Mehr Cyberangriffe bei weniger Beute

shutterstock.com – thanun vongsuravanich

Die Ransomware-Landschaft hat sich im Jahr 2024 erheblich verändert: Angreifer haben ihre Taktik angepasst, indem sie neue Ransomware-Stämme aus durchgesickertem oder gekauftem Code entwickelten.

Zusätzlich sind Ransomware-Operationen nicht zuletzt dank Künstlicher Intelligenz (KI) schneller geworden. Die Akteure reichen hierbei von staatlichen Gruppen (Iran, Nordkorea) über Ransomware-as-a-Service (LockBit, Akira/Fog, INC/Lynx) bis hin zu Einzelkriminellen.

Mehr Angriffe aber weniger Erlöse

Das Gesamtvolumen der Lösegeldzahlungen ging jedoch im Jahresvergleich um etwa 35 Prozent zurück. Dabei war 2024 mit 5.263 erfolgreichen Angriffen das Jahr mit dem höchsten Volumen an geglückten Erpressungen. Sie beliefen sich auf insgesamt 813,55 Millionen Dollar, gegenüber 1,25 Milliarden Dollar im Jahr 2023. Trotz einzelner hoher Lösegeldzahlungen, wie 75 Millionen Dollar an Dark Angels, war der Rückgang stärker als in den letzten drei Jahren und Teil eines allgemeinen Trends sinkender Kryptokriminalität.

Diese Zahlen wurden von der Blockchain-Intelligence-Firma Chainalysis veröffentlicht und unterstreichen einen deutlichen Rückgang der Lösegelder in einem ansonsten rekordverdächtigen Jahr für Ransomware.

Dieser Rückgang lässt sich zurückführen auf

• verstärkte Strafverfolgungsmaßnahmen,
• eine verbesserte internationale Zusammenarbeit und
• eine zunehmende Zahlungsverweigerung der Opfer.

Darüber hinaus zahlten nur etwa 30 Prozent der Opfer, die mit Ransomware-Akteuren verhandelten, schließlich Lösegeld an diese.

Internationale Zusammenarbeit zeigt Wirkung

Zugleich gehen Behörden verstärkt und immer erfolgreicher gehen Banden vor:

Die Ransomware-Bande LockBit, die Anfang 2024 von der National Crime Agency (NCA) des Vereinigten Königreichs und dem U.S. Federal Bureau of Investigation (FBI) der USA gestört wurde, verzeichnete im zweiten Halbjahr einen Rückgang der Zahlungen um etwa 79 Prozent. Das unterstreicht, so die Experten, die Wirksamkeit der internationalen Zusammenarbeit der Strafverfolgungsbehörden.

Mit ALPHV/BlackCat wurde im Januar 2024 eine der umsatzstärksten Banden des Jahres 2023 aus dem Verkehr gezogen und hinterließ eine Lücke in zweiten Halbjahr.

Nach dem Schlag gegen LockBit und dem BlackCat-Aus stieg RansomHub auf und nahm viele verdrängte Betreiber auf. Dies führte zu einer Marktzersplitterung, da kleinere Gruppen die entstandene Lücke nicht vollständig füllen konnten. Trotz RansomHubs Erfolg dominieren kleinere Banden das Feld mit Lösegeldforderungen im niedrigen bis mittleren Bereich, vereinzelt aber auch mit Zahlungen von sieben bis acht Millionen Euro.

Der Zahlungswille sinkt immer weiter

Unternehmen zahlen jedoch selbst geringe Lösegelder seltener. Sie vertrauen den Versprechen der Erpresser nicht und rechtlicher Druck erschwert Verhandlungen.

Stattdessen setzen Betriebe auf Backups zur Wiederherstellung. 2024 stieg die Differenz zwischen gefordertem und gezahltem Lösegeld auf 53 Prozent, da sich viele Opfer gegen eine Zahlung entschieden.

Nur 30 Prozent der Verhandlungen enden in einer Zahlung, abhängig vom Wert der Daten. Die Beträge lagen meist zwischen 150.000 und 250.000 US-Dollar, unabhängig von den ursprünglichen Lösegeldforderungen. Bei einigen, wie zum Beispiel Phobos, liegen die durchschnittlichen Zahlungen bei weniger als 500 bis 1.000 Dollar.

Kriminelle werden zunehmend verzweifelter

Gleichzeitig sind immer weniger Unternehmen bereit mit ihren Erpressern zu verhandeln:

Cyberkriminelle übertreiben es laut dem Bericht häufig mit ihren Opferzahlen und listen manchmal Tochterunternehmen statt der gesamten Organisation oder veröffentlichen Daten von angeblich kompromittierten Webservern. Ziel ist es hierbei nachzuweisen, dass die Bande immer noch relevant ist und eine Gefahr darstellt, die es zu beschwichtigen gilt.2024 wurden über 100 Organisationen auf mehreren Leak-Sites aufgeführt, darunter die „MEOW“-Leak-Site.

Zudem manipulierten Bedrohungsakteure wie LockBit ihre Opferlisten. Nach der Strafverfolgungsaktion „Operation Cronos“ veröffentlichte die Bande bis zu 68 Prozent alte oder erfundene Opfer erneut, um relevant zu bleiben. Selbst wenn ihre Opfer den Bedingungen der Kriminellen zustimmen, kommt es immer häufiger vor, dass die entsprechenden Daten dennoch veröffentlicht werden.

Beides deute laut den Experten darauf hin, dass die Angreifer Schwierigkeiten haben, Zahlungen an anderer Stelle zu erpressen. Sie wollen aktiver erscheinen, als sie sind, um die wegbrechenden Einnahmequellen zu kompensieren.

Höhere Widerstandsfähigkeit der Opfer

Diese Entwicklung lässt sich laut Bericht durch mehrere Schlüsselfaktoren erklären. In erster Linie sind die Opfer widerstandsfähiger geworden.

Das Bewusstsein für die Risiken von Ransomware-Angriffen ist laut den Experten in allen Branchen gestiegen. Unternehmen investieren mehr in die Cybersicherheit, führen bessere Verfahren ein und implementieren stärkere Schutzmaßnahmen.

Komplexität der Geldwäsche

Selbst wenn die Angriffe gelingen, haben die Kriminellen es mittlerweile schwerer. Die Geldwäsche für Ransomware-Akteure ist im Jahr 2024 komplizierter geworden.

Grund hierfür ist das härtere Vorgehen von Strafverfolgungsbehörden gegen Krypto-Mixer, Werkzeuge, die darauf abzielen, die Transaktionsprivatsphäre durch das Mischen von Bitcoin-Transaktionen zu erhöhen, und sogenannten No-KYC-Börsen, bei denen sich Nutzer nicht verifizieren müssen. Infolge dessen sank die Nutzung von Mixern, während Cross-Chain-Bridges an Bedeutung gewannen. Hierbei handelt es sich um Mechanismen, welche die Bewegung von Vermögenswerten und Informationen zwischen verschiedenen Blockchain-Netzwerken ermöglichen.

Centralized exchanges (CEXs), Plattformen, auf denen Nutzer Kryptowährungen kaufen, verkaufen und handeln können, blieben mit 39 Prozent der wichtigste Kanal für Auszahlungen. Aus Angst vor Strafverfolgung handeln viele Kriminelle allerdings nicht mit ihrer Beute oder lassen sie sich auszahlen, sondern lassen sie in privaten Wallets unangetastet.