Geleakte Daten nach Ransomware-Attacke: Betroffen 986 europäische Unternehmen, wovon 143 aus Deutschland
Archivmeldung vom 24.05.2022
Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 24.05.2022 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.
Freigeschaltet durch Sanjo BabićDie zweite Ausgabe des Kompendiums "Ransomware Uncovered 2021/2022" vom Cybersicherheitsspezialisten Group-IB zeigt, die Erfolgssträhne des Ransomware-Imperiums erlitt keinen Halt. Die Lösegeldforderung betrug durchschnittlich 45 % mehr als 2020 und die Ransomware-Attacken wurden ausgefeilter, was sich an den Ausfallzeiten der Opfer zeigt, die von 18 Tagen im Jahr 2020 auf 22 Tage im Jahr 2021 anstiegen.
Durch die Verfügbarkeit von Tools für die Daten-Exfiltration, verbreitete sich die doppelte Erpressungstaktik bei Ransomware-Angriffen weiter. Laut dem Group-IB-Team für Digital Forensics und Incident Response wurden in 63% der Fälle sensible Daten herausgeschleust, um die Lösegeldzahlung zu erzwingen.
Das Ergebnis: Zwischen Q1 2021 und Q1 2022 haben Ransomware-Gangs Daten von über 3.500 Opfern auf "Data Leak Sites" (DLS) veröffentlicht. 986 die betroffenen europäischen Unternehmen. Mit 143 Unternehmen, deren Daten nach einer Ransomware-Attacke veröffentlicht wurden, belegt Deutschland Platz 6 weltweit und Platz 4 in Europa. Die meisten tangierten deutschen Organisationen gehören dem Industrie- (30 Opfer) und Transportsektor (20 Unternehmen) sowie der Immobilienbranche (13) an. Lockbit, Conti und Pysa erwiesen sich als die aggressivsten Gangs mit auf DLS hochgeladenen Daten von jeweils 670, 640 und 186 Opfern, wovon jeweils 45, 25 und 12 deutsche Unternehmen.
Die Kompromittierung externer Remote-Dienste war auch im Jahr 2021 die häufigste Methode, sich Zugang zum Zielnetzwerk zu verschaffen (beobachtet bei 47% aller von Group-IBs DFIR-Experten untersuchten Angriffe). Spear-Phishing-E-Mails, die herkömmliche Malware enthalten, stehen an zweiter Stelle (26%). Einige Gruppierungen gingen allerdings unkonventionell vor: BazarLoader wurde zum Beispiel über Vishing (Voice-Phishing) verbreitet. Die Phishing-E-Mails enthielten Informationen über "kostenpflichtige Abonnements", die angeblich per Telefon gekündigt werden konnten. Während des Anrufs wurden die Opfer auf eine gefälschte Website gelockt und dazu eingeladen, ein manipuliertes Dokument zu öffnen, das das Herunterladen und Ausführen von BazarLoader veranlasste.
Quelle: Group-IB (ots)