Die Ransomware-Branche floriert, sie verliert nicht.
Trotz verschiedener Siege der Strafverfolgungsbehörden gegen Ransomware-Akteure, wie der umfassenden Zerstörung von LockBit und der Beschlagnahmung von Radar, ernten Hacker weiterhin die Früchte dieser Datendiebstahl-Angriffe – und 2024 dürfte ihr bislang profitabelstes Jahr werden.
Das sagt Allan Liska, ein Ransomware-Experte, der als Threat-Intelligence-Analyst beim Cybersicherheitsunternehmen Recorded Future arbeitet. In einem Interview mit Tech in London Anfang des Monats bestätigte Liska, dass 2024 auf dem besten Weg ist, ein weiteres Rekordjahr für Ransomware zu werden – mit ebenso rekordverdächtigen Lösegeldern, die Opfer an Hacker zahlen.
„Die Kurve wird sich etwas abflachen, was meiner Meinung nach eine gute Nachricht ist. Aber ein Rekordjahr ist immer noch ein Rekordjahr“, sagte Liska gegenüber Tech. „Außerdem haben wir in diesem Jahr zum ersten Mal, soweit ich weiß, Lösegelder in vierstelliger Höhe gezahlt.“
Einer dieser achtstelligen Beträge war das Lösegeld in Höhe von 22 Millionen US-Dollar, das Change Healthcare an die russische Cybercrime-Bande ALPHV zahlte, nachdem hochsensible medizinische Daten von Hunderten Millionen Amerikanern gestohlen wurden. Was folgte, sagte Liska, war ein heftiger Machtkampf zwischen der Ransomware-Gruppe und ihrem Tochterunternehmen, das den Hack im Auftrag von ALPHV durchführte.
„Wenn Sie eine Reality-Show wollten, dann war dies die richtige“, sagte Liska.
Diese offensichtliche Rauferei wird sich wahrscheinlich noch verschlimmern, wenn sich jüngere Bedrohungsakteure dem Ransomware-Vorstoß anschließen, wie wir bei hochqualifizierten und finanziell motivierten Hackern wie Lapsus$ und neuerdings Scattered Spider gesehen haben. Diese lockere Gruppe überwiegend jugendlicher, englischsprachiger Hacker hat einige der verheerendsten Cyberangriffe der Geschichte ausgeführt, beispielsweise den Einbruch von MGM Hotels und den vermutete Links zum jüngsten Cyberangriff auf Transport for London.
Die unzusammenhängende Natur dieser Angreifer wird durch die Zunahme reiner Datendiebstahl-Angriffe belegt, die laut Liska im Jahr 2024 um mehr als 30 % zugenommen haben. „Das ist deutlich mehr als noch vor ein paar Jahren“, sagte er gegenüber Tech. „Viele der neueren Bedrohungsakteure wollen sich einfach nicht mit Verschlüsselung, Entschlüsselung oder ähnlichem befassen“, und meint damit Angriffe, die riesige Mengen gestohlener Daten herausfiltern.
Während die Hartnäckigkeit jugendlicher Hacker bereits zu einem Anstieg reiner Erpressungsangriffe geführt hat, könnte dies nur die Spitze des Eisbergs sein. Liska warnt davor, dass diese ruppigen Bedrohungsakteure sich dazu entscheiden könnten, den Datendiebstahl gänzlich zu ignorieren und sich stattdessen dafür zu entscheiden, Geld direkt von Kryptowährungsbörsen zu stehlen. Schlimmer noch: Liska warnt davor, dass der Kampf gegen Ransomware in reale Gewalt übergehen kann, und beschreibt eskalierende Erpressungstaktiken von Gruppen wie Scattered Spider, die reale Informationen gegen ihre Ziele verwenden, wenn ihre Opfer sagen, dass sie kein Lösegeld zahlen würden.
Auch der Ausgang der bevorstehenden US-Wahlen könnte große Auswirkungen auf die Zukunft von Ransomware haben.
Liska weist darauf hin, dass die unter der Biden-Regierung eingerichtete globale Ransomware-Taskforce dank der zunehmenden Weitergabe von Informationen zwischen den Nationen einen „großen Vorteil“ im Kampf gegen Hacker darstellt. Liska sagte, dass „eine gute Chance besteht, dass sie verschwindet“, wenn die USA unter einer aufeinanderfolgenden Trump-Regierung, die eine weitreichende Deregulierung der Regierung versprochen hat, keine Geheimdienstinformationen mehr mit ihren Verbündeten teilen.
„Ich glaube nicht, dass wir darauf vorbereitet sind – und wir könnten eine noch stärkere Beschleunigung von Ransomware-Angriffen erleben, wenn die Strafverfolgungsbehörden ihre Aufgabe schlechter erfüllen könnten“, sagte Liska.
Unter der vorherigen Trump-Regierung „haben wir WannaCry und NotPetya gesehen, und es gab keine sofortige Reaktion“, sagte Liska
Was ist die Lösung? Laut Liska, die auf der Tech Disrupt 2023 sagte, dass ein Verbot von Ransomware-Zahlungen nicht die Lösung sei, sei dies jetzt die einzige Lösung.
„Allein in diesem Jahr haben wir über 20 Strafverfolgungsmaßnahmen gegen Ransomware durchgeführt, und das ist fantastisch. Wenn wir diesen Angreifern jedoch Lösegeldzahlungen in achtstelliger Höhe zahlen, ändert sich das Anreizmodell. Sie werden vielleicht verhaftet, erhalten aber andererseits möglicherweise eine Lösegeldzahlung in achtstelliger Höhe, das ist eine schwierige Herausforderung widerstehen.“
„Meine Antwort lautet: Lösegeldzahlungen verbieten, was eine schreckliche Lösung ist, aber vielleicht die am wenigsten schlechte Lösung, die wir haben“, fügte Liska hinzu.