Im dritten Quartal 2021 hat die Ransomware-Gruppe REvil nach einem monumentalen Angriff auf den MSP-Softwareanbieter Kaseya Anfang Juli mit 70 Millionen USD die bisher höchste bekannte Lösegeldforderung gestellt. 1 500 Unternehmen litten unter Folgen des Angriffs. Die schwedische Supermarktkette Coop musste beispielsweise drei Tage lang den Großteil seiner 800 Geschäfte schließen, während es versuchte, seine Kassensysteme wieder in Betrieb nehmen zu können. Einige Wochen nach dem Angriff erhielt Kasey den Masterschlüssel, so dass die betroffenen Unternehmen ihre verschlüsselten Daten ohne Zahlung des Lösegeldes wiederherstellen konnten.
Der Vorfall erregte höchste Aufmerksamkeit seitens Medien und Behörden. Wahrscheinlich in dem Versuch, diesem Rampenlicht zu entkommen, stellte REvil weniger als zwei Wochen nach dem Angriff seinen Betrieb ein, indem es seine Leakseite im Darknet und das Zahlungsportal offline nahm. Das stellte sich jedoch nur als eine kurze Auszeit von zwei Monaten heraus. Bereits im September 2021 nahm die Gruppe ihre Aktivitäten wieder auf.
Wenn auch REvils Auszeit nur vorrübergehend war, zogen sich einige Kriminelle im dritten Quartal gänzlich vom Ransomware-Spielfeld zurück. Im August stellte Ragnarok plötzlich seinen Betrieb ein und veröffentlichte einen Master-Entschlüsselungsschlüssel. Die Gang dürfte am besten für ihre Angriffe auf nicht gepatchte Citrix-ADC-Server Anfang 2020 bekannt sein.
Aber auch Neulinge traten im dritten Quartal auf die Bildfläche, wie beispielsweise BlackMatter. Von der neuen Ransomware-Gruppe wird angenommen, dass sie schlicht eine neue Fassade von DarkSide ist. Letztere war im zweiten Quartal 2021 zum Vorruhestand gezwungen worden, nachdem sie Colonial Pipeline angegriffen und damit enormen Druck seitens der US-Regierung auf sich gelenkt hatte, wodurch die Ransomware-Gruppe schließlich die Kontrolle über seine wichtigsten Infrastrukturen verlor.
Auch in anderen Bereichen waren mehr Aktivitäten der US-Regierung im Kampf gegen Ransomware zu beobachten. Im Juli begann beispielsweise das Programm „Belohnungen für mehr Gerechtigkeit“ des U.S. Department of State Belohnungen in Höhe von bis zu 10 Millionen USD für Informationen anzubieten, die zum Identifizieren oder Auffinden von Personen führen, die sich an bösartigen Cyberaktivitäten gegen kritische Infrastrukturen der USA beteiligen. Darüber hinaus veröffentlichte die US-Regierung StopRansomware.gov, eine zentrale Schnittstelle, in der die Ransomware-Ressourcen aller bundesstaatlichen Behörden zusammenlaufen.
Die folgenden Zahlen basieren auf den Daten aus über 181 051 Ransomware-Einsendungen, die zwischen dem 1. Juli und dem 30. September 2021 bei Emsisoft und ID Ransomware eingegangen sind. Über die von Michael Gillespie, Sicherheitsforscher bei Emsisoft, gegründete Website ID Ransomware können Anwender herausfinden, welche Ransomware ihre Dateien verschlüsselt hat. Dazu müssen sie die Lösegeldforderung, eine verschlüsselte Datei als Beispiel und/oder die Kontaktinformationen des Angreifers einsenden. Sollte es bereits ein Entschlüsselungstool für die entsprechende Ransomware geben, werden sie außerdem direkt dorthin weiterverwiesen.
Hinweis: Unseren Schätzungen zufolge senden lediglich 25 Prozent der Opfer eine Anfrage bei Emsisoft oder ID Ransomware ein, sodass die tatsächliche Zahl der Vorfälle höchstwahrscheinlich wesentlich höher ausfällt.
Die am häufigsten gemeldeten Ransomware-Familien im dritten Quartal 2021
Die folgende Übersicht zeigt die zehn im dritten Quartal am häufigsten gemeldeten Ransomwares, die 91,30 % aller Einsendungen in diesem Zeitraum ausmachten. Die als STOP/Djvu bekannte Ransomware-Familie ist dabei am häufigsten aufgetreten und zeichnet für 76,40 % aller Einsendungen verantwortlich.
- STOP (Djvu): 76,40 %
- Zeppelin: 6,00 %
- Phobos: 2,50 %
- Makop: 1,50 %
- Magniber: 1,20 %
- Dharma (.cezar-Familie): 1,10 %
- REvil/Sodinokibi: 0,80 %
- LockBit: 0,80 %
- eCh0raix / QNAPCrypt: 0,50 %
- GlobeImposter 2.0: 0,50 %
Die am häufigsten gemeldeten Ransomware-Familien im dritten Quartal 2021 (ohne STOP)
In der folgenden Übersicht sind die zehn am häufigsten gemeldeten Ransomwares des dritten Quartals ohne STOP aufgeführt.
- Zeppelin: 25,60 %
- Phobos: 10,60 %
- Makop: 6,50 %
- Magniber: 4,90 %
- Dharma (.cezar-Familie): 4,80 %
- REvil/Sodinokibi: 3,50 %
- LockBit: 3,20 %
- eCh0raix / QNAPCrypt: 2,30 %
- GlobeImposter 2.0: 2,10 %
- 0XXX: 2,00 %
Die meisten Ransomware-Einsendungen nach Land
In der folgenden Übersicht sind die zehn Länder aufgeführt, aus denen die meisten Ransomware-Einsendungen kamen (mit STOP). Sie machten 61,30 % aller weltweiten Einsendungen in dem Quartal aus.
- Indien: 21,10 %
- Indonesien: 15,10 %
- Pakistan: 4,60 %
- Ägypten: 4,60 %
- Brasilien: 3,60 %
- Südkorea: 3,40 %
- USA: 3,30 %
- Vereinigtes Königreich: 2,30 %
- Bangladesch: 1,80 %
- Philippinen: 1,50 %
Diskussion
In diesem Quartal konnten wir bei den ID-Ransomware-Einsendungen einen erheblichen Anstieg um 31,64 % – von 137 537 im zweiten Quartal zu 181 051 im dritten Quartal – beobachten.
STOP/Djvu war im dritten Quartal mit 76,40 % aller Einsendungen – einem Anstieg um 5,2 % zum Vorquartal – weiterhin die am häufigsten gemeldete Ransomware. STOP ist so erfolgreich, da es im Gegensatz zu anderen Varianten, die es mehr auf Qualität als Quantität abgesehen haben und daher hochwertige Unternehmen angreifen, hauptsächlich auf Privatanwender abzielt.
Die im zweiten Quartal noch für ein Viertel der Einsendungen verantwortliche Variante QLocker, die auf QNAP spezialisiert ist, tauchte im dritten Quartal gar nicht in den Top 10 auf, nachdem die Gruppe im Mai ihr Geschäft eingestellt hatte. Ihren Platz nahm stattdessen Zeppelin ein, eine Ransomware-Familie, die erstmals im November 2019 beobachtet wurde und in den letzten Monaten zunehmend aktiver geworden ist. Sie war im dritten Quartal mit 6 % aller Einsendungen sogar die am zweithäufigsten gemeldete Ransomware.
Außerdem gab es mit 0XXX auch einen Neuzugang in der Statistik. Die erstmals im Juni 2021 beobachtete Ransomware hat es auf NAS-Geräte abgesehen und war immerhin für 2 % der Einsendungen im dritten Quartal (STOP ausgenommen) verantwortlich.
Aus geografischer Sicht bewies das dritte Quartal wieder einmal, dass Ransomware in der Tat ein globales Phänomen ist. Indien, das seit Beginn unserer vierteljährlichen Berichte in jedem Quartal den Spitzenplatz einnimmt, kam auf 21,1 % aller globalen Einsendungen im dritten Quartal. Das ist ein leichter Rückgang um 0,2 % zum zweiten Quartal. Deutschland und Italien, die im zweiten Quartal noch 2,5 % bzw. 1,9 % aller Einsendungen ausmachten, waren in diesem Quartal gar nicht in den Top 10 vertreten. Sie wurden durch das erstmals in unseren vierteljährlichen Berichten auftretende Vereinigte Königreich (2,3 %) und Bangladesch(1,8 %) ersetzt.
- Statistikbericht zu Ransomware (1. Quartal 2021)
- Statistikbericht zu Ransomware (2. Quartal 2021)
- Ransomware in den USA: Statusbericht und Statistiken für 2020
- Die länderspezifischen Kosten für Ransomware 2021
Übersetzung: Doreen Schäfer