Die 16 größten Ransomware-Angriffe im Jahr 2022
2022 verzeichnete erstmals seit über 3 Jahren einen weltweiten Anstieg der Malware-Angriffe, mit 2,3 Milliarden Angriffen.
Ransomware ist gefährliche Software, die ein Netzwerk oder einen Computer sperrt, bis ein Lösegeld gezahlt wird.
Ransomware-Angreifer drohen oft damit, Authentifizierungsdetails oder gestohlene Daten offenzulegen oder zu verkaufen, wenn das Lösegeld nicht gezahlt wird.
Cyberkriminelle werden Ihre Dateien wiederherstellen oder Ihnen den Schlüssel zur Verfügung stellen, um auf Ihre Systeme zuzugreifen, sobald Sie das Lösegeld gezahlt haben – zumindest versprechen sie das.
Dieser ausführliche Artikel untersucht die 16 größten Ransomware-Angriffe des Jahres 2022:
| Betroffen | Lösegeldforderung / gezahlt |
| 1. Costa Rica Regierung | $20 Millionen Dollar |
| 2. Das Center Hospitalier Sud Francilienn | $10 Millionen Dollar |
| 3. Montenegros Parlament | $10 Millionen Dollar |
| 4. Ward Hadaway | $6 Millionen Dollar in Bitcoin |
| 5. Österreichischer Bundesland Kärnten | $5 Millionen Dollar in Bitcoin |
| 6. Trenitalia | $5 Millionen Dollar in Bitcoin |
| 7. Stadt Wheat Ridge | $5 Millionen Dollar |
| 8. Universität von Pisa | $4.4 Millionen Dollar |
| 9. Rompetrol | $2 Millionen Dollar |
| 10. Damart | $2 Millionen Dollar |
| 11. Tift Regional Medical Center | $1.15 Millionen Dollar |
| 12. Optus | $1 Million Dollar in Kryptowährung |
| 13. Glenn County Office of Education | $1 Millionen Dollar |
| 14. Nvidia | $1 Millionen Dollar |
| 15. Instituto Agrario Dominicano | $600,000 |
| 16. OSDE | $300,000 |
1. Regierung von Costa Rica
Gefordertes Lösegeld: $20 Millionen Dollar
Dieser Vorfall hat wahrscheinlich die meiste Aufmerksamkeit im Jahr 2022 erhalten, da es das einzige Mal war, dass eine Nation aufgrund eines Cyberangriffs einen landesweiten Notstand erklärte.
Anfang April begann der erste Ransomware-Angriff auf das Land, der das Finanzministerium lahmlegte und sowohl die Regierungsdienste als auch die Import-/Exportaktivitäten des Wirtschaftssektors beeinträchtigte.
Die Ransomware-Organisation Conti beanspruchte den ersten Angriff für sich und forderte ein Lösegeld von zunächst 10 Millionen Dollar (später 20 Millionen Dollar) von der Regierung.
Es ist unklar, ob dieses Lösegeld gezahlt wurde.
2. Das Center Hospitalier Sud Francilien
Gefordertes Lösegeld: $10 Millionen Dollar
Im August wurde das Center Hospitalier Sud Francilien von einem Ransomware-Angriff getroffen. Es handelt sich um ein Krankenhaus in Frankreich in der Nähe von Paris.
Infolgedessen musste das medizinische Zentrum Patienten an andere Einrichtungen verweisen und Operationstermine verschieben. Der Eindringling in ihr Netzwerk zwang sie dazu, den Betrieb einzuschränken und verursachte IT-Ausfälle, die sich auf die Patientenaufnahme auswirkten.
Es wurde jedoch angegeben, dass die Verantwortlichen für den Versuch 10 Millionen Dollar im Austausch für einen Entschlüsselungsschlüssel verlangten.
Bisher hat niemand die Verantwortung für den Angriff übernommen.
3. Parlament von Montenegro
Gefordertes Lösegeld: $10 Millionen Dollar
Ein Ransomware-Angriff, der die Technologie-Systeme der Regierung beeinträchtigte, traf das Parlament von Montenegro.
Der Angriff, der 150 Arbeitsstationen in 10 Regierungsorganisationen betraf, wurde von der Cuba-Ransomware-Gang durchgeführt.
Die Gang behauptet, Finanzaufzeichnungen, Briefe von Bankmitarbeitern, Kontoaktivitäten, Bilanzen und Steuerunterlagen in ihren Besitz gebracht zu haben.
10 Millionen Dollar wurden als Lösegeld gefordert.
4. Ward Hadaway
Gefordertes Lösegeld: $6 Millionen Dollar in Bitcoin
Nach einem Cyberangriff wurde die Top-100-Firma Ward Hadaway Erpressungsforderungen von bis zu 6 Millionen Dollar in Bitcoin ausgesetzt.
Das Unternehmen entdeckte im März 2022 einen Cyberangriff, und ein anonymer Hacker warnte, dass gestohlene Dateien und Daten von den IT-Servern online veröffentlicht würden, wenn nicht innerhalb einer Woche 3 Millionen von insgesamt 6 Millionen Dollar Lösegeld gezahlt würden.
Der Cyberkriminelle kopierte Daten und Dateien während des Angriffs (einige wurden im Internet in verschlüsselter Form veröffentlicht) und schickte sie an Ward Hadaway.
5. Der österreichische Bundesstaat Kärnten
Gefordertes Lösegeld $5 Millionen Dollar in Bitcoin
Die Cyberkriminellen-Gruppe Black Cat forderte 5 Millionen Dollar in Bitcoin vom österreichischen Bundesstaat Kärnten. Sie behaupteten, im Besitz sensibler Daten und Zugang zu Entschlüsselungssoftware zu sein.
Ihr Angriff verursachte auch einen riesigen IT-Ausfall in den Regierungsdiensten.
Der Staat entschied sich, nicht zu zahlen, da unzureichende Beweise vorgelegt wurden. Außerdem bereiteten sie mehrere Backup-Systeme vor. Die Folgen wirkten sich auf 3000 IT-Arbeitsplätze aus und stoppten die Auslieferung neuer Pässe und Verkehrsstrafen.
Es blieb nicht dabei. Der Angriff setzte sich auf der Website des Bundeslandes, im E-Mail-System und in den Sozialleistungssystemen fort.
6. Stadt Wheat Ridge
Gefordertes Lösegeld: $5 Millionen Dollar
Die Stadt Wheat Ridge in Denver wurde Opfer einer Ransomware und mit 5 Millionen Dollar Lösegeld bedroht. Sie erklärten entschieden: „Wir behalten unser Geld und beheben das von euch verursachte Chaos selbst“, als Reaktion auf die gewalttätige BlackCat-Gang aus Osteuropa.
Nach dem Angriff musste Wheat Ridge sein Telefon-, E-Mail-System und das Rathaus für die Öffentlichkeit für mehr als eine Woche schließen. Obwohl sich die Dinge allmählich normalisieren, gibt es noch Fragen zu den gehackten Daten.
7. Trenitalia
Gefordertes Lösegeld: $5 Millionen Dollar in Bitcoin
Das Hive-Team griff die Computersysteme von Trenitalia an, was sich auf die Tablets der Mitarbeiter an Bord, die Software und die Möglichkeit, Tickets zu kaufen, auswirkte.
Das Hive-Team hat eine Forderung von 5 Millionen Dollar in Bitcoin mit einer Frist von drei Tagen gestellt, ansonsten würde die Summe auf 10 Millionen Dollar verdoppelt werden.
Trenord, ein mit Trenitalia verbundenes Ticketingsystem, wurde ebenfalls von dem Hack beeinflusst.
Trenord konnte jedoch durch Verhinderung der betroffenen Ticketverkäufe einen vergleichsweise normalen Geschäftsbetrieb aufrechterhalten.
8. Universität Pisa
Gefordertes Lösegeld: $4.4 Millionen Dollar
Die Universität Pisa in Italien war ein weiteres Ziel von BlackCat. Die Universitätsverwaltung erhielt Zeit, die in der Lösegeldforderung der Täter geforderten 4,5 Millionen Dollar für den Angriff zu zahlen.
Der Zeitpunkt hätte für das angeschlagene Italien, das bereits einen weiteren Ransomware-Angriff erlebte, der die Kommunalwahlen in Palermo beeinträchtigte, nicht schlechter sein können.
Um auf BlackCats Lösegeldforderungen zu reagieren, wurde den Zielpersonen ein spezieller Zugang zu einem Gesprächskanal im privaten Browser Tor angeboten, der zum Zugriff auf das Darknet verwendet wird.
Die von CyberSecurity360 eingesehene Notiz besagte, dass „diese Summe erforderlich ist, um den Zugang zu Daten wiederherzustellen, die verschlüsselt und damit wertlos gemacht wurden.“
BlackCat hat auch eine doppelte oder dreifache Erpressungstaktik eingesetzt, indem sie damit drohten, entscheidende Informationen preiszugeben, wenn sie nicht bezahlt werden.
9. Rompetrol
Gefordertes Lösegeld: $2 Millionen Dollar
Petromidia Navodari, die größte Raffinerie in Rumänien mit einer Verarbeitungskapazität von über fünf Millionen Tonnen jährlich, wird von Rompetrol betrieben.
Der Angriff gegen Rompetrol, eine Tochtergesellschaft von KMG, wurde von der Hive-Ransomware-Gang durchgeführt.
Hive verlangte von Rompetrol ein Lösegeld von 2 Millionen Dollar im Austausch für einen Entschlüsseler und ein Versprechen, die angeblich gestohlenen Daten geheim zu halten.
Vor dem Angriff hatte KMG angegeben, dass geplante Wartungsarbeiten dazu führen würden, dass Rompetrol Rafinare vom 11. März bis 3. April den Betrieb einstellt.
10. Damart
Gefordertes Lösegeld: $2 Millionen Dollar
Damart ist eine französische Bekleidungsmarke, die von der Hive-Cyberkriminellengang angegriffen wurde. Daten wurden verschlüsselt, bestimmte Dienste unterbrochen, und 92 Filialen hatten noch zwei Wochen nach Beginn des Angriffs mit betrieblichen Problemen zu kämpfen.
Der Angriff konnte auf Damarts Active Directory zugreifen, woraufhin sie sofort mehrere ihrer Server abschalteten, um eine weitere Infiltration zu blockieren.
Die Organisation forderte 2 Millionen Dollar Lösegeld.
11. Tift Regional Medical Center
Gefordertes Lösegeld: $1.15 Millionen Dollar
Das Tift Regional Medical Center in Georgia war im Juli 2022 Ziel eines Angriffs. Erst im September wurde der Vorfall jedoch öffentlich, als die Gespräche mit der Hive-Gang scheiterten.
Die Hive-Gang stahl während des Hacks, der im Juli und August stattfand, etwa 1 TB Daten, darunter Presseunterlagen, Gehaltsabrechnungen von Mitarbeitern und vertrauliche Geschäftsinformationen.
Am 25. August kontaktierte die Gang das Krankenhaus per E-Mail, stellte sich vor und lieferte einen Link zu einigen gestohlenen Daten. Die Lösegeldforderung betrug kurz gesagt 1.150.000 Dollar, woraufhin Tift ein Angebot von 100.000 Dollar machte.
Die Reaktion von Hive war recht interessant: „Danke für Ihr Angebot.“ Gefolgt von „Sagen Sie dem Vorstand, dass sie die 100.000 Dollar für Anwälte behalten können. Wir werden die Daten veröffentlichen.“
12. Optus
Gefordertes Lösegeld: $1 Million Dollar in Kryptowährung
Nach einem Ransomware-Angriff, bei dem eine unbekannte Gruppe behauptete, Daten von etwa 11,2 Millionen Nutzern gestohlen zu haben, geriet das australische Telekommunikationsunternehmen Optus in die Schlagzeilen.
Die Hacker forderten 1 Million Dollar in Monero-Kryptowährung, um den Verkauf der gestohlenen Daten zu verhindern.
Die Bundespolizei in Australien untersucht den Fall.
13. Glenn County Office of Education
Gefordertes Lösegeld: $1 Million Dollar
Die Quantum-Ransomware-Gruppe griff das Glenn County Office of Education in Kalifornien an und forderte ein Lösegeld von 1 Million Dollar.
Die Cyberkriminellen-Gang verhandelte offenbar während des Ransomware-Verhandlungsprozesses in dem falschen Glauben, dass die Vermögenswerte und Cyberversicherungen des Countys ausreichen würden, um ihre Forderung zu erfüllen.
Angeblich wurde ein Lösegeld von 400.000 Dollar gezahlt.
14. Nvidia
Gefordertes Lösegeld: $1 Million Dollar
Im Februar 2022 traf ein Ransomware-Ausbruch das größte Halbleiterchip-Unternehmen der Welt. Das Unternehmen gab zu, dass die Cyberkriminellen begonnen hatten, Mitarbeiter-Anmeldedaten und vertrauliche Daten online zu veröffentlichen.
Lapsus$, eine Ransomware-Organisation, übernahm die Verantwortung für den Vorfall und sagte, sie habe 1 TB gestohlener Firmendaten in ihrem Besitz, die sie online stellen wollte.
Außerdem forderte sie 1 Million Dollar und einen Teil einer undefinierten Summe von Nvidia.
Laut zahlreichen Medienberichten musste Nvidia einige seiner Geschäftsbereiche für zwei Tage offline nehmen, da seine internen Systeme verwundbar waren. Später betonte das Unternehmen, dass dieser Vorfall seine Geschäftstätigkeit nicht beeinträchtigt habe.
Als Reaktion auf den Angriff verstärkte Nvidia schnell seine Sicherheitsmaßnahmen und beauftragte sofort Experten für Cyber-Vorfallreaktionen, um das Problem einzudämmen.
Einigen Quellen zufolge hat Nvidia den Hacker im Gegenzug kompromittiert. Es scheint, dass sie Mitglieder von Lapsus$ verfolgt und deren Computer mit Malware angegriffen haben. Dies kann jedoch nicht bestätigt oder unterstützt werden.
15. Instituto Agrario Dominicano
Gefordertes Lösegeld: $600,000
Ein Quantum-Ransomware-Angriff traf das Instituto Agrario Dominicano (IAD), eine Regierungsorganisation der Dominikanischen Republik und eine Abteilung des Landwirtschaftsministeriums.
Die Verschlüsselung zahlreicher Dienste und Arbeitsstationen beeinträchtigte den Betrieb der Behörde. Datenbanken, Apps und E-Mails befanden sich auf vier lokalen und acht virtuellen Servern – sämtlichen Servern der Organisation.
Es wurde ein Lösegeld von 600.000 Dollar gefordert.
16. OSDE
Gefordertes Lösegeld: $300,000
Ein Cyberangriff auf OSDE, eine Kette von Gesundheitsdienstleistern und Fachleuten in Argentinien, wurde Anfang des Jahres bekannt.
LockBit, die die Verantwortung für den Hack übernahm, forderte ein Lösegeld von 300.000 Dollar, um alle entwendeten Daten zurückzukaufen oder zu löschen.
Nachdem das Lösegeld nicht gezahlt wurde, veröffentlichte die Organisation die Dateien. Laut DataBreaches.net enthielten sie jedoch relativ wenige persönliche Daten.
Wie lange dauert eine Betriebsunterbrechung nach einem Ransomware-Angriff?
Durchschnittliche Ausfallzeit – Unternehmen können sich schnell von einer Betriebsunterbrechung erholen, wenn sie widerstandsfähig sind. Wenn Unternehmen getestete betriebliche Backups haben, könnte die Störung nur wenige Stunden dauern.
Die Störung kann jedoch mehrere Tage oder Wochen dauern, wenn ein Unternehmen seine Systeme nicht aus Backups wiederherstellen kann; dies gilt insbesondere, wenn spezielle Hardware ersetzt werden muss oder ein Netzwerk komplett neu aufgebaut werden muss.
Wenn das der Fall ist, sollten die meisten Unternehmen mehrere Tage Ausfallzeit einplanen, um ihre Systeme wiederherzustellen. Die durchschnittliche Ausfallzeit dauert 7 bis 10 Tage.
Warum ist Ransomware effektiv?
Die Schöpfer von Ransomware nutzen Angst und Panik, um ihre Opfer dazu zu bringen, auf einen Link zu klicken oder ein Lösegeld zu zahlen, was zur Infektion der Systeme der Benutzer mit weiterer Software führen kann.
Ransomware enthält bedrohliche Nachrichten. Zum Beispiel: „Auf Ihrem Computer wurden Webseiten mit rechtswidrigen Inhalten besucht. Sie müssen eine Strafe von 75 Dollar zahlen, um auf Ihren Computer zugreifen zu können.“ oder „Auf Ihrem Computer wurde gerade ein Virus installiert. Klicken Sie hier, um das Problem zu beheben.“
Was sind die besten Vorgehensweisen gegen Ransomware?
- Nutzen Sie starke Firewall- und Antiviren-Abwehrmaßnahmen in Ihrem Netzwerk.
- Halten Sie Backup-Hardware bereit, falls die Haupt-Hardware während eines Cyber-Angriffs beschädigt wird, damit Systeme wiederhergestellt werden können.
- Aktualisieren Sie Ihr Netzwerk mit den neuesten Softwarekorrekturen.
- Überlegen Sie, eine Netzwerksegmentierung auf physischer oder logischer Ebene durchzuführen.
- Denken Sie darüber nach, Daten zu verschlüsseln, um den Zugriff, das Kopieren oder Übertragen zu erschweren.
- Nutzen Sie eine „Zulassungsliste“ nur für Anwendungen, um bestimmte Programme in Ihrem Netzwerk auszuführen.
- Erstellen Sie einen Geschäftswiederherstellungsplan, der es Ihnen ermöglicht, den Betrieb fortzusetzen, auch wenn einige Systeme nicht verfügbar sind.
Was sollte man nach einem Ransomware-Angriff tun?
Wenn Sie einem Ransomware-Angriff begegnen, führen Sie so schnell wie möglich Ihre Strategie zur Vorfallbewältigung und Geschäftskontinuität durch.
Informieren Sie anschließend Ihre Bank, dass Sie einen Ransomware-Angriff erlitten haben und Ihre Notfallmaßnahmen umsetzen.
Beschränken Sie außerdem die Nutzung von Zahlungsplattformen, um die Durchführung verdächtiger Transaktionen zu verhindern, bis Sie sicher sind, dass Ihr Netzwerksystem geschützt ist.