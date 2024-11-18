Jede gute Nachricht ist willkommen, wenn man die Entwicklung der Cyberkriminalität im Vergleich zum Vorjahr betrachtet. In den letzten zwei Jahren haben die Threat Index Reports von IBM in diesem Bereich eine kleine Erleichterung gebracht, indem sie einen allmählichen Rückgang der Häufigkeit von Ransomware-Angriffen aufzeigten – sie machen jetzt nur noch 17 % aller Cybersicherheitsvorfälle aus, verglichen mit 21 % im Jahr 2021.
Leider ist es noch zu früh, um zu wissen, ob sich diese Entwicklung fortsetzen wird. Ein kürzlich veröffentlichter Bericht von Searchlight Cyber zeigt, dass die Zahl der aktiven Ransomware-Gruppen in der ersten Hälfte des Jahres 2024 um 56 % gestiegen ist. Dies liefert überzeugende Beweise dafür, dass der Kampf gegen Ransomware noch lange nicht vorbei ist.
Searchlight Cyber ist ein Dark-Web-Intelligence-Unternehmen, das Überwachungstools und -plattformen bereitstellt, die von Strafverfolgungsbehörden, Unternehmen und MSSPs genutzt werden, um anhaltende Cyberbedrohungen zu identifizieren, zu verfolgen und zu verhindern.
Das Unternehmen veröffentlichte vor kurzem seinen Halbjahresbericht mit dem Titel „Ransomware in H1 2024: Trends from the Dark Web“, der den aktuellen Stand der Ransomware etwas genauer beleuchtet und sich speziell auf die Aktivitäten der produktivsten Ransomware-Gruppen konzentrierte.
In diesem Bericht zeigen von Searchlight Cyber erhobene Statistiken, dass derzeit 73 aktive Ransomware-Gruppen Mitte 2024 im Dark Web verfolgt werden, verglichen mit 46 Gruppen im Vorjahr – was einem Anstieg von 56 % entspricht.
Weitere wichtige Erkenntnisse des Berichts:
Luke Donovan, Leiter der Threat-Intelligence bei Searchlight Cyber, wurde kürzlich interviewt, um eine zusätzliche Perspektive zu den Ergebnissen dieses Berichts zu gewinnen. Donovan kommentiert die Metrik-Berichterstattung von Searchlight Cyber und erklärt:
„Unsere Zahlen zu Ransomware-Opfern werden größtenteils durch die Unternehmen bestimmt, die Ransomware-Gruppen auf ihren Dark Web-Seiten auflisten… Es gibt jedoch einige Einschränkungen bei diesen Zahlen, da Ransomware-Gruppen möglicherweise viele andere Unternehmen angegriffen haben, sich aber entschieden haben, das Opfer nicht öffentlich zu nennen.
„Andererseits besteht immer die Möglichkeit, dass Ransomware-Gruppen Unternehmen auflisten, die sie gar nicht angegriffen haben, um ihren Ruf zu verbessern. Diese Zahlen geben jedoch im Großen und Ganzen einen guten Überblick über die aktivsten Ransomware-Gruppen im Dark Web.“
RaaS-Modelle sind nun schon seit mehreren Jahren im Einsatz. Da jedoch immer mehr Ransomware-Gruppen in Erscheinung treten und RaaS-Lösungen leichter verfügbar werden, ist zu erwarten, dass die damit verbundenen Gefahren nur noch zunehmen werden.
Auf die Frage, warum das RaaS-Modell in den letzten Jahren so erfolgreich geworden ist, antwortete Donovan: „Der Erfolg des RaaS-Modells liegt wirklich in seiner Fähigkeit zu skalieren. Wenn der Betreiber der Ransomware auch die Person ist, die die Angriffe durchführt, gibt es eine natürliche Grenze dafür, wie viele Opfer er zu einem bestimmten Zeitpunkt listen kann. Die Auslagerung des Angriffs an eine Reihe von Partnern – von denen einige der größten Banden Dutzende haben – ermöglicht es Ransomware-Gruppen, die Anzahl der Unternehmen, die sie erpressen können, massiv zu erhöhen."
Auf den ersten Blick mag es so scheinen, als ob einige RaaS-Betreiber einen gewissen Schutz vor rechtlichen Konsequenzen anstreben, indem sie die Verantwortung auf Partnerunternehmen abwälzen, die für die Durchführung der Angriffe verantwortlich sind. Viele Länder haben jedoch Gesetze, die sowohl RaaS-Betreiber als auch deren Partner gleichermaßen für die Organisation und Durchführung von Cyberangriffen verantwortlich machen.
„Bei der Beliebtheit des RaaS-Modells geht es mehr um die Rentabilität als um die Verlagerung der rechtlichen Verantwortlichkeit. Wenn überhaupt, erhöht der Betrieb eines RaaS-Unternehmens das Risiko für die Ersteller der Ransomware, da diese Gruppen in der Regel mehr Opfer haben, was sie zu einem größeren Ziel für die Strafverfolgungsbehörden macht“, erklärt Donovan.
In Anbetracht der Folgen, die die Bereitstellung von RaaS-Toolkits für ungeschulte oder undisziplinierte Mitglieder mit sich bringt, ist die fortlaufende Nutzung dieses Modells überraschend, da es den Gruppen selbst unerwünschte Aufmerksamkeit verschaffen kann. Dies zeigte sich in der jüngsten Unterbrechung der LockBit-Aktivitäten durch die National Crime Agency (NCA) im Februar 2024.
Dennoch haben viele Ransomware-Gruppen bereits bewiesen, dass sie bereit sind, das Risiko finanzieller Gewinne aus der Ausweitung krimineller Aktivitäten in großem Umfang einzugehen.
Wie kürzlich erwähnt, gab es bereits frühere Berichte, wonach die Zahl der Ransomware-Opfer in den letzten Jahren zurückgegangen ist. Sollten Unternehmen sich also Sorgen über den Anstieg von Ransomware-Gruppen machen? Ja und nein.
Die jüngsten Zerschlagungen großer RaaS-Banden wie LockBit und BlackCat haben definitiv zu dem jüngsten Rückgang der Ransomware-Angriffe beigetragen. Ein weiterer potenzieller Faktor kann dem allgemeinen Mangel an Fachkräften in Cyberbereichen zugeschrieben werden, der sowohl Cybersicherheit als auch Cyberkriminalitätsgruppen betrifft. Dies bedeutet jedoch nicht, dass kein Wiederaufleben von Ransomware-Angriffen bevorsteht.
„Was wir derzeit beobachten, ist ein stärker fragmentiertes Ransomware-Ökosystem… Wenn große RaaS-Gruppen zerschlagen werden, entstehen normalerweise eine Reihe kleinerer Nachahmergruppen“, erklärt Donovan.
Wie der Bericht von Searchlight Cyber unterstreicht, setzen viele neue Ransomware-Gruppen hochentwickelte Angriffsmethoden ein und sind zunehmend motiviert, sich einen Löwenanteil am RaaS-Markt zu teilen. Dies ist eine gefährliche Kombination, weshalb Unternehmen wachsam bleiben und ihre Strategien kontinuierlich überprüfen sollten, um ihr Risiko eines Ransomware-Angriffs zu minimieren.