31. März 2025

Ransomware-Erpresser setzen auf Kryptowährungen

Die Ransomware-Landschaft erlebte 2024 erhebliche Veränderungen, wobei Kryptowährungen weiterhin eine zentrale Rolle bei Erpressungen spielen. Das Gesamtvolumen der Lösegeldzahlungen ging im Jahresvergleich um etwa 35 Prozent zurück, was auf verstärkte Strafverfolgungsmaßnahmen, verbesserte internationale Zusammenarbeit und eine zunehmende Zahlungsverweigerung der Opfer zurückzuführen ist. [...]

Im Jahr 2024 erhielten Ransomware-Angreifer Zahlungen in Höhe von etwa 813,55 Millionen US-Dollar von Opfern, was immerhin einem Rückgang von 35 Prozent gegenüber dem Rekordjahr 2023 mit 1,25 Milliarden US-Dollar entspricht. (c) stock.adobe.com/Maksudul Islam Nahid

Der World Backup Day am 31. März soll in Erinnerung rufen, wie wichtig Backups sind in Zeiten zunehmender Cyberbedrohungen. Unternehmen, die im Falle eines Ransomware-Angriffs keine funktionierenden Backups haben, müssen ihre Daten freikaufen. Um ihre Opfer abzukassieren, ohne Spuren verräterischer Finanztransaktionen zu hinterlassen, fordern die Erpresser heutzutage die Bezahlung mit Kryptowährungen, wie Bitcoin oder Monero.

Um dieser Kriminalitätsform nachhaltig zu begegnen, müssen einerseits IT-Systeme potentieller Opfer vor Angriffen gehärtet werden. Andererseits müssen die Finanzierungs- und Geldwäsche-Netzwerke der Täter auf eine Weise beschädigt werden, dass sich die Erpressung finanziell nicht mehr lohnt. Letzteres bedarf der Analyse inkriminierter Kryptowährungen und die Verfolgung der Geldwäscheströme, um die Gelder im besten Fall den Opfern zurückführen. Dabei ist es wichtig, ein aktuelles Lagebild vor Augen zu haben, um die neuesten Verschleierungstechniken der Cyberkriminellen besser zu verstehen.

Kryptowährungen spielen weiterhin eine zentrale Rolle bei Erpressungen

Neueste Erkenntnisse zum Thema Ransomware und Kryptowährungen liefert ein aktueller Report von Chainalysis. So erlebte die Ransomware-Landschaft im Jahr 2024 erhebliche Veränderungen, wobei Kryptowährungen weiterhin eine zentrale Rolle bei Erpressungen spielen. Das Gesamtvolumen der Lösegeldzahlungen ging im Jahresvergleich um etwa 35 Prozent zurück, was insbesondere auf verstärkte Strafverfolgungsmaßnahmen, eine verbesserte internationale Zusammenarbeit und eine zunehmende Zahlungsverweigerung der Opfer zurückzuführen ist.

Als Reaktion darauf änderten viele Angreifer ihre Taktik. So entstanden neue Ransomware-Stämme aus geleaktem oder gekauftem Code, was auf eine anpassungsfähigere und agilere Bedrohungslandschaft hindeutet. Ransomware-Operationen sind auch schneller geworden, wobei Verhandlungen oft innerhalb von Stunden nach der Datenexfiltration beginnen. Die Angreifer reichen von nationalstaatlich initiierten Akteuren bis hin zu technisch weniger versierten Nutzern von Ransomware-as-a-Service (RaaS), Einzeltätern und Erpressergruppen, die Datendiebstahl begehen. Ein Beispiel für Letzteres ist der Fall von Snowflake, ein Cloud-Serviceprovider, der erpresst und bestohlen wurde.

Salih Altuntas, Director of Investigations CEMEA bei Chainalysis, erklärt den Zusammenhang zwischen Backups, Ransomware und dem Missbrauch von Kryptowährungen. (c) Chainalysis


Insgesamt Zahlungsrückgang, aber Zunahme am oberen Ende

Im Jahr 2024 erhielten Ransomware-Angreifer Zahlungen in Höhe von etwa 813,55 Millionen US-Dollar von Opfern, was immerhin einem Rückgang von 35 Prozent gegenüber dem Rekordjahr 2023 mit 1,25 Milliarden US-Dollar entspricht. Laut 2024 Crypto Crime Mid-year Update Part 1 von Chainalysis gab es im ersten Halbjahr 2024 auch einige außergewöhnlich hohe Zahlungen, wie z. B. die rekordverdächtigen 75 Millionen US-Dollar, die an Dark Angels gingen.

Eine genauere Betrachtung der wichtigsten Ransomware-Arten liefert wertvolle Einblicke in die Entwicklung einschlägiger Gruppen. So war Akira, die seit März 2023 mehr als 250 Unternehmen ins Visier genommen hat, laut Sophos die einzige Ransomware-Variante unter den Top 10 im ersten Halbjahr 2024, die ihre Bemühungen im zweiten Halbjahr 2024 verstärkt hat. LockBit, das Anfang 2024 von der britischen National Crime Agency (NCA) und dem FBI sowie weiteren internationalen Strafverfolgungsbehörden Anfang 2024 gestört wurde, verzeichnete laut Angaben von Chainalysis im zweiten Halbjahr einen Rückgang der Zahlungen um etwa 79 Prozent. Dies stellt die Wirksamkeit der internationalen Zusammenarbeit der Strafverfolgungsbehörden unter Beweis.

Im Jahr 2024 gab es drei Klassen von Lösegeldakteuren. Einige, wie Phobos, erhielten laut Chainalysis durchschnittliche Zahlungen, die sich auf weniger als 500 bis 1.000 US-Dollar belaufen. Es folgt eine weitere Gruppe im Bereich von 10.000 US-Dollar und eine dritte mit Zahlungen von über 100.000 US-Dollar, mitunter bis zu einer Million US-Dollar Lösegeld oder mehr. Zu beobachten ist eine Zunahme am oberen Ende des Spektrums, also proportional mehr Lösegeldzahlungen im Millionenbereich.

Reinliche Erpresser – der Weg der Geldwäscheströme

Das Verständnis der Geldwäschemethoden bietet wichtige Einblicke in das Verhalten von Ransomware-Akteuren und ermöglicht es Strafverfolgungsbehörden, effizienter zu reagieren und anhand von wiederkehrenden Mustern Aktivitäten vorherzusehen.

So fließen die erpressten Summen derzeit hauptsächlich über zentralisierte Börsen (CEXs), persönliche Wallets zur Geldaufbewahrung sowie Bridges, um zu versuchen, Geldbewegungen zu verschleiern. Chainalysis stellte hierbei einen erheblichen Rückgang bei der Nutzung von Mixing-Diensten im vergangenen Jahr fest. Dies ist ein Beleg für die störende Wirkung von Sanktionen und Strafverfolgungsmaßnahmen, wie sie beispielsweise gegen Chipmixer, Tornado Cash und Sinbad verhängt wurden. Ransomware-Akteure setzen dafür zunehmend auf Cross-Chain-Bridges, um ihr Off-Ramping zu erleichtern. Im Gegensatz dazu sind CEXs weiterhin eine tragende Säule des Ransomware-Off-Ramping.

Laut Chainalysis ist erwähnenswert, dass sich erhebliche Geldmengen in privaten Wallets befinden. Seltsamerweise verzichten Ransomware-Betreiber mehr denn je auf tatsächliche Auszahlungen. Angesichts der unkalkulierbaren Maßnahmen der Strafverfolgungsbehörden macht sich offensichtlich eine erhöhte Vorsicht und Unsicherheit bemerkbar, wie und wo die kriminellen Akteure ihre Gelder am besten verschwinden lassen können. Der Rückgang der Nutzung von No-KYC-Börsen seit Oktober 2024 könnte Chainalysis zufolge auf die Benennung der in Russland ansässigen Börse Cryptex und die Beschlagnahmung von 47 russischsprachigen No-KYC-Krypto-Börsen durch das BKA im September 2024 zurückzuführen sein. Der Zeitpunkt dieser Durchsetzungsmaßnahmen fällt mit dem Zeitraum zusammen, in dem die Zuflüsse von Ransomware zu No-KYC-Börsen zurückgingen.

Ransomware wird weiterhin ein Problem bleiben

Auch wenn die Strafverfolgungsbehörden erste Erfolge erzielen, werden in diesem Jahr viele weitere Unternehmen den Erpressern ausgeliefert sein oder gar erneut zum Opfer fallen. Der weltweite Tag des Backups ist daher auch ein Aufruf, die Resilienz zu erhöhen, um gar nicht erst erpressbar zu sein.


Mehr Artikel

News

Hightech-Crime-Report: Advanced Persistent Threats setzen Europa unter Druck

3. April 2025

Mit einem Anstieg von 22 Prozent gegenüber dem Vorjahr nahmen betrügerische Machenschaften 2024 weltweit zu. Europäische Finanzdienstleister waren mit 34 Prozent aller Betrugsfälle am stärksten betroffen, gefolgt von der Transportbranche und dem Regierungs- und Militärsektor. Auch bei Phishing-Angriffen setzte sich der Aufwärtstrend fort: Mehr als 80.000 Phishing-Websites wurden 2024 enttarnt – ein Anstieg um 22 Prozent gegenüber dem Vorjahr. […]

News

Fünf Mythen über Managed Services 

3. April 2025

Managed Services sind ein Erfolgsmodell. Trotzdem existieren nach wie vor einige Vorbehalte gegenüber externen IT-Services. Der IT-Dienstleister CGI beschreibt die fünf hartnäckigsten Mythen und erklärt, warum diese längst überholt sind. […]

News

ESET: MDR-Lösungen für Managed Service Provider

3. April 2025

ESET erweitert sein Angebot für seine Managed Service Provider (MSP) und Channel-Partner, um sie angesichts der zunehmend komplexen Bedrohungslandschaft gezielt zu unterstützen. Die neuesten Ergänzungen umfassen den Service „ESET MDR für MSPs“, eine erweiterte KI-gestützte Bedrohungsanalyse durch den ESET AI Advisor sowie flexible Preismodelle für MSP. […]

News

Geniale Handy-Tricks

3. April 2025 Pascal Scherrer *

Smartphones haben etliche Funktionen, die kaum jemand nutzt, aber Ihren digitalen Alltag bereichern können. Wir stellen Ihnen eine Auswahl der besten Geheimtipps vor – sowohl für Android-Smartphones als auch für Apples iPhones. […]

Die Kombination aus interner Mobilität und Ressourcenbeschränkungen führt schnell zu einem Wildwuchs bei den vergebenen Privilegien. (c) Unsplash
Kommentar

6 Wege, wie Privilege Management die Sicherheitslage verbessert

2. April 2025 Alan Radford*

Identitäten, Konten, Computer, Gruppen und andere Objekte benötigen gleichermaßen Zugang zu Ressourcen – limitiert auf die jeweilige Rolle und nur solange der Zugriff tatsächlich gebraucht wird. Dies ist ein grundlegender Bestandteil eines Zero Trust Least Privilege-Modelles und als solcher von AD-Administratoren, IT-Leitern, dem höheren Management und CISOs anerkannt. […]

David Blum, Defense & Security Lead bei Accenture, im Gespräch mit der ITWELT.at. (c) timeline / Rudi Handl
Interview

„Ein resilientes Unternehmen zeichnet sich durch größtmögliche Transparenz aus“

2. April 2025 Klaus Lorbeer

Transparenz, soweit im Sicherheitskontext möglich, ist für David Blum, Defense & Security Lead bei Accenture, ein wichtiger Bestandteil von Unternehmensresilienz. Das fördere die aus dem Verständnis folgende Unterstützung der Mitarbeitenden. Die unternehmerische Resilienz müsse nicht nur technisch, sondern auch kulturell verankert werden: „Denn Resilienz beginnt im Kopf jedes Einzelnen“, sagt Blum im Gespräch mit der ITWELT.at. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*