Interessante Fakten zu Ransomware Teil 1/4
Veröffentlicht am: 14. Juni 2022
Autor: David Peyer
Diese vierteiligen Blogreihe behandelt interessantes, spannendes und kurioses zum Thema Ransomware. Im ersten Teil wird erklärt was Ransomware genau ist. Danach folgen Fakten zum Thema Lösegeld. Der zweite Teil der Reihe wird technischer und behandelt Angriffsvektoren, Verschlüsselungstechniken und sehr teure Security Reports. Teil drei konzentriert sich auf Ransomware Gruppierungen. Im vierten und abschliessenden Teil werden Tipps gegeben, wie man sich am besten vor Ransomware schützt und welche Schritte eingeleitet werden sollten wenn man einen Angriff bemerkt.
Was ist Ransomware?
Ransomware ist eine Software, welche ungefragt die Daten auf einem Computersystem verschlüsselt. Sie wird von Kriminellen auf verschiedenen Wegen verteilt, mit dem Ziel Geld zu erpressen. Um an den Schlüssel zu gelangen und somit wieder Zugriff auf die eigenen Daten zu erhalten, verlangen die Cyberkriminellen ein Lösegeld. Genauere Details finden Sie bei Wikipedia. Besonders spannend: Beim ersten grossen bekannten Fall wurde die Ransomware per Post auf 5 1/4 Zoll Disketten versendet.
Fakt 1: Kosten von Ransomware Attacken
Ransomware Attacken sind ein Milliarden-Business. 2019 waren es etwa 12 Milliarden US-Dollar die bezahlt wurden. Im Jahr 2021 erhöhte sich die Zahl auf 20 Milliarden US-Dollar. Dies ergibt eine Steigerung um mehr als 60%.
Das reine Lösegeld, welches bezahlt wird, sind aber nicht die einzigen Kosten die entstehen. Über den Daumen gepeilt kann man sagen, dass die tatsächlichen Kosten für eine Unternehmung sieben Mal höher ausfallen, als das bezahlte Lösegeld. Dazu gehören die finanzielle Belastung durch den Aufwand für die Reaktion auf den Vorfall, die Wiederherstellung der Systeme, Rechtskosten, Überwachungskosten und die Gesamtauswirkungen der Geschäftsunterbrechung.
Fakt 2: Die höchsten Lösegeldforderungen bei einer Ransomware Attacke
Top 3 der bekannten Lösegelder die bezahlt wurden sind:
Kaseya (2021)
Ein US-amerikanisches Unternehmen, welches Software für die Verwaltung von Netzwerken, Systemen und anderer IT-Infrastruktur entwickelt.
Gemäss einem Statement vom US Director of National Intelligence wurde für den Schlüssel 70 Mio. US-Dollar bezahlt.
MediaMarkt (2021)
Europas grösster Elektronik-Fachhändler wurde am 8. November attackiert. Nach verschiedenen Verhandlungsrunden mit den Kriminellen, wurde die geforderte Summe von 250 Mio. auf 50 Mio. US-Dollar reduziert.
CNA Financial (2021)
Eines der grössten Versicherungs-Unternehmen der USA wurde am 23. März 2021 attackiert. Die Verhandlungen mit den Erpressern zogen sich bis Ende Mai 2021. Man einigte sich auf die Zahlung von 40 Mio. US-Dollar.
Fakt 3: Wie ermitteln Ransomware Gruppen die Lösegeldforderung
Verschiedene Auswertungen zeigen, die geforderte Summe ist genau auf die finanziellen Möglichkeiten der zu erpressenden Unternehmung zugeschnitten.
Die Angreifer verschaffen sich meist schon Tage oder Wochen vor dem Ransomware-Angriff Zugang zum Netzwerk und analysieren die Daten der Unternehmung. So haben sie ein genaues Bild über die finanziellen Möglichkeiten ihres Zieles.
Folgend einige Beispiele der Conti Group, einer der bekanntesten Ransomware Gruppen, aufgeschlüsselt nach Sektor, Umsatz und geforderter Summe:
| Industrie des Opfers | Umsatz des Opfers in Mio. | Lösegeldforderung in Mio. | Lösegeld im Verhältnis zum Umsatz |
| Unbekannt | 3'500 | 25 | 0.71% |
| Einzelhandel | 562 | 5 | 0.88% |
| Immobilien | 416 | 8.3 | 1.99% |
| Elektro-Unternehmen | 274 | 7 | 2.55% |
| Anwaltskanzlei | 36 | 1.6 | 4.4% |
| Anwaltskanzlei | 20 | 1 | 5% |
| Grosshandel Baumaterialien | 19 | 0.8 | 4.2% |
Betrachtet man die Tabelle ist ersichtlich, dass das Verhältnis zwischen Umsatz und Lösegeld sinkend ist.
Fakt 4: Verhandeln von Lösegeld
Am Beispiel der Conti Group konnte aufgezeigt werden, dass es Durchschnittlich sieben Verhandlungsrunden gibt. Dabei ist wichtig zu verstehen wie die Erpresser vorgehen. Ziel ist meist nicht die maximale Forderung durchzusetzen, sondern sich auf eine Summe zu einigen, die das Opfer bereit ist zu bezahlen und mit der der Angreifer zufrieden ist. Sehr aktive Ransomware Gruppen haben gar keine Zeit um intensiv zu verhandeln, da sie mehrere hundert Fälle gleichzeitig handhaben. Sie kommen schnell mit der Lösegeldforderung dem Opfer entgegen.
Folgend eine Tabelle, welche die Initialforderung, die Anzahl Verhandlungsrunden und die bezahlte Summe aufzeigt:
| Erste Lösegeldforderung | Bezahltes Lösegeld | Anzahl Verhandlungsschritte | Lösegeld in Bitcoin |
| 900'000 | 325'000 | 15 | 8.90692000 |
| 980'000 | 300'000 | 7 | 7.87000000 |
| 400'000 | 200'000 | 9 | 5.42840261 |
| 1'700'000 | 120'000 | 8 | 2.61000000 |
| 300'000 | 150'000 | 5 | 2.46426081 |
| 200'000 | 100'000 | 7 | 2.46426081 |
| 150'000 | 100'000 | 3 | 2.65200000 |
| Total: | 1'295'000 | 7 (Durchschnitt) | 32.39584423 |
Fakt 5: Welcher Industriesektor ist am meisten betroffen
Zwischen Juli und September 2021 wurden 22% der Ransomware-Attacken auf den Banksektor getätigt. Versorgungsunternehmen waren zu 20% das Ziel und der Einzelhandel zu 16%.
Ransomware-Angriffe beschränken sich jedoch nicht nur auf diese drei Sektoren oder auf grosse Firmen. Es können alle Branchen, sowie auch kleine und mittlere Unternehmen betroffen sein.
In der kommenden Woche wird Teil zwei der Serie veröffentlicht. Dabei geht es darum, wie Ransomware-Angriffe beginnen und wie schnell diese ablaufen.
Quellen
- Fakt 1: bleepingcomputer.com.
- Fakt 2: odni.gov.
- Fakt 2: retaildetail.eu.
- Fakt 2: CNA.
- Fakt 3: checkpoint.com.
- Fakt 4: team-cymru.com.
- Fakt 5: zdnet.com.
Ein 8-stelliges Passwort mit Nummern, Gross- und Kleinbuchstaben und Sonderzeichen kann in unter einer Stunde geknackt werden.
Quelle: Hive Systems
