Q4 Ransomware-Bericht: 2023 bricht alle Rekorde
Mit dem Start des neuen Jahres können wir 2023 abschließend bewerten, und eines ist sicher: Es war ein rekordverdächtiges Jahr für Ransomware.
Die Häufigkeit von Ransomware nimmt weltweit weiter zu. Corvus registrierte in Q3 einen Anstieg von 11,22 % gegenüber dem Vorquartal und einen Anstieg von 95,41 % gegenüber dem Vorjahr bei sogenannten “Ransomware-Leak” Seiten
Der begrenzte Einsatz von Massen-Exploits hat einen spürbaren Einfluss auf Ransomware insgesamt. Dies wird sich voraussichtlich fortsetzen.
In Q3 entfielen 13 % aller Ransomware-Opfer auf die Nutzung einer Zero-Day-Schwachstelle in der MOVEit-Dateiübertragungssoftware durch die CL0P-Ransomware-Gruppe.
Ohne die CL0P-Aktivitäten würde die Zahl der Ransomware-Opfer in Q3 immer noch um 5 % (QoQ) bzw. 70 % (YoY) ansteigen.
Basierend auf saisonalen Ransomware-Mustern ist in Q4 mit einem weiteren Anstieg der Ransomware-Aktivität zu rechnen. Dieses Jahr war der Rückgang von Ransomware in den Sommermonaten war später und kürzer als sonst.
Angriffe auf Anwaltskanzleien und kommunale Einrichtungen nehmen zu.
2023 war ein Rekordjahr für Ransomware, wie wir in unserem Q2 Bericht im Sommer gezeigt haben. Link: https://www.corvusinsurance.com/blog/q2-ransomware-report-global-attacks-at-all-time-high
In Q3 gab es einen weiteren Anstieg mit 1.278 Opfern auf Ransomware-Leakseiten. Ein Anstieg von 11,22 % gegenüber Q2 und ein steiler Anstieg von 95,41 % im Vergleich zum Vorjahr.
Bis jetzt hat die Zahl der Ransomware-Opfer im Jahr 2023 bereits die Jahre 2021 und 2022 übertroffen. Wenn die Entwicklung so weitergeht, könnte dies das erste Jahr sein, in dem mehr als 4.000 Ransomware-Opfer auf Leak-Seiten veröffentlicht werden.
Jahr |
Summe Leak-Seiten Opfer |
2023 (bis jetzt) |
3,311 |
2022 |
2,670 |
2021 |
3,048 |
Dies ist kein vollständiger Überblick; Unternehmen, die auf Leak-Seiten veröffentlicht werden, zahlen in der Regel kein Lösegeld oder verzögern die Zahlung. Ein erheblicher Prozentsatz der Opfer, der nach Schätzungen zwischen 27 und 41 % liegt, zahlt die Forderungen der Erpresser-Gruppen schnell und wird daher nie auf einer Leak-Seite gelistet.
Das bedeutet, dass die Gesamtzahl der Ransomware-Opfer im Jahr 2023 zwischen ~5.500 und 7.000 liegen kann.
Gegen Ende des Jahres steigt die Zahl der Ransomware-Angriffe weiter an. Corvus beobachtete zwei Schlüsselfaktoren, die zum Anstieg der Zahlen im dritten Quartal beigetragen haben: die CL0P-Ransomware-Gruppe und eine ungewöhnlich kurze "Sommerpause" von Ransomware.
Im ersten Quartal machte CL0P Schlagzeilen, indem es die GoAnywhere Dateiübertragungssoftware ausnutzte und über 130 Nutzer schädigte. Im zweiten Quartal folgte die massenhafte Ausnutzung einer Zero-Day-Schwachstelle in der MOVEit-Software, die zum aktuellen Zeitpunkt insgesamt 264 Unternehmen betraf. Auf die MOVEit-Schwachstelle fallen 9 % der Gesamtzahl der Opfer im zweiten Quartal und 13 % der Opfer im dritten Quartal, was erheblich zu einer stetig steigenden Gesamtzahl von Opfern beitrug.
Aber auch ohne CL0P wären die Ransomware-Zahlen im 3. Quartal um 5 % (QoQ) und 70 % (YoY) gestiegen.
Die nachstehende Grafik verdeutlicht die Auswirkungen dieser einzelnen Gruppe, die früher relativ unauffällig war. Vor 2023 machte CL0P nur einen Bruchteil der gesamten Ransomware-Opfer aus. Jetzt ist der Anteil beträchtlich, was zeigt, dass eine einzige kriminelle Gruppe mit einer einzelnen Gelegenheit zur massenhaften Ausbeutung Rekorde brechen kann.
Beachten Sie in der ersten Visualisierung den Verlauf der grauen Balken, die die aktiven Ransomware-Gruppen neben CL0P darstellen und in 2023 stetig zunehmen. Auch unabhängig vom übergroßen Anteil von CL0P nimmt die Ransomware-Aktivität also zu.
In diesem Jahr liegt die Anzahl der Angriffe bisher jedes Quartal stetig höher als im vorherigen. Und basierend auf saisonalen Mustern wird Q4 wahrscheinlich noch gravierender sein als Q3.
Seit einigen Jahren folgen Angriffe mit Ransomware weitgehend saisonalen Mustern. Cyberkriminalität wird von menschlichen Angreifern begangen, die auch Pausen wollen und das gestohlene Geld ausgeben müssen, manchmal für teure Urlaube.
Typischerweise ist in den Sommermonaten ein Rückgang der Ransomware zu verzeichnen. Im Jahr 2023 kam dieser Rückgang später und war viel kürzer, als wir normalerweise beobachten. Wie die nachstehende Grafik zeigt, beginnt der Abwärtstrend in der Regel im Mai und hält bis Anfang August an, bevor er im dritten und vierten Quartal wieder ansteigt.
In diesem Jahr war im Juni wie erwartet ein Rückgang zu verzeichnen. Doch dann stieg die Ransomware-Aktivität bis Ende Juli und in der ersten Augusthälfte sprunghaft an.
Während der Massen-Exploits von CL0P zu einem Anstieg der absoluten Zahlen geführt hat, haben die übrigen etablierten Gruppen im Sommer einen kleinen Schritt zurück gemacht.
LockBit und ALPHV (BlackCat) zeigen eine um etwa 50 % gesunkene Anzahl der Unternehmen auf den hasueigenen Leak-Seiten von April bis Juli 2023. Die Zahlen für Ende Q3 und Anfang Q4 zeigen, dass die Ransomware-Gruppen wieder auf dem Weg sind, im vierten Quartal mehr Schaden anzurichten um das Sommerloch aufzuholen.
In Q3 gab es in mehreren Branchen einen deutlichen Anstieg von Ransomware-Angriffen. Dazu gehören Anwaltskanzleien, Regierungsbehörden, produzierendes Gewerbe, Arztpraxen sowie die Öl- und Gasindustrie.
Ein Großteil dieses Anstiegs ist auf die ALPHV-Ransomware-Gruppe zurückzuführen. Auf diese Gruppe entfiel fast ein Viertel aller Opfer in dieser Branche (23,53 %). Der Fokus von ALPHV auf Anwaltskanzleien ist länderübergreifend zu beobachten. Diese haben sie in den USA, Kanada, Großbritannien und Australien am häufigsten angegriffen.
LockBit verdreifachte die Zahl seiner staatlichen Opfer von Q2 auf Q3 (meist Städte und Gemeinden). Die Ransomware-Gruppe Stormous griff auch die kubanische Regierung gezielt an, was zur erhöhten Gesamtzahl beitrug.
Mehrere Branchen mit Anstieg in 2023
Industrie |
Q1 Anstieg |
Q2 Anstieg |
Q3 Anstieg |
Transport und Logistik |
+80% |
+33% |
+50% |
Telekommunikation |
+50% |
+42% |
+29% |
Anwaltskanzleien |
+41% |
+25% |
+70% |
Gastgewerbe |
+57% |
+27% |
+36% |
Einzelhandel |
+36% |
+60% |
+21% |
Immobilien |
+42% |
+59% |
+15% |
Ransomware ist weiter auf dem Vormarsch - und das 3. Quartal hat den Rekord für das höchste jemals verzeichnete Quartal gebrochen. Die Auswirkungen einer einzigen Gruppe und sogar einer einzigen Zero-Day-Schwachstelle sind offensichtlich: CL0P hob sich von der Masse ab, indem es in kurzer Zeit eine große Anzahl von Unternehmen erpresste.
Aufgrund dieses Massenangriffs kam der typische Rückgang im Sommer später und hielt nicht so lange an. Aber selbst wenn man CL0P beiseite lässt, ist für den Rest des Ransomware-Geschäfts alles beim Alten. Und das Geschäft läuft leider gut.
Wenn die Zahlen ein Anhaltspunkt für die Zukunft sind, wird sich dieser Aufwärtstrend in Q4 fortsetzen.
Die Daten für diesen Bericht wurden von Ransomware-Leakseiten gesammelt. Dabei handelt es sich um Websites im Dark Web, die von Ransomware-Gruppen selbst betrieben werden und auf denen sie unkooperative Opfer auflisten und gestohlene Daten veröffentlichen. Durch regelmäßiges Scannen dieser Dark Web Leak-Seiten ist Corvus in der Lage, kontinuierlich nach Versicherten und Partnern zu suchen, verwendet aber auch die aggregierten Daten für diese Analysen.
Wie bei den meisten existierenden Datensätzen handelt es sich um ein unvollständiges Bild aller Ransomware-Angriffe. Opfer, die den Forderungen der Bedrohungsakteure schnell nachkommen und stillschweigend ein Lösegeld zahlen, haben eine viel geringere Wahrscheinlichkeit, auf einer Leak-Seite aufzutauchen, und würden daher in unseren Bewertungen der Ransomware-Trends nicht erfasst werden. Es wird immer einen Prozentsatz an Angriffen geben, die unbekannt sind. Durch die Nutzung unserer Daten in Kombination mit Erkenntnissen von Partnern und anderen Branchenvertretern können wir jedoch ein umfassendes Bild der Ransomware-Landschaft zeichnen und valide Erkenntnisse gewinnen.
Die Analyse von Corvus wurde durch Daten von eCrime.ch unterstützt. Dieser Bericht ist nur für allgemeine Orientierungs- und Informationszwecke gedacht. Dieser Bericht soll unter keinen Umständen als spezifische Versicherungs- oder Informationssicherheitsberatung verwendet oder betrachtet werden. Dieser Bericht ist nicht als objektive oder unabhängige Erklärung der hierin enthaltenen Sachverhalte zu betrachten.