Statistikbericht zu Ransomware (2. Quartal 2020)

Report Ransomware statistics for 2021

Im zweiten Quartal 2020 war weiterhin zu beobachten, dass Ransomware-Gruppen vor dem Verschlüsseln Daten stehlen und diese als zusätzliches Druckmittel gegenüber ihren Opfern einsetzen. Während des gesamten Quartals wurden die Daten von Dutzenden Opfern, die das Lösegeld nicht gezahlt hatten, im Internet veröffentlicht oder an den Höchstbietenden verkauft. Es besteht nun die Wahrscheinlichkeit, dass bei mindestens jedem 10. Ransomware-Angriff Daten gestohlen werden.

Auch COVID-19 hat die Bedrohungslandschaft im zweiten Quartal weiter beeinflusst und das Remotedesktopprotokoll (RDP) bei Ransomware-Betreibern als Angriffsvektor noch beliebter gemacht. Vielen Unternehmen gelang es bei dieser kurzfristigen Einrichtung von Heimarbeitsplätzen offenbar nicht, RDP sicher umzusetzen, wodurch die Verbindungen anfällig sind.

Trotz der im ersten Quartal von den Cyberkriminellen gemachten Versprechen, den Gesundheitssektor außen vor zu lassen, wurden auch im zweiten Quartal einige Gesundheitsdienstleister Opfer von Ransomware. Allein in den USA waren in diesem Quartal 12 Krankenhäuser und andere Anbieter im Gesundheitswesen von Ransomware betroffen, wie in unserem Ransomware-Bericht für die USA (auf Englisch) thematisiert.

Darüber hinaus haben wir auch eine seltene Kooperation zwischen Ransomware-Gruppen beobachtet, wobei Maze mit LockBit und Ragnar Locker Informationen austauschte und gemeinsam Plattformen zur Datenveröffentlichung nutzte. Ob dies nur eine einmalige Zusammenarbeit oder die Geburt einer neuen Generation von Kartellen der Cyberkriminalität war, bleibt abzuwarten.

Die folgenden Statistiken basieren auf den zwischen dem 1. April und dem 30. Juni 2020 bei Emsisoft und ID Ransomware eingesendeten Ransomwares. Über den von Michael Gillespie, Sicherheitsforscher bei Emsisoft, ins Leben gerufenen Dienst ID Ransomware können Unternehmen und Privatpersonen nachvollziehen, welche Ransomware-Version ihre Dateien verschlüsselt hat.

Die am häufigsten gemeldeten Ransomware-Familien im zweiten Quartal 2020

Die folgende Übersicht zeigt die zehn im zweiten Quartal am häufigsten gemeldeten Ransomwares. Die als STOP/Djvu bekannte Ransomware-Familie ist dabei am häufigsten aufgetreten und zeichnet für 71,7 % aller Einsendungen verantwortlich.

Die am häufigsten gemeldeten Ransomware-Familien im 2. Quartal 2020 (inkl. STOP)

Die am häufigsten gemeldeten Ransomware-Familien im 2. Quartal 2020 (inkl. STOP)

  1. STOP (Djvu): 71,70 %
  2. Phobos: 8,90 %
  3. Dharma (.cezar): 6,90 %
  4. REvil/Sodinokibi: 3,20 %
  5. GlobeImposter 2.0: 2,00 %
  6. Makop: 1,80 %
  7. Paymen45: 1,60 %
  8. LockBit: 1,40 %
  9. GoGoogle: 1,30 %
  10. Magniber: 1,10 %

Die am häufigsten gemeldeten Ransomware-Familien im zweiten Quartal 2020 (exkl. STOP)

In der folgenden Übersicht sind die zehn am häufigsten gemeldeten Ransomwares des zweiten Quartals 2020 ohne STOP aufgeführt.

Die am häufigsten gemeldeten Ransomware-Familien im 2. Quartal 2020 (exkl. STOP)

Die am häufigsten gemeldeten Ransomware-Familien im 2. Quartal 2020 (exkl. STOP)

  1. Phobos: 30,60 %
  2. Dharma (.cezar): 23,60 %
  3. REvil/Sodinokibi: 10,80 %
  4. GlobeImposter 2.0: 7,00 %
  5. Makop: 6,00 %
  6. Paymen45: 5,50 %
  7. LockBit: 4,90 %
  8. GoGoogle: 4,30 %
  9. Magniber: 3,80 %
  10. Scarab: 3,40 %

Die meisten Ransomware-Einsendungen nach Land

In der folgenden Übersicht sind die zehn Länder aufgeführt, aus denen die meisten Ransomware-Einsendungen des zweiten Quartals 2020 kamen (inkl. STOP).

Die meisten Ransomware-Einsendungen im 2. Quartal 2020 nach Land

Die meisten Ransomware-Einsendungen im 2. Quartal 2020 nach Land

  1. Indien: 28,40 %
  2. USA: 16,10 %
  3. Ägypten: 11,50 %
  4. Indonesien: 10,60 %
  5. Pakistan: 8,40 %
  6. Brasilien: 8,40 %
  7. Südkorea: 5,50 %
  8. Türkei: 4,00 %
  9. Philippinen: 3,60 %
  10. Algerien: 3,6 %

Diskussion

STOP/Djvu war im ersten Quartal 2020 die am häufigsten gemeldete Ransomware und hat diese Führung auch im neuen Quartal nicht abgegeben. Diese erfolgreiche Familie, die meistens über Cracks, Key Generators und Aktivierungstools verbreitet wird, machte 71,7 % aller Einsendungen im zweiten Quartal aus. Im Vergleich zu den 70,2 % des vorherigen Quartals ist das also sogar noch ein leichter Anstieg.

Im Vergleich der beiden ersten Quartale dieses Jahres hat sich bei den am häufigsten gemeldeten Ransomware-Familien einiges geändert. Rapid, Rapid 2.0, Ryuk und Zeppelin wurden von Makop, Paymen45, LockBit und GoGoogle aus den Top 10 vertrieben. Maoloa hat seinen Rang an Scarab abgetreten, der nach STOP am häufigsten gemeldeten Ransomware-Familie.

In geografischer Hinsicht ist deutlich zu erkennen, dass Ransomware ein globales Problem ist. Allein sechs der 10 Länder (einschließlich der transkontinentalen Türkei), aus denen die meisten Ransomware-Meldungen kommen, liegen in Asien und machen 60 % aller Einsendung aus.

Indien ist weiter auf dem ersten Platz, wobei die Einsendungen im Vergleich zum ersten Quartal von 25,8 % auf 28,4 % angestiegen sind. Die USA haben derweil mit 16,1 % von vormals 10,2 % den höchsten Anstieg zu verzeichnen und sind damit vom vierten auf den zweiten Platz geklettert. Algerien ist der einzige Neuzugang in der Liste. Der Stammsitz des Anfang April einem Maze-Angriff zum Opfer gefallenen Ölkonzerns Sonatrach hat nun Italien vom zehnten Platz verdrängt.

Mehr zum Thema

 

Übersetzung: Doreen Schäfer

Malware-Labor von Emsisoft

Malware-Labor von Emsisoft

Das Laborteam ist eine Gruppe von Cybersicherheitsforschern, die den Schutz der Emsisoft-Produkte verbessern, Unternehmen beim Umgang mit Sicherheitsvorfällen helfen und Analysen erstellen, um Entscheidungsträger über mögliche Bedrohungen aufzuklären.

Weitere Artikel