Bericht zeigt rückläufige Ransomware-Zahlungen

Einem von Chainanalysis, einem Anbieter einer Plattform zur Analyse von Blockchain-Transaktionen, die verschiedene Kryptowährungen nutzen, veröffentlichten Bericht zufolge gab es im Jahr 2023 zwar einen Anstieg von Ransomware-Angriffen, doch war die Zahl der Angriffe, die zu Zahlungen führten, im Vergleich zum Vorjahr um 46 % rückläufig.

Die Gründe, warum 2023 weniger Zahlungen geleistet wurden, reichen von der geringeren Bereitschaft, Erpressungen nachzugeben, über eine erhöhte Cyber-Resilienz, die durch verbesserte Data Protection ermöglicht wurde, bis hin zur Abschaltung einiger der wichtigsten Plattformen, auf die sich diese Angriffe stützten.

So hat das US-Justizministerium (DOJ) im vergangenen Jahr ein Qakbot-Botnetz abgeschaltet, das von Cyberkriminellen-Syndikaten wie Conti, Black Basta und Revil für Ransomware-Angriffe genutzt wurde. Diese Bemühungen führten auch zur Wiederbeschaffung von Millionen von Dollar in Kryptowährung, die von verschiedenen Organisationen erpresst worden waren.

Ende 2023 gab das Justizministerium außerdem die Zerschlagung von BlackCat bekannt, einem Cyberkriminellensyndikat, das für mehr als 30 % aller Ransomware-Zahlungen verantwortlich ist. Das DOJ konnte 300 Dekodierungsschlüssel an die Opfer weitergeben, was zur Rückforderung von Zahlungen in Höhe von rund 68 Mio. USD führte.

BlackCat ist jedoch wieder im Einsatz und wurde im März dieses Jahres mit einer Lösegeldzahlung von 22 Mio. USD durch die zu UnitedHealth gehörige Einheit „Change Healthcare“ in Verbindung gebracht. Nach der angeblichen Zahlung zeigte BlackCat auf seiner Darknet-Website eine Beschlagnahmungsmitteilung der Strafverfolgungsbehörden an, um zu suggerieren, dass sein Betrieb gewaltsam beendet worden war. Dies wurde als List entlarvt, die es einigen Mitgliedern ermöglichen sollte, die Zahlung in Höhe von mehreren Millionen US-Dollar einzustecken, ohne ihren Partnern den ihnen zustehenden Anteil zu geben.

In der Zwischenzeit hat die National Crime Agency (NCA) in Zusammenarbeit mit multinationalen Strafverfolgungsbehörden die Kontrolle über LockBit-Websites im Dark Web und deren Hacking-Infrastruktur übernommen. Die Operation führte auch zur Beschlagnahmung ihres Quellcodes und ihrer Kryptowährungskonten. Darüber hinaus stellte die NCA über 1.000 Dekodierungsschlüssel wieder her, um den Opfern bei der Wiederherstellung verschlüsselter Daten zu helfen.

Nach Angaben des FBI wurde LockBit mit über 2.000 Angriffen in Verbindung gebracht und erhielt von Januar 2020 bis Mai 2023 mindestens 120 Mio. USD an Lösegeldzahlungen, was etwa 15 % aller Ransomware-Zahlungen entspricht. Mithilfe von Chainalysis hat die NCA Hunderte von aktiven Wallets identifiziert, analysiert und dabei 2.200 Bitcoin – im Wert von fast 110 Mio. USD – an nicht ausgegebenen Erlösen aus der LockBit-Ransomware identifiziert, die noch gewaschen werden müssen.

Die Täter des LockBit-Angriffs haben jedoch auch ein Comeback angekündigt, sodass sich niemand im Bereich der Cybersecurity entspannt zurücklehnen sollte. Die Taktiken und Methoden von Ransomware werden sich zweifellos weiterentwickeln, insbesondere da Cyberkriminelle immer geschickter darin werden, künstliche Intelligenz (KI) zur Planung von Phishing-Angriffen einzusetzen, die schwieriger als je zuvor zu erkennen sein werden. Die einzige Möglichkeit, diese Angriffe zu vereiteln, besteht darin, ein hohes Maß an Cyber-Resilienz zu gewährleisten und dieses kontinuierlich zu pflegen. Das Herzstück jeder Cyber-Resilienzstrategie ist natürlich eine Backup- und Wiederherstellungssoftware, mit der Unternehmen in der Lage sein sollten, einwandfreie Datenkopien in höchstens ein paar Stunden zu generieren.

Ransomware wird es in der einen oder anderen Form immer geben. Die Herausforderung und Chance besteht nun darin, die Anzahl der Angriffe zu begrenzen.