Lösegeldverweigerungen treffen Angreifer dort, wo es wehtut: 40 % Umsatzrückgang im Jahr 2022 – Chainalysis

Opfer von Ransomware haben offenbar genug von der Erpressung, denn die Einnahmen der Angreifer aus Ransomware sind im Jahr 2022 um 40 % auf 456,8 Millionen US-Dollar eingebrochen.
Das Blockchain-Informationsunternehmen Chainalysis veröffentlichte die Daten in einem Bericht vom 19. Januar und merkte an, dass die Zahlen nicht unbedingt bedeuteten, dass die Anzahl der Angriffe im Vergleich zum Vorjahr zurückgegangen sei.
Stattdessen stellte Chainalysis fest, dass Unternehmen gezwungen waren, ihre Cybersicherheitsmaßnahmen zu verschärfen, während Lösegeldopfer immer weniger bereit waren, den Angreifern ihre Forderungen zu bezahlen.
Gesamtwert, der zwischen 2017 und 2022 von Ransomware-Angreifern erpresst wurde. Quelle: Chainalysis.
Die Ergebnisse waren Teil des Crypto Crime Report 2023 von Chainalysis. Im vergangenen Jahr betrugen die Einnahmen aus Ransomware zum Zeitpunkt des Berichts von 2022 satte 602 Millionen US-Dollar, die später auf 766 Millionen US-Dollar anstiegen, als zusätzliche Kryptowährungs-Wallet-Adressen identifiziert wurden.
Chainalysis fügte hinzu, dass es aufgrund der Natur der Blockchain für Angreifer immer schwieriger wird, damit durchzukommen:
„Trotz aller Bemühungen der Ransomware-Angreifer können Ermittler diese Rebranding-Versuche dank der Transparenz der Blockchain praktisch sofort erkennen, wenn sie stattfinden.“
Interessanterweise griffen Ransomware-Angreifer bei der Umverteilung der Gelder in 48,3 % der Fälle auf zentralisierte Kryptowährungsbörsen zurück – ein Anstieg gegenüber 39,3 % im Jahr 2021.
Ziel der Gelder, die zwischen 2018 und 2022 Ransomware-Wallets verlassen. Quelle: Chainalysis.
Chainalysis stellte außerdem fest, dass Mixer-Protokolle wie das jetzt vom OFAC genehmigte Tornado Cash im Jahr 2022 von 11,6 % auf 15,0 % zunahmen.
Auf der anderen Seite sanken die Geldtransfers über „risikoreiche“ Kryptowährungsbörsen von 10,9 % auf 6,7 %.
Opfer weigern sich zu zahlen
In Erkenntnissen, die Chainalysis zur Verfügung gestellt wurden, sagte der Bedrohungsanalyseanalyst Allan Liska von Recorded Future, dass die Stellungnahme des US-amerikanischen Office of Foreign Assets Control (OFAC) vom September 2021 teilweise für den Umsatzrückgang verantwortlich sein könnte:
„Mit der drohenden Gefahr von Sanktionen kommt die zusätzliche Gefahr rechtlicher Konsequenzen für die Bezahlung [von Ransomware-Angreifern] hinzu.“
Eine statistische Analyse von Bill Siegel, CEO der Ransomware-Vorfallreaktionsfirma Coveware, deutete auch darauf hin, dass die Zahlungsbereitschaft der Opfer von Ransomware immer geringer wird:
Siegels Wahrscheinlichkeitsdiagramm deutet darauf hin, dass Opfer von Ransomware immer weniger bereit sind, ihre Angreifer zu bezahlen. Quelle: Chainalysis.
Auch die Versicherungsunternehmen für Cybersicherheit verschärfen ihre Standards bei der Risikoprüfung, erklärte Liska:
„Cyber-Versicherungen haben wirklich die Führung übernommen, indem sie nicht nur strengere Vorschriften für den Versicherungsschutz erlassen, sondern auch dafür, wofür Versicherungsleistungen verwendet werden können. So ist es viel unwahrscheinlicher, dass sie ihren Kunden erlauben, eine Versicherungsauszahlung zur Zahlung eines Lösegelds zu verwenden.“
Viele Firmen verlängern ihre Policen nicht, wenn die versicherten Systeme nicht umfassend gesichert sind, Endpoint Detection and Response-Sicherheit integrieren und Multiauthentifizierungsmechanismen nutzen, bemerkte Siegel.
Der Umsatzrückgang kam trotz einer explosionsartig gestiegenen Zahl unterschiedlicher Ransomware-Varianten im Umlauf zustande, wie aus Daten des Cybersicherheitsunternehmens Fortinet hervorgeht.
Siegel erläuterte jedoch, dass es zwar den Anschein habe, als würde der Wettbewerb in der Welt der Ransomware zunehmen, viele der neuen Varianten jedoch von denselben Organisationen betrieben werden:
„Die Zahl der an Ransomware beteiligten Personen ist im Vergleich zur Wahrnehmung unglaublich gering, vielleicht ein paar Hundert [...] Es sind dieselben Kriminellen, sie lackieren bloß ihre Fluchtautos neu.“
Chainalysis erklärte auch, dass die „tatsächlichen Gesamtzahlen“ im Bericht wahrscheinlich viel höher seien, da nicht jede von Ransomware-Angreifern kontrollierte Kryptowährungsadresse identifiziert wurde.