Die Kosten eines Ransomware-Angriffs sind für Unternehmen siebenmal höher als das Lösegeld und die Bedrohungsakteure gehen mit perfiden Verhandlungstaktiken, die minutiös geplant sind, vor, um ihre Opfer zum Zahlen zu bringen.
San Carlos, Kalifornien – 2. Mai 2022 – Die Sicherheitsforscher von Check Point Research (CPR), der Spezialisten-Abteilung von Check Point Software Technologies, geben neue Einblicke in die Ransomware-Ökonomie, nachdem die Leaks der Conti-Gruppe und verschiedene Datensätze von Ransomware-Opfern weiter analysiert wurden. Das gezahlte Lösegeld ist nur ein kleiner Teil der tatsächlichen Kosten eines Ransomware-Angriffs für das Opfer, denn CPR schätzt die Gesamtkosten auf das Siebenfache. Die Cyberkriminellen verlangen eine Summe, die sich am Jahresumsatz des Opfers orientiert und zwischen 0,7 und fünf Prozent liegt.
CPR analysierte zwei Datensätze, um neue Einblicke in die Ransomware-Wirtschaft zu erhalten. Der erste Datensatz war die Datenbank für Cyber-Vorfälle von Kovrr, welche aktuelle Informationen über Cyber-Vorfälle und deren finanzielle Auswirkungen enthält. Den zweiten verwendeten Datensatz bilden die Leaks der Conti-Gruppe. Die Untersuchung von CPR zielt darauf ab, beide Seiten eines Ransomware-Angriffs zu erforschen: Opfer und Cyberkriminelle.
Im ersten Quartal 2022 beobachtete CPR einen globalen Anstieg der Ransomware-Angriffe. Weltweit liegt der wöchentliche Durchschnitt der betroffenen Unternehmen bei einem von 53, was einen Anstieg um 24 Prozent im Vergleich zum Vorjahr bedeutet. Auch die Schweiz verzeichnet einen Anstieg und zwar von 28 Prozent – im Wochendurchschnitt war eines von 153 Unternehmen betroffen (2021: Eines von 197). Weiter ist die Dauer eines Ransomware-Angriffs deutlich zurückgegangen, von 15 Tagen auf neun Tage im Jahr 2021. CPR stellt auch fest, dass Ransomware-Gruppen klare Spielregeln für erfolgreiche Verhandlungen mit den Opfern haben, die den Verhandlungsprozess und die Dynamik beeinflussen:
Säulen der erfolgreichen Verhandlung
- Die Zahlungsfähigkeit des Opfers: Die Conti-Gruppe verwendet Datensätze von ZoomInfo und DNB, um den Jahresumsatz des Opfers zu ermitteln. Manchmal sind diese Angaben nur Schätzungen und stimmen nicht mit den tatsächlichen Einnahmen des Opfers überein, was wiederum zu einer problematischen Verhandlung führt. Contis Team sucht in den gestohlenen Informationen auch nach Hinweisen auf Bankdaten, um die Bargeldreserven des Opfers besser zu verstehen.
- Qualität der exfiltrierten Daten des Opfers: Die Conti-Gruppe exfiltriert sowohl Daten als auch verschlüsselt die Zielsysteme. Manchmal ist die Verschlüsselung nur teilweise, so dass kritische Systeme nicht betroffen sind. In anderen Fällen handelt es sich bei den exfiltrierten Daten um unkritische Daten. In solchen Fällen wären die Betreiber von Conti bei den Verhandlungen flexibler.
- Der Ruf von Conti: Die Reputation ist einer der wichtigsten Aspekte einer Ransomware-Gruppe. Wenn Opfer bekannt machen, dass die Conti-Gruppe die verschlüsselten Daten nicht zur Verfügung stellt oder Conti vertrauliche Informationen veröffentlicht oder weiterverkauft, könnte dies künftige Opfer von der Zahlung abhalten. Die Conti-Gruppe scheint ihren Ruf sehr ernst zu nehmen und hat einem Vermittler, der behauptete, zwei seiner Kunden hätten keine ordnungsgemässe Entschlüsselung erhalten, umgehend geholfen.
- Cyber-Versicherung: Das Team von Conti untersucht die gestohlenen Daten auch auf Dokumente, die sich auf eine Cyber-Versicherung beziehen. Conti bevorzugt Ziele, die über eine Cyber-Versicherung verfügen, da sie eine höhere Chance auf einen erfolgreichen Zahltag bieten. In der Tat werden einige von Contis Zielen gegenüber anderen bevorzugt, weil sie über eine Cyberversicherung verfügen.
- Die Verhandlungsführer des Opfers: In einem Lösegeldfall beauftragt das Opfer häufig ein externes Lösegeldverhandlungsteam, welches die Gespräche mit den Betreibern von Conti führt. In einigen Fällen kann dies den Prozess rationalisieren. In der Tat spricht das Conti-Team manchmal mit denselben Unterhändlern über verschiedene Lösegeldfälle. In anderen Fällen können diese Verhandlungsführer das Team von Conti verärgern und die Verhandlungen zu einem raschen Ende bringen.
Sergey Shykevich, Threat Intelligence Group Manager bei Check Point Software, zu den neusten Erkenntnissen: «In dieser Studie haben wir einen detaillierten Einblick in die Sichtweise von Angreifern und Opfern eines Ransomware-Angriffs gegeben. Die wichtigste Erkenntnis ist, dass das gezahlte Lösegeld – die Zahl, mit der sich die meisten Untersuchungen beschäftigen – im Ransomware-Ökosystem keine Schlüsselzahl ist. Sowohl die Cyberkriminellen als auch die Opfer haben viele andere finanzielle Aspekte und Überlegungen im Zusammenhang mit dem Angriff. Es ist bemerkenswert, wie systematisch die Cyberkriminellen bei der Festlegung der Lösegeldhöhe und bei den Verhandlungen vorgehen. Nichts ist zufällig und alles ist nach den beschriebenen Faktoren definiert und geplant. Bemerkenswert ist die Tatsache, dass die Nebenkosten von Ransomware für die Opfer siebenmal höher sind als das Lösegeld, das sie zahlen. Unsere Botschaft an die Öffentlichkeit ist, dass der Aufbau einer angemessenen Cyberabwehr im Voraus, insbesondere ein gut definierter Reaktionsplan auf Ransomware-Angriffe, den Unternehmen viel Geld sparen kann.»
Alle Einzelheiten erfahren Sie hier: https://blog.checkpoint.com/2022/04/27/cracks-forming-in-the-ransomware-ecosystem/
Alle Berichte von Check Point finden Sie unter: https://blog.checkpoint.com/
Alle Berichte des Check Point Research Teams finden Sie unter: https://research.checkpoint.com/
Folgen Sie Check Point auf:
Twitter: https://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: https://blog.checkpoint.com
YouTube: https://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
Über Check Point Research
Check Point Research (CPR) bietet führende Cyber-Bedrohungsinformationen für Check Point Software-Kunden und die grössere Intelligenz-Community. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die auf der ThreatCloud gespeichert sind, um Hacker fernzuhalten und gleichzeitig sicherzustellen, dass alle Check Point Produkte mit den neuesten Schutzmassnahmen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, der Strafverfolgung und verschiedenen CERTs zusammenarbeiten.
Über Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter von Cyber-Sicherheitslösungen für Unternehmen und Regierungen weltweit. Die Lösungen des Check-Point-Infinity-Portfolios schützen Kunden gegen Cyber-Angriffe der 5. Generation mit einer in der Branche führenden Fangrate von Malware, Ransomware und anderen Bedrohungen. Infinity ruht auf drei Kernsäulen, die kompromisslose Sicherheit und Bedrohungsabwehr der Generation V in Konzern-Umgebungen bieten: Check Point Harmony für Remote-Benutzer; Check Point CloudGuard für die automatische Absicherung von Clouds; Check Point Quantum für den Schutz von Netzwerkperimetern und Rechenzentren – alles gesteuert durch das branchenweit umfassendste und intuitivste Unified Security Management. Check Point schützt über 100‘000 Unternehmen jeder Grösse in der ganzen Welt.
Pressekontakte:
Check Point Software Technologies
Alvaro Amato
Country Manager Schweiz
Jenni Kommunikation AG
Sylvana Zimmermann
Tel: +41 44 388 60 80
E-Mail: sylvana.zimmermann@jeko.com