Durch die Verfügbarkeit von Tools für die Daten-Exfiltration, verbreitete sich die doppelte Erpressungstaktik bei Ransomware-Angriffen weiter. Laut dem Group-IB-Team für Digital Forensics und Incident Response wurden in 63% der Fälle sensible Daten herausgeschleust, um die Lösegeldzahlung zu erzwingen.

Das Ergebnis: Zwischen Q1 2021 und Q1 2022 haben Ransomware-Gangs Daten von über 3.500 Opfern auf "Data Leak Sites" (DLS) veröffentlicht. 986 die betroffenen europäischen Unternehmen. Mit 143 Unternehmen, deren Daten nach einer Ransomware-Attacke veröffentlicht wurden, belegt Deutschland Platz 6 weltweit und Platz 4 in Europa. Die meisten tangierten deutschen Organisationen gehören dem Industrie- (30 Opfer) und Transportsektor (20 Unternehmen) sowie der Immobilienbranche (13) an. Lockbit, Conti und Pysa erwiesen sich als die aggressivsten Gangs mit auf DLS hochgeladenen Daten von jeweils 670, 640 und 186 Opfern, wovon jeweils 45, 25 und 12 deutsche Unternehmen.

Die Kompromittierung externer Remote-Dienste war auch im Jahr 2021 die häufigste Methode, sich Zugang zum Zielnetzwerk zu verschaffen (beobachtet bei 47% aller von Group-IBs DFIR-Experten untersuchten Angriffe). Spear-Phishing-E-Mails, die herkömmliche Malware enthalten, stehen an zweiter Stelle (26%). Einige Gruppierungen gingen allerdings unkonventionell vor: BazarLoader wurde zum Beispiel über Vishing (Voice-Phishing) verbreitet. Die Phishing-E-Mails enthielten Informationen über "kostenpflichtige Abonnements", die angeblich per Telefon gekündigt werden konnten. Während des Anrufs wurden die Opfer auf eine gefälschte Website gelockt und dazu eingeladen, ein manipuliertes Dokument zu öffnen, das das Herunterladen und Ausführen von BazarLoader veranlasste.

Quelle: Group-IB (ots)