Statistikbericht zu Ransomware (Zusammenfassung 2020)

Report Ransomware statistics for 2020

2020 – das Jahr der Pandemie – war für Ransomware ein weiteres lukratives Jahr. Während die ganze Welt darum kämpfte, die Ausbreitung des Virus zu verhindern, nutzten Cyberkriminelle das Chaos zu ihrem eigenen Vorteil.

Durch die nun größere Angriffsoberfläche, den Zugriff auf vertrauliche Unternehmensdaten von angreifbaren Geräten aus und die mitunter unvermeidbare Umgehung von Sicherheitsprotokollen aufgrund von Heimarbeit, bot COVID einen überaus fruchtbaren Nährboden für Ransomware.

Während kurzfristig Remote-Arbeitsplätze eingerichtet werden mussten, wurde RDP zu einem beliebten Angriffspunkt für Kriminelle. Ransomware-Gruppen nutzten derweil ihre vorhandene Infrastrukturen aus, um Kampagnen rund um das Thema COVID zu starten und damit das öffentliche Interesse an der aktuellen Gesundheitskrise auszunutzen.

Die COVID-bedingten Herausforderungen für die Sicherheit wurden durch die zunehmende Exfiltration von Daten noch weiter erschwert. Inspiriert von den Daten stehlenden Pionieren Maze begannen Dutzende andere Ransomware-Gruppen damit, auch bei ihren Angriffen Daten zu exfiltrieren und damit die Opfer weiter zu einer Zahlung unter Druck zu setzen. Wurde nicht gezahlt, führte das meistens dazu, dass die gestohlenen Daten verkauft, versteigert oder noch häufiger auf einer Website der Angreifer für alle zugänglich veröffentlicht wurden.

2020 zogen sich verschiedene Ransomware Gruppen zurück oder scheiterten und tauchten entweder unter neuem Namen wieder auf oder wurden von Neulingen ersetzt. Der wohl auffälligste Rückzug dürfte der von Maze gewesen sein. Die extrem erfolgreiche Ransomware-Gruppe hatte im November angekündigt, ihre Aktivitäten einzustellen. Außerdem legte Microsoft 94 % der zu TrickBot gehörenden Server still. Das gigantische Botnetz bestand aus mindestens einer Million infizierten Geräten und wurde von seinen Betreibern in der Regel an Ransomware-Gangs vermietet.

Die folgenden Statistiken basieren auf den 506 185 Ransomware-Meldungen, die zwischen dem 1. Januar und dem 31. Dezember 2020 bei Emsisoft und ID Ransomware eingingen. Über den von Michael Gillespie, Sicherheitsforscher bei Emsisoft, ins Leben gerufenen Dienst ID Ransomware können Unternehmen und Privatpersonen nachvollziehen, welche Ransomware-Version ihre Dateien verschlüsselt hat, und erhalten kostenlos Zugang zu einem Decrypter, sofern es bereits einen dafür gibt.

Hinweis: Unseren Schätzungen zufolge senden lediglich 25 Prozent der Opfer eine Anfrage bei Emsisoft oder ID Ransomware ein, sodass die tatsächliche Zahl der Vorfälle höchstwahrscheinlich wesentlich höher ausfällt.

Die 2020 am häufigsten gemeldeten Ransomware-Familien (inkl. STOP)

Die folgende Übersicht zeigt die zehn im Jahr 2020 am häufigsten gemeldeten Ransomwares. STOP/Djvu ist dabei mit 71,20 % aller Einsendungen die am häufigsten eingegangene Ransomware-Variante.

  1. STOP (Djvu): 71,20 %
  2. Phobos: 8,90 %
  3. Dharma (.cezar-Familie): 7,90 %
  4. REvil/Sodinokibi: 3,40 %
  5. LockBit: 1,90 %
  6. GlobeImposter 2.0: 1,70 %
  7. Magniber: 1,70 %
  8. Makop: 1,30 %
  9. Avaddon: 1,10 %
  10. Zeppelin: 1,00 %

Die 2020 am häufigsten gemeldeten Ransomware-Familien (ohne STOP)

In der folgenden Übersicht sind die zehn im Jahr 2020 am häufigsten gemeldeten Ransomwares ohne STOP/Djvu aufgeführt.

  1. Phobos: 29,90 %
  2. Dharma (.cezar-Familie): 26,80 %
  3. REvil/Sodinokibi: 11,40 %
  4. LockBit: 6,40 %
  5. GlobeImposter 2.0: 5,70 %
  6. Magniber: 5,70 %
  7. Makop: 4,30 %
  8. Avaddon: 3,80 %
  9. Zeppelin: 3,20 %
  10. Cryakl: 2,80 %

Die meisten Ransomware-Einsendungen nach Land

In der folgenden Übersicht sind die zehn Länder aufgeführt, aus denen die meisten Ransomware-Einsendungen kamen (inkl. STOP).

  1. Indien: 27,40 %
  2. Indonesien: 15,10 %
  3. USA: 10,90 %
  4. Ägypten: 10,00 %
  5. Pakistan: 8,90 %
  6. Brasilien: 8,00 %
  7. Südkorea: 7,60 %
  8. Philippinen: 4,50 %
  9. Türkei: 4,20 %
  10. Italien: 3,40 %

Anzahl der Einsendungen nach Monat und Jahr

In der folgenden Übersicht ist die Anzahl der Einsendungen pro Monat aufgeführt (inkl. STOP).

2019 2020 Änderung in %
Januar 24 935 39 855 59,84
Februar 17 833 42 294 137,17
März 20 381 41 097 101,64
April 20 851 53 494 156,55
Mai 27 114 44 565 64,36
Juni 28 861 38 153 32,20
Juli 29 108 39 607 36,07
August 45 382 39 438 –13,10
September 56 542 41 323 –26,92
Oktober 56 545 31 997 –43,41
November 68 707 48 444 –29,41
Dezember 54 123 45 918 –15,16
Insgesamt 450 382 506 185 12,39

Anzahl der Einsendungen pro Quartal

In der folgenden Übersicht ist die Anzahl der Einsendungen pro Quartal aufgeführt (inkl. STOP).

2019 2020 Änderung in %
Erstes Quartal 63 149 123 246 95,17
Zweites Quartal 76 826 136 212 77,30
Drittes Quartal 131 032 120 368 –8,14
Viertes Quartal 179 375 126 359 –29,56

Fazit

Die Gesamtanzahl der Ransomware-Meldungen stieg von 2019 zu 2020 um 12,39 % an. Das erste Quartal verzeichnete mit 95,17 % den höchsten Anstieg im Vergleich zum Vorjahr. Dazu sank die Anzahl im vierten Quartal um 29,56 %. Am meisten schwankten die Zahlen im April (155,55 %), Februar (137,1 %) und März (101,64 %).

Von den 587 im Verlauf des Jahres gemeldeten Ransomware-Varianten war STOP/Djvu die bei Weitem häufigste. Es gibt über 160 bestätigte Versionen von STOP, die 2020 zusammengefasst 71,20 % aller Einsendungen ausmachten. Einige ältere Versionen von STOP lassen sich mit unseren kostenlosen Entschlüsselungstools entschlüsseln. Bei neueren Versionen ist das leider nicht möglich.

Über die Hälfte aller Einsendungen (52,60 %) kamen 2020 aus lediglich zehn Ländern. Obwohl Ransomware eine weltumspannende Bedrohung ist, zeigen die Daten, dass Asien die am häufigsten betroffene Region ist. Mit insgesamt sechs Ländern in den Top 10 (einschließlich der transkontinentalen Türkei) kamen aus Asien mehr als ein Drittel (35,70 %) aller Ransomware-Meldungen. Indien hatte in jedem Quartal des Jahres die meisten Einsendungen und zeichnete 2020 für 14,4 % aller Einsendungen verantwortlich.

Mehr zum Thema

 

Übersetzung: Doreen Schäfer

Malware-Labor von Emsisoft

Malware-Labor von Emsisoft

Das Laborteam ist eine Gruppe von Cybersicherheitsforschern, die den Schutz der Emsisoft-Produkte verbessern, Unternehmen beim Umgang mit Sicherheitsvorfällen helfen und Analysen erstellen, um Entscheidungsträger über mögliche Bedrohungen aufzuklären.

Weitere Artikel

Leserkommentare