Bedrohungslage

Cyberbedrohung als Service-Modell: Ransomware-as-a-Service

11. Januar 2024 von Marek Röhner
Ransomware as a Service
©gankevstock- Adobe Stock

5
(4)

Die Welt der Cyberkriminalität hat in den letzten Jahren eine bedenkliche Professionalisierung erfahren. In einem früheren Blogbeitrag mit dem Titel „Cybercrime-as-a-Service (CaaS): Cyberkriminalität für Jedermann“ haben wir bereits informiert, wie Cyberkriminalität durch angebotene Services nahezu jedem zugänglich geworden ist. In diesem Beitrag widmen wir uns einer der bekanntesten Dienstleistungen innerhalb dieses Rahmens: Ransomware-as-a-Service (RaaS), erklären wie dieses Modell funktioniert, werfen einen Blick hinter die Kulissen und stellen Akteure sowie deren Geschäftsmodelle vor und sagen Ihnen, wie Sie sich vor der Bedrohung schützen können.

Was ist Ransomware-as-a-Service (RaaS) eigentlich?

Beginnen wir mit dem Begriff „as a Service“. Der bezieht sich nämlich auf verschiedene seriöse Service-Modelle in der IT, die Sie aus dem Cloud Computing kennen dürften und vielleicht auch selbst nutzen, wie beispielsweise Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS). Kurz gesagt, sorgen as a Service Modelle dafür, dass IT bedarfsgerecht gemietet und genutzt werden kann.

Bei Ransomware handelt es sich um schädliche Software, die darauf abzielt, die Daten auf einem Computer oder einem ganzen Netzwerk zu verschlüsseln, wodurch der Zugriff darauf blockiert wird. Die Angreifenden fordern dann ein Lösegeld (oft in Form von Kryptowährungen), um die verschlüsselten Daten wieder freizugeben.

Ransomware-as-a-Service ist eine spezielle Form von Cybercrime-Service, die im Rahmen von Cybercrime-as-a-Service angeboten wird. Hierbei handelt es sich um ein illegales Geschäftsmodell, das es Personen ermöglicht, Ransomware-Angriffe ohne umfangreiche technische Kenntnisse oder Fähigkeiten durchzuführen.

Die Funktionsweise von Ransomware-as-a-Service

Ähnlich wie bei legalen „as a Service“-Modellen bietet RaaS kriminellen Nutzern oder Nutzerinnen eine Infrastruktur für die Durchführung von Ransomware-Angriffen als Service. Dies bedeutet, dass potenzielle Angreifende nicht mehr alle Aspekte eines Ransomware-Angriffs selbst entwickeln oder verwalten müssen.

Die Akteure

In der Regel gibt es zwei Hauptbeteiligte: RaaS-Entwickler und RaaS-Nutzer. Die Entwickler sind für die Erstellung, Wartung und Aktualisierung der Ransomware-Tools und -Infrastrukturen verantwortlich. Die Nutzer, auch als Hacker bezeichnet, beziehen diese Dienste, um Angriffe durchzuführen. Der Schlüsselaspekt von RaaS besteht darin, dass es nahezu jedem ermöglicht, an Ransomware-Angriffen teilzunehmen. Dies senkt die Eintrittsbarrieren erheblich, da selbst Personen ohne fortgeschrittene technische Fähigkeiten oder Erfahrung in der Entwicklung von Malware an solchen Angriffen teilnehmen können.

Ein lukratives Geschäft

RaaS ist für beide Seiten – die Dienstleistenden (RaaS-Entwickler) und die Nutzenden (Hacker) – äußerst profitabel. Sowohl Hacker als auch Dienstleister profitieren, da Hacker ohne umfangreiches Fachwissen teilnehmen können, während die Dienstleister ihre Gewinne steigern können, ohne selbst Angriffe durchzuführen. Verkauft werden die Dienste auf verschiedene Weisen, darunter monatliche Abonnements, einmalige Gebühren, Affiliate-Modelle und Gewinnbeteiligungen. RaaS-Dienstleistungen werden in der Regel im Darknet angeboten, einem Teil des Internets, der schwer zugänglich und anonym ist. Die Bezahlung erfolgt oft über nicht verfolgbare Transaktionen mit Kryptowährungen, um die Anonymität der Beteiligten zu wahren.

Bekannte RaaS Partner

Es gibt verschiedene RaaS-Partner, darunter Gruppen wie REvil, LockBit und DarkSide, die in der Vergangenheit für ihre Beteiligung an prominenten Ransomware-Angriffen bekannt wurden. Informationen über diese kriminellen Gruppen sind begrenzt, da sie im Verborgenen agieren und versuchen, ihre Identitäten zu verschleiern. Dennoch wollen wir Ihnen eine Übersicht geben:

REvil (auch bekannt als Sodinokibi)

REvil war eine Ransomware-Gruppe, die erstmals 2019 auftauchte. Die Gruppe führte eine ganze Reihe hochkarätiger Ransomware-Angriffen durch und war insbesondere im Jahr 2021 in Angriffe auf Unternehmen, darunter auch auf den IT-Dienstleister Kaseya, involviert. Anfang 2022 wurde REvil zerschlagen und war bis dahin eine der produktivsten Ransomware-Schmieden im Dark Web. Zudem hatte REvil eine klare RaaS-Struktur: Die Gruppe bot ihre Ransomware-Tools und -Infrastrukturen anderen Cyberkriminellen in Form von Affiliate-Programmen zur Nutzung an und erhielt von den erpressten Geldbeträgen ihren Anteil.

LockBit

LockBit ist eine Ransomware-Gruppe, die ebenfalls seit etwa 2019 aktiv ist. LockBit hat sich auf große Unternehmen und Organisationen spezialisiert und weltweit bereits Millionenbeträge erpresst. So war LockBit schon an verschiedenen Ransomware-Angriffen beteiligt – zuletzt, soweit bekannt, infiltrierte LockBit die IT-Systeme von Boeing. LockBit zeichnet sich durch die ständige Weiterentwicklung ihrer Ransomware-Tools aus und hat verschiedene Versionen ihrer Malware veröffentlicht.

DarkSide

DarkSide ist eine Ransomware-Gruppe, die erstmals im August 2020 in Erscheinung trat und sich auf finanzstarke Unternehmen konzentriert. DarkSide hat eine hochprofessionelle Herangehensweise an ihre Angriffe, schneidet Schadcode auf ihre Opfer zu und betreibt Ransomware-Aktivitäten wie ein Geschäft, inklusive einer Art „Kundensupport“ für ihre Opfer. DarkSide war unter anderem am Ransomware-Angriff auf Colonial Pipeline im Mai 2021 beteiligt, was damals zu erheblichen Auswirkungen auf die Treibstoffversorgung in den USA führte.

Die geschäftliche Seite von RaaS

Ein entscheidendes Merkmal des RaaS-Modells ist die Vielfalt der angebotenen Dienstleistungen – ganz wie bei seriösen „as a Service“ Modellen! Die RaaS-Nutzenden können aus verschiedenen Paketen wählen. Die angebotenen Dienstleistungen reichen dabei von einfachen Anleitung zur Durchführung und Verbreitung von Ransomware bis hin zu Komplett-Paketen, bei denen die Dienstleister die Angriffe bis hin zur Abwicklung des Zahlungsverkehrs (Lösegeld) selbst übernehmen. Diese breite Palette ermöglicht es auch Einzelpersonen ohne tiefe Kenntnisse, sich an Cyberangriffen zu beteiligen.

Einsteiger können einfache Anleitungen erwerben, die ihnen den Prozess der Ransomware-Durchführung und -Verbreitung erklären. Der Schwierigkeitsgrad ist niedrig und der Einstieg in die Welt der Cyberkriminalität damit schnell und einfach. Fortgeschrittenere Kriminelle können sich für umfassendere Dienstleistungspakete entscheiden. Diese beinhalten nicht nur die Entwicklung und Wartung der Ransomware-Tools, sondern auch die Durchführung der eigentlichen Angriffe und die Abwicklung des Zahlungsverkehrs für das geforderte Lösegeld.

Umsatzmodelle der RaaS-Entwickler

Die RaaS-Entwickler setzen auf diverse Umsatzmodelle, um ihre Dienstleistungen zu vermarkten und ihren eigenen Profit zu maximieren. Die gängigsten Modelle sind:

Monatliches Abonnement
Kriminelle können RaaS-Dienste auf monatlicher Basis abonnieren. Dies ermöglicht einen kontinuierlichen Zugang zu den neuesten Ransomware-Tools und -Infrastrukturen, um stets auf dem aktuellen Stand zu bleiben.

Einmalige Gebühr
Alternativ dazu können Kriminelle eine einmalige Gebühr entrichten, um Zugang zu den RaaS-Diensten zu erhalten. Dieses Modell eignet sich besonders für Einzelpersonen oder Gruppen, die gelegentlich an Ransomware-Angriffen teilnehmen möchten.

Affiliate-Modelle
RaaS-Entwickler bieten auch Affiliate-Modelle an, bei denen Kriminelle Provisionen für jede erfolgreiche Ransomware-Kampagne erhalten. Dies fördert die Zusammenarbeit und den Austausch von RaaS-Dienstleistungen unter verschiedenen Akteuren.

Gewinnbeteiligung
Eine weitere Strategie besteht darin, Gewinnbeteiligungen anzubieten. In diesem Modell erhalten die RaaS-Entwickler einen Prozentsatz des erpressten Lösegelds, was eine direkte finanzielle Motivation für den Erfolg der Angriffe schafft.

Strategien zum Schutz vor Ransomware-as-a-Service

Die Vielfalt der angebotenen Dienstleistungen und Umsatzmodelle macht Ransomware-as-a-Service zu einem äußerst flexiblen und attraktiven Geschäft für Cyberkriminelle. Die Bekämpfung dieser Bedrohung erfordert eine proaktive Herangehensweise, um sich gegen diese wachsende Cybergefahr zu verteidigen. Zu den allgemeinen und gezielten Schutzmechanismen, die Sie gegen Ransomware ergreifen können, gehören:

Erstellung von Backups
Regelmäßige Backups sind eine entscheidende Verteidigungslinie gegen Ransomware-Angriffe. Durch die regelmäßige Sicherung von wichtigen Daten können Sie im Falle eines Angriffs Ihre Systeme schnell wiederherstellen, ohne auf die Lösegeldforderungen der Angreifer eingehen zu müssen.

Patches und Updates
Aktualisierte Software und Betriebssysteme sind entscheidend, um Sicherheitslücken zu schließen, die von Ransomware ausgenutzt werden können. Durch die regelmäßige Installation von Patches und Updates können Sie potenzielle Einfallstore für Angriffe minimieren.

Sensibilisierung und Schulungen
Ihre Beschäftigten sind oft die erste Verteidigungslinie gegen Ransomware. Schulungen zur Sensibilisierung für Sicherheitsrisiken und die Erkennung von verdächtigem Verhalten tragen dazu bei, dass Ihre Mitarbeitenden Phishing-Versuche und andere betrügerische Aktivitäten rechtzeitig erkennen und melden können.

Incident Pläne und Notfallmanagement
Die Entwicklung von detaillierten Incident Response-Plänen ist entscheidend, um im Falle eines Ransomware-Angriffs schnell und effektiv reagieren zu können. Diese Pläne sollten klare Anweisungen für die Identifizierung, Eindämmung, Eliminierung der Schadsoftware und Wiederherstellung nach einem Angriff enthalten.

Netzwerksegmentierung
Eine Segmentierung von Netzwerken kann die Ausbreitung von Ransomware begrenzen. Im Falle eines Angriffs bleibt der Schaden auf ein bestimmtes Segment beschränkt.

Zugriffsbeschränkungen
Begrenzen Sie den Zugriff auf Dateien und Systeme auf das notwendige Minimum. Dies minimiert die potenziellen Schäden, die durch einen erfolgreichen Angriff verursacht werden können.

Antivirus- und Antimalware-Lösungen
Investieren Sie in fortschrittliche Sicherheitslösungen, die Ransomware erkennen und blockieren können. Aktualisieren Sie diese Lösungen regelmäßig, um auf dem neuesten Stand der Bedrohungen zu bleiben.

Fazit: RaaS sorgt für hohen Anstieg von Ransomware-Attacken

Die Bedrohung durch Ransomware hat in den letzten Jahren nicht nur zugenommen, sondern sich auch als eine der am schnellsten wachsenden Cyberbedrohungen erwiesen. Dies ist größtenteils auf Ransomware-as-a-Service zurückzuführen, da es die Eintrittsbarrieren für Kriminelle erheblich gesenkt hat. Angesichts der Attraktivität dieses Geschäftsmodells müssen wir davon ausgehen, dass RaaS in Zukunft weiterhin eine ernsthafte Bedrohung darstellen wird. Gruppen wie REvil, LockBit oder DarkSide zeigen, dass RaaS-Anbieter hochgradig organisiert sind, fortschrittliche Technologien und Methoden nutzen sowie strategisch vorgehen, um ihre Opfer zu erpressen.

Wieder einmal bestätigt sich, dass Cyberkriminalität eine ständige Herausforderung bleibt, der wir mit erhöhter Wachsamkeit und fortlaufenden Schutzmaßnahmen begegnen müssen. Unternehmen sollten dabei aber nicht nur technische Sicherheitsmaßnahmen implementieren, sondern auch ihre Mitarbeiter schulen, um aufmerksam und vorausschauend auf potenzielle Bedrohungen zu reagieren.

Haben Sie Fragen zum Thema IT-Sicherheit? Nehmen Sie gerne Kontakt zu uns auf.

 

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 4

0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu