Ransomware-Report
WithSecure Ransomware-Report: Angreifer konzentrieren sich zunehmend auf KMU
Neue Ziele, steigende Angriffe und Anpassung der Angriffsstrategie
Der aktuelle Report von WithSecure beleuchtet die Veränderungen in der Ransomware-Landschaft im Jahr 2024. Während die Produktivität in diesem Bereich nach ihrem Höhepunkt Ende 2023 stagniert, zeigt sich ein Anstieg der Angriffe und der erpressten Lösegeldzahlungen in der ersten Hälfte des Jahres 2024 im Vergleich zu den Vorjahren. Ein zentraler Trend ist die Verlagerung der Angriffe hin zu kleinen und mittleren Unternehmen, die nun einen größeren Anteil der Opfer ausmachen. Dies ist teilweise auf die Erfolge der Strafverfolgung zurückzuführen, insbesondere die Zerschlagung der LockBit-Gruppe im Februar 2024. Diese Maßnahmen haben bedeutende Vermögenswerte beschlagnahmt und kritische Infrastrukturen der Ransomware-Gruppen zerstört. Dennoch bleibt ungewiss, wie nachhaltig diese Erfolge sind, da sich viele Gruppen schnell anpassen. Seit Juni 2024 gibt es Hinweise auf eine Umstrukturierung bei LockBit, die darauf hindeuten, dass die Gruppe plant, mit einem stärkeren Modell zurückzukehren.
Der Bericht analysiert zudem die Architektur von Ransomware-as-a-Service (RaaS)-Kollektiven und den wachsenden Wettbewerb zwischen diesen Gruppen, um neue Partner zu gewinnen. Nach dem Niedergang prominenter Gruppen wie LockBit und ALPHV haben sich viele nomadische Affiliates etablierten RaaS-Marken angeschlossen. Das Vertrauen innerhalb der cyberkriminellen Gemeinschaft wurde jedoch durch Vorfälle wie den mutmaßlichen Exit-Scam von ALPHV erheblich geschwächt, was die Dynamik im Ransomware-Ökosystem weiter verkompliziert.
Ein weiterer bemerkenswerter Trend ist die vermehrte Nutzung von Edge-Diensten für den Erstzugriff und die häufige Verwendung von Fernverwaltungs-Tools durch Ransomware-Akteure. Außerdem bleibt die Reinfektion ein ernstes Problem: Ein signifikanter Prozentsatz der Unternehmen, die Lösegeld gezahlt haben, wurde später erneut angegriffen.
Der Bericht zeigt, dass die Ransomware-Branche trotz Rückschlägen weiterhin eine dynamische Bedrohung darstellt, die sich an neue Umstände anpasst und ihre Angriffsstrategien weiterentwickelt.