Eine neue Studie von IT-Sicherheitsexperten zu Trends bei Ransomware-Attacken beschäftigt sich mit der Frage, wie Cyber-Kriminelle agieren und ihre Aktivitäten finanzieren, und zieht dabei netzwerk- und hostbasierte Telemetriedaten, Bitcoin- und Finanztransaktionen sowie Informationen aus Untergrundforen und Chatprotokollen heran. Um kriminelle Geschäftsprozesse zu analysieren und aktuelle Informationen mittels verschiedener Ansätze aus den Datenwissenschaften nutzbar zu machen, haben sich das japanische multinationale Unternehmen für Cyber-Sicherheitssoftware Trend Micro und der britische Anbieter von Cyber-Risiko-Bewertungen und -Versicherungen Waratah Analytics zusammengetan.
Ziel der Untersuchung war es, neue Trends und Schwachstellen auf der Seite der kriminellen Ransomware-Akteure aufzudecken. Eine Veröffentlichung von Trend Micro und Waratah Analytics stellt nun die gesammelten strategischen, taktischen, operativen und technischen Informationen zu Ransom-Bedrohungen zur Verfügung. Die Daten und Kennzahlen können dabei helfen, Ransomware-Gruppen zu vergleichen, Risiken abzuschätzen und das Verhalten von Bedrohungsakteuren zu modellieren. So zeigte sich etwa, dass die Aktivitäten von Ransomware-Angreifern im Januar und im Zeitraum von Juli bis August deutlich abflauen, was die entsprechenden Kalenderwochen für Unternehmen prädestiniert, um ihre Sicherheitsstruktur auszubauen und sich auf zukünftige Bedrohungen vorzubereiten.
Zu den wichtigsten Ergebnissen der japanisch-britischen Studie gehört dabei, dass Unternehmen, die ein Lösegeld zahlen, sich oftmals dem Zeitdruck ergeben und übereilt handeln. In der Folge sind sie dann regelmäßig gezwungen, bei weiteren Kompromittierungen auf zusätzliche und höhere Forderungen einzugehen, so dass die Zahlung der ersten Lösegeldtranche oft nur die Gesamtkosten eines Vorfalls in die Höhe treibt, ohne dem Unternehmen einen Vorteil zu verschaffen. Zudem legen die Daten nahe, dass von Erpressungen betroffene Unternehmen in ausgewählten Branchen und in ganz bestimmten Ländern eher bereit sind, bei einem Ransomware-Angriff zu zahlen. Daraus ergibt sich augenscheinlich ein Rückkopplungseffekt, so dass Unternehmen in diesen Industrien und Ländern mit größerer Wahrscheinlichkeit zum Ziel eines Angriffs werden. Das Risikoniveau für Ransomware-Angriffe ist daher nicht homogen, sondern variiert nach Region, Branche und Unternehmensgröße. Investitionen in die Cyber-Sicherheit, insbesondere den Schutz gegen die frühen Phasen der Kill Chain zu priorisieren und die Anzahl der Unternehmen zu reduzieren, die im Falle einer Ransomware- Attacke zu Zahlungen bereit sind, nützt daher nicht nur dem einzelnen Unternehmen, sondern der gesamten jeweiligen Branche.
„Ransomware ist eine große Bedrohung für Unternehmen und Behörden. Sie entwickelt sich stetig weiter, weshalb wir in diesem Zusammenhang genauere datengestützte Methoden zur Modellierung von Risiken benötigen“, erläutert Richard Werner, Business Consultant bei Trend Micro, und mahnt, Regierungen müssten ihre Budgets zur Unterstützung von Unternehmen bei der Wiederherstellung nach Angriffen und für eine ernstzunehmende Strafverfolgung dringend ausbauen. „Unsere neue Studie soll IT-Entscheidern helfen, ihr Risiko besser einzuschätzen, und politischen Entscheidungsträgern die Informationen an die Hand geben, die sie benötigen, um effektivere und wirkungsvollere Bekämpfungsstrategien gegen Cyberkriminalität zu entwickeln.“