Ransomware-Angreifer erpressten 2022 456,8 Millionen Dollar von ihren Opfern, 40 % weniger als die 765,6 Millionen Dollar im Vorjahr. Bevor wir jedoch auf den Sieg anstoßen, gibt es einige wichtige Vorbehalte zu beachten. Im ersten Quartal 2023 gab es 19 gemeldete web3-Hacks – gegenüber 16 im ersten Quartal 2022 und 10 im ersten Quartal 2021*. Der jüngste Hack von Euler Finance, bei dem 197 Millionen Dollar in Ether-Token (stETH) aus dem Protokoll abgezogen wurden, ist ein typisches Beispiel. Wie Unternehmen auf diese Angriffe reagieren, ist sehr unterschiedlich, und die Ergebnisse werden mit Sicherheit die Regulierung dieser angeschlagenen Anlageklasse beeinflussen.
Eine im Januar 2023 von Naoris Protocol, einer dezentralen Cybersicherheitsplattform, durchgeführte Umfrage ergab, dass Unternehmen in der Tat Ransomware-Angreifern den Rücken kehren, indem sie sich weigern, den Preis für die Wiederbeschaffung gestohlener/verschlüsselter Daten zu zahlen. In der Umfrage wurde die Frage gestellt: „Wenn Sie oder Ihr Unternehmen Opfer eines Ransomware-Angriffs wären, würden Sie den Angreifer bezahlen (einschließlich des Versuchs, eine niedrigere Gebühr auszuhandeln)?
Interessanterweise gab die Mehrheit der knapp 600 Befragten (70,8 %) an, dass sie das Lösegeld nicht zahlen und den Angriff den zuständigen Behörden melden würden. Dies war überraschend, da die Ergebnisse nicht mit anderen Statistiken über Ransomware-Meldungen übereinstimmen. Anderen Berichten zufolge melden nur 42 % der Unternehmen, die Opfer eines Ransomware-Angriffs werden, diesen auch tatsächlich.
David Carvalho, CEO und Mitbegründer von Naoris Protocol, sagt: „Es ist viel einfacher, sich moralisch zu profilieren, wenn die Frage theoretisch ist. Wenn sie mit der Realität eines Ransomware-Angriffs konfrontiert werden, der ihr Unternehmen täglich Millionen kosten könnte, sowie mit potenziellen Marken- und Reputationsschäden, sind die Unternehmen möglicherweise zurückhaltender, eine moralische Haltung einzunehmen.
Die nächstgrößere Gruppe in der Umfrage, 16,55 %, gab an, dass sie weder das Lösegeld zahlen noch den Angriff melden würden, sondern sich auf Backups zur Wiederherstellung der Daten verlassen würden. Andere Untersuchungen zeigen, dass von allen Ransomware-Opfern 32 % zahlen, aber nur 65 % ihrer Daten zurückerhalten, wobei nur 57 % der Unternehmen erfolgreich Daten aus Backups wiederherstellen können. Diese Strategie funktioniert also nicht als wirksame Maßnahme zur Wiederherstellung von Daten. Hinzu kommt, dass mehr als ein Drittel der Unternehmen, die Lösegeld für die Wiederbeschaffung ihrer Daten gezahlt haben, ein zweites Mal angegriffen wurden und sogar noch mehr als beim ersten Angriff zahlen mussten, wobei 41 % nicht alle ihre Daten wiederherstellen konnten.
Nicht nur die Zahl der erfolgreich gemeldeten Ransomware-Angriffe ist im ersten Quartal 2023 im Vergleich zum ersten Quartal 2022 gestiegen, auch die Angriffsmethoden entwickeln sich weiter. Traditionell werden die Angriffe durch Verschlüsselung der Zieldaten durchgeführt, und die Täter verlangen von den Opfern eine Gebühr für den Entschlüsselungsschlüssel. Jetzt gehen die Kriminellen zu einer doppelten Erpressungstaktik über und drohen damit, die Daten zu verkaufen, wenn das Lösegeld nicht gezahlt wird.
Sie nutzen auch Denial-of-Service-Angriffe und Belästigungen per E-Mail oder Telefon. Während die Zahl der Ransomware-Auszahlungen zurückgegangen ist, steigt der durchschnittliche Ransomware-Betrag. Unit 42, ein Unternehmen für die Bewertung von Cyberrisiken, berichtete, dass die durchschnittliche Lösegeldforderung im Jahr 2021 bei etwa 2,2 Millionen US-Dollar lag, was einen Anstieg um 144 % gegenüber der durchschnittlichen Forderung von 900.000 US-Dollar aus den im Jahr 2020 analysierten Fällen bedeutet.
Die Schätzung der Anzahl erfolgreicher Ransomware-Angriffe (Angriffe, die entweder zu Datenlecks oder Lösegeldzahlungen führten) ist schwierig, da die Berichterstattung undurchsichtig und uneinheitlich ist. Es wird geschätzt, dass es zwischen Mai 2021 und Juni 2022 weltweit 3.640 erfolgreiche Ransomware-Angriffe gegeben hat.
Rund 73 % der Unternehmen waren in den letzten 24 Monaten von mindestens einem Ransomware-Angriff betroffen, und 60 % der Unternehmen gaben zu, dass Cyberkriminelle bis zu sechs Monate vor dem Angriff in ihrem Unternehmen gearbeitet haben.
Andere Befragte in der Naoris Protocol-Umfrage (5,32 %) gaben an, dass sie das Lösegeld zahlen, aber nicht melden würden, und 7,32 % sagten, sie würden zahlen und melden. Auch hier variieren die Zahlen stark. Laut einer Umfrage unter 300 US-amerikanischen IT-Entscheidungsträgern waren 64 % im letzten Jahr Opfer eines Ransomware-Angriffs, und 83 % der Opfer zahlten das Lösegeld.
Es gibt mehrere hochkarätige Organisationen, die Analysen zu Cyber-Bedrohungen durchführen, und ihre Berichte haben das alarmierende Ausmaß und die Größenordnung der Cyber-Bedrohungen deutlich gemacht. Dabei ist jedoch zu beachten, dass die Zusammensetzung der Stichproben sehr unterschiedlich sein kann, was zu einer Verzerrung einiger Ergebnisse führen kann. Würde man beispielsweise eine Gruppe von Unternehmensvorständen im Vergleich zu einer Gruppe von KMUs befragen, würden sich erhebliche Unterschiede in der Art und Weise ergeben, wie sie an Cyberkriminalität herangehen.
Und dann ist da noch die Frage, die niemand ansprechen will: Was passiert mit den gestohlenen Daten? Kriminelle haben die Dateien immer noch und könnten die Informationen ungestraft im Dark Web verkaufen. Wenn das Unternehmen, das Opfer eines Angriffs wurde, seine Daten zurückerhält und es schafft, einem Imageschaden zu entgehen, indem es den Angriff nicht meldet, werden seine Kunden und Netzwerke dennoch den Preis für die Sicherheitsverletzung zahlen, und schlimmer noch, sie werden nicht einmal wissen, dass sich ihre Daten in den Händen von Kriminellen befinden.
Auch wenn es ethisch nicht vertretbar ist, ist es verständlich, warum Unternehmen nicht preisgeben wollen, dass sie Opfer eines Angriffs geworden sind. In einem Bericht von IBM und Forbes wurde festgestellt, dass 46 % der Unternehmen, die von einer Verletzung der Cybersicherheit betroffen waren, einen erheblichen Imageschaden erlitten haben. Ein gutes Beispiel hierfür ist Travelex, ein Devisenhandelsunternehmen, das sieben Monate nach einem Ransomware-Angriff in die Insolvenz geriet. Der Angriff legte das Unternehmen mehr als einen Monat lang lahm und das Unternehmen zahlte schließlich 2,3 Millionen Dollar an die Angreifer.
Es wird immer deutlicher, dass Unternehmen und Institutionen in Zukunft nicht mehr in der Lage sein werden, einen Ransomware-Angriff zu verbergen. Regulierungsbehörden und Regierungen rüsten sich angesichts der zunehmenden Angriffe gegen Ransomware. Es ist ein Wettlauf mit der Zeit, insbesondere in den Bereichen kritische Infrastrukturen und Behörden. Auch wenn es sich nicht um eine Ransomware-Forderung handelte, ist der jüngste Angriff auf das NATO-Hauptquartier für Sondereinsätze und die strategische Lufttransportkapazität, die beide humanitäre Hilfe für die Opfer des jüngsten Erdbebens in der Türkei und Syrien leisten, ein Paradebeispiel für die Fähigkeiten von Cyberkriminellen. Bei einem neueren Angriff meldete der U.S. Marshals Service (USMS) den Diebstahl sensibler Strafverfolgungsdaten, was beweist, dass auch Strafverfolgungsbehörden dem Zugriff von Hackern nicht schutzlos ausgeliefert sind.
Derzeit liegt ein Gesetzesentwurf auf dem Tisch, der die Zahlung von Lösegeld für Unternehmen illegal macht. Eine Entscheidung des Office of Foreign Assets Control (OFAC) des US-Finanzministeriums und des Financial Crimes Enforcement Network (FinCEN) aus dem Jahr 2020 besagt, dass die meisten Fälle von Lösegeldzahlungen illegal sind. Die EU hat sich diesem Beispiel angeschlossen, und die EU-Mitgliedstaaten können gemäß der Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie) Geldstrafen für die Zahlung von Lösegeld verhängen. Vorschläge der australischen Regierung und Appelle von Europol liegen ebenfalls auf dem Tisch.
US-Präsident Joe Biden hat vor kurzem eine neue Cybersicherheitsstrategie vorgelegt, in der er alle Branchen auffordert, ihre Verantwortung für die Cybersicherheit ernster zu nehmen. Bisher war die Berichterstattung freiwillig, wobei die Regierung die Unternehmen aufforderte, Systemeinbrüche zu melden und ihre Programme regelmäßig zu patchen“, um neu entdeckte Schwachstellen zu schließen. Die Freiwilligkeit hat nicht zu den gewünschten Ergebnissen geführt, so dass Bidens Strategie weitreichendere Verpflichtungen für die Privatwirtschaft vorsieht, da diese den größten Teil der digitalen Infrastruktur der USA kontrolliert. Die US-Regierung ist besonders besorgt über Angriffe aus dem Ausland und die immer ausgefeiltere Technologie, die zur Durchführung von Angriffen verwendet wird.
Carvalho sagt: „Letztendlich ist das beste Mittel die Vorbeugung, und das beginnt mit der Aufklärung von Mitarbeitern und Einzelpersonen über die Rolle, die sie bei der Vereitelung von Angriffen von Cyberkriminellen spielen können. Neue Technologien werden ebenfalls eine wichtige Rolle bei der Abwehr von Angriffen spielen. In einer zunehmend vernetzten und dezentralisierten Welt ist jedes Gerät mit Internetanschluss eine potenzielle Schwachstelle oder ein Einstiegspunkt für einen Cyberangriff.
Die herkömmliche Cybersicherheit geht davon aus, dass die Zugangspunkte in ihrem geschlossenen Infrastrukturnetz umzäunt sind. In einem zunehmend dezentralisierten und vernetzten Geschäftsumfeld stellt jedoch die Verteilung von Geräten und Cloud-Servern ein Risiko dar, da sie unabhängig von den aktuellen Cybersicherheitskontrollen zu Single Points of Failure werden, z. B. Mobiltelefone, Laptops, Server usw. der Mitarbeiter. IT-Architekturen sind zentralisiert, d. h. es gibt eine zentrale Kontrollstelle oder Autorität. Dies macht es Angreifern leicht, das gesamte System anzugreifen und zu kompromittieren oder Prozesse zu übernehmen. Selbst wenn Bedrohungen erkannt und Risiken identifiziert werden und bekannt sind, ist es in der Regel zu spät, um einen größeren Einbruch zu verhindern“.
Wenn ein Hacker über ein Gerät in den Code eines Systems oder Netzwerks eingreift, wird sofort ein Alarm ausgelöst, und das Gerät kann möglicherweise aus dem Netzwerk ausgesperrt werden, um zu verhindern, dass die gesamte Netzwerkinfrastruktur kompromittiert wird – dezentrales Vertrauen und Sicherheitsdurchsetzung in zentralisierten Bereichen. Solange die technologische Lücke nicht geschlossen ist, werden Unternehmen weiterhin mit Cyberbedrohungen konfrontiert sein. Wenn man bedenkt, dass 95 % aller Hacker durch das Anklicken von Phishing-Links und ähnlichem ins Haus gelassen werden, wäre Aufklärung eine sehr lohnende Investition.
Autor: David Carvalho, CEO und Mitbegründer Naoris-Protokoll
*Analyse der DefiLlama-Website, durchgeführt am 11. April 2023 https://defillama.com/hacks
