Ransomware-Gewinne sinken, da Opfer sich einmischen und sich weigern zu zahlen

Ein weiteres Zeichen dafür, dass sich das Blatt möglicherweise endlich gegen Ransomware-Akteure wendet, sind die Lösegeldzahlungen im Jahr 2022 erheblich zurückgegangen, da sich mehr Opfer weigerten, ihre Angreifer zu bezahlen – aus verschiedenen Gründen.

Wenn sich der Trend fortsetzt, erwarten Analysten, dass Ransomware-Akteure anfangen werden, größere Lösegelder von größeren Opfern zu fordern, um zu versuchen, sinkende Einnahmen auszugleichen, während sie gleichzeitig zunehmend kleinere Ziele angreifen, die eher zahlen (aber möglicherweise geringere Auszahlungen darstellen).

Eine Kombination von Sicherheitsfaktoren

„Unsere Ergebnisse deuten darauf hin, dass eine Kombination aus Faktoren und Best Practices – wie Sicherheitsvorsorge, Sanktionen, strengere Versicherungspolicen und die kontinuierliche Arbeit von Forschern – bei der Eindämmung von Zahlungen wirksam sind“, sagt Jackie Koven, Leiterin von Cyber-Bedrohungsinformationen bei Kettenanalyse.

Chainanalysis sagte, seine Forschung habe Ransomware-Angreifer gezeigt erpresste im Jahr 456.8 rund 2022 Millionen US-Dollar von den Opfern, fast 40 % weniger als die 765.6 Millionen US-Dollar, die sie im Jahr zuvor von den Opfern erpresst hatten. Die tatsächliche Zahl dürfte viel höher sein, wenn man Faktoren wie die unzureichende Berichterstattung der Opfer und die unvollständige Sichtbarkeit von Ransomware-Adressen berücksichtigt, räumte Chainanalysis ein. Trotzdem besteht kaum ein Zweifel daran, dass die Ransomware-Zahlungen im vergangenen Jahr zurückgegangen sind, da die Opfer zunehmend nicht bereit sind, ihre Angreifer zu bezahlen, so das Unternehmen.

„Unternehmensorganisationen, die in Cybersicherheitsabwehr und Ransomware-Vorbereitung investieren, machen einen Unterschied in der Ransomware-Landschaft“, sagt Koven. „Je mehr Unternehmen darauf vorbereitet sind, desto weniger müssen Lösegeld zahlen, was letztlich Ransomware-Cyberkriminelle abschreckt.“

Andere Forscher stimmen zu. „Die Unternehmen, die am ehesten dazu neigen, nicht zu zahlen, sind diejenigen, die gut auf einen Ransomware-Angriff vorbereitet sind“, sagt Scott Scher, Senior Cyber-Intelligence-Analyst bei Intel471, gegenüber Dark Reading. „Organisationen, die tendenziell über bessere Datensicherungs- und Wiederherstellungsfunktionen verfügen, sind definitiv besser vorbereitet, wenn es um die Widerstandsfähigkeit gegenüber einem Ransomware-Vorfall geht, und dies verringert höchstwahrscheinlich ihre Notwendigkeit, Lösegeld zu zahlen.“

Ein weiterer Faktor ist laut Chainanalysis, dass die Zahlung eines Lösegelds für viele Organisationen rechtlich riskanter geworden ist. In den letzten Jahren hat die US-Regierung Sanktionen gegen viele Ransomware-Unternehmen verhängt, die von anderen Ländern aus operieren. 

Im Jahr 2020 stellte beispielsweise das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums klar, dass Organisationen – oder diejenigen, die in ihrem Namen arbeiten – riskieren, gegen US-Regeln zu verstoßen, wenn sie Lösegeldzahlungen leisten an Unternehmen auf der Sanktionsliste. Das Ergebnis ist, dass Organisationen zunehmend misstrauisch geworden sind, ein Lösegeld zu zahlen, „wenn es auch nur einen Hinweis auf eine Verbindung zu einer sanktionierten Organisation gibt“, sagte Chainanalysis.

„Aufgrund der Herausforderungen, die Bedrohungsakteure bei der Erpressung größerer Unternehmen hatten, ist es möglich, dass Ransomware-Gruppen im Austausch für geringere Lösegeldforderungen eher auf kleinere, einfachere Ziele setzen, denen es an robusten Cybersicherheitsressourcen mangelt“, sagt Koven.

Sinkende Lösegeldzahlungen: Ein anhaltender Trend

Coveware hat diese Woche auch einen Bericht darüber veröffentlicht verdeutlichten den gleichen Abwärtstrend unter denen, die Lösegeldzahlungen leisten. Das Unternehmen sagte, seine Daten zeigten, dass nur 41 % der Ransomware-Opfer im Jahr 2022 ein Lösegeld bezahlten, verglichen mit 50 % im Jahr 2021, 70 % im Jahr 2020 und 76 % im Jahr 2019. Wie Chainanalysis führte auch Coveware einen Grund für den Rückgang auf Besserung zurück Bereitschaft von Organisationen, mit Ransomware-Angriffen fertig zu werden. Insbesondere hochkarätige Angriffe wie der auf Colonial Pipeline waren sehr effektiv, um neue Unternehmensinvestitionen in neue Sicherheits- und Geschäftskontinuitätsfunktionen zu katalysieren.

Dass Angriffe weniger lukrativ werden, ist ein weiterer Faktor in der Mischung, sagte Coveware. Bemühungen der Strafverfolgung machen Ransomware-Angriffe weiterhin teurer. Und mit weniger Opfer zahlen, erzielen Banden insgesamt weniger Gewinn, sodass die durchschnittliche Auszahlung pro Angriff geringer ist. Das Endergebnis ist, dass eine kleinere Anzahl von Cyberkriminellen in der Lage ist, ihren Lebensunterhalt mit Ransomware zu verdienen, so Coverware.

Bill Siegel, CEO und Mitbegründer von Coveware, sagt, dass Versicherungsunternehmen in den letzten Jahren die proaktive Unternehmenssicherheit und die Bereitschaft zur Reaktion auf Vorfälle positiv beeinflusst haben. Nachdem Cyber-Versicherungsunternehmen in den Jahren 2019 und 2020 erhebliche Verluste erlitten haben, haben viele ihre Zeichnungs- und Verlängerungsbedingungen verschärft und verlangen nun von den versicherten Unternehmen Mindeststandards wie MFA, Backups und Schulungen zur Reaktion auf Vorfälle. 

Gleichzeitig glaubt er, dass Versicherungsunternehmen einen vernachlässigbaren Einfluss auf Unternehmensentscheidungen darüber hatten, ob sie zahlen oder nicht. „Es ist bedauerlich, aber das weit verbreitete Missverständnis ist, dass Versicherungsunternehmen diese Entscheidung irgendwie treffen. Betroffene Unternehmen treffen die Entscheidung“, sagt er, und reichen nach dem Vorfall eine Klage ein.

„Nein“ sagen zu exorbitanten Ransomware-Anforderungen

Allan Liska, Geheimdienstanalyst bei Recorded Future, weist auf exorbitante Lösegeldforderungen in den letzten zwei Jahren hin, die die wachsende Zurückhaltung der Opfer bei der Zahlung angetrieben haben. Für viele Organisationen zeigt eine Kosten-Nutzen-Analyse oft, dass Nichtbezahlen die bessere Option ist, sagt er. 

„Als die Lösegeldforderungen [im] fünf- oder niedrigen sechsstelligen Bereich lagen, waren einige Organisationen möglicherweise eher bereit, zu zahlen, selbst wenn ihnen die Idee nicht gefiel“, sagt er. „Aber eine sieben- oder achtstellige Lösegeldforderung ändert diese Analyse, und es ist oft billiger, sich um die Wiederherstellungskosten und etwaige Klagen zu kümmern, die sich aus dem Angriff ergeben können“, sagt er.

Die Folgen einer Nichtzahlung können unterschiedlich sein. Wenn Angreifer keine Bezahlung erhalten, neigen sie meistens dazu, Daten, die sie möglicherweise während des Angriffs exfiltriert haben, durchsickern oder verkaufen zu lassen. Opferorganisationen müssen sich auch mit potenziell längeren Ausfallzeiten aufgrund von Wiederherstellungsbemühungen, potenziellen Ausgaben für den Kauf neuer Systeme und anderen Kosten auseinandersetzen, sagt Scher von Intel471.

Für Organisationen, die an vorderster Front der Ransomware-Geißel stehen, ist die Nachricht über den gemeldeten Rückgang der Lösegeldzahlungen wahrscheinlich kein Trost. Erst diese Woche hat Yum Brands, die Muttergesellschaft von Taco Bell, KFC und Pizza Hut, musste fast 300 Restaurants schließen in Großbritannien für einen Tag nach einem Ransomware-Angriff. Bei einem anderen Vorfall handelte es sich um einen Ransomware-Angriff auf das norwegische Softwareunternehmen für das Flottenmanagement DNV rund 1,000 Schiffe betroffen gehören rund 70 Betreibern.

Sinkende Einnahmen treiben Gangs in neue Richtungen

Solche Angriffe wurden bis 2022 unvermindert fortgesetzt und die meisten erwarten auch im Jahr 2023 kaum eine Pause vom Angriffsvolumen. Die Untersuchungen von Chainanalysis zeigten beispielsweise, dass trotz sinkender Ransomware-Einnahmen die Zahl der einzigartigen Ransomware-Stämme, die Bedrohungsbetreiber im vergangenen Jahr eingesetzt haben, allein in der ersten Hälfte des Jahres 10,000 auf über 2022 gestiegen ist.

In vielen Fällen setzten einzelne Gruppen mehrere Stämme gleichzeitig ein, um ihre Chancen zu verbessern, Einnahmen aus diesen Angriffen zu erzielen. Ransomware-Betreiber wechselten auch schneller als je zuvor durch verschiedene Stämme – der durchschnittliche neue Ransomware-Stamm war nur 70 Tage lang aktiv – wahrscheinlich in dem Bemühen, ihre Aktivitäten zu verschleiern.

Es gibt Anzeichen dafür, dass sinkende Ransomware-Einnahmen die Ransomware-Betreiber unter Druck setzen.

Coveware stellte beispielsweise fest, dass die durchschnittlichen Lösegeldzahlungen im letzten Quartal 2022 gegenüber dem Vorquartal um 58 % auf 408,644 $ gestiegen sind, während die mittlere Zahlung im gleichen Zeitraum um 342 % auf 185.972 $ gestiegen ist. Das Unternehmen führte den Anstieg auf Versuche von Cyberangreifern zurück, breitere Umsatzrückgänge im Laufe des Jahres auszugleichen. 

„Da die erwartete Rentabilität eines bestimmten Ransomware-Angriffs für Cyberkriminelle abnimmt, haben sie versucht, dies durch Anpassung ihrer eigenen Taktik auszugleichen“, sagte Coveware. „Bedrohungsakteure rücken auf dem Markt leicht nach oben, um zu versuchen, größere Anfangsforderungen zu rechtfertigen, in der Hoffnung, dass sie zu hohen Lösegeldzahlungen führen, selbst wenn ihre eigene Erfolgsquote sinkt.“

Ein weiteres Zeichen ist, dass viele Ransomware-Betreiber begannen, Opfer erneut zu erpressen, nachdem sie ihnen beim ersten Mal Geld entzogen hatten, sagte Coveware. Erpressung war traditionell eine Taktik, die den Opfern kleiner Unternehmen vorbehalten war. Aber im Jahr 2022 begannen auch Gruppen, die traditionell auf mittlere bis große Unternehmen abzielten, diese Taktik anzuwenden, wahrscheinlich aufgrund des finanziellen Drucks, sagte Coveware.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
• Quelle: https://www.darkreading.com/attacks-breaches/ransomware-profits-decline-victims-refuse-pay