Ransomware-Umsatz sinkt deutlich, da mehr Opfer die Zahlung verweigern

Ransomware

Ransomware-Angreifer erpressten laut Chainalysis 2022 mindestens 456,8 Millionen US-Dollar, gegenüber 765,6 Millionen US-Dollar im Jahr zuvor.

Allerdings weist Chainalysis darauf hin,  dass die tatsächlichen Summen viel höher sind, da es Ransomware-Angriffe gibt, die noch nicht identifiziert und in der Datenanalyse aufgenommen wurden. Dennoch sei der Trend klar: Ransomware-Zahlungen sind deutlich rückläufig.

Das bedeute jedoch nicht, dass die Zahl der Angriffe zurückgegangen sei. Zumindest nicht so stark, wie der drastische Rückgang der Zahlungen vermuten lässt. Die Analysten glauben vielmehr, dass ein Großteil des Rückgangs darauf zurückzuführen sei, dass sich die Opfer zunehmend weigern, Ransomware-Angreifer zu bezahlen. 

Lebensdauer von Ransomware sinkt

Trotz des Umsatzrückgangs ist die Zahl der Ransomware-Varianten im Jahr 2022 explodiert. Eine Studie von Fortinet zeigt, dass in der ersten Jahreshälfte 2022 über 10.000 Varianten gegeben hat. Daten bestätigen, dass die Zahl der aktiven Bedrohungen in den letzten Jahren erheblich zugenommen hat, aber die überwiegende Mehrheit der Ransomware-Umsätze entfällt auf eine kleine Gruppe. 

Auch die Lebensdauer von Ransomware nimmt weiter ab. Im Jahr 2022 blieb die durchschnittliche Ransomware-Variante nur 70 Tage lang aktiv, gegenüber 153 im Jahr 2021 und 265 im Jahr 2020. Die Analysten vermuten, dass diese Entwicklung auf den Versuch der Ransomware-Angreifer zurückzuführen ist, ihre Aktivitäten zu verschleiern.

Was die Geldwäsche anbelangt, so zeigen die Daten, dass die meisten Ransomware-Angreifer die erpressten Gelder an etablierte, zentralisierte Börsen senden. Tatsächlich stieg der Anteil der Ransomware-Gelder, die an Mainstream-Börsen gehen, von 39,3 Prozent im Jahr 2021 auf 48,3 Prozent im Jahr 2022 Der  Anteil, der an Hochrisiko-Börsen ging, ist auf 6,7 Prozent gefallen. Die Nutzung illegaler Dienste wie Darknet-Märkte für die Geldwäsche von Ransomware ging ebenfalls zurück.

Das Ransomware-Ökosystem

Die ständige Fluktuation unter den führenden Ransomware-Programmen und das Auftauchen neuer Programme deutet darauf hin, dass die Welt der Ransomware überfüllt ist, da viele kriminelle Organisationen miteinander konkurrieren und ständig neue Anbieter auf den Plan treten. Doch der Schein kann trügen. Während viele Programme das ganze Jahr über aktiv sind, ist die tatsächliche Anzahl der Personen, die das Ransomware-Ökosystem bilden, wahrscheinlich recht klein.

Dies zeigt sich unter anderem in der Überschneidung von Partnerprogrammen. Die meisten Ransomware-Stämme funktionieren nach dem Ransomware-as-a-Service (RaaS)-Modell, bei dem die Entwickler eines Ransomware-Stamms anderen Cyberkriminellen, den so genannten Affiliates, erlauben, die Malware des Administrators für die Durchführung von Angriffen zu nutzen und dafür einen kleinen, festen Anteil am Erlös zu erhalten.

Chainalysis hat festgestellt, dass viele Affiliates Angriffe für mehrere verschiedene Programme durchführen. Die Analysten vergleichen das mit der “Gig-Economy”. Ein Fahrer kann seine Uber-, Lyft- und Oja-Apps gleichzeitig geöffnet haben und so den Eindruck erwecken, dass drei verschiedene Fahrer unterwegs sind – in Wirklichkeit handelt es sich aber um ein und dasselbe Auto.