Ransomware-as-a-Service (RaaS) ist eine relativ neue Bedrohung für die Cybersicherheit. Dieses illegale Geschäftsmodell erfreut sich immer stärkerer Beliebtheit: Es funktioniert im Prinzip ähnlich wie Software-as-a-Service (SaaS) und vermietet oder verkauft Ransomware-Varianten an jeden, der bereit ist zu zahlen. RaaS existierte früher vorwiegend in den Untergrundforen des Dark Webs, RaaS-Anbieter verlegen sich aber zunehmend auf Chat-Apps (z. B. Telegram), um zu kommunizieren und ihre Malware zu verbreiten.
Die Entwickler der Ransomware haben erkannt, dass es für sie weniger riskant und arbeitsintensiv ist, Schadsoftware zu entwickeln und sie an weniger qualifizierte Hacker zu verkaufen oder zu vermieten, als selbst Angriffe durchzuführen. Ambitionierte Internetkriminelle ohne fortgeschrittene Programmierkenntnisse erhalten von RaaS-Anbietern alle Tools, die sie zur Ausführung der Schadsoftware benötigen. Einige dieser Betreiber bieten Lösungen an, die so einfach zu bedienen sind, dass fast jeder damit einen erfolgreichen Angriff durchführen kann. Dazu gibt es mittlerweile sogar Erstzugangsvermittler, die gegen eine Gebühr alle technischen Hürden aus dem Weg räumen und den Netzzugang in der Startphase eines Ransomware-Angriffs erleichtern. Im Grunde kann jeder einen Angriff starten, der bereit ist, für RaaS zu bezahlen.
Laut dem IBM Security Data Breach Report 2022 fand der erste bekannte Angriff mit RaaS im Jahr 2016 statt, und in den folgenden sechs Jahren ist sein Anteil auf 11% aller Cybersicherheitsangriffe gestiegen.1 Bei dieser Studie stellte sich auch heraus, dass eine Ransomware-Bedrohung erst nach 287 Tagen erkannt wird und eine Behebung des entstandenen Schadens weitere 87 Tage in Anspruch nimmt. Die Kosten für betroffene Unternehmen belaufen sich auf durchschnittlich 4,62 Millionen US-Dollar pro Verstoß.
RaaS ist zwar in den meisten Ländern verboten, aber in Russland, China, Nordkorea, Iran und Kuba sowie in Ländern, in denen keine Rechtsstaatlichkeit gilt, wurden RaaS-Betriebe ausgemacht.
Vielleicht haben Sie schon von diesen prominenten RaaS-Angriffen gehört:
Dharma
LockBit
DarkSide
REvil
Es werden sich immer mehr Namen hinzugesellen, da immer mehr Übeltäter dieses äußerst lukrative Geschäftsmodell für sich entdecken.
RaaS-Betreiber arbeiten in der Regel mit Affiliate-Vereinbarungen über eine monatliche Gebühr oder einer Gewinnbeteiligung, und verkaufen die Ransomware direkt. Die monatlichen Kosten für ein Affiliate-Abonnement liegen zwischen weniger als 50 und mehreren Tausend US-Dollar, je nach dem, wie komplex das angebotene Paket ist. RaaS-Betreiber liefern den Exploit-Code und maßgeschneiderte Do-it-yourself-Toolkits für unerfahrene Hacker, die damit bösartige Malware-Angriffe ausführen.
Die potenziellen Partner gehen auf die Website des RaaS-Unternehmens im Dark Web, erstellen ein Konto und zahlen die Gebühr. Als Nächstes liefern sie Informationen darüber, was sie mit ihrem Vorhaben erreichen möchten, wie unter anderem:
Art des Exploits, der gesendet werden soll
Benötigte Verschlüsselungsmethode
Anvisiertes Betriebssystem
Identität des Opfers
Höhe der Lösegeldforderung
Text der Ransomware-Notiz
Der RaaS-Entwickler wird daraufhin:
Die Anfrage prüfen
Einen Exploit-Code erstellen, der zu den Spezifikationen dieses Partners passt
Dem Partner ein anwenderfreundliches Ransomware-Toolkit liefern
Ein typisches RaaS-Toolkit enthält den Ransomware-Exploit-Code und verschiedene weitere hilfreiche Tools oder Dienste für den Partner, wie z. B. folgende:
Kundenbetreuung rund um die Uhr
Software-Updates
Nutzerforen
Nutzerbewertungen
Anleitungsvideos
Schritt-für-Schritt-Anleitungen
Informationsdatenbank
Live-Unterstützung durch Spezialisten
Ein Dashboard zur Überwachung von Angriffen
Das Geschäftsmodell wirkt so vertraut, dass man leicht aus den Augen verlieren könnte, wie absolut rechtswidrig der Vertrieb von RaaS ist. RaaS-Verkäufer besuchen Dark-Web-Foren und Chatrooms, um für ihren Dienst zu werben und potenzielle Kunden zu gewinnen. Ihre Marketingabteilungen führen Kampagnen durch, bei denen sie ihre Pakete und Sonderangebote bewerben. Obgleich sie wie seriöse Unternehmen vorgehen, darf man nicht vergessen, dass ihre Dienste illegal sind und anderen Schaden zufügen.
WER SIND DIE OPFER?
RaaS-Cyberkriminelle wählen ihre Opfer häufig im Gesundheitswesen, in Bildungssystemen, Finanzinstituten und auf allen staatlichen Verwaltungsebenen aus, da diese aufgrund der geschützten Daten, die sie speichern, die profitabelsten Ziele darstellen.
Für gewöhnlich gelangen RaaS-Betrüger über Social Engineering und Phishing an ihre Opfer. Dabei können sie Einzelpersonen, ganze oder auch nur bestimmte Teile von Unternehmen anvisieren (woraufhin die Infizierung dann allmählich das gesamte Unternehmen durchdringt).
Ein Betrug beginnt in der Regel damit, dass der Partner den potenziellen Opfern eine E-Mail mit einem infizierten Anhang oder einem Link zu einer infizierten Website sendet, so wie bei jeder anderen Art von Schadsoftware. Wenn das Opfer auf die Masche hereinfällt, stiehlt der bösartige Code Dateien und verschlüsselt sie sperrt das Gerät so, dass es nicht verwendet werden kann, und erstellt ein Lösegeld-Szenario, bei dem das Opfer Geld senden muss, um Zugriff auf seine Dateien zu erhalten.
Nach dem Erhalt einer vergleichbaren ominösen Nachricht wird möglicherweise ein Chat-Fenster eingeblendet, damit das Opfer mit dem Angreifer Kontakt aufnehmen kann. Über dieses Chat-Fenster teilt der Angreifer Opfer exakt mit, wie es vorgehen muss, um die Kontrolle über seinen Computer wiederzuerlangen und seine Dateien abzurufen. Dieses Chat-Fenster gehört zum Kundensupport des Affiliate-Partners, was auf sonderbare Weise normal wirkt.
Wenn sich das Opfer dazu durchringt, das geforderte Lösegeld des Affiliate-Partners zu zahlen, meldet es sich bei einem Zahlungsportal des RaaS-Betreibers (und nicht beim Partner selbst) an, um dort das Lösegeld (normalerweise in Bitcoin) an den Betreiber zu zahlen. Nachdem das Opfer bezahlt hat, teilt der RaaS-Betreiber den Gewinn auf und gibt dem Partner den vereinbarten Prozentsatz (der Partner kommt nie an das Geld des Opfers heran).
Wenn das Opfer nicht zahlt, kann der Hacker je nach der Absicht des Angriffs die Informationen des Opfers an eine Datenleck-Website weitergeben, die sie wiederum verkauft, oder sie im Dark Web frei zugänglich machen.
Wenn das Opfer zahlt, wird der Affiliate-Partner ihm normalerweise einen Schlüssel mit Anweisungen übergeben, und damit kann er dann wieder auf seine Dateien zugreifen. Da es sich hier jedoch um Kriminelle handelt, ist nicht unbedingt gesagt, dass sie ihre Versprechen auch einhalten. Es kann durchaus sein, dass das Opfer trotz der Zahlung von Lösegeld seine Dateien nie wieder sieht, oder dass seine Dateien zwar entsperrt, aber dann trotzdem im Dark Web verkauft werden. Schon deswegen ist es die beste Lösung, sich im Vorfeld gegen eine Attacke zu schützen.
RaaS-Betreiber haben unerfahrenen Hackern den Zugang zu Schadcode ermöglicht und auf diese Weise die Zahl der Angriffe exponentiell in die Höhe getrieben. Trotz der größeren Bandbreite und Menge der Bedrohungen sind nach wie vor viele Unternehmen ungeschützt und unvorbereitet und setzen die Daten ihrer Mitarbeiter und/oder Kunden den Gefahren aus, die von diesen Übeltätern ausgehen. Ein effizienter Angriff ist die beste Verteidigung, wenn Sie die Erwartungen der Betroffenen und Ihre Sorgfaltspflicht erfüllen wollen: Verteidigen und schützen Sie Ihr Netzwerk, Ihre Geräte und Systeme durch intelligentes Benutzerverhalten und starke Cybersicherheits-Tools.
Reduzieren Sie potenzielle Bedrohungen durch:
Ständiges Überwachen Ihrer Infrastruktur
Segmentieren Ihres Netzes, um die Bedrohung durch laterale Angriffe einzudämmen
Mehrere regelmäßige und häufige Backups, die auf verschiedenen Geräten und an verschiedenen Orten (außerhalb des Standortes) gespeichert werden
Testen und Validieren dieser Backups
Üben der Wiederherstellung kritischer Systeme wie Domänencontroller
Aufbauen einer Sicherheitskultur in Ihrem Unternehmen durch Sensibilisierungs- und Schulungsmodule für Mitarbeiter
Planen von IT-Penetrationstests, die nach Schwachstellen suchen
Implementieren mehrerer Schutzschichten, z. B. mit einer Multi-Faktor-Authentifizierung
Rüsten Sie sich mit einem erstklassigen Schutz vor Angriffen:
Flächendeckende Software für Cybersicherheit in Echtzeit
Tools für Schutz von Endpunkten und Response-Instrumente, die nach anormalen Prozessen und Anwendungsverhalten in Ihrem Netzwerk, Ihren Geräten, Workstations usw. suchen.
Anti-Phishing- und Anti-Spoofing-Schutz
Backups, die getrennt von den Produktionsdaten gespeichert werden, damit sie für die Wiederherstellung von Vorgängen zur Verfügung stehen
Bei einem Angriff:
Isolieren Sie die infizierte Zone unverzüglich – selbst, wenn Sie dafür das gesamte System herunterfahren müssen
Identifizieren Sie den Einstiegspunkt (Phishing-Betrug, veraltete Software usw.)
Verstärken Sie Ihre Sicherheitssoftware
Verbessern Sie die Schulung der Nutzer
Das RaaS-Geschäftsmodell gewinnt an Zuspruch, da es weniger qualifizierten Cyberkriminellen erleichtert, eigenständig raffinierte Ransomware-Angriffe auf ahnungslose Opfer durchzuführen. Die Bedrohungslage wird ernster, aber die Experten der Cybersicherheit arbeiten hart daran, die Nutzer zu schulen und Lösungen zu entwickeln, die bösartige Ransomware erkennen können, bevor sie Schaden anrichtet.
Ping Identity kann Sie bei Ihren Abwehrmaßnahmen unterstützen und zusätzliche Schutzschichten für einige der häufigsten Angriffsvektoren einfügen. Lesen Sie interessante Informationen über das Single-Sign-on und die Multi-Faktor-Authentifizierung von Ping.
Source:
1IBM. IBM Security Data Breach Report 2022.
Starten Sie jetzt
Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.
Kostenlose Demo anfordern