Ransomware-Analyse für Deutschland: Black Basta schießt sich auf deutsche Ziele ein

Das Threat-Intelligence-Team von Malwarebytes hat die Aktivitäten von Ransomware-Gruppen in Deutschland von April 2022 bis März 2023 untersucht und in einem länderspezifischen Ransomware-Report veröffentlicht. Das Ergebnis zeigt, dass Deutschland ein weltweit bedeutendes Ziel für Ransomware-Angriffe ist. Im Malwarebytes-Ranking belegt Deutschland mit 114 bekannten Angriffen den vierten Platz, nach den USA mit 1.167 Angriffen, Großbritannien mit 163 Angriffen und Kanada mit 132 Angriffen. Innerhalb der EU wurde Deutschland am meisten angegriffen und ist das am häufigsten angegriffene Land, in dem Englisch nicht die Amtssprache ist.

Im Verhältnis zum nominalen Bruttoinlandsprodukt (BIP) belegt Kanada mit 66 Angriffen den ersten Platz unter den beliebtesten Zielen von Ransomware-Gruppen, gefolgt von Spanien mit 55 Angriffen und Großbritannien mit 52 Angriffen. Die USA landen in dieser Aufstellung mit 50 Angriffen auf dem vierten Platz. Deutschland befindet sich auf Platz neun mit 27 Angriffen pro Billion US-Dollar Wirtschaftsleistung.

Deutschland, Spanien, Frankreich und Italien weisen auf Basis des Angriffsvolumens pro Kopf nahezu identische Angriffszahlen auf. Auffällig ist jedoch, dass englischsprachige Länder mindestens drei der ersten fünf Plätze belegen.

Der Dienstleistungssektor ist in Deutschland, wie in den meisten Ländern, am stärksten betroffen. Die Baubranche ist in Deutschland hingegen häufiger betroffen als in anderen Ländern. Bei den Ransomware-Gruppen waren LockBit und Black Basta in den letzten zwölf Monaten in Deutschland am aktivsten, wobei LockBit weltweit die am weitesten verbreitete Ransomware ist. Black Basta hat es vor allem auf deutsche Ziele abgesehen.

„Die Situation in Deutschland ist alles andere als gut zu bewerten, auch wenn die Ausgangslage nicht ganz so kritisch ist wie in anderen, stärker betroffenen Ländern“, fasst Marcelo Rivero, Ransomware-Spezialist bei Malwarebytes, zusammen. „Egal welchen Maßstab wir zu Grunde ziehen: Deutschland bleibt eines der am meisten angegriffenen Länder der Welt und eines der Hauptziele von Ransomware-Gruppen.“

Zahlreiche Unternehmen in Deutschland betroffen

Im Jahr 2022 wurden mehrere Ransomware-Angriffe auf namhafte Unternehmen und Institutionen verübt. Im August 2022 wurde der deutsche Halbleiterhersteller Semikron von Angreifern attackiert, welche das Netzwerk verschlüsselten und zwei Terrabyte an Dokumenten erbeuteten. Ebenfalls im August wurde der Automobilzulieferer Continental von der Ransomware-Gruppe LockBit angegriffen, welche angab, 40 Terrabyte an Daten gestohlen zu haben. Nachdem Continental Ende Oktober 2022 die Verhandlungen mit LockBit abgebrochen hatte, boten die Angreifer die Daten für 50 Millionen US-Dollar zum Verkauf oder zur Löschung an, was zu diesem Zeitpunkt die höchste bekannte Lösegeldforderung darstellte. Im Oktober 2022 wurde die Regionalzeitung Heilbronner Stimme Opfer eines Ransomware-Angriffs, der das Drucksystem lahmlegte und zur Veröffentlichung einer nur sechsseitigen Notausgabe zwang. Der Angriff betraf auch andere Unternehmen der Stimme Mediengruppe sowie die Webseite und der E-Paper-Zugang von Echo waren betroffen. Im November 2022 bekannte sich die Ransomware-Gruppe Vice Society zu einem Angriff auf die Universität Duisburg-Essen (UDE), bei dem verschiedene Daten wie Backup-Archive, Finanzdokumente, Forschungsarbeiten und Informationen von Studierenden gestohlen wurden. Der Angriff führte zu so umfangreichen und komplexen Schäden, dass die gesamte IT-Infrastruktur der Universität neu aufgebaut werden musste, wie die UDE am 9. Januar 2023 bekannt gab.

Resümee

Die Bedrohung durch Ransomware-Gruppen hat in den letzten zwölf Monaten in Deutschland stark zugenommen. Besonders die Baubranche war überdurchschnittlich oft Ziel von Angriffen. Dies wirft die Frage auf, warum gerade diese Branche von den Angreifern so stark ins Visier genommen wurde, obwohl es zahlreiche andere potenzielle Ziele gibt. Bei den Angriffen in Deutschland traten vor allem LockBit und Black Basta in Erscheinung, wobei letztere Gruppe eine Vorliebe für deutsche Ziele zu haben scheint und nach LockBit die zweitaktivste Ransomware-Gruppe war. Im Vergleich zu Großbritannien oder Frankreich gab es im vergangenen Jahr in Deutschland deutlich mehr Angriffe durch Black Basta. Lediglich in den USA waren in den letzten zwölf Monaten noch mehr Ransomware-Attacken zu verzeichnen als in Deutschland.