Home » News » Cybersecurity » Ransomware-Kits: florierende Heimindustrie für Cyberkriminalität

Ransomware-Kits: florierende Heimindustrie für Cyberkriminalität

Mit Ransomware-as-a-Service (RaaS) wurde Ransomware sehr schnell von einer lästigen aber eher untergeordneten Bedrohung zur schlimmsten Plage der IT.

2 Min. Lesezeit
Foto: ©AdobeStock/martialred

Mit Ransomware-as-a-Service (RaaS) wurde Ransomware sehr schnell von einer lästigen aber eher untergeordneten Bedrohung zur schlimmsten Plage der IT. Dank des Servicemodells ist die Einstiegshürde deutlich gesunken, sodass Cyberkriminelle, denen die nötigen technischen Kenntnisse fehlen, Ransomware als Massenware nutzen können.

Die Umstellung auf die Abonnement-Wirtschaft hat eine neue Normalität in der As-a-Service-Welt geschaffen. Leider sind es nicht nur Netflix, Spotify & co, die dieses Geschäftsmodell übernommen haben: Laut einer neuen Studie des Cyber Exposure-Unternehmens Tenable liegt einer der Hauptgründe für das Florieren von Ransomware in der Einführung des Service-Modells. Allein im Jahr 2020 haben Ransomware-Gruppen Berichten zufolge 692 Millionen US-Dollar mit ihren kollektiven Angriffen verdient – ein Anstieg um 380 Prozent gegenüber den vorangegangenen sechs Jahren (144 Millionen Dollar von 2013-2019). Der Erfolg von RaaS hat zudem weitere Akteure wie Affiliates und Initial Access Brokers (IABs) auf den Plan gerufen, die im Ransomware-Ökosystem eine wichtige Rolle spielen – oftmals sogar wichtiger als die Ransomware-Gruppen selbst.

Affiliates, die zwischen 70 Prozent und 90 Prozent des Lösegelds verdienen, müssen die schmutzige Arbeit verrichten, um sich den Zugang zu Netzwerken zu verschaffen, und zwar mit bewährten Methoden wie Spearphishing, Brute-Force-Angriffen auf Remote-Desktop-Protokoll-Systeme (RDP), der Ausnutzung von ungepatchten oder Zero-Day-Schwachstellen und dem Kauf gestohlener Zugangsdaten aus dem Dark Web. Affiliates können auch mit sogenannten IABs zusammenarbeiten. Hierbei handelt es sich um Einzelpersonen oder Gruppen, die bereits Zugang zu Netzwerken erlangt haben und diesen an den Meistbietenden verkaufen. Ihre Gebühren reichen im Durchschnitt von 303 Dollar für Zugriff auf die Systemsteuerung bis hin zu 9.874 Dollar für RDP-Zugang.

Die Untersuchung zeigte, dass die gegenwärtige Vorherrschaft von Ransomware direkt mit dem Aufkommen einer als doppelte Erpressung bekannten Methode zusammenhängt. Bei dieser Taktik, die erstmals von der Ransomware-Gruppe Maze angewandt wurde, werden sensible Daten von Betroffenen gestohlen und es wird damit gedroht, diese Dateien auf Leak-Websites zu veröffentlichen. Zugleich werden diese Daten verschlüsselt, sodass die Geschädigten nicht darauf zugreifen können. Ransomware-Gruppen haben in jüngster Zeit eine Reihe weiterer Erpressungstechniken in ihr Repertoire aufgenommen, von der Durchführung von DDoS-Angriffen bis hin zur Kontaktaufnahme mit Kunden ihrer Opfer, wodurch es für Verteidiger noch schwieriger wird. Diese Taktiken sind Teil des Arsenals der Ransomware-Banden, um zusätzlichen Druck auf die betroffenen Unternehmen auszuüben.

„Mit RaaS und doppelter Erpressung wurde die Büchse der Pandora geöffnet, und Angreifer finden Löcher in unserer derzeitigen Verteidigung und profitieren davon“, so Satnam Narang, leitender Forschungsingenieur bei Tenable. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sagt in seinem aktuellen Bericht „Stand der IT-Sicherheit in Deutschland“, dass „der Schaden durch einen Ransomware-Angriff eine existenzielle Bedrohung für betroffene Organisationen darstellen kann“ und fügt hinzu, dass „im aktuellen Berichtszeitraum [1. Juni 2020 und 31. Mai 2021] eine erhebliche Ausweitung der von Cyberkriminellen eingesetzten Erpressungsmethoden zu verzeichnen war“. Narang: „Solange das Ransomware-Ökosystem weiter gedeiht, werden es auch die Angriffe auf Organisationen und Regierungen tun. Es ist zwingend erforderlich, dass sich diese Unternehmen im Voraus vorbereiten, damit sie in der bestmöglichen Position sind, sich gegen Ransomware-Angriffe zu verteidigen und darauf zu reagieren. Während Ransomware-Gruppen die größte Bekanntheit und Aufmerksamkeit für Angriffe erhalten, kommen und gehen diese Gruppen. Trotz der Fluktuation bleiben Affiliates und IABs prominente Fixpunkte in diesem Bereich und diesen beiden Gruppen sollte im Ökosystem insgesamt mehr Aufmerksamkeit geschenkt werden.“

Andere interessante News

Cyber Signals: KI – Bedrohung und Schutzschild zugleich

Die Cybersicherheitswelt erlebt einen tiefgreifenden Wandel, getrieben von Künstlicher Intelligenz (KI). KI bietet Chancen, Cyberangriffe abzuwehren und dem Fachkräftemangel entgegenzuwirken, birgt aber auch Risiken.

Threat Report für H2/2023 offenbart vier gefährliche Trends

Ein neuer Report für die zweite Hälfte des Jahres 2023 beleuchtet wichtige Trends in den Bereichen multi-funktionale Malware, Loader, ViperSoftX und Phishing-Mails. Dabei wird deutlich, dass multi-funktionale Malware eine vielseitige Bedrohung darstellt und oft als eine Art Schweizer Taschenmesser agiert, während Loader den Weg zu sensiblen Daten öffnen.

Cyber Security Radar

Cyberbedrohungsradar 2024

Die stetig wachsende Komplexität der IT-Landschaften und das Aufkommen neuer Angriffsarten stellen Unternehmen vor zunehmende Herausforderungen im Bereich der Cyber-Sicherheit. In diesem Beitrag werden die drei wichtigsten Sicherheitsthemen des Jahres 2024 beleuchtet und aufgezeigt, worauf Unternehmen ihre verstärkte Aufmerksamkeit richten sollten.