Eine ganz besondere Form der Verbreitung für eine bestimmte Art von Malware, Ransomware-as-a-Service (Raas), stellt eine erhebliche Bedrohung für die Cybersicherheit dar. Mit dieser zweifelhaften Form der partnerschaftlichen Zusammenarbeit kann so ziemlich jeder, der über die notwendige kriminelle Energie verfügt, auch ohne das erforderliche programmiertechnische Fachwissen Angriffe lancieren, was dazu geführt hat, dass die Zahl der Ransomware-Angriffe gestiegen ist.
Angesichts der Schäden, die Ransomware anrichten kann, ist es vor allem für Unternehmen wichtig, die Auswirkungen von RaaS auf die Cybersicherheit zu verstehen und zu begreifen, warum es so wichtig ist, seine Systeme vor Ransomware zu schützen.
Das Konzept von Ransomware-as-a-Service
Ransomware-as-a-Service (RaaS) ist ein Geschäftsmodell, das sich auf eine bestimmte Art von Malware –Ransomware – spezialisiert hat und über das Darknet verbreitet wird. Einfach ausgedrückt handelt es sich um eine kriminelle Weiterentwicklung des herkömmlichen und legalen SaaS-Modells (Software-as-a-Service), das von vielen großen Konzernen wie Microsoft, Adobe, Shopify, Zoom und Dropbox angeboten wird. Im Kern geht es bei RaaS, dass kriminelle Akteure zunächst eine Erpressersoftware erstellen (sowie auch häufig ein ganzes Portfolio um sie herum) und diese Schadsoftware Dritten anbieten. Cyberkriminelle können Ransomware-as-a-Service (RaaS) kostenlos „abonnieren“. Als Partner des Programms bekommt der Anbieter für diesen Service nach jedem erfolgreichen Angriff seinen Anteil vom Lösegeld.
Cyberangreifer, die Ransomware-Angriffe durchführen wollen, aber nicht die Zeit und die Fähigkeit haben, eigene Malware zu schreiben, können sich ganz einfach für eine RaaS-Lösung im Darknet entscheiden. Daraufhin erhalten Sie Zugriff auf die Ransomware und alle erforderlichen Komponenten, z. B. Command-and-Control-Panels (C2), Builder (Programme zur schnellen Erstellung einzigartiger Malware-Proben), Malware- und Schnittstellen-Upgrades, Support, Anleitungen und Hosting. So können sie einen Angriff auf den Weg bringen, ohne die ganze Entwicklungsarbeit leisten zu müssen. Die Schadakteure können eine hochentwickelte Kette von Ransomware-Angriffen ausführen, und das ohne jegliche Kenntnisse oder Erfahrung in der Entwicklung dieser Art von Malware.
Die Anbieter von Ransomware-as-a-Service entwickeln neben der reinen Erpressersoftware oft ein ganzes Produktpaket rund um ihre Malware. Ein solches Paket kann eine breite Palette von Diensten umfassen, wie z. B. Community-Foren, Playbooks für strategische Angriffe und Kundensupport. Vor allem Angreifer mit wenig Erfahrung in der Ausführung von Cyberangriffen nehmen diesen Service gern in Anspruch. Folgende Zusatzservices können in einem RaaS-Paket enthalten sein:
- Tools, um das Paket an eine ganz bestimmte Zielgruppe anzupassen, die angegriffen werden soll
- Weitere Tools wie zum Beispiel Programme zur Datenexfiltration
- Community-Foren für Beratung und Diskussion
- Playbooks mit dem Ablauf eines strategischen Angriffs
- Anleitungen für die Einrichtung des Bedienpanels und des Produkts
- Handbücher mit einer Beschreibung der Tools, Taktiken und Techniken für den Angreifer.
Unabhängig von der Art von Ransomware-as-a-Service ist das Ziel dieser Angriffe immer dasselbe. Es geht darum, das Netzwerk einer Person oder eines Unternehmens zu unterwandern und Daten zu stehlen oder zu entschlüsseln, um dann das Opfer zur Zahlung eines Lösegelds zu bewegen.
Der Unterschied zwischen Malware, Ransomware und Ransomware-as-a-Service
Malware ist der Oberbegriff für jede Art von Schadsoftware, mit der sich Unbefugte Zugang zu einem IT-System oder einem elektronischen Gerät verschaffen. Ziel eines solchen Angriffs könnte zum Beispiel sein, sich fremder Daten zu bemächtigen oder ein System empfindlich zu stören. Ransomware ist demgegenüber eine Malware, die dazu verwendet wird, das System eines Ziels zu infizieren und dessen Daten zu verschlüsseln oder unbrauchbar zu machen. Das Opfer des Angriffs wird dann zur Zahlung eines Lösegelds aufgefordert, damit der Angreifer gestohlene Informationen nicht veröffentlicht, oder um einen Entschlüsselungscode zu erhalten, mit dem die zuvor verschlüsselten Daten wieder zugänglich gemacht werden können
Welche rechtlichen Folgen hat Ransomware-as-a-Service (Raas)?
In Anbetracht der Tatsache, dass RaaS eine bestimmte Art von Cyberkriminalität ermöglicht und aus dem Darknet heraus angeboten wird, dürfte deutlich machen, dass das gesamte Geschäftsmodell illegal ist. Jede Art von Beteiligung an dieser Dienstleistung – sei es als Anbieter oder als angeschlossener Partner („Abonnent“) – verstößt gegen geltendes Recht. Dazu gehören Dinge wie das Anbieten von RaaS zum Kauf, die Inanspruchnahme eines RaaS mit der Absicht, Ransomware-Angriffe auszuführen, in Netzwerke einzudringen, Daten zu verschlüsseln oder Lösegeld zu erpressen.
Wie funktioniert Ransomware-as-a-Service?
Das Funktionsmodell von RaaS ist hierarchisch gegliedert. Ganz oben steht der Anbieter, in der Regel eine Gruppe, die die Ransomware entwickelt und zum Verkauf anbietet. Der Anbieter des RaaS fungiert im Wesentlichen als Administrator, der alle Aspekte des Geschäftsbetriebs kontrolliert, einschließlich der Verwaltung der Infrastruktur und der Benutzeroberfläche. Häufig wickelt der Anbieter auch die Lösegeldzahlungen ab und stellt den Opfern, die zahlen, den Entschlüsselungscode zur Verfügung. Innerhalb der Gruppe rund um den Anbieter können noch verschiedene kleinere Funktionen ausgeübt werden wie Administratoren, Entwickler und Testteams.
Die „Kunden“ oder Partner eines RaaS zahlen für den Zugang zum RaaS, um die Ransomware des Anbieters für eigene Angriffe zu nutzen. Sie loten die Angriffsziele aus und stellen sie bereit. Die Rolle des Partners besteht darin, Ziele zu identifizieren, die Ransomware zur Ausführung zu bringen und das Lösegeld festzulegen. Nach dem Angriff übernehmen sie die Kommunikation und nach Zahlung des Lösegelds die Übermittlung des Entschlüsselungscodes.
In den jüngsten Studien von Kaspersky zum Anti-Ransomware Day 2023 wurden die wichtigsten Ausgangsvektoren für Ransomware-Angriffe im Jahr 2022 vorgestellt. Der Bericht zeigt, dass mehr als 40 % der Unternehmen im vergangenen Jahr Ziel von mindestens einem Ransomware-Angriff waren, wobei kleine und mittlere Unternehmen im Schnitt 6.500 US-Dollar für die Wiederherstellung zahlten, Großunternehmen sogar 98.000 US-Dollar. In der Studie wurden außerdem die wichtigsten Angriffspunkte offengelegt, wie die Ausnutzung von öffentlich zugänglichen Programmen (43 %), unterwanderte Benutzerkonten (24 %) und schädliche E-Mails (12 %).
Sobald die Ransomware auf das System heruntergeladen wurde, versucht sie, die Sicherheitssoftware für alle angeschlossenen Endpoints außer Gefecht zu setzen. Sobald der Angreifer Zugang erhalten hat, kann er Tools und Malware neu installieren, um sich im Netzwerk zu bewegen und die Ransomware zu verbreiten. Nach der Verschlüsselung der Dateien dann er dann seine Lösegeldforderung schicken. Im Allgemeinen geschieht dies über eine TXT-Datei, die auf dem Computer des Opfers erscheint und ihm mitteilt, dass sein System angegriffen wurde und es gegen Zahlung eines Lösegelds einen Entschlüsselungscode erhält, mit dem es die Kontrolle wiedererlangen kann.
Wie funktioniert der Geldfluss bei Ransomware-as-a-Service?
Cyberkriminelle können Ransomware-as-a-Service (RaaS) kostenlos „abonnieren“. Als Partner des Programms zahlen sie dann dem Anbieter für diesen Service nach jedem erfolgreichen Angriff seinen Lösegeldanteil aus. Der Zahlungsbetrag wird durch einen Prozentsatz des vom Opfer gezahlten Lösegelds bestimmt, der in der Regel zwischen 10 und 40 Prozent liegt. Allerdings wird man in das Programm auch nicht ohne Weiteres aufgenommen, sondern muss strenge Anforderungen erfüllen.
Beispiele für Ransomware-as-a-Service, die Sie kennen sollten
Cyberkriminelle haben ihre Ransomware-Services geschickt weiterentwickelt, um den Anforderungen der „Kunden“, die RaaS kaufen, gerecht zu werden. Es gibt eine Vielzahl von Ransomware-as-a-Service-Programmen (RaaS), die im Darknet angeboten werden. Ein Überblick über diese Programme kann hilfreich sein, um zu verstehen, wie und warum sie eine Bedrohung darstellen. Hier einige Beispiele für Angebote von Ransomware-as-a-Service, die in den letzten Jahren häufiger aufgekommen sind.
- LockBit: Um in die Netzwerke einer ganzen Reihe von Unternehmen einzudringen, nutzte diese Ransomware Server Message Blocks (SMB) sowie Powershell, ein Verwaltungsprogramm von Microsoft, das zur Automatisierung und Konfiguration eingesetzt wird.
- BlackCat: Dank der Rust-Programmierung lässt sich diese Ransomware leicht anpassen und kann daher gegen zahlreiche Systemarchitekturen eingesetzt werden.
- Hive: Nach einem erfolgreichen Angriff veröffentlicht Hive erst einmal Details seiner Datenschutzverletzung und setzt seine Opfer bewusst durch Anzeige eines herunterzählenden Countdowns unter Druck, nach dessen Ablauf die gestohlenen Informationen weitergegeben werden, wenn die Lösegeldforderung nicht erfüllt wird.
- Dharma: E-Mails sind die häufigste Methode beim Phishing, die auch bei diesem Fall von RaaS angewendet wurde. Dharma ist für Hunderte von Angriffen verantwortlich, bei denen die Opfer über E-Mail-Anhänge infiziert wurden.
- DarkSide: Aller Wahrscheinlichkeit nach kam die Malware dieser Ransomware-Gruppe beim Angriff auf die Colonial Pipeline im Jahr 2021 zum Einsatz.
- REvil: Diese RaaS-Gruppe gehört vermutlich zu den am weitesten verbreiteten überhaupt und war für die Angriffe auf Kaseya im Jahr 2021 mit etwa 1.500 betroffenen Unternehmen sowie CAN Financial verantwortlich.
10 Tipps zum Schutz vor Ransomware
Ransomware ist nur eine der zahlreichen Bedrohungen, vor denen man sich in Acht nehmen muss, aber vor allem eine, deren Beseitigung schwierig und teuer werden kann. Auch wenn es keinen absoluten Schutz gibt, können Sie doch eine Fülle von Maßnahmen ergreifen und auf bewährten Verfahren zurückgreifen, um Ihre Cybersicherheit gegen RaaS zu erhöhen und eine Vielzahl von digitalen Angriffe abzuwehren. Wir haben für Sie 10 Tipps zusammengestellt, mit denen Sie Ihre Geräte vor Ransomware schützen können:
- Sichern Sie Ihre Daten regelmäßig auf einem separaten Gerät – idealerweise sogar mehr als eine Sicherungskopie. Abgesehen davon sollten Unternehmen einen Plan zur Datenwiederherstellung in der Schublade haben, falls es doch einmal zu einem erfolgreichen Angriff kommt.
- Verwenden Sie eine zuverlässige Endpoint-Sicherheitssoftware, die Ihr System regelmäßig auf potenzielle Bedrohungen überprüft und diese im Falle eines Falles entfernt.
- Vergewissern Sie sich, dass die gesamte Software auf dem neuesten Stand bleibt und die neuesten Sicherheits-Patches installiert sind.
- Aktivieren Sie, wann immer möglich, die Multifaktor-Authentifizierung.
- Halten Sie eine rigide Passwort-Hygiene ein: Installieren Sie einen zuverlässigen Passwort-Manager, um sichere Passwörter zu erstellen und zu speichern, und verwenden Sie grundsätzlich unterschiedliche Anmeldedaten für verschiedene Konten.
- Implementieren Sie eine leistungsfähige Software, die Ihre E-Mails prüft, damit Sie schädliche E-Mails und potenzielle Phishing-Angriffe rechtzeitig erkennen.
- Stellen Sie solide Richtlinien für Ihre Cybersicherheit auf und passen Sie sie regelmäßig an: Vergessen Sie auch nicht den äußeren Bereich Ihres Unternehmens und folgen Sie einer umfassenden Cybersicherheitsrichtlinie, die das gesamte Unternehmen abdeckt. Diese Richtlinie sollte Sicherheitsprotokolle für den Fernzugriff, für Drittanbieter und für Mitarbeiter enthalten.
- Da gestohlene Zugangsdaten im Darknet zum Verkauf angeboten werden können, sollten Sie Kaspersky Digital Footprint Intelligence einsetzen, um Schattenressourcen zu überwachen und entsprechende Bedrohungen sofort zu erkennen
- Statten Sie Nutzer mit so wenig Berechtigungen wie nötig aus, um den Personenkreis einzuschränken, der administrative Rechte oder Systemzugang hat.
- Bieten Sie Schulungen zum Sicherheitsbewusstsein an, in denen Themen wie RaaS-Cybersicherheit und andere potenzielle Bedrohungen vermittelt werden.
- Klicken Sie auf E-Mail-Links grundsätzlich nur dann, wenn Ihnen die Quelle bekannt und vertrauenswürdig ist. Im Zweifelsfall sollten Sie die vermeintlich verlinkte Webseite in die Suchleiste Ihres Browsers eingeben und manuell zu der Seite navigieren.
Natürlich können auch die strengsten Schutzmaßnahmen einen Ransomware-Angriff nicht immer verhindern. Aber selbst wenn dies geschieht, können Sie immer noch Schritte einleiten, um den möglichen Schaden in Grenzen zu halten.
Ransomware-as-a-Service als ständige Bedrohung
Ransomware ist an und für sich schon eine große Bedrohung für die Cybersicherheit. Das Geschäftsmodell „Ransomware-as-a-Service“ ist aber noch um ein Vielfaches gefährlicher, weil diese Form des Angriffs damit immer mehr Cyberkriminellen offen steht, selbst wenn sie über wenig oder gar keine Programmierkenntnisse verfügen. Da diese Angriffe schwerwiegende finanzielle Folgen für die betroffenen Unternehmen – aber auch für Einzelpersonen – haben können, ist es wichtig zu wissen, wie man das eigene System vor Ransomware-Angriffen schützen kann. Viele dieser Maßnahmen gehören zum Basiswissen der Cybersicherheit, aber Unternehmen sollten auch weitere Maßnahmen wie Sicherheitsschulungen und regelmäßige Backups von weit verbreiteten Systemen in Betracht ziehen.
Holen Sie sich Kaspersky Premium + 1 JAHR GRATIS Kaspersky Safe Kids. Kaspersky Premium erhielt fünf Auszeichnungen von AV-TEST für den besten Schutz, die beste Leistung, das schnellste VPN, die beste Kindersicherung für Windows und die beste Bewertung für die Kindersicherung für Android.
Verwandte Artikel und Links:
Die größten Ransomware-Angriffe
Die größten Ransomware-Bedrohungen
Verwandte Produkte und Services: