Statistikbericht zu Ransomware (1. Quartal 2021)

Nach einem extrem erfolgreichen 2020 war nicht zu erwarten, dass die Cyberkriminellen 2021 bei ihren Bemühungen nachlassen würden.

Im ersten Quartal des Jahres wurden Zehntausende Unternehmen, öffentliche Einrichtungen und Privatanwender Opfer von Ransomware. Drei Angriffe dürften darunter mit am meisten für Aufsehen gesorgt haben: der Phoenix-CryptoLocker-Angriff auf CNA Financial, einem der größten Versicherungsunternehmen in den USA; der Conti-Angriff auf die öffentlichen Schulen in Broward County (Florida), dem sechstgrößten der öffentlichen Schulbezirke in den USA; sowie der REvil-Angriff auf Computergigant Acer, bei dem die Angreifer mit 50 Millionen USD das bisher höchste Lösegeld überhaupt verlangten.

Es gab aber auch einige selten zu beobachtende rechtliche Maßnahmen gegen Ransomware-Angreifer im ersten Quartal. Im Januar sorgten zwischen internationalen Strafverfolgungsbehörden koordinierte Bemühungen dafür, dass ein kanadischer Staatsbürger angeklagt wurde, der mit der Ransomware NetWalker in Zusammenhang stehen soll. Außerdem konnten Darkweb-Ressourcen beschlagnahmt werden, über die die NetWalker-Mitglieder mit den Opfer kommunizierten. In Zusammenarbeit zwischen den Behörden der Niederlande, Deutschland, den USA, dem Vereinigten Königreich, Frankreich, Litauen, Kanada und der Ukraine konnte im Januar außerdem der extrem produktive, modulare Banking-Trojaner Emotet stillgelegt werden, der häufig zur Verbreitung von Ransomware eingesetzt wurde.

Wir konnten zudem ein paar Veränderungen in der Bedrohungslandschaft beobachten, indem einige Angreifer sich zur Ruhe setzten und neue Gruppen zum Vorschein kamen. So beendete beispielsweise FonixCrypter im ersten Quartal seine Aktivitäten. Die Ransomware-Gruppe war seit seiner Gründung Mitte 2020 aktiv betreut worden. Nun gab sie – zusammen mit einer Entschuldigung für seine Aktionen – die Masterschlüssel und einen rudimentären Decrypter für FonixCrypter heraus. Mit Babuk ist hingegen eine neue Ransomware-Variante hinzugekommen, die voller Programmierungsfehler ist und damit ungewollt dauerhaften Datenverlust verursachen könnte.

Die folgenden Zahlen basieren auf den Daten aus über 96  023 Ransomware-Einsendungen, die zwischen dem 1. Januar und dem 31. März 2021 bei Emsisoft und ID Ransomware eingegangen sind. Über die von Michael Gillespie, Sicherheitsforscher bei Emsisoft, gegründete Website ID Ransomware können Anwender herausfinden, welche Ransomware ihre Dateien verschlüsselt hat. Dazu müssen sie die Lösegeldforderung, eine verschlüsselte Datei als Beispiel und/oder die Kontaktinformationen des Angreifers einsenden. Sollte es bereits ein Entschlüsselungstool für die entsprechende Ransomware geben, werden sie außerdem direkt dorthin weiterverwiesen.

Hinweis: Unseren Schätzungen zufolge senden lediglich 25 Prozent der Opfer eine Anfrage bei Emsisoft oder ID Ransomware ein, sodass die tatsächliche Zahl der Vorfälle höchstwahrscheinlich wesentlich höher ausfällt.

Die am häufigsten gemeldeten Ransomware-Familien im ersten Quartal 2021

Die folgende Übersicht zeigt die zehn im ersten Quartal am häufigsten gemeldeten Ransomwares, die 80,90 % aller Einsendungen in diesem Zeitraum ausmachten. Die als STOP/Djvu bekannte Ransomware-Familie ist dabei am häufigsten aufgetreten und zeichnet für 51,4 % aller Einsendungen verantwortlich.

Die am häufigsten gemeldeten Ransomware-Familien im 1. Quartal 2021 (mit STOP)

1. STOP (Djvu): 51,40 %
2. Phobos: 6,60 %
3. Dharma: 5,10 %
4. Makop: 4,70 %
5. REvil/Sodinokibi: 4,60 %
6. Magniber: 2,80 %
7. LockBit: 1,50 %
8. GlobeImposter 2.0: 1,50 %
9. Cryakl: 1,40 %
10. Mars: 1,30 %

Die im vierten Quartal 2021 am häufigsten gemeldeten Ransomware-Familien (ohne STOP)

In der folgenden Übersicht sind die zehn am häufigsten gemeldeten Ransomwares des ersten Quartals ohne STOP aufgeführt.

Die am häufigsten gemeldeten Ransomware-Familien im 1. Quartal 2021 (ohne STOP)

1. Phobos: 13,60 %
2. Dharma: 10,60 %
3. Makop: 9,70 %
4. REvil/Sodinokibi: 9,50 %
5. Magniber: 5,80 %
6. LockBit: 3,20 %
7. GlobeImposter 2.0: 3,00 %
8. Cryakl: 2,80 %
9. Mars: 2,60 %
10. Zeppelin: 2,40 %

Die meisten Ransomware-Einsendungen nach Land

In der folgenden Übersicht sind die zehn Länder aufgeführt, aus denen die meisten Ransomware-Einsendungen kamen (mit STOP). Sie machten 58,10 % aller weltweiten Einsendungen in dem Quartal aus.

1. Indien: 12,50 %
2. Indonesien: 9,90 %
3. Südkorea: 8,90 %
4. Pakistan: 8,00 %
5. USA: 4,70 %
6. Ägypten: 3,80 %
7. Brasilien: 3,40 %
8. Italien: 2,50 %
9. Spanien: 2,20 %
10. Türkei: 2,20 %

Diskussion

STOP/Djvu war bereits 2020 die am häufigsten gemeldete Ransomware und auch in diesem Quartal ließ sie sich mit 51,4 % aller Einsendungen diesen Platz nicht streitig machen. Im Gegensatz zu anderen Ransomware-Varianten, die es eher auf gewinnträchtige Unternehmen abgesehen haben, hat STOP in erster Linie Privatanwender zum Ziel. Verbreitet wird sie gewöhnlich über Software-Cracks, Key Generators und Aktivierungstools. Ohne STOP stellt sich bei den Einsendungen ein ausgeglicheneres Bild dar, insbesondere unter den ersten vier Plätzen: Phobos, Darma, Makop und REvil.

Aus geografischer Sicht kamen fast 6 von 10 aller Ransomware-Einsendungen in diesem Quartal aus lediglich 10 Ländern. Der Schwerpunkt liegt hier auf Asien, aus dessen Ländern 41,5 % aller Vorfälle gemeldet wurden. Auf dem ersten Platz der Einsender liegt dabei im ersten Quartal 2021 Indien – wie auch schon das ganze Jahr 2020.

Mehr zum Thema

• Ransomware in den USA: Statusbericht und Statistiken für 2020
• Die länderspezifischen Kosten für Ransomware 2021

Übersetzung: Doreen Schäfer