Untersuchung: Neue Ransomware-Gruppen treiben Anstieg der Angriffe voran

Pressemitteilung  |  16. November 2023

Fast die Hälfte der 60 durch WithSecure beobachteten Ransomware-Gruppen sind neu auf dem Markt – und zeichnen bereits für ein Viertel der Leaks verantwortlich. Die Art der Ransomware-Angriffe hat sich ebenfalls stark verändert.

Ransomware ist seit vielen Jahren ein fortwährendes Sicherheitsproblem, hauptsächlich aufgrund der Fähigkeit von Gruppen, sich kontinuierlich neu zu erfinden. Laut einer neuen Untersuchung von WithSecure™ (ehemals bekannt als F-Secure Business) ist die Anzahl neuer Ransomware-Gruppen in den ersten drei Quartalen dieses Jahres drastisch gestiegen. Und sie sind extrem aktiv: Schon in den ersten neun Monaten des laufenden Jahres gab es mehr Leaks durch Ransomware-Angriffe als im gesamten Jahr 2022. 

Ransomware ist zu einer beträchtlichen Einnahmequelle für Cyberkriminelle auf Kosten von Menschen, Organisationen und sogar Regierungen weltweit geworden. Obwohl ihre Verbreitung seit einigen Jahren konstant geblieben ist, haben sich andere Aspekte der Bedrohung geändert.

In den letzten Jahren haben mehrere Gruppen Berühmtheit erlangt, indem sie Multi-Point-Ransomware-Angriffe durchgeführt haben. Hierbei werden mehrere Methoden eingesetzt, um Opfer dazu zu zwingen, ein Lösegeld zu zahlen, um die Kontrolle über ihre Daten zurückzugewinnen. Zahlen die Opfer nicht, werden diese gestohlenen Daten online zum Verkauf angeboten, was die Erpressungssumme weiter in die Höhe treibt.

Neue Gruppen folgen Handbüchern etablierter Betreiber

Eine kürzliche Analyse der veröffentlichten Daten deutet darauf hin, dass im Jahr 2023 viele neue Gruppen in diesem Bereich aktiv geworden sind. Von den 60 Multi-Point-Ransomware-Gruppen, deren Aktivitäten WithSecure in den ersten neun Monaten des Jahres 2023 verfolgt hat, sind 29 neu. Diese erstmals 2023 in Erscheinung getretenen Banden zeichnen bereits für fast ein Viertel der Datenlecks verantwortlich. 

Threat Intelligence Analyst Ziggy Davies erklärt, dass diese neuen Gruppen größtenteils den Handbüchern etablierter Betreiber folgen, jedoch eine entscheidende Rolle bei der Aufrechterhaltung der Ransomware-Angriffen spielen, denen Organisationen gegenüberstehen.

„Code und andere Aspekte einer bestimmten Cybercrime-Operation werden oft anderswo verwendet, da Gruppen und ihre Mitglieder häufig die gleichen Ressourcen recyceln, wenn sie ihre Zusammenarbeit ändern. Viele der neuen Gruppen, die wir in diesem Jahr gesehen haben, haben klare Verbindungen zu älteren Ransomware-Operationen. Zum Beispiel weisen Akira und mehrere andere Gruppen viele Ähnlichkeiten mit der mittlerweile aufgelösten Conti-Gruppe auf und sind wahrscheinlich ehemalige Conti-Partner“, sagt Davies.

Ransomware bleibt effektiv, aber vorhersehbar

Die Analyse ergab auch mehrere bemerkenswerte Erkenntnisse über Multi-Point-Ransomware-Angriffe im Jahr 2023, darunter:

  • In den ersten drei Quartalen des Jahres 2023 gab es einen Anstieg von 50% bei Datenlecks durch Ransomware-Gruppen im Vergleich zum gleichen Zeitraum des Vorjahres.
  • Lockbit machte den größten Anteil an den Leaks aus (21%).
  • Die fünf Gruppen mit den meisten Leaks (8Base, Alphv/BlackCat, Clop, LockBit und Play) machten über 50% des Gesamtvolumens aus.
  • Etwa 25% der in der Analyse enthaltenen Leaks stammten von Ransomware-Gruppen, die 2023 ihren Betrieb aufgenommen hatten.
  • Nur 6 der 60 Gruppen haben im Jahr 2023 (bis dato) jeden Monat Opfer veröffentlicht.

Während Cyberkriminelle scheinbar mehr Interesse an Ransomware zeigen als je zuvor, bieten diese Gruppen den Verteidigern einige Vorteile: Sie recyclen häufig die Handbücher der anderen.

„Ransomware bleibt für Cyberkriminelle eine effektive Einnahmequelle, daher halten sie sich hauptsächlich an das grundlegende Handbuch, anstatt wirklich etwas Neues oder Unerwartetes zu entwickeln. Das macht sie ziemlich vorhersehbar, was für Verteidiger gut ist, da sie wissen, worauf sie sich einlassen“, sagt Davies.

Die vollständige Untersuchung ist verfügbar unter: https://www.withsecure.com/en/expertise/blog-posts/2023-ransomware-rookies-are-a-remix-of-conti-and-other-classics

WithSecure™ media relations
Berk Kutsal
+491795474353

Über WithSecure™

WithSecure, ehemals F-Secure Business, ist der zuverlässige Partner für Cybersicherheit. IT-Dienstleister, Managed Security Services Provider und andere Unternehmen vertrauen WithSecure – wie auch große Finanzinstitute, Industrieunternehmen und führende Kommunikations- und Technologieanbieter. Mit seinem ergebnisorientierten Ansatz der Cybersicherheit hilft der finnische Sicherheitsanbieter Unternehmen dabei, die Sicherheit in Relation zu den Betriebsabläufen zu setzen und Prozesse zu sichern sowie Betriebsunterbrechungen vorzubeugen. WithSecure nennt diesen Ansatz „Outcome-based Cyber Security“. KI-gesteuerte Sicherheitsmaßnahmen sichern Endpoints und die Zusammenarbeit in der Cloud mit intelligenten Erkennungs- und Reaktionsmechanismen. Die Detection & Response-Experten von WithSecure identifizieren Geschäftsrisiken, indem sie proaktiv nach Bedrohungen suchen und bereits laufende Angriffe abwehren – dabei arbeiten sie eng mit Instituten, großen Unternehmen und innovativen Tech-Firmen zusammen. Sie haben mehr als 30 Jahre Erfahrung in der Entwicklung von Technologien, die sich an den Bedürfnissen der Unternehmen orientieren. Das Portfolio von WithSecure eröffnet durch flexible Vertriebsmodelle die Möglichkeit, gemeinsam mit Partnern zu wachsen.

Die WithSecure Corporation ist 1988 gegründet und an der NASDAQ OMX Helsinki Ltd. gelistet.