Home » News » Cybersecurity » Ransomware-Kits: florierende Heimindustrie für Cyberkriminalität

Ransomware-Kits: florierende Heimindustrie für Cyberkriminalität

Mit Ransomware-as-a-Service (RaaS) wurde Ransomware sehr schnell von einer lästigen aber eher untergeordneten Bedrohung zur schlimmsten Plage der IT.

2 Min. Lesezeit
Foto: ©AdobeStock/martialred

Mit Ransomware-as-a-Service (RaaS) wurde Ransomware sehr schnell von einer lästigen aber eher untergeordneten Bedrohung zur schlimmsten Plage der IT. Dank des Servicemodells ist die Einstiegshürde deutlich gesunken, sodass Cyberkriminelle, denen die nötigen technischen Kenntnisse fehlen, Ransomware als Massenware nutzen können.

Die Umstellung auf die Abonnement-Wirtschaft hat eine neue Normalität in der As-a-Service-Welt geschaffen. Leider sind es nicht nur Netflix, Spotify & co, die dieses Geschäftsmodell übernommen haben: Laut einer neuen Studie des Cyber Exposure-Unternehmens Tenable liegt einer der Hauptgründe für das Florieren von Ransomware in der Einführung des Service-Modells. Allein im Jahr 2020 haben Ransomware-Gruppen Berichten zufolge 692 Millionen US-Dollar mit ihren kollektiven Angriffen verdient – ein Anstieg um 380 Prozent gegenüber den vorangegangenen sechs Jahren (144 Millionen Dollar von 2013-2019). Der Erfolg von RaaS hat zudem weitere Akteure wie Affiliates und Initial Access Brokers (IABs) auf den Plan gerufen, die im Ransomware-Ökosystem eine wichtige Rolle spielen – oftmals sogar wichtiger als die Ransomware-Gruppen selbst.

Affiliates, die zwischen 70 Prozent und 90 Prozent des Lösegelds verdienen, müssen die schmutzige Arbeit verrichten, um sich den Zugang zu Netzwerken zu verschaffen, und zwar mit bewährten Methoden wie Spearphishing, Brute-Force-Angriffen auf Remote-Desktop-Protokoll-Systeme (RDP), der Ausnutzung von ungepatchten oder Zero-Day-Schwachstellen und dem Kauf gestohlener Zugangsdaten aus dem Dark Web. Affiliates können auch mit sogenannten IABs zusammenarbeiten. Hierbei handelt es sich um Einzelpersonen oder Gruppen, die bereits Zugang zu Netzwerken erlangt haben und diesen an den Meistbietenden verkaufen. Ihre Gebühren reichen im Durchschnitt von 303 Dollar für Zugriff auf die Systemsteuerung bis hin zu 9.874 Dollar für RDP-Zugang.

Die Untersuchung zeigte, dass die gegenwärtige Vorherrschaft von Ransomware direkt mit dem Aufkommen einer als doppelte Erpressung bekannten Methode zusammenhängt. Bei dieser Taktik, die erstmals von der Ransomware-Gruppe Maze angewandt wurde, werden sensible Daten von Betroffenen gestohlen und es wird damit gedroht, diese Dateien auf Leak-Websites zu veröffentlichen. Zugleich werden diese Daten verschlüsselt, sodass die Geschädigten nicht darauf zugreifen können. Ransomware-Gruppen haben in jüngster Zeit eine Reihe weiterer Erpressungstechniken in ihr Repertoire aufgenommen, von der Durchführung von DDoS-Angriffen bis hin zur Kontaktaufnahme mit Kunden ihrer Opfer, wodurch es für Verteidiger noch schwieriger wird. Diese Taktiken sind Teil des Arsenals der Ransomware-Banden, um zusätzlichen Druck auf die betroffenen Unternehmen auszuüben.

„Mit RaaS und doppelter Erpressung wurde die Büchse der Pandora geöffnet, und Angreifer finden Löcher in unserer derzeitigen Verteidigung und profitieren davon“, so Satnam Narang, leitender Forschungsingenieur bei Tenable. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sagt in seinem aktuellen Bericht „Stand der IT-Sicherheit in Deutschland“, dass „der Schaden durch einen Ransomware-Angriff eine existenzielle Bedrohung für betroffene Organisationen darstellen kann“ und fügt hinzu, dass „im aktuellen Berichtszeitraum [1. Juni 2020 und 31. Mai 2021] eine erhebliche Ausweitung der von Cyberkriminellen eingesetzten Erpressungsmethoden zu verzeichnen war“. Narang: „Solange das Ransomware-Ökosystem weiter gedeiht, werden es auch die Angriffe auf Organisationen und Regierungen tun. Es ist zwingend erforderlich, dass sich diese Unternehmen im Voraus vorbereiten, damit sie in der bestmöglichen Position sind, sich gegen Ransomware-Angriffe zu verteidigen und darauf zu reagieren. Während Ransomware-Gruppen die größte Bekanntheit und Aufmerksamkeit für Angriffe erhalten, kommen und gehen diese Gruppen. Trotz der Fluktuation bleiben Affiliates und IABs prominente Fixpunkte in diesem Bereich und diesen beiden Gruppen sollte im Ökosystem insgesamt mehr Aufmerksamkeit geschenkt werden.“

Andere interessante News

Cybersecurity-Trends 2023

„Cybergefahren sind eines der größten Risiken für Unternehmen“, sagt Sudhir Ethiraj, Global Head of Cybersecurity Office (CSO) bei TÜV SÜD. „Durch die Bedrohungslage sowie durch neue Regularien und deren Umsetzung werden Investitionen in Cybersicherheit immer wichtiger. Vor allem Kleine und Mittlere Unternehmen (KMU) achten künftig aber stärker auf die Kosteneffizienz von Cybersecurity-Lösungen“.

Statement: Ransomware-Service wird Massengut

Schon 2022 war eine deutliche Zunahme von Ransomware-as-a-Service (RaaS) zu verzeichnen. Zu verlockend offenbar die Angebote, Ransomware auch ohne eigene IT-Kenntnisse auf die ausgesuchten Ziele loszulassen.

Cybersecurity – fünf Prognosen für 2023

Die IAM-Branche (Identity- und Access-Management) hat über die letzten Jahre ein bedeutendes Wachstum hingelegt: Regulatorische Vorgaben haben zugenommen, und die Angriffsflächen von Unternehmen für Cyberattacken ist durch Trends wie Internet of Things, Cloud-Technologien und Remote Work dramatisch gewachsen.