Slices of the Ransomware Pie: Zwei Namen dominieren das illegale Spiel
Die globale Ransomware-Landschaft ist Gegenstand regelmäßiger Überprüfungen und Untersuchungen seitens der Infosec-Community. In einer dieser kürzlich durchgeführten Überprüfungen veröffentlichte das Sicherheitsunternehmen Digital Shadows einige Erkenntnisse, die nützlich und aufschlussreich sind, um das Gesamtbild von Ransomware zu zeichnen.
Zwei Namen dominieren die Ransomware-Szene im ersten Quartal 2022
Der vom Forschungsteam untersuchte Zeitraum umfasst das erste Quartal 2022. Innerhalb der ersten drei Monate des Jahres dominierten nur zwei Ransomware-Namen die Mehrzahl der Angriffe und Ransomware-Infektionen. Die dominierenden Sorten sind die gleichen zwei, die man immer wieder in den Nachrichten sieht, wenn man die Infosec-Landschaft im Allgemeinen verfolgt – LockBit und Conti. Allein die beiden Ransomware-Firmen, die LockBit 2.0 und Conti betreiben, waren für fast 60 % aller Ransomware-bezogenen Vorfälle im Quartal verantwortlich.
Auch die Aufteilung des kriminellen Kuchens zwischen den beiden Banden ist nicht gleich. LockBit 2.0 wurde in diesem Zeitraum bei 38 % der Ransomware-Angriffe verwendet, wobei die Conti-Gang mit 20 % für fast die Hälfte davon verantwortlich war.
Eine weitere merkwürdige Statistik, die von Digital Shadows veröffentlicht wurde, ist die Anzahl der exfiltrierten Daten-Dumps, die online durchgesickert sind. Allein die LockBit-Bande hat in den ersten drei Monaten des Jahres 2022 eine Rekordzahl von 200 Datensätzen von 200 verschiedenen Opfern durchsickern lassen.
Das Durchsickern potenziell vertraulicher Informationen im Internet ist zu einem gängigen Trick im Repertoire von Ransomware-Bedrohungsakteuren geworden. Es ist eine einfache, aber oft überraschend effektive Methode, um zusätzlichen Zahlungsdruck auf das Opfer auszuüben. Natürlich sind nicht alle Informationen das Geld wert, das die Hacker verlangen könnten, weshalb auch so viele Lecks auftauchen, wenn Opfer sich weigern, mitzuspielen und zu bezahlen.
Conti geschüttelt, aber nicht aus dem Bild
Ein wenig erschüttert wurde die Conti-Gruppe von den Erschütterungen, die auf den pro-russischen Aufruf der Bande folgten. Viele interne Conti-Korrespondenzen, Chats, Arbeitsabläufe und organisatorische Informationen wurden online über den Twitter-Account von ContiLeaks veröffentlicht. Die Forscher glauben nicht, dass die Lecks einen großen Einfluss auf die Operationen der Bande haben werden, um sie vollständig außer Betrieb zu setzen.
Natürlich tauchen unter den Ransomware-Outfits immer wieder neue Namen auf. In den ersten drei Monaten des Jahres 2022 verzeichnete Digital Shadows sechs separate neue Bedrohungsakteure, darunter Namen wie Pandora, Night Sky und x001xs.