Untersuchung: Neue Ransomware-Gruppen treiben Anstieg der Angriffe voran

Ransomware ist seit vielen Jahren ein fortwährendes Sicherheitsproblem, hauptsächlich aufgrund der Fähigkeit von Gruppen, sich kontinuierlich neu zu erfinden. Laut einer neuen Untersuchung von WithSecure™ (ehemals bekannt als F-Secure Business) ist die Anzahl neuer Ransomware-Gruppen in den ersten drei Quartalen dieses Jahres drastisch gestiegen. Und sie sind extrem aktiv: Schon in den ersten neun Monaten des laufenden Jahres gab es mehr Leaks durch Ransomware-Angriffe als im gesamten Jahr 2022. 

Ransomware ist zu einer beträchtlichen Einnahmequelle für Cyberkriminelle auf Kosten von Menschen, Organisationen und sogar Regierungen weltweit geworden. Obwohl ihre Verbreitung seit einigen Jahren konstant geblieben ist, haben sich andere Aspekte der Bedrohung geändert.

In den letzten Jahren haben mehrere Gruppen Berühmtheit erlangt, indem sie Multi-Point-Ransomware-Angriffe durchgeführt haben. Hierbei werden mehrere Methoden eingesetzt, um Opfer dazu zu zwingen, ein Lösegeld zu zahlen, um die Kontrolle über ihre Daten zurückzugewinnen. Zahlen die Opfer nicht, werden diese gestohlenen Daten online zum Verkauf angeboten, was die Erpressungssumme weiter in die Höhe treibt.

Neue Gruppen folgen Handbüchern etablierter Betreiber

Eine kürzliche Analyse der veröffentlichten Daten deutet darauf hin, dass im Jahr 2023 viele neue Gruppen in diesem Bereich aktiv geworden sind. Von den 60 Multi-Point-Ransomware-Gruppen, deren Aktivitäten WithSecure in den ersten neun Monaten des Jahres 2023 verfolgt hat, sind 29 neu. Diese erstmals 2023 in Erscheinung getretenen Banden zeichnen bereits für fast ein Viertel der Datenlecks verantwortlich. 

Threat Intelligence Analyst Ziggy Davies erklärt, dass diese neuen Gruppen größtenteils den Handbüchern etablierter Betreiber folgen, jedoch eine entscheidende Rolle bei der Aufrechterhaltung der Ransomware-Angriffen spielen, denen Organisationen gegenüberstehen.

„Code und andere Aspekte einer bestimmten Cybercrime-Operation werden oft anderswo verwendet, da Gruppen und ihre Mitglieder häufig die gleichen Ressourcen recyceln, wenn sie ihre Zusammenarbeit ändern. Viele der neuen Gruppen, die wir in diesem Jahr gesehen haben, haben klare Verbindungen zu älteren Ransomware-Operationen. Zum Beispiel weisen Akira und mehrere andere Gruppen viele Ähnlichkeiten mit der mittlerweile aufgelösten Conti-Gruppe auf und sind wahrscheinlich ehemalige Conti-Partner“, sagt Davies.

Ransomware bleibt effektiv, aber vorhersehbar

Die Analyse ergab auch mehrere bemerkenswerte Erkenntnisse über Multi-Point-Ransomware-Angriffe im Jahr 2023, darunter:

• In den ersten drei Quartalen des Jahres 2023 gab es einen Anstieg von 50% bei Datenlecks durch Ransomware-Gruppen im Vergleich zum gleichen Zeitraum des Vorjahres.
  
• Lockbit machte den größten Anteil an den Leaks aus (21%).
• Die fünf Gruppen mit den meisten Leaks (8Base, Alphv/BlackCat, Clop, LockBit und Play) machten über 50% des Gesamtvolumens aus.
• Etwa 25% der in der Analyse enthaltenen Leaks stammten von Ransomware-Gruppen, die 2023 ihren Betrieb aufgenommen hatten.
• Nur 6 der 60 Gruppen haben im Jahr 2023 (bis dato) jeden Monat Opfer veröffentlicht.

Während Cyberkriminelle scheinbar mehr Interesse an Ransomware zeigen als je zuvor, bieten diese Gruppen den Verteidigern einige Vorteile: Sie recyclen häufig die Handbücher der anderen.

„Ransomware bleibt für Cyberkriminelle eine effektive Einnahmequelle, daher halten sie sich hauptsächlich an das grundlegende Handbuch, anstatt wirklich etwas Neues oder Unerwartetes zu entwickeln. Das macht sie ziemlich vorhersehbar, was für Verteidiger gut ist, da sie wissen, worauf sie sich einlassen“, sagt Davies.

Die vollständige Untersuchung ist verfügbar unter: https://www.withsecure.com/en/expertise/blog-posts/2023-ransomware-rookies-are-a-remix-of-conti-and-other-classics

WithSecure™ media relations
Berk Kutsal
+491795474353