KSN Report: Ransomware in den Jahren 2016-2017

Dieser Bericht basiert auf entpersonalisierten Daten, die vom Kaspersky Security Network (KSN) gesammelt wurden. Die wichtigste Größe dieses Berichts ist die Zahl der individuellen Nutzer von Kaspersky Lab Produkten mit aktiviertem KSN-Feature, die mindestens einmal in dem entsprechenden Zeitraum mit Ransomware konfrontiert waren. Zudem fußt der Report auf einer Analyse der Ransomware-Bedrohungslandschaft, die die Experten von Kaspersky Lab durchgeführt haben.

Der Bericht erfasst die Entwicklung der Bedrohung durch Ransomware in der Zeit vom April 2016 bis März 2017 und zieht zum Vergleich den Zeitraum von April 2015 bis März 2016 heran.

Ein kurzer Überblick über die Entwicklung der Ransomware im Laufe eines Jahres

Der Aufstieg des Modells Ransomware-as-a-Service

Im Mai 2016 entdeckte Kaspersky Lab die Ransomware Petya, die nicht nur die auf einem Computer gespeicherten Daten verschlüsselt, sondern auch den Master Boot Record (MBR) der Festplatte überschreibt und es infizierten Rechnern damit unmöglich macht, das Betriebssystem zu booten.

Diese Malware ist ein bemerkenswertes Beispiel für das Modell Ransomware-as-a-Service, wobei die Ransomware-Autoren ihr Machwerk „nach Bedarf“ anbieten, es so mit Hilfe vieler Angreifer verbreiten und einen Teil des Profits einstreichen. Um auch tatsächlich ihren Teil vom Kuchen abzubekommen, integrierten die Petya-Autoren bestimmte „Schutzmechanismen“ in ihr Schadprogramm, die den unautorisierten Gebrauch von Petya-Samples unmöglich machen.

Petya – zwei Trojaner in einem

Ransomware-as-a-Service ist zwar kein neuer Trend, doch dieses Verbreitungsmodell entwickelt sich immer weiter, wobei immer mehr Ransomware-Autoren ihre schädlichen Produkte anbieten. Dieser Ansatz hat sich als sehr attraktiv für Kriminelle erwiesen, denen es an technischen Fähigkeiten, Ressourcen oder einfach an der Lust mangelt, ihre eigene Erpressersoftware zu entwickeln.

Bemerkenswerte Beispiele für Ransomware, die im Jahr 2016 neu erschienen ist und innerhalb eines solchen Modells verwendet wurde, sind die Schädlinge Petya/Mischa und Shark, ein Erpresserprogramm, das später unter der Bezeichnung Atom neu aufgelegt wurde .

Die Zunahme zielgerichteter Attacken

Zu Beginn des Jahres 2017 registrierten die Forscher von Kaspersky Lab einen aufkommenden und gefährlichen Trend: Immer mehr Cyberverbrecher wenden sich von Angriffen auf Privatanwender ab und konzentrieren sich auf zielgerichteten Ransomware-Attacken gegen Unternehmen.

Die Angriffe richten sich in erster Linie gegen Finanzorganisationen auf der ganzen Welt. Die Experten von Kaspersky Lab haben Fälle aufgedeckt, in denen Lösegeld in Höhe von bis zu einer halben Million Dollar gefordert wurde.

Dieser Trend ist alarmierend, da die Akteure auf der Ransomware-Bühne einen Kreuzzug auf der Suche nach neuen Opfern starten, aus denen noch mehr Profit zu schlagen ist. Es gibt noch weitaus mehr potentielle Ransomware-Ziele in freier Wildbahn, wobei die Angriffe noch desaströsere Folgen haben könnten.

Die Analyse in dem vorliegenden Bericht versucht das Ausmaß des Problems einzuschätzen und die möglichen Gründe für die neuen Perspektiven der Ransomware-Entwicklungen weltweit herauszuarbeiten.

Die wichtigsten Zahlen

  • Die Gesamtzahl der Nutzer, die zwischen April 2016 und März 2017 mit Ransomware konfrontiert waren, stieg gegenüber den vorangegangenen zwölf Monaten (April 2015 bis März 2016) um 11,4% – von 2.315.931 auf 2.581.026 Nutzer weltweit;
  • der Anteil der Nutzer, die mindestens einmal mit Ransomware zu tun hatten, an der Gesamtzahl der Nutzer, die mit Malware konfrontiert wurden, ging um fast 0,8 Prozentpunkte zurück, von 4,34% in den Jahren 2015-2016 auf 3,88% in den Jahren 2016-2017;
  • unter den Usern, die von Ransomware angegriffen wurden, stieg der Anteil derjenigen, die es mit Verschlüsselungsschädlingen zu tun hatten, um 13,6 Prozentpunkte, und zwar von 31% in den Jahren 2015-2016 auf 44,6% in den Jahren 2016-2017;
  • die Zahl der von Verschlüsselungsschädlingen angegriffenen User hat sich beinahe verdoppelt, von 718.536 in den Jahren 2015-2016 auf 1.152.299 in den Jahren 2016-2017;
  • die Anzahl der von mobiler Ransomware angegriffenen Nutzer sank um 4,62%, und zwar von 136.532 Nutzern in der Zeit von April 2015 bis März 2016 auf 130.232 Nutzer im aktuellen Berichtszeitraum.

Fazit und Prognosen

Ausgehend von den Statistiken und Trends, die in diesem Bericht aufgeführt und beschrieben werden, kommen wir zu den folgenden Schlussfolgerungen:

  • Die Ransomware-Akteure beginnen, sich gegenseitig zu verschlingen. Das zeugt von einem steigenden Wettbewerbsdruck unter den Ransomware-Gangs.
  • Die geografische Statistik zeigt, dass die Angreifer nun auch in vormals unerreichte Länder vordringen, in denen die Nutzer nicht so gut für den Kampf gegen Ransomware gerüstet sind und wo die Konkurrenz unter den Verbrechern nicht so groß ist.
  • Beunruhigend ist, dass die Ransomware-Angriffe zunehmend zielgerichteter werden und dabei Finanz-Infrastrukturen rund um den Globus ins Visier nehmen. Der Grund für diesen Trend liegt auf der Hand: Für Cybergangster sind gezielte Ransomware-Attacken gegen Unternehmen potentiell gewinnbringender als massenhafte Angriffe gegen private Nutzer.
  • Die Zahlen belegen, dass Ransomware für PCs nach wie vor auf dem Vormarsch ist, wenn auch in einem langsameren Tempo.
  • Außerdem hat die Zahl der Nutzer, die von mobiler Erpressersoftware angegriffen wurden, im Berichtszeitraum abgenommen. Das könnte von einer erfolgreichen Zusammenarbeit zwischen den Anbietern von Sicherheitslösungen, verschiedenen Strafverfolgungsbehörden und anderen Akteuren zeugen. Ein verstärktes Bewusstsein für die Bedrohung, das durch die Medien gefördert wurde, die umfassend über die skandalträchtigsten betrügerischen Kampagnen berichteten, könnte auch einen Teil beigetragen haben.
  • Ein weiterer Grund ist das Herausbilden gemeinsamer Branchenanstrengungen, die Nutzer vor erpresserischer Verschlüsselungssoftware zu schützen.
  • Auch wenn die Statistiken belegen, dass Cyberangriffe unter Verwendung von Erpressersoftware gigantische Ausmaße erreicht haben, so tragen doch nur einige wenige Schadprogramm-Gruppen die Verantwortung für die meisten mobilen Attacken, die zu einem überwiegenden Teil über Partnerprogramme verbreitet werden. Gleichzeitig demonstriert die PC-Ransomware einen genau gegenteiligen Status, mit zahlreichen Akteuren in freier Wildbahn, die ad hoc-Attacken durchführen.

Wir bei Kaspersky Lab sind der Überzeugung, dass die Ransomware-Bedrohungslandschaft in Einklang mit diesen Schlussfolgerungen eine gute Basis für verschiedene Prognosen bietet, auf welche Weise diese Bedrohung sich in der Zukunft weiterentwickeln wird.

Prognosen

  • Das Erpressermodell wird sich noch für eine lange Zeit halten. Ein stabileres Wachstum, das durchschnittlich auf einem höheren Niveau ist, könnte auf einen alarmierenden Trend hindeuten: Eine Verschiebung weg von den chaotischen Versuchen vereinzelt auftretender Akteure, in der Bedrohungslandschaft Fuß zu fassen, hin zu regelmäßigeren Attacken größeren Ausmaßes.
  • Bedenkt man die Anzeichen für einen zunehmenden Wettbewerb auf dem Ransomware-Markt, so liegt die Vermutung nahe, dass das Modell Ransomware-as-a-Service ebenfalls immer beliebter werden und somit auch neue Akteure anziehen wird.
  • Ransomware wird technisch immer raffinierter und vielfältiger, es werden einsatzbereite Lösungen für diejenigen angeboten, die nicht über ausreichende Fähigkeiten, Ressourcen oder genügend Zeit verfügen, selbst Erpressersoftware zu entwickeln. All das läuft über ein wachsendes und zunehmend effizienteres Ökosystem im Untergrund.
  • Die Entwicklung einer Criminal-to-Criminal-Infrastruktur befördert das Aufkommen von betriebsfertigen Gelegenheitstools, mit denen zielgerichtete Attacken durchgeführt werden und Geld erpresst wird, und die die Angriffe noch breiter streuen. Dieser Trend ist schon da und wird sich in der Zukunft sehr wahrscheinlich fortsetzen.
  • Globale Initiativen, die Nutzer vor Verschlüsselungs-Ransomware schützen, werden weiter an Boden gewinnen.

Bekämpfung

Durch Technologie: Kaspersky Lab bietet ein kostenloses Anti-Ransomware-Tool an, das für alle Unternehmen zum Download und Gebrauch bereitsteht, völlig unabhängig davon, welche Sicherheitslösung installiert ist.

Durch Zusammenarbeit: Die No More Ransom Initiative. Am 25. Juli 2016 gaben die Niederländische Polizei, Europol, Intel Security und Kaspersky Lab den Start des Projekts No More Ransom bekannt – eine gemeinnützige Initiative, die öffentliche und private Organisationen mit dem Ziel vereint, Menschen über die Gefahren von Ransomware aufzuklären und ihnen zu helfen, ihre Daten wiederherzustellen. Das Online-Portal stellt aktuell 50 Entschlüsselungstools bereit, von denen sieben von Kaspersky Lab entwickelt wurden. Seit Start der NMR-Initiative waren mehr als 29.000 Opfer weltweit in der Lage, ihre Dateien dank der Tools von Kaspersky Lab kostenlos wiederherzustellen. Das NMR-Portal ist derzeit in 14 Sprachen verfügbar: English, Niederländisch, Französisch, Italienisch und Portugiesisch, Deutsch, Spanisch, Slowenisch, Finnisch, Hebräisch, Ukrainisch, Koreanisch und Japanisch.

KSN Report: Ransomware in 2016-2017 (vollständiger Bericht in englischer Sprache):

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.