Die durch Ransomware-Angriffe eingenommenen Gelder fielen von einem Höchststand von 765,6 Millionen Dollar im Jahr 2021 auf 456,8 Millionen Dollar im Jahr 2022, so ein neuer Bericht des Analyseunternehmens Chainalysis.
Die Erfolgsquote von Ransomware-Angriffen im Zusammenhang mit Kryptowährungen ist in den letzten 12 Monaten stark gesunken.
Krypto-Ransomware-Aktivität
Die nachstehende Grafik zeigt den Anstieg und Rückgang der durch Ransomware-Angriffe erlangten Gelder in den letzten 6 Jahren. Ein dramatischer Anstieg war im Jahr 2020 zu verzeichnen, als die gestohlenen Gelder 765 Millionen Dollar erreichten, und im Jahr 2021 wurden ähnliche Beträge von bösen Akteuren gestohlen.
Quelle: Chainalysis
Der Chainalysis-Bericht räumt zwar ein, dass „die wahren Zahlen viel höher sind“, da es wahrscheinlich Adressen gibt, die Ransomware-Angreifern gehören und noch nicht identifiziert wurden, doch der Rückgang zeigt, dass die Opfer solchen Angriffen gegenüber aufgeschlossen sind. Infolgedessen hat Chainalysis eine Erklärung abgegeben, die diese Einschätzung unterstützt:
„[Der Rückgang der Ransomware-Zahlungen] bedeutet nicht, dass es weniger Angriffe gibt… Wir glauben, dass ein Großteil des Rückgangs darauf zurückzuführen ist, dass sich die Opferorganisationen zunehmend weigern, Ransomware-Angreifer zu bezahlen. „
Ransomware-Stämme explodieren
Obwohl die Zahlungen zur Entfernung von Ransomware drastisch zurückgegangen sind, ist die Zahl der Ransomware-Stämme im Jahr 2022 explodiert. Ein Stamm ist eine Art von Ransomware mit häufigen Varianten: Royal, Ragnar, Quantum, Play, Hive und Lockbit.
Fortinet, ein führendes Unternehmen für Cybersicherheitshardware und -software, meldete für das Jahr 2022 mehr als 10.000 einzelne Stämme, die aktiv waren.
Die Lebensdauer der Stämme nimmt ab, da bösartige Akteure die Angriffsvektoren immer weiter variieren, um das Volumen der gestohlenen Gelder zu optimieren. Im Jahr 2012 dauerten die Angriffe beispielsweise 3.907 Tage, während die durchschnittliche Dauer im Jahr 2022 nur noch 70 Tage beträgt. Infolgedessen müssen Cybersecurity-Lösungen in ihrer Verteidigungsstrategie mit einer zunehmenden Anzahl aktiver Stämme Schritt halten.
Ransomware finanziert
Die durch Ransomware-Angriffe erlangten Gelder werden über verschiedene Wege gewaschen. Der Großteil der Gelder wird nach wie vor an beliebte zentrale Börsen geschickt. P2P-Börsen, eine beliebte Lösung für Ransomware-Angreifer im Jahr 2018, machen jedoch nur noch einen geringen Prozentsatz des Gesamtvolumens aus.
Nach den zentralen Börsen ist die Nutzung von Darknet-Märkten, die in der nachstehenden Chainalysis-Tabelle als „illegal“ bezeichnet werden, eine anhaltende Methode zur Geldwäsche. Der nächstgrößere Anteil entfällt auf Mischdienste, die es Angreifern ermöglichen, Kryptowährungen zu „waschen“, ohne dass die globalen Behörden etwas dagegen unternehmen können.
Quelle: Chainalysis
Datenforensik in der Kette
Chainalysis nutzte On-Chain-Daten, um „Affiliate“-Märkte für Ransomware-Software zu identifizieren, bei denen Dritte in einem Ransomware-as-a-Service-Modell einen „kleinen, festen Anteil an den Erlösen“ erhalten.
Wir können uns das wie die Gig Economy vorstellen, aber für Ransomware. Ein Rideshare-Fahrer kann seine Uber-, Lyft- und Oja-Apps gleichzeitig geöffnet haben, wodurch die Illusion entsteht, dass drei verschiedene Fahrer unterwegs sind – in Wirklichkeit handelt es sich aber um ein und dasselbe Auto. „
On-Chain-Daten haben es Unternehmen wie Chainalysis ermöglicht, schlechte Akteure über die Blockchain zu verfolgen und möglicherweise den nächsten Angriffsvektor zu identifizieren. Zum Beispiel wurde Conti, ein weit verbreiteter Ransomware-Stamm, im Mai 2022 aufgelöst. On-Chain-Daten haben jedoch gezeigt, dass Wallets, die mit Conti verbunden sind, nun zu anderen Stämmen wie Royal, Quantum und Ragnar wechseln.
Ransomware-Angreifer haben „Wallets für mehrere Angriffe wiederverwendet, die nominell unter anderen Stämmen gestartet wurden“, was die Rückverfolgung von Aktivitäten relativ einfach macht.
Rückgang der Ransomware-Zahlungen
Die Zahl der erfolgreichen Ransomware-Angriffe ist aufgrund des zunehmenden Verständnisses der Landschaft, verbesserter Sicherheitsmaßnahmen und besserer forensischer Möglichkeiten in der Kette zurückgegangen. Infolgedessen weigern sich die Opfer, die Angreifer zu bezahlen, da viele von ihnen mit OFAC-sanktionierten Parteien verbunden sind.
Im Jahr 2019 weigerten sich nur 24 % der Opfer zu zahlen, während der Prozentsatz im Jahr 2022 auf 59 % anstieg. Die Zahlung eines Ransomware-Kopfgeldes an eine Partei auf der OFAC-Sanktionsliste könnte nun „rechtlich riskanter“ sein. Allan Lisk, ein Intelligence-Analyst bei Recorded Future, erklärte gegenüber Chainalysis;
„Mit der Androhung von Sanktionen drohen zusätzlich rechtliche Konsequenzen für die Bezahlung [von Ransomware-Angreifern]. „
Die Folgen der Nichtbezahlung von Ransomware-Forderungen können für die Opfer, die oft den Zugang zu wichtigen Daten verlieren, verheerend sein. Da die illegale Branche jedoch immer weniger finanzierbar ist, besteht die Hoffnung, dass auch die Zahl der Angriffe zurückgeht und damit die Zahl der Opfer sinkt.
Unabhängig davon ist die Rolle der Kryptowährung bei Ransomware-Angriffen eindeutig. Es ist eine Methode, um jedes Jahr Kryptowährungen im Wert von Hunderten von Millionen Dollar zu stehlen. Das soll jedoch nicht heißen, dass nicht noch mehr an traditionelle Finanzwerte verloren geht, von denen viele nicht über eine Blockchain rückverfolgbar sind.
