Ransomware-Studie: 58 Prozent der Opfer zahlen Lösegeld – auch mehrfach

Ransomware

Nur 54 Prozent erhalten nach einer ersten Lösegeldzahlung einen Entschlüsselungsschlüssel. 10 Prozent gehen mehr als einmal erfolglos auf die Forderungen der Erpresser ein.

Laut einer Studie von Proofpoint zahlen 58 Prozent der Organisationen, die mit einer Ransomware infiziert wurden, ein Lösegeld an die Cyberkriminellen. In vielen Fällen fließt demnach für den Erhalt eines Entschlüsselungsschlüssels sogar mehrfach Geld.

Strafverfolger und Sicherheitsexperten warnen grundsätzlich davor, auf die Forderungen von Cybererpressern einzugehen. Weder gebe es keine Garantie, dass nach einer Zahlung eines Lösegelds ein Entschlüsselungsschlüssel ausgehändigt wird, noch dass der Schlüssel auch funktioniere. Darüber hinaus bestätigt jede erfolgreiche Erpressung das kriminelle Geschäftsmodell der Ransomware-Gruppen.

Diese mit einer Lösegeldzahlung verbundenen Risiken werden durch die Studie bestätigt. Laut Proofpoint erhalten nur 54 Prozent der Opfer, die auf die Forderungen ihrer Erpresser eingegangen sind, bereits nach einer ersten Lösegeldzahlung wieder Zugriff auf ihre Daten und Systeme. Ein weiteres Drittel musste hierfür ein weiteres Lösegeld bezahlen. Zehn Prozent gaben an, auf weitere Forderungen nicht eingegangen zu sein – und somit trotz einer ersten Zahlung keinen Zugriff auf ihre Daten erhalten zu haben.

Rund vier Prozent der Betroffenen zahlten einmal oder auch mehrfach Lösegeld an die Erpresser, ohne eine Gegenleistung zu erhalten. Entweder funktionierten die ihnen übermittelten Schlüssel nicht, oder die Erpresser stellten erst gar keinen Schlüssel zur Verfügung.

Proofpoint weist auch darauf hin, dass die Cyberkriminellen oftmals schon Wochen oder gar Monate vor dem eigentlichen Ransomware-Angriff in die Netzwerke ihrer Opfer eindringen. Als Folge hätten sie auch nach Zahlung eines Lösegelds noch die benötigte Kontrolle über IT-Systeme, um weitere Attacken zu starten.

“Ich glaube nicht, dass sich viele Unternehmen der Tatsache bewusst sind, dass man vielleicht einmal das Lösegeld bezahlt, aber wenn die Kriminellen acht Wochen lang in Ihrer Infrastruktur waren, weiß man nicht, was sie sonst noch gestohlen haben”, so Adenike Cosgrove, Cybersicherheitsstrategin bei Proofpoint, gegenüber ZDNet.com.

Opfer von Ransomware seien zudem nicht nur aufgrund von verschlüsselten Dateien erpressbar. “Die erste Variante lautet: ‘Gebt mir ein Lösegeld, damit ich euch den Entschlüsselungsschlüssel geben kann’. Die zweite Variante lautet: ‘Geben Sie mir ein Lösegeld, oder ich werde diese Daten ins Dark Web stellen’, ergänzte Cosgrove. “Die dritte Variante könnte lauten: “Geben Sie mir ein Lösegeld, oder ich werde die Medien über Ihre Datenschutzverletzung informieren und den Aufsichtsbehörden mitteilen, dass Sie Ihre Kunden nicht darüber informiert haben, dass ihre Privatsphäre beeinträchtigt wurde.”

Laut Proofpoint ist der beste Schutz vor Cybererpressung, die Angriffe an sich zu verhindern. 75 Prozent der Ransomware-Angriffe starteten mit einer Phishing-Attacke, um für einen Remotezugriff benötigte Anmeldedaten zu erhalten. Ziel müsse es von daher sein, verdächtige Aktivitäten möglichst früh zu entdecken. “Man geht davon aus, dass ein Ransomware-Angriff der Beginn eines Vorfalls ist, aber in Wirklichkeit begann der Vorfall schon vor Wochen”, sagte Cosgrove.