GandCrab ist aktivste Ransomware im Dach-Raum

Mit dem Threat Report veröffentlicht Eset dreimal jährlich Ergebnisse aus den eigenen Erkennungssystemen und besondere Vorfälle aus der Cybersecurity-Forschung des IT-Sicherheitsherstellers. Die neueste Ausgabe für das zweite Tertial 2022 beleuchtet die Zeitspanne von Mai bis August.

Wichtigste Auffälligkeit in dem Bericht: Während die Ransomware GandCrab im weltweiten Vergleich eher eine kleine Rolle spielt, dominiert der Verschlüsselungstrojaner in Deutschland, Österreich und der Schweiz die Eset-Erkennungsstatistiken. So gehen global nur 2,5 Prozent der Erkennungen auf GandCrab zurück. In Deutschland, Österreich und der Schweiz ist die Ransomware jedoch bei fast jeder vierten Erkennung beteiligt (22,5 Prozent).

Insgesamt rücken gerade die technisch fortgeschrittenen Akteure vom Modell der massenhaften Verbreitung ab. Die Hacker konzentrieren sich gemäss dem Eset-Bericht zunehmend auf gezielte Attacken und Ransomware-as-a-Service-Modelle. Zudem gibt es sehr viele «Test»-Projekte zum Thema Verschlüsselung auf GitHub, die leicht als Teil für eine neue Ransomware wiederverwendet werden können.

Weltweit gesehen wurden im Sommer 2022 in den USA am meisten Ransomware-Attacken verübt, nämlich 7,5 Prozent aller weltweit registrierten Angriffe, gefolgt von China mit 6 Prozent und Israel mit 5,5 Prozent. Russland und Ukraine, die Anfang Jahr das weltweite Ransomware-Ranking anführten, landen mittlerweile auf den Plätzen vier und fünf.

«In T1 2022 war Russland noch das Land, das am stärksten von Ransomware betroffen war, wobei einige der Angriffe durch den Krieg politisch oder ideologisch motiviert waren», erklärt Roman Kováč, Chief Research Officer bei Eset. «Der Eset Threat Report T2 2022 zeigt jedoch, dass diese Hacktivismus-Welle von Mai bis August zurückgegangen ist und Ransomware-Betreiber ihre Aufmerksamkeit auf die Vereinigten Staaten, China und Israel gerichtet haben, fügt er an.

Der Bedrohungsbericht von Eset vermag auch positive Entwicklungen vermelden. So lassen RDP-Angriffe (Remote Desktop Protocol) im Laufe des Jahres weiter nach und gehen um rund 89 Prozent im Vergleich zum ersten Tertial (Januar bis April) zurück. Nach Ansicht der Eset-Analysten ist der starke Rückgang von RDP-Angriffen auf den Krieg zwischen Russland und der Ukraine, die Rückkehr in die Büros und insgesamt verbesserten Sicherheitsmassnahmen im Unternehmensumfeld zurückzuführen. Trotz der rückläufigen Zahlen seien russische IP-Adressen weiterhin für den grössten Teil der RDP-Attacken verantwortlich gewesen, heisst es weiter.

Während das RDP-Protokoll verschont wird, scheinen Hacker vermehrt die Datenbankabfragesprache SQL (Structured Query Language) ins Visier zu nehmen. 640'000 Attacken auf SQL-Instanzen im Wochenmittel beobachtete Eset Ende August in der Dach-Region, was als steiler Anstieg interpretiert wird.