Ransomware in den USA: Statusbericht und Statistiken für 2022

The State of Ransomware in the US: Report and Statistics 2022

Nachdem es im Jahr 2021 zu einer Reihe aufsehenerregender Vorfälle gekommen war, entschied sich die US-Regierung endlich, Ransomware ernst zu nehmen und dem ganzen einen Riegel vorzuschieben. Es wurden Treffen abgehalten, Komitees gebildet und der Bedrohung eine gewisse Dringlichkeit verliehen. 2022 sollten sich dann die Auswirkungen zeigen – oder auch nicht, denn leider hat sich nicht wirklich etwas geändert. Auch in diesem Jahr war die Anzahl der von Ransomware betroffenen Einrichtungen im Regierungs-, Bildungs- und Gesundheitssektor ähnlich hoch wie in den Jahren zuvor.

Bei Vorfällen im Bereich der Cybersecurity war es schon immer schwer, genaue Statistiken zu erstellen. Die dazu verfügbaren Daten basieren zum Großteil auf öffentlich zugänglichen Berichten. Allerdings werden selbst im öffentlichen Sektor nicht alle Vorfälle öffentlich gemacht. Folglich war und ist die tatsächliche Anzahl in allen Wirtschaftsbereichen schon immer höher als die gemeldeten Zahlen. In diesem Bericht sind zwar Daten aus öffentlichen Verlautbarungen, Pressemitteilungen, dem Darknet sowie Informationskanälen Dritter zusammengefasst, aber dennoch könnten uns Vorfälle entgangen sein. Daher sind alle Angaben eher als Minimum anzusehen.

Was genau können uns die verfügbaren Daten dann zeigen?

Kommunale Verwaltungen

Für die Verwaltungen auf nationaler und regionaler Ebene sowie zugehörige Einrichtungen bleibt Ransomware weiterhin eine große Herausforderung.

Im Jahr 2022 waren in den USA 105 Verwaltungen und Behörden auf bundesstaatlicher und kommunaler Ebene von Ransomware betroffen. Das ist gegenüber 2021 mit 77 Ransomware-Angriffen auf Behörden ein Anstieg. Hierzu muss jedoch erwähnt werden, dass die diesjährigen Zahlen erheblich von einem einzigen Vorfall in Miller County im US-Bundesstaat Arkansas hochgeschraubt wurden. Dabei war über einen infizierten Großrechner Malware an Endgeräte in 55 verschiedene Countys verbreitet worden.

In mindestens 27 der 105 Vorfälle (26 Prozent) wurden Daten gestohlen. Lässt man den Arkansas-Vorfall außer Acht, steigt die Zahl auf sogar 54 Prozent. Im Jahr 2021 wurden in 36 von 77 Vorfällen Daten gestohlen, was 47 Prozent entspricht.

Die Stadt Quincy im US-Bundesstaat Massachusetts zahlte ein Lösegeld von 500 000 USD. Sie ist damit die einzige Kommunalverwaltung, von der bekannt ist, dass sie 2022 ein Lösegeld bezahlt hat. Das bisher höchste bekannte Lösegeld in Höhe von 5 Millionen USD wurde von der Stadt Wheat Ridge im US-Bundesstaat Colorado verlangt.

Bildungssektor

Insgesamt wurden 89 Organisationen im Bildungssektor Opfer von Ransomware, also lediglich eine mehr als im Jahr 2021. Hinsichtlich der Anzahl der dadurch betroffenen Schulen ist der Unterschied schon wesentlich höher. Während im Jahr 2021 1 043 Schulen unter der Verwaltung der angegriffen Bezirke standen, waren es im Jahr 2022 mit 1 981 Schulen fast doppelt so viel.

Weiter aufgeschlüsselt unterteilt sich diese Zahl in 45 Schulbezirke und 44 Colleges und Universitäten. 2021 betraf es 58 Schulbezirke sowie 26 Colleges und Universitäten.

Dabei wurden in mindestens 58 Fällen (65 Prozent) Daten gestohlen. Dies ist im Vergleich zu den 44 Fällen (50 Prozent) des Vorjahres ein weiterer Anstieg.

Der wohl beträchtlichste Vorfall in diesem Jahr war der Angriff auf den Schulbezirk von Los Angeles, der mit 1 300 Schulen und 500 000 Schülern der zweitgrößte der USA ist.

Mindestens drei Organisationen zahlten ein Lösegeld. Dazu gehört unter anderem das Bildungsamt von Glen County im US-Bundesstaat Kalifornien, das 400 000 USD bezahlte.

Krankenhäuser

In den vergangenen Jahren haben wir die Vorfälle im gesamten Gesundheitssektor verfolgt. Aufgrund der Menge der Vorfälle und ungenauer Offenlegung mussten wir uns dieses Jahr hingegen auf Krankenhäuser beschränken.

In 24 Vorfällen waren Kliniken und Klinikverbünde involviert, wodurch möglicherweise die Patientenpflege in bis zu 289 Krankenhäusern beeinträchtigt wurde. Wir können nicht genau sagen, wie viele Krankenhäuser des jeweiligen Gesundheitsdienstes tatsächlich betroffen waren, da diese Information nicht in allen Fällen veröffentlicht wurde.

In dieser Kategorie erfolgte der größte Angriff des Jahres auf die Krankenhauskette CommonSpirit Health, die fast 150 Kliniken betreibt.

In mindestens 17 Fällen (71 Prozent) wurden durch Datenexfiltration auch geschützte Gesundheitsinformationen gestohlen.

Dadurch war der Schaden nicht nur finanzieller Natur. Bei dem Angriff auf CommonSpirit Health etwa wurden die personenbezogenen Daten von 623 774 Patienten kompromittiert. In einem der betroffenen Krankenhäuser war das Computersystem zur Berechnung der Medikamentendosierung ausgefallen, wodurch einem dreijährigen Patienten eine enorme Überdosis an Schmerzmedikamenten verabreicht wurde. Andere Kliniken mussten vorübergehend die geplanten Eingriffe absagen oder Krankenwagen an andere Einrichtungen verweisen.

Die größten Bedenken bei diesen Vorfällen sind natürlich, welche medizinischen Auswirkungen sich ergeben könnten. Neben dem offensichtlichen Risiko für Patienten aufgrund der Unterbrechung kritischer Versorgungssysteme sind auch die Langzeitwirkungen zu berücksichtigen. Verzögerte Eingriffe oder Behandlungen können auch noch Wochen, Monate oder sogar Jahre nach dem Ereignis Folgen haben.

Josh Corman, Senior Advisor der Cybersecurity and Infrastructure Security Agency (CISA), meinte dazu in einem Interview mit The Verge: „Allein wenn man sich Schlaganfallpatienten ansieht, bekommt man ein Gefühl für den möglichen Schaden. Wenn Personen mit einem Schlaganfall nicht schnellstmöglich entsprechend behandelt werden, verschlechtern sich ihre Chancen enorm. Während eines WannaCry-Angriffs waren in London einige Tage lang keine Schlaganfallzentren geöffnet. Es tut regelrecht weh, sich eingestehen zu müssen, dass wir aufgrund mangelnder Cybersicherheit Leben verloren haben.“

Erkenntnisse

Im privaten Sektor werden nur die wenigsten Ransomware-Angriffe auf Unternehmen öffentlich bekannt gegeben oder an Strafverfolgungsbehörden gemeldet. Folglich sind die statistischen Daten hier eher mangelhaft. Niemand kann wirklich nachvollziehen, ob die Angriffe gleich bleiben, weniger werden oder zunehmen. Daher konzentriert sich dieser Bericht auf den Regierungs-, Bildungs- und Gesundheitssektor. Bei Vorfällen in diesen Bereichen ist die Wahrscheinlichkeit größer, dass sie öffentlich gemacht werden, was sich in konsistenteren Daten niederschlägt. Dennoch geben die Vorgänge im öffentlichen Sektor einige Hinweise darauf, wie es im privaten Sektor aussieht und wie aktiv Ransomware generell ist.

Wie ist die Situation also? Zunächst einmal sind die Zahlen im Vergleich mit den Vorjahren relativ gleich geblieben. Die Anzahl der von Ransomware betroffenen Landes- und Kommunalverwaltungen war seit 2019 erstaunlicherweise recht konsistent.

Die Zahlen für Vorfälle im Bildungssektor sind überraschenderweise auch ähnlich geblieben.

Zweitens wurden in den vorangegangenen Jahren größere Städte wie Baltimore und Atlanta Opfer von Ransomware-Angriffen. 2022 waren es hingegen eher kleinere Verwaltungsbezirke. Das könnte darauf hindeuten, dass größere Kommunalregierungen, die über entsprechend höhere Budgets verfügen, diese besser für Cybersicherheit einsetzen, während kleinere Städte mit weniger Finanzmitteln angreifbar bleiben.

Die Tatsache, dass die Anzahl der Vorfälle nicht abgenommen hat, ist jedoch bedenklich. Es gab zahlreiche Kampagnen gegen Ransomware, wie Verordnungen, internationale Gipfeltreffen, verstärkte Bemühungen zur Zerrüttung des Ransomware-Ökosystems sowie der Einrichtung der amtsübergreifenden Joint Ransomware Task Force (JRTF) durch den US-Kongress, um die Bemühungen zu vereinheitlichen und zu intensivieren. Doch trotz all dieser Initiativen bleibt das Problem Ransomware genauso groß wie vorher.

Hier muss allerdings angemerkt werden, dass die Anzahl der Vorfälle kein vollständiges Bild der Ransomware-Landschaft repräsentiert. Sie sind auch nicht zwangsläufig ein Anzeichen dafür, ob die Ransomware-Gegenmaßnahmen der Regierung erfolgreich sind oder nicht. Eine Abnahme des Ausmaßes der durch die Angriffe verursachten Störungen oder der gezahlten Lösegelder kann trotz gestiegener Anzahl von Vorfällen ein Erfolg sein. Indem etwa empfohlene Vorgehensweisen umgesetzt werden, lässt sich der Umfang des Angriffs minimieren, da beispielsweise eine laterale Ausbreitung (siehe „Ransomware Prevention Best Practices“ in diesem Artikel der CISA) vermieden wird. Bei einem Unternehmen, das einen Angriff frühzeitig erkennt und blockiert, werden möglicherweise nur ein paar Geräte verschlüsselt. Bei Organisationen, denen das nicht gelingt, kann dies zu einem katastrophalen und mehrere Wochen dauernden, unternehmensweiten Ausfall führen. Das sind hinsichtlich Umfang und Auswirkungen also zwei völlig unterschiedliche Fälle. Allein auf die Anzahl der Vorfälle beschränkt, gibt es hingegen keinen Unterschied. Am besten ließe sich die Wirksamkeit der Ransomware-Gegenmaßnahmen folglich daran messen, ob die Kosten für den durch die Angriffe entstandenen Schaden gestiegen oder gesunken sind. Leider sind diese Daten jedoch nicht verfügbar.

Wie bereits oben erwähnt, gibt es auch Vorfälle, auf die wir nicht aufmerksam geworden sind. Da stellt sich die Frage, wie viele haben wir übersehen? Das können wir natürlich nicht beantworten, möchten dazu aber auf einen Bericht von „The Herald-Sun“ verweisen, der Folgendes besagt:

Im ersten Halbjahr wurden in North Carolina zwei Städte, zwei Countys, zwei K-12-Schulbezirke, drei Colleges und eine staatliche Behörde Opfer von Ransomware.
Wer zuerst angegriffen wurde, ist nicht vollständig geklärt. Der US-Bundesstaat wollte dazu aus Sicherheitsbedenken keine Erklärung abgeben. Es ist jedoch bekannt, dass keiner der Hacker bezahlt wurde, um den Angriff zu beenden.

Wir haben während der ersten sechs Monate von 2022 lediglich einen Vorfall für North Carolina erfasst. Damit liegt die Möglichkeit nahe, dass die tatsächliche Anzahl der Vorfälle erheblich höher ist als in diesem Bericht ausgeführt.

Florida und North Carolina haben Gesetze herausgegeben, die Einrichtungen im öffentlichen Sektor verbieten, Lösegelder zu bezahlen. Die Beweggründe sind zwar lobenswert, allerdings können diese Vorschriften Angriffe nicht verhindern und möglicherweise sogar dazu führen, dass die Behörden den Zugang zu ihren Daten dauerhaft verlieren. Damit ein Verbot zur Zahlung von Lösegeldern wirkungsvoll ist, darf es sich vermutlich nicht nur auf den öffentlichen Sektor in bestimmten Bundesstaaten beschränken. Unabhängig davon bleibt es interessant abzuwarten, was – wenn überhaupt – das Gesetz bewirkt.

Georgia hat ein Gesetz verabschiedet, das „bestimmte Informationen, Daten und Berichte hinsichtlich Cybersicherheit und Cyber-Angriffen von der Offenlegung und öffentlichen Untersuchung ausnimmt“. Das ist besorgniserregend. Natürlich kann es kurzfristig notwendig sein, bestimmte Informationen zurückzuhalten, damit angegriffene Einrichtungen keinen weiteren Risiken ausgesetzt werden. Allerdings ist die weitere Einschränkung der Informationen, die jetzt schon nur zu einem Bruchteil öffentlich verfügbar sind, eher kontraproduktiv. Wie sagten schon Algirde Pipikaite (World Economic Forum) und Mark Barrachin (S&P): „Information ist Macht und hinsichtlich Cybersecurity ist es die Macht, ähnliche Ereignisse zu verhindern.“

Das Ende von Ransomware?

Eine letzte Anmerkung sei uns noch erlaubt. Wir glauben, dass es an der Zeit ist, den Begriff „Ransomware“ abzulegen. Das Wort wurde anfangs verwendet, um eine Schadsoftware zu beschreiben, die Daten verschlüsselt und ein Lösegeld zu deren Entschlüsselung fordert. Die ersten Ransomware-Angriffe waren recht einfach aufgebaut und meistens automatisiert. Heutige Angriffe sind jedoch überaus komplexe und meistens von Menschen gesteuerte Ereignisse, bei denen Daten exfiltriert werden. Die Verschlüsselung selbst, sofern sie überhaupt erfolgt, ist erst der allerletzte Schritt in der Angriffskette. Anders gesagt können Angriffe auch nur zum Datendiebstahl eingesetzt werden, selbst wenn diese von Gruppen durchgeführt werden, die in der Regel verschlüsseln. Es sind also Angriffe von Ransomware-Gruppen ohne Ransomware. Dies führt zu Verwirrung, was für die Statistiken als ein „Ransomware“-Angriff gelten sollte und was nicht.

Besser wäre es vielleicht, diese Vorfälle als „digitale Erpressung“ oder „Datenerpressung“ zu bezeichnen. „Digitale Erpressung durch Datenverschlüsselung“ und „digitale Erpressung durch Datendiebstahl“ wären dann Unterkategorien dazu, die sich untereinander nicht ausschließen. Diese Bezeichnungen mögen kein idealer Ersatz für den Begriff „Ransomware“ sein, aber irgendjemandem werden schon bessere Alternativen einfallen.

 

Übersetzung: Doreen Schäfer

Malware-Labor von Emsisoft

Malware-Labor von Emsisoft

Das Laborteam ist eine Gruppe von Cybersicherheitsforschern, die den Schutz der Emsisoft-Produkte verbessern, Unternehmen beim Umgang mit Sicherheitsvorfällen helfen und Analysen erstellen, um Entscheidungsträger über mögliche Bedrohungen aufzuklären.

Weitere Artikel