Nach dem LockBit-Angriff: Wie steht es um Ransomware-Attacken? In den letzten Jahren sind Ransomware-Angriffe zu einer zunehmend ernsthaften Bedrohung für Unternehmen und Organisationen auf der ganzen Welt geworden. Der jüngste LockBit-Angriff hat die Aufmerksamkeit auf die fortschreitende Entwicklung dieser Art von Cyberkriminalität gelenkt. Doch wie steht es um die Ransomware-Attacken nach dem LockBit-Angriff? Ein aktueller Bericht von Trend Micro analysiert die Ransomware-Landschaft und gibt einen Überblick über die Auswirkungen der Unterbrechung der LockBit-Aktivitäten auf dieses Umfeld. Obwohl LockBit nicht vollständig zerschlagen wurde, wurde seine Aktivität erheblich gedämpft und neue bösartige Code-Entwicklungen wurden entdeckt und somit nutzlos gemacht. Trend Micro hat in Zusammenarbeit mit der National Crime Agency (NCA) detaillierte Analysen zu den Aktivitäten der Ransomware-Gruppe durchgeführt und konnte die gesamte Funktionalität der Schadsoftware dauerhaft beeinträchtigen.
Sowohl LockBit als auch BlackCat zählen seit 2022 kontinuierlich zu den am meisten entdeckten Ransomware-as-a-Service (RaaS) Anbietern weltweit. Mit der steigenden Anzahl von Opfern auf globaler Ebene lässt sich auch ein Anstieg aktiver RaaS-Gruppen verzeichnen. Untersuchungen von Sicherheitsexperten haben ergeben, dass Ransomware-Bedrohungsakteure vor allem auf kleinere Organisationen abzielen, die weniger Ressourcen für die IT-Sicherheit zur Verfügung haben. Im zweiten Halbjahr 2023 waren die meisten Opfer von LockBit (200%) und BlackCat (61%) Unternehmen mit weniger als 50 Mitarbeitern. Auch bei der Clop-Ransomware-Gruppe fokussierten sich mehr als die Hälfte der Angriffe (62%) auf solche KMUs.
Der Bericht zeigt zudem einen anhaltenden Anstieg der Anzahl von Ransomware-Bedrohungen auf E-Mail-, URL- und Dateiebene auf der ganzen Welt. Im Vergleich zur ersten Jahreshälfte stieg die Gesamtanzahl der entdeckten und blockierten Ransomware-Bedrohungen um mehr als 11%. Ransomware-Akteure veröffentlichten Daten von etwa 2.500 Unternehmen auf Lecksites, nachdem diesen angeblich die Zahlung des Lösegelds verweigert wurde. LockBit dominierte die Ransomware-Landschaft weltweit und machte im dritten Quartal 18% und im vierten Quartal 22% aller Opfer aus.
Nordamerika war im Jahr 2023 der Schwerpunkt der Angriffe, wobei 45% der Angriffe in der zweiten Jahreshälfte auf diese Region entfielen, gefolgt von Europa mit 26% und dem Asien-Pazifik-Raum mit 12%. Durch die Cronos Operation gelang es LockBit, im Jahr 2023 einen großen Teil der Ransomware-Schadsoftware zu stören. Durch die intensive Zusammenarbeit mit der NCA gelang es Trend Micro, eine detaillierte Analyse der nächsten Version von LockBit, LockBit-NG-Dev, vorzulegen und somit das gesamte LockBit-Produkt für kriminelle Zwecke unbrauchbar zu machen. Diese Aktion, die als Cronos Operation bezeichnet wird, markiert einen wichtigen Schritt im globalen Kampf gegen Cyberbedrohungen. In ähnlicher Weise wurde auch die BlackCat-Ransomware-Gruppe durch eine internationale Strafverfolgungsaktion unter Führung des FBI erfolgreich infiltriert und gestört.
Nachdem die Operation im Dezember hunderte von Schlüsselpaaren für BlackCats Tor-Server erbeutet hatte, gelang es, die Lecksite zu schließen. Insgesamt zeigen diese Entwicklungen, dass trotz der Erfolge im Umgang mit LockBit und BlackCat Ransomware-Angriffen nach wie vor eine ernsthafte Bedrohung darstellen. Die steigende Anzahl von Opfern und aktiven RaaS-Gruppen verdeutlicht die Notwendigkeit fortschrittlicher Sicherheitsmaßnahmen, um sich gegen diese dauerhafte Gefahr zu schützen. Die Zusammenarbeit von Sicherheitsteams und Strafverfolgungsbehörden ist entscheidend, um Cyberkriminalität effektiv einzudämmen und Unternehmen sowie Organisationen vor gravierenden Schäden zu bewahren.
