Schadsoftware im Abo auf krimineller Überholspur - Schon von Ransomware-as-a-Service gehört?

von

Lesezeit: Minuten ( Wörter)

Folgt man einer Studie des IT-Sicherheitsanbieters Sophos, dann waren 2020 rund die Hälfte der im Rahmen der Studie befragten kleineren Unternehmen von einem Cyberangriff betroffen. Bei größeren Unternehmen ab 1000 Mitarbeitern lag diese Quote sogar noch etwas höher. Vor allem Ransomware, also Software, die Daten verschlüsseln kann und deren Freigabe i.d.R. nur nach Zahlung eines Lösegeldes erfolgt, liegt in der Beliebtheitsskala der Cyberkriminellen ganz weit oben. Cyberangriffe mit Malware aller Art, Phishing oder gar ausgefeilte Advanced Persistent Threats sind keine neue Bedrohung. Ganz anders sieht es mit einem neuen „Service“ aus, der aktuell im Darknet auf der kriminellen Erfolgsspur fährt und die IT Security der Unternehmen weltweit vor eine neue Herausforderung stellt. Ransomware-as-a-Service (RaaS) heißt der neue Trend – und kann jeden Kleinkriminellen im Handumdrehen zu einem Cybererpresser machen. Was genau Ransomware-as-a-Service ist und was diese Form der Cyberangriffe für die IT Security bedeutet, erfahren Sie in diesem Beitrag.

Ransomware-as-a-Service: Cyberangriffe leicht gemacht

Bisher mussten Cyberkriminelle wenigstens über ein Minimum an Programmierkenntnissen verfügen, um Malware an den Mann beziehungsweise auf die Rechner der Opfer zu bringen. Mit Ransomware-as-a-Service entfällt diese Mindestanforderung nun – denn die neueste Form der Erpressungs-Software lässt sich ganz einfach und bequem im Darknet mieten. Prinzipiell kann so jeder Mensch mit ausreichend krimineller Energie Cyberangriffe durchführen – ein Mausklick genügt und die Schadsoftware landet im Warenkorb.

Wie funktioniert das Ransomware-as-a-Service Geschäftsmodell?

Im Softwarebereich sind Mietmodelle längst keine Randerscheinung mehr. Ob Microsoft mit seinem Office 365 Paket oder Adobe mit Photoshop und Co.: Immer mehr Software-Anbieter ermöglichen die Miete ihrer Produkte. Für Anwender ist dieser Service bequem, denn sie können auf hochwertige Software zurückgreifen, die immer auf dem aktuellen Stand ist. Das Software-as-a-Service Modell ist darüber hinaus auch für die Anbieter lukrativ, binden sie doch ihre Kunden langfristig an das eigene Unternehmen. Auch Cyberkriminelle springen auf Dienstleistungs-Zug auf und nutzen das Darknet als praktischen Vertriebskanal für ihre Malware. Ohne jegliche technische Fähigkeiten kann sich so theoretisch jeder Erpressungssoftware als Dienst buchen – und in der Folge Privatpersonen, Unternehmen oder Organisationen angreifen.

Jetzt keinen Blogbeitrag mehr verpassen!

  • 12x im Jahr aktuelle News aus der IT Security Welt
  • 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
  • 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense

Welche Vorteile bietet Ransomware-as-a-Service den Entwicklern?

Jeder Einsatz von Malware, egal ob „einfaches“ Phishing oder ausgefeilte Advanced Persistent Threats, sind immer mit einem gewissen Risiko für die Angreifer verbunden. Gleiches gilt natürlich auch für Ransomware. Hier ist die Schwachstelle der Bezahlvorgang des Lösegeldes. Denn auch wenn Lösegelder zumeist mittels Kryptowährungen bezahlt werden: So anonym, wie Bitcoin und Co. als Zahlungsmittel promotet werden, sind die digitalen Währungen nicht. Im Gegenteil, die Blockchain als zugrundeliegende Technologie hinter den Coins, zeichnet jede Transaktion auf. Das ist für eine gut aufgestellte IT Security eine optimale Gelegenheit, die Erpresser ausfindig zu machen.

Bei Ransomware-as-a-service als Vertriebsmodell entfernt sich der kriminelle Entwickler von den Opfern seiner Malware – und profitiert von einem deutlich geringeren persönlichen Risiko. Der Entwickler der Malware führt selbst keine Cyberangriffe aus, sondern lässt sie von anderen Akteuren vollziehen. Und erhält im Gegenzug einen gewissen Prozentsatz der gezahlten Lösegelder. Diese überraschend leistungsstarken Affiliate-Netzwerke ermöglichen es jedem „Wald-und-Wiesen-Kriminellen“, sich ein Stück vom lukrativen Ransomware-Kuchen zu sichern. Die IT Security der Unternehmen steht dadurch vor neuen, großen Herausforderungen.

Die Rabattschlacht tobt – auch bei Ransomware-as-a-Service

Im vergangenen Jahr konnten Sicherheitsforscher der Group IB 15 neue Anbieter für RaaS identifizieren. Diese Zahl mag für sich allein genommen nicht eindrucksvoll sein, jedoch belegt sie, dass der Markt für Malware als Dienstleistung wächst. Hinzu kommt der Konkurrenzkampf zwischen den Dienstleistern für Ransomware-as-a-Service. Wie auf jedem Markt führt auch bei RaaS ein hoher Wettbewerb zu Rabattaktionen. Preisnachlässe machen Angebote noch interessanter, so dass Kleinkriminelle (und solche, die es noch werden wollen), kaum noch Einstiegshürden in Sachen Preisgestaltung gibt. Für Unternehmen, Organisationen und Privatpersonen wird die Lage dadurch noch gefährlicher.

Was kostet RaaS monatlich und was bekommen Cyberkriminelle dafür?

Ransomware-as-a-Service ist für rund 50 Dollar monatliche Gebühr im Darknet erhältlich. Ein echtes Schnäppchen, wenn man die Lösegeldforderungen bedenkt, die durch die Art der Cyberangriffe möglich sind. Insbesondere bei Angriffen auf US-amerikanische oder indische Unternehmen können die Forderungen leicht sechsstellig ausfallen. Cyberkriminelle, die die Dienstleistung von RaaS in Anspruch nehmen, erhalten den Ransomware-Code und den dazugehörigen Entschlüsselungsschlüssel. Doch möglich ist noch mehr. Einige der Ransomware-as-a-Service Angebote beinhalten einen echten Kundenservice, der bei allen Fragen rund um den Einsatz der Malware zur Verfügung steht. Auch Dashboards, mit denen die Cyberangreifer den Status des Angriffes und natürlich auch eingehende Lösegeldzahlungen überwachen können, sind längst Teil des Service-Angebotes. Professionalität und Effizienz gehören bei Ransomware-as-a-Service längst zum Standard. Neue Versionen, frische Updates und mehrstufige Abo-Modelle sind bei den RaaS-Anbietern eher die Regel als denn die Ausnahme.

Welche Ransomware-as-a-Service Entwickler sind bekannt?

Wie bei kriminellen Machenschaften üblich, versuchen auch die Entwickler von Malware, weitestgehend unbekannt zu bleiben. Dennoch wurden einige RaaS-Entwickler im Darkweb identifiziert. 2017 sorgte beispielsweise die Philadelphia-Ransomware von RainMaker Labs für Aufsehen. Die Hackergruppe nutzte nicht nur ansprechende Websites für die Bewerbung ihrer Ransomware, sondern produzierte auch qualitativ hochwertige Werbevideos. Neben RainMaker Labs gehören GandCrab, Sodinokibi und Jakeroo zu den bekannten Vertretern der RaaS-Entwickler.

Wie einfach lässt sich Ransomware-as-a-Service den potenziellen Opfern unterjubeln?

Je einfacher ein Produkt zu bedienen ist, desto höher ist das Interesse der Kundschaft. Das gilt auch für RaaS. Auch wenn hier das Produkt, die Malware, höchst raffiniert konzeptioniert sein kann – die Verbreitung der Schadsoftware ist nahezu ein Kinderspiel. Als beliebteste Methode zum Zustellen von Malware – und damit auch Ransomware – gilt nach wie vor das Phishing. 67 Prozent aller Cyberangriffe mit Ransomware werden über gefälschte Phishing E-Mails versendet. Der Grund ist klar: Phishing Mails lassen sich ohne große Sachkenntnisse erstellen und in kürzester Zeit an nahezu unbegrenzt viele Empfänger versenden. Und auch für Neueinsteiger in die Thematik des Phishings gibt es eine Lösung: Kriminelle Phishing-Spezialisten bieten eigene SaaS-Dienstleistungen an, die die Verbreitung von Ransomware tatkräftig unterstützen.

Grundannahme jeder IT Security muss es sein, dass Cyberangriffe jederzeit stattfinden können – und auch stattfinden werden.

Die Corona Pandemie als Beschleuniger

Seit Beginn der Corona Pandemie im Jahr 2020 ist der Anteil der Arbeitnehmer, die im Homeoffice arbeiten, drastisch gestiegen. Im gleichen Maße ist die Zahl öffentlich zugänglicher Remote Desktop Protocol Server explodiert. RDP gilt genau wie Fernzugriffe über VPN oder VDI als Einladung für Cyberangriffe – denn die ungesicherten Schnittstellen laden geradezu dazu ein, in die Systeme einzudringen. Dabei lassen sich RDP-Server mit kleinen Maßnahmen recht zuverlässig absichern. Wenn voreingestellte Passwörter umgehend geändert werden und der Zugang nur bestimmten IP-Adressen erlaubt wird, ist ein großer Teil der potenziellen Gefahr bereits gebannt. Mehrstufige Authentifikationen und regelmäßige Sicherheits-Updates tun ihr Übriges, um RDP-Server oder VPN Zugänge vor Cyberangriffen zu schützen.

Wie schützen sich Unternehmen zuverlässig vor Erpressungen durch Malware?

Erpressungen durch Ransomware muss kein Unternehmen ohne Gegenwehr hinnehmen. Grundannahme jeder IT Security muss es aber sein, dass Cyberangriffe jederzeit stattfinden können – und auch stattfinden werden. Externe Sicherheits-Dienstleister, die die Unternehmensnetzwerke rund um die Uhr und in Echtzeit überwachen, stellen ein probates Frühwarnsystem dar – und eine perfekte Ergänzung zur unternehmensinternen IT Security. Darüber hinaus sollten kritische Daten natürlich gesichert werden – entweder offline oder in einer sicheren Cloud-Umgebung. Das Betriebssysteme und Applikationen regelmäßig aktualisiert und neueste Sicherheitspatches zeitnah nach deren Veröffentlichung eingespielt werden müssen, versteht sich von selbst. Die größten Schwachstellen – auch in ansonsten bestens abgesicherten Unternehmen – stellen nach wie vor unbedarfte Mitarbeiter und Angestellte dar. Daher gehören Sicherheitsschulungen und Trainings unbedingt mit zu jedem Maßnahmenplan zur Verbesserung der IT Security innerhalb eines Unternehmens. Und last but not least: Ein fortschrittlicher Phishing Schutz, der Phishing Mails zuverlässig erkennt und blockiert, ist unerlässlich, um dieses beliebte Einfallstor für Malware aller Art nachhaltig zu schließen.

Fazit

Die Zeiten, in denen Ransomware hauptsächlich von mehr oder weniger begabten Hackern im stillen Kämmerlein entwickelt, programmiert und verteilt wurden, sind vorbei. Heute reicht eine kurze Recherche im Darknet in Kombination mit ausreichend krimineller Energie, um Ransomware aller Art bequem zu mieten. Geteiltes Risiko ist halbes Risiko – das gilt insbesondere für die Anbieter von Ransomware-as-a-Service, die dank weitläufiger Affiliate-Netzwerke an jeder erfolgreich durchgeführten Erpressung mitverdienen.

Für die IT Security wird der Job dadurch natürlich nicht leichter, im Gegenteil: Je mehr semi-professionelle Cyberkriminelle auf den RaaS-Zug aufspringen, desto verbreiteter werden die Cyberangriffe. Insbesondere Unternehmen aus den USA und Indien zahlen lieber hohe Lösegelder, als denn auf wertvolle Unternehmensdaten zu verzichten. Allerdings gilt auch bei RaaS: Gegen jeden Cyberangriff gibt es auch immer eine Verteidigungsstrategie. Genau wie bei Advanced Persistent Threats sollten auch bei Angriffen von Ransomware externe IT-Sicherheits-Dienstleister zusätzlich zur unternehmensinternen IT Security aktiviert werden. Zusätzlich stellen Sicherheitspatches, regelmäßige Updates und natürlich eine umfassende Schulung aller Mitarbeiter in Sachen Cybersicherheit ein probates Mittel dar, um Malware aller Art von den Rechnern und Servern fernzuhalten. Und gerade bei Phishing-Mails, die als Haupteinfallstor für Ransomware-as-a-Service gelten, muss die Devise lauten: Erst denken, dann klicken.

Ausreichend geschützt? Wir beraten Sie gerne zur umfassenden Abwehr vor Ransomware-Angriffen!

Kontaktieren Sie unsere Experten!

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die Allgeier secion, Zweigniederlassung der Allgeier CyRis GmbH.

* Pflichtfeld

Zurück