website der Angreifer für alle zugänglich veröffentlicht wurden.

2020 zogen sich verschiedene Ransomware Gruppen zurück oder scheiterten und tauchten entweder unter neuem Namen wieder auf oder wurden von Neulingen ersetzt. Der wohl auffälligste Rückzug dürfte der von Maze gewesen sein. Die extrem erfolgreiche Ransomware-Gruppe hatte im November angekündigt, ihre Aktivitäten einzustellen. Außerdem legte Microsoft 94 % der zu TrickBot gehörenden Server still. Das gigantische Botnetz bestand aus mindestens einer Million infizierten Geräten und wurde von seinen Betreibern in der Regel an Ransomware-Gangs vermietet.

Die folgenden Statistiken basieren auf den 506 185 Ransomware-Meldungen, die zwischen dem 1. Januar und dem 31. Dezember 2020 bei Emsisoft und ID Ransomware eingingen. Über den von Michael Gillespie, Sicherheitsforscher bei Emsisoft, ins Leben gerufenen Dienst ID Ransomware können Unternehmen und Privatpersonen nachvollziehen, welche Ransomware-Version ihre Dateien verschlüsselt hat, und erhalten kostenlos Zugang zu einem Decrypter, sofern es bereits einen dafür gibt.

Hinweis: Unseren Schätzungen zufolge senden lediglich 25 Prozent der Opfer eine Anfrage bei Emsisoft oder ID Ransomware ein, sodass die tatsächliche Zahl der Vorfälle höchstwahrscheinlich wesentlich höher ausfällt.

Die 2020 am häufigsten gemeldeten Ransomware-Familien (inkl. STOP)

Die folgende Übersicht zeigt die zehn im Jahr 2020 am häufigsten gemeldeten Ransomwares. STOP/Djvu ist dabei mit 71,20 % aller Einsendungen die am häufigsten eingegangene Ransomware-Variante.

1. STOP (Djvu): 71,20 %
2. Phobos: 8,90 %
3. Dharma (.cezar-Familie): 7,90 %
4. REvil/Sodinokibi: 3,40 %
5. LockBit: 1,90 %
6. GlobeImposter 2.0: 1,70 %
7. Magniber: 1,70 %
8. Makop: 1,30 %
9. Avaddon: 1,10 %
10. Zeppelin: 1,00 %

Die 2020 am häufigsten gemeldeten Ransomware-Familien (ohne STOP)

In der folgenden Übersicht sind die zehn im Jahr 2020 am häufigsten gemeldeten Ransomwares ohne STOP/Djvu aufgeführt.

1. Phobos: 29,90 %
2. Dharma (.cezar-Familie): 26,80 %
3. REvil/Sodinokibi: 11,40 %
4. LockBit: 6,40 %
5. GlobeImposter 2.0: 5,70 %
6. Magniber: 5,70 %
7. Makop: 4,30 %
8. Avaddon: 3,80 %
9. Zeppelin: 3,20 %
10. Cryakl: 2,80 %

Die meisten Ransomware-Einsendungen nach Land

In der folgenden Übersicht sind die zehn Länder aufgeführt, aus denen die meisten Ransomware-Einsendungen kamen (inkl. STOP).

1. Indien: 27,40 %
2. Indonesien: 15,10 %
3. USA: 10,90 %
4. Ägypten: 10,00 %
5. Pakistan: 8,90 %
6. Brasilien: 8,00 %
7. Südkorea: 7,60 %
8. Philippinen: 4,50 %
9. Türkei: 4,20 %
10. Italien: 3,40 %

Anzahl der Einsendungen nach Monat und Jahr

In der folgenden Übersicht ist die Anzahl der Einsendungen pro Monat aufgeführt (inkl. STOP).

Anzahl der Einsendungen pro Quartal

In der folgenden Übersicht ist die Anzahl der Einsendungen pro Quartal aufgeführt (inkl. STOP).

Fazit

Die Gesamtanzahl der Ransomware-Meldungen stieg von 2019 zu 2020 um 12,39 % an. Das erste Quartal verzeichnete mit 95,17 % den höchsten Anstieg im Vergleich zum Vorjahr. Dazu sank die Anzahl im vierten Quartal um 29,56 %. Am meisten schwankten die Zahlen im April (155,55 %), Februar (137,1 %) und März (101,64 %).

Von den 587 im Verlauf des Jahres gemeldeten Ransomware-Varianten war STOP/Djvu die bei Weitem häufigste. Es gibt über 160 bestätigte Versionen von STOP, die 2020 zusammengefasst 71,20 % aller Einsendungen ausmachten. Einige ältere Versionen von STOP lassen sich mit unseren kostenlosen Entschlüsselungstools entschlüsseln. Bei neueren Versionen ist das leider nicht möglich.

Über die Hälfte aller Einsendungen (52,60 %) kamen 2020 aus lediglich zehn Ländern. Obwohl Ransomware eine weltumspannende Bedrohung ist, zeigen die Daten, dass Asien die am häufigsten betroffene Region ist. Mit insgesamt sechs Ländern in den Top 10 (einschließlich der transkontinentalen Türkei) kamen aus Asien mehr als ein Drittel (35,70 %) aller Ransomware-Meldungen. Indien hatte in jedem Quartal des Jahres die meisten Einsendungen und zeichnete 2020 für 14,4 % aller Einsendungen verantwortlich.

Mehr zum Thema

• Statistikbericht zu Ransomware (1. Quartal 2020) (auf Englisch)
• Statistikbericht zu Ransomware (2. Quartal 2020)
• Statistikbericht zu Ransomware (3. Quartal 2020)
• Statistikbericht zu Ransomware (4. Quartal 2020)
• Ransomware in den USA: Statusbericht und Statistiken für 2020

Übersetzung: Doreen Schäfer