Mit 73 Ransomware-Angriffen war LockBit nach der Analyse des Malwarebytes Threat Intelligence Teams die mit Abstand am weitesten verbreitete Ransomware im Mai 2022. Danach folgte Black Basta mit 22 Angriffen, ALPHV mit 15 Angriffen, Hive mit 14 Angriffen und Mindware mit 13 Angriffen. Conti landete im Mai hingegen nur auf dem sechsten Platz – Malwarebytes schrieb der Ransomware-Gruppe 12 Angriffe in seiner Analyse zu. Die Aktivität fiel im Vergleich zum Vormonat (43 Angriffe) deutlich geringer aus.
Auffällig dabei ist, dass drei der vier Gruppen, die Conti im Mai überholt haben, mit der aktuell diskutierten Auflösung von Conti in Verbindung stehen: Black Basta, ALPHV und Hive. Hive wurde beispielsweise als die Ransomware genannt, die beim Angriff auf den staatlichen Gesundheitsdienst in Costa Rica am 31. Mai verwendet wurde.
Betrachtet man die Verteilung der Ransomware-Angriffe nach Ländern, war im Mai 2022 die USA das mit Abstand am stärksten betroffene Land: 75 Angriffe bringt Malwarebytes mit den Vereinigten Staaten in Verbindung. 13 Angriffe können Deutschland zugeschrieben werden, dicht gefolgt von UK mit 12 Angriffen.
Was die Industrien betrifft, war im Mai insbesondere der Dienstleistungssektor betroffen: 38 Angriffe entfallen laut Malwarebytes auf diese Branche. Auf dem zweiten Platz befindet sich die Technologiebranche mit 26 Angriffen, gefolgt von Logistik mit 16 Angriffen.
Conti: Ransomware-Gruppe erweckt wiederholt Aufmerksamkeit
Auch wenn Conti im Mai 2022 nur 12 Angriffe zugeschrieben wurden, erregte die Ransomware-Gruppe die größte Aufmerksamkeit im letzten Monat. Conti zählt zu den größten und gefährlichsten Ransomware-Gruppen. Sie war bereits in hunderte von Angriffen verwickelt. Aktuell kursieren Spekulationen, dass sich die Gruppe auflöst und sich ihre Mitglieder neu organisieren. Das Malwarebytes Threat Intelligence Team konnte bestätigen, dass es eine interne Ankündigung für Conti-Mitglieder über die Auflösung gab und dass interne Chatserver der Gruppe nicht mehr erreichbar sind. Die Leak-Webseite der Gruppe ist hingegen noch in Betrieb und wird fast täglich mit Daten aktualisiert.
In jüngster Zeit hatte Conti tatsächlich einige Probleme zu bewältigen: Am 27. Februar begann eine Person, die Zugang zu internen Abläufen der Gruppe hatte, einen Datensatz zu veröffentlichen, der Quellcode, Dateien und zahlreiche interne Chat-Nachrichten enthielt. Dieser Vorgang wurde als „Conti-Leaks“ bekannt. Kurze Zeit später begann eine andere Hackergruppe, den durchgesickerten Quellcode für Angriffe auf Ziele in Russland zu verwenden, und brach damit eine der unausgesprochenen Ransomware-Regeln. Anfang Mai setzte das FBI schließlich ein Kopfgeld in Höhe von 10 Millionen Dollar auf die Conti-Gruppe aus. Am 8. Mai rief der Präsident von Costa Rica den nationalen Notstand für den öffentlichen Sektor des Landes aus – als Reaktion auf die anhaltenden Auswirkungen eines Conti-Ransomware-Angriffs im April. Zuvor hatte Conti 672 Gigabyte an geklauten Daten der Regierung Costa Ricas im Darknet veröffentlicht.
Es wäre daher anzunehmen, dass Conti noch ganz gut dasteht. Laut einer Analyse von Advintel waren die Angriffe auf Costa Rica jedoch vermutlich eine absichtliche Showeinlage einer Organisation, die aktuell nur noch mit Notbesetzung arbeitet. Es scheint, dass Contis Entscheidung, der russischen Regierung im Februar nach dem Einmarsch in die Ukraine „volle Unterstützung“ zu gewähren, ein fataler Fehler gewesen sein könnte. Indem sich die Gruppe dem russischen Staat anschloss, machte sie Lösegeldzahlungen zu einem potenziellen Sanktionsverstoß. Dies machte die Einnahmen der Gruppe zunichte. Laut Advintel gründete Conti infolgedessen Unterabteilungen – wie Black Basta – die sich nun etablieren sollen, bevor Conti verschwindet.
Weitere Erkenntnisse zu Conti und zum Ransomware-Report Mai von Malwarebytes finden Sie hier.