2023 könnte ein Rekordjahr für Ransomware werden

Die Malware, die Daten verschlüsselt und Bitcoins als Lösegeld kassiert, ist der einzige Cybercrime auf Krypto-Basis, der 2023 wächst. Der Einfluss der russischen Regierung zeigt sich dabei immer deutlicher.

Ransomware war noch nie so epidemisch wie 2023. Einem Zwischenfazit zur Jahresmitte zufolge hat Ransomware sogar die Scams als Goldesel des Krypto-Crimes abgelöst.

Einem neuen Bericht von Chainalysis zufolge haben Ransomware-Hacker im ersten Halbjahr 2023 Lösegelder von 449,1 Millionen Dollar kassiert. Wenn es so weitergeht, wird sich die Bilanz dem Rekordjahr 2021 nähern, in dem Ransomware-Gruppen knapp eine Milliarde Dollar vereinnahmt haben.

Ransomware ist eine Malware, die Computersysteme befällt und die Daten verschlüsselt. In der traditionellen Variante verlangt sie ein Lösegeld in Bitcoin, um die Daten wieder zu entschlüsseln. Mittlerweile drohen die Angreifer aber zunehmend mit der Veröffentlichung sensibler Daten und ziehen als Zahlungsmittel oft die anonyme Kryptowährung Monero vor.

Laut einem IBM-Sicherheitsbericht waren 17 Prozent aller Cyberangriffe im ersten Halbjahr Ransomware-Angriffe.

Über den Grund für die hohen Einnahmen der Ransomware-Gangs nennen die Experten übereinstimmend das “Big Game Hunting”, also die Großwildjagd: Ransomware-Gruppen suchen sich gezielt große Unternehmen oder Institutionen aus, für die schon kurzzeitige Betriebsausfälle hohe Lösegelder rechtfertigen. Während die Anzahl der erfolgreichen Angriffe weitgehend stagniert, nimmt die Höhe der Zahlungen fortlaufend zu.

Viele bekannte Opfer

Laut einem FBI-Bericht haben die Angriffe allein im vergangenen Jahr 860 Mal auf eine kritische Infrastruktur abgezielt. Vor allem das Gesundheitswesen scheint ein lohnendes Ziel zu sein, was vermutlich aus einer Kombination aus großen Beständen sensibler Daten und alten IT-Systemen liegt.

Einige spektakuläre Fälle aus dem letzten Monaten:

• Die US-Regierung hat ein 10-Millionen-Dollar-Kopfgeld auf Hinweise ausgesetzt, die zur Clop-Ransomware führen, die durch den MOVEit Exploit zahlreiche große Unternehmen und auch Regierungsinstitutionen befallen hat. Etwa die 1st Source Bank oder die First National Bankers Bank, eine Investmentfirma aus Boston, die Energiefirma Shell, das niederländische Touristikunternehmen Landal Greenparks, das kanadische Nonprofit GreenShield, dazu Versicherungsunternehmen, Universitäten, die BBC, British Airways, die Regierung von Neuschottland, die John Hopkins University und viele mehr.
• Die Stadtverwaltung von Dallas, die vor mehr als einem Monat einem Angriff zum Opfer fiel, hat ihre Computersysteme noch immer nicht wieder vollständig hergestellt
• Anfang Juli setzte der größte Hafen Japans, bei Nagoya, den Betrieb für einige Tage aus, weil er von einer Ransomware angegriffen wurde.
• Erst vor wenigen Tagen traf es eine 32.000-Einwohner-Stadt in North Carolina, die daraufhin ihre Internetdienstleistungen abschalten musste.
• Ende Mai erwischte es Esai, ein international operierender Pharmakonzern aus Japan, was Befürchtungen auslöste, dass der Ausfall von Systemen die Medikamentenknappheit verschärfe.
• Kurz zuvor befiel eine Ransomware die Deutsche Leasing, eine der größten Leasinggesellschaften Deutschlands

Damit ist Ransomware, so die bittere Erkenntnis, “das einzige auf Kryptowährungen basierte Verbrechen, das im Jahr 2023 wächst”. Betrüger haben im Vergleich dazu 77 weniger Einkünfte erwirtschaftet als im ersten Halbjahr 2022. Die Einnahmen von 449 Millionen Dollar, die Chainalysis für das erste Halbjahr 2023 schätzt, sind vermutlich viel zu gering angelegt, da der Analyst lediglich mit gesicherten Daten arbeitet.

Der Schaden, den die Ransomware anrichtet, geht dabei weit über die Lösegeldsummen hinaus. Die Betriebsausfälle großer Unternehmen und Institutionen sowie die Kosten, die Systeme wieder herzustellen und zu schützen, dürften ein Vielfaches von einer halben Milliarde Dollar betragen. Wie eine Steuer schlagen die von Ransomware geplagten Unternehmen und Institutionen die entstehenden Kosten auf Kunden und Bürger um.

Die Rolle der russischen Regierung

In den Aufschwung der Ransomware 2023 spielen auch geopolitische Gründe hinein. Eric Jardine von Chainalysis vermutet, dass der Angriffskrieg gegen die Ukraine im vergangenen Jahr die Anzahl der Ransomware-Angriffe reduziert habe, weil er zu einer Art Zwangsrekrutierung vieler russischer Hacker geführt habe, etwa die Gruppe Cuba Ransomware, die sich an militärischen Projekten beteiligen musste, etwa der Spionage oder Sabotage. Dieser Effekt scheint nun abzuflauen.

Der Stanford Internet Observer bestätigt diese Verbindung zwischen Ransomware und Kreml. Aufgrund von Daten über Opfer und geleakten Chats der Gruppen analysieren die Forscher, inwieweit eine Kooperation zwischen russischer Regierung und Hackern besteht. Ihre Ergebnisse erhärten die seit langem bestehenden Vermutungen: “Unserer Erkenntnisse hinterfragen die Ansicht, dass Angriffe durch russische Ransomware-Gruppen allein durch finanzielle Motive erklärbar sind.”

So stellen sie etwa fest, dass sich die Frequenz von Angriffen russischer Hacker erhöhte, bevor es in mehreren großen Demokratien zu Wahlen kam. Gruppen außerhalb Russlands zeigten dieses Muster nicht, was dafür spricht, dass die Hacker auch als Akteure im hybriden Krieg Russlands gegen den Westen agieren. Darüber hinaus haben Unternehmen, die im Zuge des Angriffskrieges Russland den Rücken kehrten häufiger Ransomware-Angriffe erfahren als andere. Und schließlich notieren auch die Stanford-Forscher die Beobachtung eines Rückgangs der Ransomware nach Ausbruch des Krieges, was auch sie mit einer Art Zwangsrekrutierung der Hacker erklären.

Eine Analyse von 60.000 geleakten Nachrichten der Ransomware-Bande Conti bestätigt und vertieft diese Vermutung. “Die Nachrichten zeigen, dass Conti grundsätzlich unabhängig vom russischen Staat agiert. Sie enthüllen aber auch Verbindungen zwischen den Anführern von Conti und der russischen Regierung, und sie zeigen eine Kooperation bei vom Staat gedeckten Cyber-Operationen. Die Chats offenbaren auch, dass die Mitglieder der Gruppe glauben, dass die russische Regierung sie und andere Gruppen schützen.”

Insgesamt seien diese Daten, so die Stanford-Forscher, “konsistent miut einem Modell, in dem die russische Regierung dezentrale, aber kooperative Beziehungen mit russischen Ransomware-Gruppen unterhält.” Die Regierung lege ihre schützende Hand auf diese, und im Gegenzug fokussieren sich die Hacker vorwiegend auf Ziele im Westen.