Statistikbericht zu Ransomware (2. Quartal 2021)

Report Ransomware statistics for 2021

Im zweiten Quartal von 2021 erfolgte der bisher größte Ransomware-Angriff auf eine Infrastruktur der USA. Am 7. Mai wurde die Colonial Pipeline Company Opfer der Ransomware DarkSide. Das Unternehmen betreibt das größte Ölpipelinenetz der USA und der Angriff sorgte dafür, dass es 6 Tage lang stillgelegt war. Es konnte erst wieder in Betrieb genommen werden, nachdem Colonial Pipeline ein Lösegeld in Höhe von 4,4 Millionen USD bezahlt hatte. CEO Josef Blunt beschreibt dies als „die richtige Entscheidung für das Land“.

Der Angriff war möglicherweise etwas zu erfolgreich. Der Vorfall sorgte für weitreichende Störungen bei der Treibstoffversorgung, was zu den höchsten Benzinpreisen in sechs Jahren führte und auch erhebliche Aufmerksamkeit seitens des Weißen Hauses auf sich zog. Nach enormen Druck durch die US-Behörden und der vermeintlichen Beschlagnahmung seiner öffentlich zugänglichen Server, blieb DarkSide keine andere Wahl, als seinen Betrieb einzustellen.

Der Vorfall schlug auch im Ransomware-Markt generell Wellen. Um keine unerwünschte Aufmerksamkeit zu erregen, entfernten einige Foren von Cyberkriminellen alle Verweise auf Ransomware. Ransomware-Gruppen wie Avaddon und Sodinokibi kündigten derweil an, Beschränkungen einzuführen, welche Ziele für Angriffe erlaubt sind.

DarkSide war jedoch nicht die einzige Gruppe, die im zweiten Quartal aufgab. Im Juni kündigte auch Avaddon an, seine Aktivitäten einzustellen, und veröffentlichte die Schlüssel all seiner Opfer kostenlos. Das ermöglichte uns, einen Decrypter zu veröffentlichen, mit dem bisherige Opfer ihre Daten entschlüsseln können.

Im zweiten Quartal waren auch eine Reihe von Fällen zu beobachten, bei denen die Kriminellen innerhalb ein- und desselben Angriffs die Daten mit mehreren Ransomware-Versionen verschlüsselten. Diese doppelte Verschlüsselung macht den so schon schwierigen Wiederherstellungsvorgang noch komplizierter, wodurch Opfer weiter unter Druck gesetzt werden, die Forderungen der Angreifer zu erfüllen. Ob dies Einzelfälle waren oder der Beginn eines neuen Trends, bleibt abzuwarten.

Die folgenden Zahlen basieren auf den Daten aus über 137 537 Ransomware-Einsendungen, die zwischen dem 1. April und dem 30. Juni 2021 bei Emsisoft und ID Ransomware eingegangen sind. Über die von Michael Gillespie, Sicherheitsforscher bei Emsisoft, gegründete Website ID Ransomware können Anwender herausfinden, welche Ransomware ihre Dateien verschlüsselt hat. Dazu müssen sie die Lösegeldforderung, eine verschlüsselte Datei als Beispiel und/oder die Kontaktinformationen des Angreifers einsenden. Sollte es bereits ein Entschlüsselungstool für die entsprechende Ransomware geben, werden sie außerdem direkt dorthin weiterverwiesen.

Hinweis: Unseren Schätzungen zufolge senden lediglich 25 Prozent der Opfer eine Anfrage bei Emsisoft oder ID Ransomware ein, sodass die tatsächliche Zahl der Vorfälle höchstwahrscheinlich wesentlich höher ausfällt.

Die am häufigsten gemeldeten Ransomware-Familien im zweiten Quartal 2021

Die folgende Übersicht zeigt die zehn im zweiten Quartal am häufigsten gemeldeten Ransomwares, die 88,40 % aller Einsendungen in diesem Zeitraum ausmachten. Die als STOP/Djvu bekannte Ransomware-Familie ist dabei am häufigsten aufgetreten und zeichnet für 71,20 % aller Einsendungen verantwortlich.

Die 10 am häufigsten gemeldeten Ransomware-Familien im 2. Quartal 2021 (mit STOP)

  1. STOP (Djvu): 71,20 %
  2. Phobos: 3,50 %
  3. REvil/Sodinokibi: 2,40 %
  4. QLocker: 2,30 %
  5. Makop: 2,20 %
  6. Dharma (.cezar): 2,00 %
  7. Magniber: 1,60 %
  8. eCh0raix / QNAPCrypt: 1,40 %
  9. LockBit: 0,90 %
  10. GlobeImposter 2.0: 0,90 %

Die am häufigsten gemeldeten Ransomware-Familien im zweiten Quartal 2021 (ohne STOP)

In der folgenden Übersicht sind die zehn am häufigsten gemeldeten Ransomwares des zweiten Quartals 2020 ohne STOP aufgeführt.

Die 10 am häufigsten gemeldeten Ransomware-Familien im 1. Quartal 2021 (ohne STOP)

  1. Phobos: 12,10 %
  2. REvil/Sodinokibi: 8,20 %
  3. QLocker: 7,80 %
  4. Makop: 7,60 %
  5. Dharma (.cezar): 6,90 %
  6. Magniber: 5,50 %
  7. eCh0raix / QNAPCrypt: 4,70 %
  8. LockBit: 3,00 %
  9. GlobeImposter 2.0: 3,00 %
  10. Zeppelin: 2,40 %

Die meisten Ransomware-Einsendungen nach Land

In der folgenden Übersicht sind die zehn Länder aufgeführt, aus denen die meisten Ransomware-Einsendungen kamen (mit STOP). Sie machten 58,10 % aller weltweiten Einsendungen in dem Quartal aus.

Die meisten Ransomware-Einsendungen im 2. Quartal 2021 nach Land

  1. Indien: 21,30 %
  2. Indonesien: 10,00 %
  3. Südkorea: 5,50 %
  4. Ägypten: 4,10 %
  5. Brasilien: 3,90 %
  6. Pakistan: 3,80 %
  7. USA: 3,40 %
  8. Deutschland: 2,50 %
  9. Philippinen: 1,90 %
  10. Italien: 1,70 %

Diskussion

In diesem Quartal konnten wir bei den ID-Ransomware-Einsendungen einen erheblichen Anstieg um 43,23 % – von 96 023 im ersten Quartal zu 137 537 im zweiten Quartal – beobachten.

Die am häufigsten gemeldete Ransomware-Familie bleibt dabei auch weiter STOP/Djvu mit 71,2 % aller Einsendungen. Das ist sogar ein Anstieg um 51,4 % zum vorherigen Quartal. STOP ist eine erfolgreiche Ransomware, die in erster Linie Privatanwender erwischt. Sie wird gewöhnlich über Software-Cracks, Key Generators und Aktivierungstools verbreitet.

Bekannte Schwachstellen in QNAP-Geräten sorgen dieses Quartal für eine starke Zunahme von darauf ausgelegter Ransomware. Die aktivste Version dabei war die neue Ransomware Qlocker, die auf Besitzer von QNAP-NAS-Geräten abzielt und ein relativ kleines Lösegeld in Höhe von 500 USD fordert. Qlocker trat erstmals im April auf und stellte seinen Betrieb schon einige Wochen später wieder ein, nachdem ungefähr 350 000 USD erbeutet werden konnten. Trotz seiner kurzen Lebensdauer erreichte der Schädling mit 2,30 % aller Einsendungen im zweiten Quartal immerhin den vierten Platz.

Auch die Kriminellen hinter eCh0raix, einer erstmals im Juni 2019 gesichteten Ransomware-Gang, starteten eine Angriffswelle auf QNAP-Speichergeräte. Die QNAPCrypt getaufte Ransomware war für 1,4 % aller Meldungen verantwortlich.

Indien, das seit Beginn unserer vierteljährlichen Berichte in jedem Quartal den Spitzenplatz einnimmt, kam auf 21,3 % aller globalen Einsendungen im zweiten Quartal. Das ist ein Anstieg um 12,5 % zum ersten Quartal. Spanien und die Türkei, die im ersten Quartal noch 2,2 % aller Einsendungen ausmachten, waren in diesem Quartal gar nicht in den Top 10 vertreten. Sie wurden durch Deutschland (2,5 %) und die Philippinen (1,9 %) ersetzt.

Mehr zum Thema

 

Übersetzung: Doreen Schäfer

Malware-Labor von Emsisoft

Malware-Labor von Emsisoft

Das Laborteam ist eine Gruppe von Cybersicherheitsforschern, die den Schutz der Emsisoft-Produkte verbessern, Unternehmen beim Umgang mit Sicherheitsvorfällen helfen und Analysen erstellen, um Entscheidungsträger über mögliche Bedrohungen aufzuklären.

Weitere Artikel

Leserkommentare