Zum Hauptinhalt springen
Ransomware ist die am schnellsten wachsende Form von Cyberkriminalität – bis 2031 werden die durch Ransomware verursachten Schäden wahrscheinlich 265 Milliarden US-Dollar übersteigen. Die böswilligen Angriffe, bei denen Cyberkriminelle die Kontrolle über die Daten eines Unternehmens übernehmen und eine Zahlung für deren Freigabe verlangen, haben oft verheerende Auswirkungen auf die Geschäftstätigkeiten der Betroffenen.
In diesem Artikel untersuchen wir, was bei fünf der größten und teuersten Ransomware-Angriffe wirklich passiert ist. Durch die Analyse der Methoden, der Folgen und der daraus gezogenen Lehren möchten wir wertvolle Erkenntnisse gewinnen, die Ihnen dabei helfen, die Bedrohung durch Ransomware besser zu verstehen und einzudämmen.
1. Britisches Abfallentsorgungsunternehmen Amey PLC gehacked – 2 Milliarden US-Dollar Lösegeld gefordert
Unternehmen: Amey PLC
Kriminelle Organisation: Mount Locker
Lösegeld: $2 Milliarden
Was passiert ist: Amey PLC, zuständig für die Müllentsorgung und Straßenreinigung in Trafford (UK), wurde im Dezember 2020 Opfer eines komplexen Ransomware-Angriffs der Gruppe Mount Locker.
Nach Angaben der Manchester Evening News forderten die Hacker ein Lösegeld in Höhe von 2 Milliarden US-Dollar und begannen, die gestohlenen Daten auf einer geleakten Website zu veröffentlichen, darunter vertrauliche Verträge, Finanzunterlagen und Partnerschaftsvereinbarungen. Die Hackergruppe behauptete, sie habe 143 GB an Daten gestohlen, die von offizieller Regierungskorrespondenz bis hin zu persönlichen Ausweisdokumenten von Mitarbeitern und Geschäftsführern reichten.
Es ist unklar, wie es zu dem Vorfall kam und ob er vermeidbar war. Nichtsdestotrotz dient dieser Vorfall als deutliche Erinnerung an die weitreichenden Folgen von Ransomware-Angriffen und daran, dass es jedes Unternehmen in jedem Sektor treffen kann.
2. Europäischer Elektronik-Einzelhändler gezwungen IT-System abzuschalten während Hacker 240 Millionen US-Dollar fordern
Unternehmen: MediaMarkt
Kriminelle Organisation: Hive
Lösegeld: $240 Millionen
Was passiert ist: MediaMarkt, einer der größten europäischen Einzelhändler für Unterhaltungselektronik mit Märkten in 13 Ländern, wurde im November 2021 von der Hive-Gruppe angegriffen.
Die Hive-Gruppe griff die Server und Workstations von MediaMarkt an und verschlüsselte sie, sodass das Unternehmen gezwungen war, seine IT-Systeme abzuschalten, um eine weitere Ausbreitung des Angriffs zu verhindern. Der Vorfall führte zu einer Unterbrechung des Filialbetriebs in Deutschland und den Niederlanden, wo die Kassen weder Kreditkarten verarbeiten noch Quittungen erstellen konnten. Während der Online-Verkauf weiterhin funktionierte, hatte der Angriff erhebliche Auswirkungen auf den physischen Einzelhandel, da Kundenrückgaben und die Abfrage der Kaufhistorie ebenfalls nicht mehr möglich waren. Angeblich waren über 3.100 Server betroffen.
Hive forderte zunächst ein Lösegeld in Höhe von 240 Millionen US-Dollar, das später auf einen nicht genannten Betrag heruntergehandelt wurde.
Einem FBI-Bericht zufolge hat die Ransomware-Gruppe Hive weltweit über 1.300 Unternehmen angegriffen. Sie nutzen eine Vielzahl von Methoden, um Schwachstellen auszunutzen und sich unbefugten Zugang zu verschaffen, in einigen Fällen sogar unter Umgehung der mehrstufigen Authentifizierung. Dies verdeutlicht, wie wichtig eine letzte Verteidigungslinie zum Schutz der wichtigen Systeme eines Unternehmens ist, da der Schutz der Endpoints oft nicht ausreicht.
3. Royal Mail Opfer einer $80 Millionen Ransomware Attacke
Unternehmen: Royal Mail
Kriminelle Organisation: LockBit
Lösegeld: $80 Millionen gefordert (später auf $40 Millionen gesenkt; Bezahlung unbekannt)
Was passiert ist: Ein Ransomware-Angriff verursachte im Januar 2023 weitreichende Störungen bei Royal Mail, dem britischen Post- und Kurierdienst.
Die Angreifer hackten die internationalen Versandgeräte von Royal Mail, sodass das Unternehmen nicht in der Lage war, internationale Pakete in seinen 11.500 Postfilialen zu bearbeiten.
Die Hacker forderten ein Lösegeld in Höhe von 80 Millionen Dollar, um ein Entschlüsselungsprogramm bereitzustellen und die Veröffentlichung der Daten zu verhindern. Es folgten Verhandlungen, wobei Royal Mail die Forderung als „absurd“ zurückwies und behauptete, eine so hohe Summe nicht zahlen zu können. Während des Hin und Her drohten die Hacker, die gestohlenen Daten zu veröffentlichen, falls ihre Forderung nicht erfüllt würde.
Später senkte LockBit seine Forderung auf 40 Millionen Dollar. Es ist nicht klar, ob Royal Mail einen Teil des Lösegelds gezahlt hat, aber das Unternehmen war sechs Wochen lang mit schweren Störungen konfrontiert.
4. IT-Unternehmen Kaseya gehacked, tausende Klein-Unternehmen weltweit betroffen
Unternehmen: Kaseya
Kriminelle Organisation: REvil
Lösegeld: $70 Millionen
Was passiert ist: Kaseya, ein in Florida ansässiges Technologieunternehmen, wurde im Juli 2021 Opfer eines massiven Ransomware-Angriffs durch die REvil-Gruppe.
Kaseya ist als „Managed Service Provider“ tätig und unterstützt kleinere Unternehmen bei ihren technischen Anforderungen. Die Hacker machten sich dieses Vertrauen zunutze und missbrauchten das System des Anbieters, um über regelmäßige Updates bösartige Software zu verteilen und so die Systeme der Kunden zu kompromittieren.
Der Angriff verursachte weitreichende Störungen, von denen nach Schätzungen des Unternehmens 800 bis 1.500 Firmen weltweit betroffen waren. Die Auswirkungen erstreckten sich über mehrere Kontinente und betrafen auch Supermärkte in Schweden und Schulen in Neuseeland.
REvil, ein russisches Hackerkollektiv, übernahm die Verantwortung für den Angriff und schürte damit die Sorge vor einem eskalierenden Ransomware-Wettrüsten. Die Regierung um Biden begann daraufhin mit Diskussionen über nationale und internationale Gegenmaßnahmen.
5. U.S. Versicherungsgesellschaft CNA zahlte 40 Millionen US-Dollar, um Kontrolle über System wiederzuerlangen
Unternehmen: CNA Financial Corp
Kriminelle Organisation: Verbindung zu Evil Corp wird angenommen
Lösegeld: $40 Millionen
Was passiert ist: CNA Financial, ein großes US-amerikanisches Versicherungsunternehmen, wurde im März 2021 Opfer eines Ransomware-Angriffs
Die Hacker nutzten ein gefälschtes Browser-Update, um in den Arbeitsrechner eines Mitarbeiters einzudringen. Nachdem sie sich höhere Privilegien verschafft hatten, drangen sie in das Netzwerk ein und infiltrierten mehrere Geräte, bevor sie die Ransomware einsetzten, die über 15.000 Systeme verschlüsselte – darunter auch die Geräte von Mitarbeitern, die mit dem VPN des Unternehmens verbunden waren.
Die Angreifer stahlen sensible Daten, darunter Namen, Sozialversicherungsnummern und medizinische Informationen, die Mitarbeiter, ehemalige Mitarbeiter, Angehörige und einige Kunden betrafen. Obwohl die Hacker die Daten nicht weitergaben, entschloss sich das Unternehmen, die betroffenen Personen zu benachrichtigen.
CNA führte eine Cybersicherheitsuntersuchung durch, konnte die Kontrolle über seine Systeme jedoch nur durch die Zahlung von 40 Millionen US-Dollar Lösegeld wiedererlangen. Die Gesamtauswirkungen dieses Vorfalls auf das Unternehmen sind sogar noch höher. Dem Unternehmen entstanden Kosten für Cybersicherheits-Support und Geschäftsunterbrechungen. Außerdem wurde der Ruf des Unternehmens durch die kompromittierten Kundendaten geschädigt.
Was wir aus den größten Ransomware-Angriffen lernen können
Diese Angriffe zeigen, dass jedes Unternehmen, egal in welcher Branche, Opfer eines Ransomware-Angriffs werden und um Millionen von Dollar erpresst werden kann. Das wirft die Frage auf, was die Unternehmen in diesen Beispielen hätten anders machen können.
Bei all diesen Vorfällen nutzten die Hacker Schwachstellen aus, um in die Systeme der Unternehmen einzudringen. Aus diesem Grund ist eine letzte Verteidigungslinie so wichtig – hier kann ProLion helfen.
CryptoSpike von ProLion bildet eine zusätzliche Schutzebene, die über den Endpoint-Schutz hinausgeht und Ihre kritischen Systeme auf der Storage-Ebene absichert. Durch die Analyse des Datenzugriffs auf das Speichersystem erkennt CryptoSpike Ransomware-Angriffe und verdächtiges Verhalten, stoppt Hacker auf frischer Tat und ermöglicht die sofortige Wiederherstellung betroffener Dateien.
Erfahren Sie mehr über die Funktionsweise von CryptoSpike hier, oder setzen Sie sich mit unserem Team in Verbindung, um eine personalisierte Live-Demo zu erhalten.
Über ProLion
ProLion bietet leistungsstarke Schutzlösungen für kritische Storage- und Backupdaten, on-premise oder in der Cloud. Vom Ransomware-Schutz, der Bedrohungen in Echtzeit erkennt, bis hin zur Datenzugriffstransparenz. Unsere branchenführenden Technologien sorgen dafür, dass Ihre Storage Systeme sicher, compliant, verwaltbar und rund um die Uhr zugänglich bleibt.
