Thought Leadership
Der Crypto Crime Report 2023 von Chainalysis zeigt, dass 2022 ein wichtiges Jahr im Kampf gegen Ransomware war: Angreifer erpressten zwar mindestens 456,8 Millionen US-Dollar von ihren Opfern, dies war aber deutlich weniger als die 765,6 Millionen US-Dollar im Jahr zuvor.
Bei der statistischen Auswertung von Crypto-Crime-Verbrechen muss man sich immer bewusst sein, dass es eine Dunkelziffer gibt. Entsprechend liegt die tatsächlich durch Ransomware-Angriffe erpresste Summe deutlich höher als aktuell nachweisbar. Als Chainalysis letztes Jahr erstmals entsprechende Zahlen veröffentlichte, wurden für 2021 zum Beispiel ursprünglich nur 602 Millionen US-Dollar an Ransomware-Zahlungen identifiziert – was mittlerweile auf 765,6 Millionen erhöht werden musste. Dennoch zeichnet sich bereits jetzt ein klarer Trend für 2022 ab: Ransomware-Zahlungen sind deutlich rückläufig.
Das bedeutet jedoch nicht, dass die Angriffe zurückgegangen sind, zumindest nicht so stark, wie der drastische Rückgang der Zahlungen vermuten lässt. Chainalysis geht vielmehr davon aus, dass ein Großteil des Rückgangs darauf zurückzuführen ist, dass sich die Opfer zunehmend weigern, Ransomware-Angreifer zu bezahlen. Auf dieses Phänomen gehe ich weiter unten ein, doch zunächst wollen wir uns die allgemeinen Ransomware-Trends für das Jahr 2022 genauer ansehen.
Übersicht zu Ransomware-Angriffen 2022
Trotz des Umsatzrückgangs explodierte die Zahl der einzelnen Ransomware-Stämme im Jahr 2022 förmlich. Untersuchungen des Cybersecurity-Unternehmens Fortinet zufolge waren in der ersten Hälfte des Jahres 2022 über 10.000 einzelne Stämme aktiv. Interessant ist hierbei, dass die On-Chain-Daten zwar bestätigen, dass die Zahl der aktiven Stämme in den letzten Jahren erheblich zugenommen hat. Aber gleichzeitig hat Chainalysis festgestellt, dass die überwiegende Mehrheit der Ransomware-Umsätze stets auf eine kleine Gruppe von Malware-Stämmen entfällt. Die umsatzstärksten Stämme waren außerdem ganzjährig aktiv.
Gleichzeitig sank die Zeit, in der spezifische Ransomware genutzt wurde. 2022 blieben die entsprechenden Stämme durchschnittlich nur 70 Tage lang aktiv. 2021 waren es noch 153 und 2020 sogar 265 Tage. Wie weiter unten dargestellt wird, hängt dies wahrscheinlich mit den Bemühungen der Ransomware-Angreifer zusammen, ihre Aktivitäten zu verschleiern, indem sie mit mehreren Stämmen arbeiten.
Bezüglich Geldwäsche zeigen die Daten, dass die meisten Ransomware-Angreifer die erpressten Gelder an etablierte, zentralisierte Börsen schicken. Tatsächlich stieg der Anteil der Ransomware-Gelder, die an Mainstream-Börsen fließen, von 39,3 Prozent im Jahr 2021 auf 48,3 Prozent im Jahr 2022, während der Anteil, der an Hochrisikobörsen floss, von 10,9 auf 6,7 Prozent sank. Der Anteil illegaler Dienste wie Darknet-Märkte ging bei der Geldwäsche von Ransomware-Beute ebenfalls zurück, während die Nutzung von Mixern von 11,6 auf 15,0 Prozent stieg.
Bewertung des Ransomware-Ökosystems
Die ständige Fluktuation unter den führenden Ransomware-Stämmen und das Auftauchen immer neuer Stämme lässt vermuten, dass zahlreiche kriminelle Organisationen miteinander konkurrieren, ständig neue Anbieter auf den Plan treten und die Ransomware-Welt zunehmend überfüllt ist. Doch dieser Schein ist trügerisch. Während das ganze Jahr über viele Stämme aktiv sind, ist die tatsächliche Anzahl der Personen im Ransomware-Ökosystem wahrscheinlich recht klein.
Dies zeigt sich unter anderem in der Überschneidung von “Partnerprogrammen”. Die meisten Ransomware-Stämme funktionieren nach dem Ransomware-as-a-Service (RaaS)-Modell. Dabei erlauben die Entwickler eines Ransomware-Stamms anderen Cyberkriminellen, den sogenannten Affiliates bzw. Partnern, die Malware des Administrators für Angriffe zu nutzen. Als Gegenleistung erhalten die Entwickler einen kleinen, festen Anteil am Erlös. Wir haben immer wieder festgestellt, dass viele Affiliates gleichzeitig Angriffe mit mehreren, verschiedenen Stämmen durchführen. Während also im Jahr 2022 technisch gesehen Dutzende von Ransomware-Stämmen aktiv waren, wurden viele der diesen Stämmen zugeordneten Angriffe wahrscheinlich von denselben Affiliates durchgeführt. Man kann sich das wie die Gig-Economy vorstellen, allerdings für Ransomware. Ein Rideshare-Fahrer kann Apps verschiedener Anbieter gleichzeitig geöffnet haben, was die Illusion erweckt, dass verschiedene Fahrer unterwegs sind – in Wirklichkeit handelt es sich aber um ein und dasselbe Auto.
