Sie sind hier: Home » Markt » Hintergrund

Hinter den Kulissen: Was Ransomware kostet


Einblicke in die Ransomware-Ökonomie: Die Kosten eines Ransomware-Angriffs sind siebenmal höher als das Lösegeld
Bedrohungsakteure gehen mit perfiden Verhandlungstaktiken, die minutiös geplant sind, vor, um ihre Oper zum Zahlen zu bringen




Die Sicherheitsforscher von Check Point Research (CPR geben neue Einblicke in die Ransomware-Ökonomie, nachdem die Leaks der Conti-Gruppe und verschiedene Datensätze von Ransomware-Opfern weiter analysiert wurden. Das gezahlte Lösegeld ist nur ein kleiner Teil der tatsächlichen Kosten eines Ransomware-Angriffs für das Opfer, denn CPR schätzt die Gesamtkosten auf das Siebenfache. Die Cyberkriminellen verlangen eine Summe, die sich am Jahresumsatz des Opfers orientiert und zwischen 0,7 und fünf Prozent liegt.

CPR analysierte zwei Datensätze, um neue Einblicke in die Ransomware-Wirtschaft zu erhalten. Der erste Datensatz war die Datenbank für Cyber-Vorfälle von Kovrr, welche aktuelle Informationen über Cyber-Vorfälle und deren finanzielle Auswirkungen enthält. Den zweiten verwendeten Datensatz bilden die Leaks der Conti-Gruppe. Die Untersuchung von CPR zielt darauf ab, beide Seiten eines Ransomware-Angriffs zu erforschen: Opfer und Cyberkriminelle.

Im ersten Quartal 2022 beobachtete CPR einen globalen Anstieg der Ransomware-Angriffe. Weltweit liegt der wöchentliche Durchschnitt der betroffenen Unternehmen bei einem von 53, was einen Anstieg um 24 Prozent im Vergleich zum Vorjahr bedeutet, wo im ersten Quartal nur eines von 66 Unternehmen betroffen war. In Europa hingegen ist im Wochendurchschnitt nur eines von 68 Unternehmen betroffen, was einen Anstieg um 16 Prozent bedeutet - im ersten Quartal des Vorjahres war nur eines von 80 Unternehmen betroffen. Die Dauer eines Ransomware-Angriffs ist deutlich zurückgegangen, von 15 Tagen auf neun Tage im Jahr 2021. CPR stellt auch fest, dass Ransomware-Gruppen klare Spielregeln für erfolgreiche Verhandlungen mit den Opfern haben, die den Verhandlungsprozess und die Dynamik beeinflussen:

Säulen der erfolgreichen Verhandlung

>> Die Zahlungsfähigkeit des Opfers:
Die Conti-Gruppe verwendet Datensätze von ZoomInfo und DNB, um den Jahresumsatz des Opfers zu ermitteln. Manchmal sind diese Angaben nur Schätzungen und stimmen nicht mit den tatsächlichen Einnahmen des Opfers überein, was wiederum zu einer problematischen Verhandlung führt. Contis Team sucht in den gestohlenen Informationen auch nach Hinweisen auf Bankdaten, um die Bargeldreserven des Opfers besser zu verstehen.

>> Qualität der exfiltrierten Daten des Opfers: Die Conti-Gruppe exfiltriert sowohl Daten als auch verschlüsselt die Zielsysteme. Manchmal ist die Verschlüsselung nur teilweise, so dass kritische Systeme nicht betroffen sind. In anderen Fällen handelt es sich bei den exfiltrierten Daten um unkritische Daten. In solchen Fällen wären die Betreiber von Conti bei den Verhandlungen flexibler.
Der Ruf von Conti: Die Reputation ist einer der wichtigsten Aspekte einer Ransomware-Gruppe. Wenn Opfer bekannt machen, dass die Conti-Gruppe die verschlüsselten Daten nicht zur Verfügung stellt oder Conti vertrauliche Informationen veröffentlicht oder weiterverkauft, könnte dies künftige Opfer von der Zahlung abhalten. Die Conti-Gruppe scheint ihren Ruf sehr ernst zu nehmen und hat einem Vermittler, der behauptete, zwei seiner Kunden hätten keine ordnungsgemäße Entschlüsselung erhalten, umgehend geholfen.

>> Cyber-Versicherung: Das Team von Conti untersucht die gestohlenen Daten auch auf Dokumente, die sich auf eine Cyber-Versicherung beziehen. Conti bevorzugt Ziele, die über eine Cyber-Versicherung verfügen, da sie eine höhere Chance auf einen erfolgreichen Zahltag bieten. In der Tat werden einige von Contis Zielen gegenüber anderen bevorzugt, weil sie über eine Cyberversicherung verfügen.

>> Die Verhandlungsführer des Opfers: In einem Lösegeldfall beauftragt das Opfer häufig ein externes Lösegeldverhandlungsteam, welches die Gespräche mit den Betreibern von Conti führt. In einigen Fällen kann dies den Prozess rationalisieren. In der Tat spricht das Conti-Team manchmal mit denselben Unterhändlern über verschiedene Lösegeldfälle. In anderen Fällen können diese Verhandlungsführer das Team von Conti verärgern und die Verhandlungen zu einem raschen Ende bringen.

Sergey Shykevich, Threat Intelligence Group Manager bei Check Point Software, zu den neusten Erkenntnissen: "In dieser Studie haben wir einen detaillierten Einblick in die Sichtweise von Angreifern und Opfern eines Ransomware-Angriffs gegeben. Die wichtigste Erkenntnis ist, dass das gezahlte Lösegeld – die Zahl, mit der sich die meisten Untersuchungen beschäftigen – im Ransomware-Ökosystem keine Schlüsselzahl ist. Sowohl die Cyberkriminellen als auch die Opfer haben viele andere finanzielle Aspekte und Überlegungen im Zusammenhang mit dem Angriff. Es ist bemerkenswert, wie systematisch die Cyberkriminellen bei der Festlegung der Lösegeldhöhe und bei den Verhandlungen vorgehen. Nichts ist zufällig und alles ist nach den beschriebenen Faktoren definiert und geplant. Bemerkenswert ist die Tatsache, dass die Nebenkosten von Ransomware für die Opfer siebenmal höher sind als das Lösegeld, das sie zahlen. Unsere Botschaft an die Öffentlichkeit ist, dass der Aufbau einer angemessenen Cyberabwehr im Voraus, insbesondere ein gut definierter Reaktionsplan auf Ransomware-Angriffe, den Unternehmen viel Geld sparen kann."

Alle Einzelheiten erfahren Sie hier:
https://research.checkpoint.com/2022/behind-the-curtains-of-the-ransomware-economy-the-victims-and-the-cybercriminals/ (Check Point Software Technologies: ra)

eingetragen: 04.05.22
Newsletterlauf: 06.07.22

Check Point Software Technologies: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hintergrund

  • IP-Adressen der einzige Ermittlungsansatz?

    Die Ampel-Regierung hat sich nach Angaben von FDP-Rechtspolitikern im Kabinett auf das sogenannte "Quick-Freeze-Verfahren" geeinigt. Verkehrsdaten sollen bei diesem Modell nur bei einem Anfangsverdacht auf eine Straftat auf Richteranordnung gespeichert werden.

  • Unterschied zwischen DSA und NetzDG

    Am 17. Februar 2024 trat der Digital Services Act (DSA), das EU-Regelwerk für Internet-Plattformen, in vollem Umfang in Kraft. Bayerns Justizminister Georg Eisenreich sagte: "Hass und Hetze im Internet bedrohen unsere Demokratie wie nie zuvor. Nach einer aktuellen, repräsentativen Studie wurde fast jede zweite Person in Deutschland bereits online beleidigt, ein Viertel der Befragten mit körperlicher Gewalt konfrontiert.

  • Entwicklung der Künstlichen Intelligenz 2024

    Unkoordinierter Einsatz, Fokus auf Personalisierung, Gleichberechtigung am Arbeitsplatz, ROI sowie Bedrohungen und Chancen sind die Trends, die die Künstliche Intelligenz 2024 prägen werden. Der weltweite Umsatz im Bereich Künstliche Intelligenz in den Anwendungsfeldern Hardware, Software und IT-Services könnte sich im Jahr 2024 auf über 550 Milliarden US-Dollar belaufen.

  • Wird KI den Finanzberater ersetzen?

    Die Zeiten, in denen Finanzdienstleister in Deutschland künstlicher Intelligenz nur zaghaft begegneten, sind vorbei. Banken, Vermögensverwalter und Asset Manager haben KI eindeutig als eine der strategisch wichtigsten Technologien für die Branche erkannt. Allerdings ist es für viele Akteure nach wie vor schwierig, diese effektiv umzusetzen.

  • Absichern entlang der Lieferkette

    Das Lieferkettensorgfaltspflichtengesetz (LkSG) sieht für die betroffenen Unternehmen vor, "menschenrechtliche und umweltbezogene Sorgfaltspflichten in angemessener Weise zu beachten" (§ 3 Abs. 1 Satz 1 LkSG). Vom Gesetzestext selbst könnten sich viele Unternehmen jedoch erst einmal unbeeindruckt fühlen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen