Ransomware
Drei Ransomware-Gruppen beherrschen das 1. Halbjahr
Wir haben die drei führenden Ransomware-Gruppen des ersten Halbjahrs 2023 untersucht: LockBit, Clop und BlackCat. Wer konnte die meisten erfolgreichen Angriffe vorweisen und welche Branchen und Regionen litten am meisten?
Save to Folio
In der ersten Jahreshälfte erkannten und blockierten wir insgesamt 6.697.853 Ransomware-Bedrohungen auf E-Mail-, URL- und Dateiebene, basierend auf Daten aus unserer Telemetrie. Dies bedeutet einen leichten Rückgang von 3,64 % im Vergleich zum letzten Halbjahr 2022 mit insgesamt 6.950.935 erkannten Ransomware-Bedrohungen.
Unser Bericht zum 1. Halbjahr 2023 enthält Daten von Ransomware-as-a-Service (RaaS) und Erpresser-Leak Sites, die von Open-Source-Intelligence (OSINT)-Forschung von Trend Micro und dem Smart Protection Network™ im Zeitraum vom 1. Januar bis 30. Juni 2023 gesammelt wurden. Er berücksichtigt keine Legacy-Ransomware-Familien oder solche, die in der aktuellen Bedrohungslandschaft nicht sichtbar aktiv sind. Erkennungen von Legacy-Ransomware-Familien sind auch von den Erkennungszahlen in diesem Bericht ausgeschlossen.
Nach der Analyse der Daten von Leak Sites der Ransomware-Gruppen bzw. von Websites, wo Angriffe auf erfolgreich kompromittierte Organisationen bekannt gegeben wurden, lässt sich ein Anstieg von 11,3 % bei der Zahl der RaaS- und RaaS-bezogenen Gruppen feststellen.
Auch die Zahl der Opferorganisationen erhöhte sich im ersten Halbjahr 2023 auf 2.001, also um 45,27 %, gegenüber dem letzten Halbjahr 2022.
Seit 2022 weisen unsere Telemetriedaten immer LockBit und BlackCat als die beiden am häufigsten erkannten RaaS-Providers aus. Der dritte im Bunde ist Clop.
Der Grad der Verbreitung von LockBit spiegelt sich in einem gemeinsamen Cybersecurity-Advisory der Cybersecurity and Infrastructure Security Agency (CISA), des FBIs, des Multi-State Information Sharing and Analysis Center (MS-ISAC) und anderer internationaler Sicherheitsbehörden wider. Laut dem Bericht vom Juni 2023 wurde einer von sechs Ransomware-Angriffen 2022 auf US-Regierungsstellen auf LockBit-Akteure zurückgeführt.
LockBit war für 26,09 % aller Angriffe verantwortlich. 10,59 % bzw. 10,09 % der Angriffe entfielen auf BlackCat bzw. Clop. Aus den Ergebnissen des Monitorings von Angriffsversuchen mit Ransomware auf unsere Kunden in den ersten vier Monaten des Jahres lässt sich eine Kontinuität der LockBit-Aktivitäten im Vergleich zum vierten Quartal 2022 herauslesen – typischerweise 200 pro Monat. Im Mai und Juni nahmen die Angriffe zu.
Auch BlackCat schlug im Jahr 2022 hohe Wellen, als es mehrere hochrangige Opfer gab, darunter deutsche Ölfirmen und eine europäische Regierung. Heute gehören alle drei Ransomware-Familien, einschließlich Clop, weiterhin zu den produktivsten und am weitesten entwickelten Ransomware-Familien überhaupt.
BlackCat startete stark im Januar und Februar 2023 und fuhr dann die Attacken drastisch zurück. Clop-Ransomware-Angriffe auf unsere Kunden fanden wir keine.
Einzelheiten zu größeren Angriffen durch LockBit beinhaltet der Originalbeitrag. BlackCat-Akteure sind für ihre dreifachen Erpressungstechniken bekannt. Auch hier beinhaltet der Originalbeitrag Einzelheiten dazu. Clop wiederum nutzte bekannte Schwachstellen (etwa MOVEit) aus und behauptet, hunderte Opfer zu haben. Microsofts Threat Intelligence-Forscher brachten die Clop und LockBit Gangs mit der Ausnutzung der PaperCut-Schwachstelle und dem Datendiebstahl im April in Verbindung. Lesen Sie zu Einzelheiten zu weiteren Diebstählen im Originalbeitrag.
Kleine und große Unternehmen am häufigsten angegriffen
Laut unserer Analyse der Leak Site von LockBit waren mehr als die Hälfte aller Opfer der Kriminellen kleine Unternehmen (mit höchstens 200 Mitarbeitern), nämlich 57,3 %, was in etwa den Zahlen des vierten Quartals 2022 entspricht. Auf mittelgroße Unternehmen (mit 201 bis 1.000 Mitarbeitern) und große Unternehmen (mit mehr als 1.000 Mitarbeitern) entfielen 19,7 % bzw. 17,4 %.
In der ersten Hälfte 2023 waren 44,8 % der Opfer von BlackCat kleine Unternehmen. Es folgen mittelgroße Unternehmen mit 29,2 % und 23,6 % der Gesamtopfer. Die meisten erfolgreichen Clop-Angriffe richteten sich gegen große Unternehmen, die genau 50 % der gesamten Angriffe im ersten Halbjahr 2023 ausmachten. Darüber hinaus entfielen 27,2 % und 21,3 % der Angriffe auf kleine und mittelständische Unternehmen.
Banken, Einzelhandel und Transport im Visier
Banken, der Einzelhandel und das Transportwesen waren die am häufigsten angegriffenen Branchen (nach Anzahl der entdeckten Ransomware-Dateien). Der Bankensektor löste damit die im vierten Quartal 2022 am stärksten betroffene Branche der Konsumgüter ab.
Weitere Einzelheiten dazu umfasst der Originalbeitrag.
Die Analyse der Leak Site-Daten der Gruppen ergeben ein noch differenziertes Bild. LockBit konzentrierte sich vor allem auf IT- und Finanzunternehmen sowie Dienstleister, BlackCat nahm Finanzfirmen und solche aus dem Gesundheitswesen ins Visier und Clop vor allem das Finanzwesen. (Einzelheiten liefert der Originalbeitrag).
US-Firmen am stärksten betroffen
US-Organisationen machten fast die Hälfte aller Ransomware-Opfer aus. Dies bedeutet einen Anstieg von 69.9% im Vergleich zur zweiten Jahreshälfte 2022. Die meisten betroffenen Länder gehören zu Nordamerika und Europa, Ausnahmen bildeten Australien, Indien und Brasilien.
Nordamerika war die von LockBit bevorzugte Region mit 40.9% und 40.7% der gesamten Opfer der Gruppe. Auf Europa entfielen 26.8% und 25.2% der LockBit-Opfer. Auch 56.1% und 57.5% der BlackCat-Opfer liegen in Nordamerika, wobei Europa und der asiatisch-pazifische Raum folgen. Die Clop-Akteure zeigten ähnliche Vorlieben.
Schutz vor Ransomware-Angriffen
Ransomware-Angriffe werden nicht nur komplexer und sind mit höheren Lösegeldforderungen verbunden: Auch die Wiederherstellungszeiten werden voraussichtlich länger sein. Tatsächlich betrug die durchschnittliche Wiederherstellungszeit für den Einzelhandel, die Gastronomie und das Hotel- und Gaststättengewerbe im vergangenen Jahr 14,9 Tage - ein Anstieg von 91 % gegenüber 7,8 Tagen 2021. Um Ransomware-Angriffe wirksam abzuwehren, sollten Unternehmen Sicherheitsverfahren anwenden:
- Setzen Sie auf Mehrfaktor-Authentifizierung (MFA). Unternehmen sollten Richtlinien einführen, die vorschreiben, dass Mitarbeiter, die auf Unternehmensdaten zugreifen oder diese auf ihren Geräten speichern, MFA als zusätzliche Schutzebene aktivieren müssen, um unbefugten Zugriff auf sensible Informationen zu verhindern.
- Sichern Sie Ihre Daten. Unternehmen sollten die „3-2-1-Regel“ befolgen, um ihre wichtigen Dateien zu sichern: Erstellen Sie mindestens drei Sicherungskopien in zwei verschiedenen Dateiformaten, wobei eine dieser Kopien außerhalb des Unternehmens gelagert werden sollte.
- Halten Sie Ihre Systeme auf dem neuesten Stand. Unternehmen sollten alle ihre Anwendungen, Betriebssysteme und weitere Software aktualisieren, sobald die Hersteller und Entwickler Patches veröffentlichen. Dadurch werden für Ransomware-Akteure die Gelegenheiten, Schwachstellen auszunutzen und in das System einzudringen, minimiert.
- Prüfen Sie Mails, bevor Sie diese öffnen. Böswillige Akteure greifen auf bewährte Methoden zurück, um Systeme zu kompromittieren, z. B. über eingebettete Links oder ausführbare Downloads in den Mails, die an Mitarbeiter gesendet werden, mit dem Ziel, Schadprogramme zu installieren. Unternehmen sollten daher ihre Mitarbeiter schulen, damit sie sich solcher Methoden bewusst sind und nicht darauf hereinfallen.
- Befolgen Sie etablierte Sicherheits-Frameworks. Unternehmen können Cybersecurity-Strategien aufsetzen, die auf Sicherheits-Frameworks des Center of Internet Security (CIS) und des National Institute of Standards and Technology (NIST) beruhen. Die Maßnahmen und Best Practices aus diesen Rahmenwerken können als Anleitung für das Entwickeln eigener Pläne zur Gefahrenabwehr dienen.
Auch mehrschichtige Erkennungs- und Reaktionslösungen stärken die Cybersicherheitsinfrastruktur, wenn sie die Ransomware-Bewegungen vorhersehen und darauf reagieren können, bevor die Kriminellen einen Angriff starten. Trend Vision One™ beinhaltet erweiterte Detection-and-Response (XDR)-Fähigkeiten, die automatisiert Daten über Schichten hinweg sammeln und korrelieren, um Angriffsversuche zu unterbinden.
Sie können auch das ergänzende Datenblatt zu diesem Bericht herunterladen. Es umfasst Daten von RaaS- und Erpresser-Gruppen, OSINT-Forschung von Trend und dem Trend Micro Smart Protection Network.
Mit Beiträgen von Shingo Matsugaya