Warum verdienen Ransomware-Banden so viel Geld?

Für viele Organisationen und Startups war 2023 finanziell ein schwieriges Jahr, da Unternehmen Schwierigkeiten hatten, Geld zu beschaffen, und andere Kürzungen vornahmen, um zu überleben. Ransomware- und Erpresserbanden hingegen verzeichneten ein rekordverdächtiges Gewinnjahr, wenn man den jüngsten Berichten Glauben schenken kann.

Es ist kaum überraschend, wenn man sich den Zustand der Ransomware-Landschaft ansieht. Im vergangenen Jahr entwickelten Hacker ihre Taktiken weiter und gingen immer aggressiver und extremer vor, um Opfer unter Druck zu setzen, ihre immer exorbitanteren Lösegeldforderungen zu zahlen. Diese Eskalation der Taktiken sowie die Tatsache, dass Regierungen kein Verbot von Lösegeldzahlungen mehr verbieten, führten dazu, dass 2023 das bisher lukrativste Jahr für Ransomware-Banden wurde.

Das milliardenschwere Cyberkriminalitätsgeschäft

Entsprechend Neue Daten vom Krypto-Forensik-Startup ChainalysisDie bekannten Ransomware-Zahlungen haben sich im Jahr 2023 fast verdoppelt und die Marke von 1 Milliarde US-Dollar überschritten, was das Jahr als „großes Comeback für Ransomware“ bezeichnet.

Das ist die höchste Zahl, die jemals beobachtet wurde, und fast das Doppelte der bekannten Lösegeldzahlungen, die im Jahr 2022 erfasst wurden. Chainalysis sagte jedoch, dass die tatsächliche Zahl wahrscheinlich weit über den bisher beobachteten Lösegeldzahlungen in Höhe von 1,1 Milliarden US-Dollar liegt.

Es gibt jedoch einen Schimmer guter Nachrichten. Während 2023 insgesamt ein Rekordjahr für Ransomware-Banden war, gibt es auch andere Hackerbeobachter beobachteten einen Rückgang der Zahlungen gegen Ende des Jahres.

Dieser Rückgang ist das Ergebnis verbesserter Cyber-Abwehr und -Resilienz sowie der wachsenden Meinung, dass die meisten Opferorganisationen Hackern nicht zutrauen, dass sie ihre Versprechen halten oder gestohlene Daten löschen, wie sie behaupten. „Dies hat zu einer besseren Beratung der Opfer und zu geringeren Zahlungen für immaterielle Zusicherungen geführt“, heißt es Ransomware-Beseitigungsunternehmen Coveware.

Rekordverdächtige Lösegelder

Während sich immer mehr Ransomware-Opfer weigern, die Taschen von Hackern zu füllen, kompensieren Ransomware-Banden diesen Einkommensrückgang, indem sie die Zahl der Opfer erhöhen, auf die sie abzielen.

Nehmen Sie die MOVEit-Kampagne. Bei diesem riesigen Hack nutzte die produktive, mit Russland verbundene Clop-Ransomware-Bande eine noch nie dagewesene Schwachstelle in der weit verbreiteten MOVEit Transfer-Software massenhaft aus, um Daten aus den Systemen von mehr als 2.700 Opferorganisationen zu stehlen. Es ist bekannt, dass viele der Opfer die Hackergruppe dafür bezahlt haben, die Veröffentlichung sensibler Daten zu verhindern.

Während es unmöglich ist, genau zu wissen, wie viel Geld der Massen-Hack der Ransomware-Gruppe einbrachte, sagte Chainalysis in seinem Bericht, dass Clops MOVEit-Kampagne über 100 Millionen US-Dollar an Lösegeldzahlungen einbrachte und fast die Hälfte aller im Juni und Juli erhaltenen Ransomware-Werte ausmachte 2023, auf dem Höhepunkt dieses Massenhacks.

MOVEit war keineswegs die einzige gewinnbringende Kampagne des Jahres 2023.

Im September zahlte der Casino- und Unterhaltungsriese Caesars rund 15 Millionen US-Dollar an Hacker, um die Offenlegung von Kundendaten zu verhindern, die bei einem Cyberangriff im August gestohlen wurden.

Diese Zahlung in Höhe von mehreren Millionen Dollar verdeutlicht vielleicht, warum Ransomware-Akteure weiterhin so viel Geld verdienen: Der Caesars-Angriff schaffte es kaum in die Nachrichten, während ein anschließender Angriff auf den Hotelgiganten MGM Resorts – dessen Wiederherstellung das Unternehmen bisher 100 Millionen US-Dollar gekostet hat – dominierte wochenlang die Schlagzeilen. Die Weigerung von MGM, das Lösegeld zu zahlen, führte dazu, dass die Hacker vertrauliche MGM-Kundendaten, darunter Namen, Sozialversicherungsnummern und Passdaten, preisgaben. Caesars schien – zumindest äußerlich – weitgehend unversehrt, auch wenn es nach eigenen Angaben nicht garantieren konnte, dass die Ransomware-Bande die gestohlenen Daten des Unternehmens löschen würde.

Eskalierende Bedrohungen

Für viele Organisationen wie Caesars scheint die Zahlung der Lösegeldforderung die einfachste Möglichkeit zu sein, einen PR-Albtraum zu vermeiden. Doch während das Lösegeld zur Neige geht, erhöhen Ransomware- und Erpresserbanden den Einsatz und greifen auf eskalierende Taktiken und extreme Drohungen zurück.

Im Dezember zum Beispiel Berichten zufolge versuchten Hacker, ein Krebskrankenhaus unter Druck zu setzen, eine Lösegeldforderung zu zahlen durch die Drohung, seine Patienten zu „schlagen“. Swatting-Vorfälle beruhen darauf, dass böswillige Anrufer fälschlicherweise eine reale Bedrohung für das Leben vortäuschen, woraufhin bewaffnete Polizeibeamte reagieren.

Wir haben auch gesehen, wie die berüchtigte Ransomware-Bande Alphv (bekannt als BlackCat) die neuen Regeln der US-Regierung zur Offenlegung von Datenschutzverletzungen gegen MeridianLink, eines der vielen Opfer der Bande, als Waffe nutzte. Alphv warf MeridianLink vor, es angeblich versäumt zu haben, öffentlich bekannt zu geben, was die Bande als „erheblichen Verstoß gegen Kundendaten und Betriebsinformationen“ bezeichnete, wofür sich die Bande verantwortlich machte.

Kein Verbot von Lösegeldzahlungen

Ein weiterer Grund dafür, dass Ransomware weiterhin für Hacker lukrativ ist, besteht darin, dass Unternehmen nichts davon abhalten können, zu zahlen, auch wenn sie nicht empfohlen werden – es sei denn natürlich, die Hacker wurden sanktioniert.

Ob das Lösegeld gezahlt wird oder nicht, ist ein umstrittenes Thema. Der Ransomware-Entferner Coveware geht davon aus, dass Unternehmen, wenn in den USA oder einem anderen stark betroffenen Land ein Lösegeldzahlungsverbot verhängt würde, diese Vorfälle wahrscheinlich nicht mehr den Behörden melden würden, was die frühere Zusammenarbeit zwischen Opfern und Strafverfolgungsbehörden rückgängig machen würde. Das Unternehmen prognostiziert außerdem, dass ein Verbot von Lösegeldzahlungen über Nacht zur Entstehung eines großen illegalen Marktes zur Erleichterung von Ransomware-Zahlungen führen würde.

Andere glauben jedoch, dass ein generelles Verbot die einzige Möglichkeit sei, sicherzustellen, dass Ransomware-Hacker sich nicht weiterhin die Taschen füllen können – zumindest kurzfristig.

Allan Liska, Threat-Intelligence-Analyst bei Recorded Future, ist seit langem gegen ein Verbot von Lösegeldzahlungen – glaubt nun aber, dass Cyberkriminelle alles tun werden, um sie einzutreiben, solange Lösegeldzahlungen rechtmäßig bleiben.

„Ich habe mich jahrelang gegen die Idee eines pauschalen Verbots von Lösegeldzahlungen gewehrt, aber ich denke, das muss sich ändern“, sagte Liska gegenüber Tech. „Ransomware wird immer schlimmer, nicht nur hinsichtlich der Anzahl der Angriffe, sondern auch hinsichtlich der Aggressivität der Angriffe und der dahinter stehenden Gruppen.“

„Ein Verbot von Lösegeldzahlungen wird schmerzhaft sein und, wenn die Geschichte einen Anhaltspunkt gibt, wahrscheinlich zu einem kurzfristigen Anstieg von Ransomware-Angriffen führen, aber es scheint, dass dies die einzige Lösung ist, die eine Chance auf langfristigen Erfolg hat.“ Punkt“, sagte Liska.

Während immer mehr Opfer erkennen, dass die Bezahlung der Hacker die Sicherheit ihrer Daten nicht garantieren kann, ist es klar, dass diese finanziell motivierten Cyberkriminellen ihren verschwenderischen Lebensstil nicht so schnell aufgeben werden. Bis dahin werden Ransomware-Angriffe für die Hacker, die dahinter stecken, weiterhin eine große Einnahmequelle darstellen.

Lesen Sie mehr auf Tech:

tch-1-tech