Ransomware-Kits: florierende Heimindustrie für Cyberkriminalität

Mit Ransomware-as-a-Service (RaaS) wurde Ransomware sehr schnell von einer lästigen aber eher untergeordneten Bedrohung zur schlimmsten Plage der IT.

2 Min. Lesezeit
Foto: ©AdobeStock/martialred

Mit Ransomware-as-a-Service (RaaS) wurde Ransomware sehr schnell von einer lästigen aber eher untergeordneten Bedrohung zur schlimmsten Plage der IT. Dank des Servicemodells ist die Einstiegshürde deutlich gesunken, sodass Cyberkriminelle, denen die nötigen technischen Kenntnisse fehlen, Ransomware als Massenware nutzen können.

Die Umstellung auf die Abonnement-Wirtschaft hat eine neue Normalität in der As-a-Service-Welt geschaffen. Leider sind es nicht nur Netflix, Spotify & co, die dieses Geschäftsmodell übernommen haben: Laut einer neuen Studie des Cyber Exposure-Unternehmens Tenable liegt einer der Hauptgründe für das Florieren von Ransomware in der Einführung des Service-Modells. Allein im Jahr 2020 haben Ransomware-Gruppen Berichten zufolge 692 Millionen US-Dollar mit ihren kollektiven Angriffen verdient – ein Anstieg um 380 Prozent gegenüber den vorangegangenen sechs Jahren (144 Millionen Dollar von 2013-2019). Der Erfolg von RaaS hat zudem weitere Akteure wie Affiliates und Initial Access Brokers (IABs) auf den Plan gerufen, die im Ransomware-Ökosystem eine wichtige Rolle spielen – oftmals sogar wichtiger als die Ransomware-Gruppen selbst.

Affiliates, die zwischen 70 Prozent und 90 Prozent des Lösegelds verdienen, müssen die schmutzige Arbeit verrichten, um sich den Zugang zu Netzwerken zu verschaffen, und zwar mit bewährten Methoden wie Spearphishing, Brute-Force-Angriffen auf Remote-Desktop-Protokoll-Systeme (RDP), der Ausnutzung von ungepatchten oder Zero-Day-Schwachstellen und dem Kauf gestohlener Zugangsdaten aus dem Dark Web. Affiliates können auch mit sogenannten IABs zusammenarbeiten. Hierbei handelt es sich um Einzelpersonen oder Gruppen, die bereits Zugang zu Netzwerken erlangt haben und diesen an den Meistbietenden verkaufen. Ihre Gebühren reichen im Durchschnitt von 303 Dollar für Zugriff auf die Systemsteuerung bis hin zu 9.874 Dollar für RDP-Zugang.

Die Untersuchung zeigte, dass die gegenwärtige Vorherrschaft von Ransomware direkt mit dem Aufkommen einer als doppelte Erpressung bekannten Methode zusammenhängt. Bei dieser Taktik, die erstmals von der Ransomware-Gruppe Maze angewandt wurde, werden sensible Daten von Betroffenen gestohlen und es wird damit gedroht, diese Dateien auf Leak-Websites zu veröffentlichen. Zugleich werden diese Daten verschlüsselt, sodass die Geschädigten nicht darauf zugreifen können. Ransomware-Gruppen haben in jüngster Zeit eine Reihe weiterer Erpressungstechniken in ihr Repertoire aufgenommen, von der Durchführung von DDoS-Angriffen bis hin zur Kontaktaufnahme mit Kunden ihrer Opfer, wodurch es für Verteidiger noch schwieriger wird. Diese Taktiken sind Teil des Arsenals der Ransomware-Banden, um zusätzlichen Druck auf die betroffenen Unternehmen auszuüben.

„Mit RaaS und doppelter Erpressung wurde die Büchse der Pandora geöffnet, und Angreifer finden Löcher in unserer derzeitigen Verteidigung und profitieren davon“, so Satnam Narang, leitender Forschungsingenieur bei Tenable. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sagt in seinem aktuellen Bericht „Stand der IT-Sicherheit in Deutschland“, dass „der Schaden durch einen Ransomware-Angriff eine existenzielle Bedrohung für betroffene Organisationen darstellen kann“ und fügt hinzu, dass „im aktuellen Berichtszeitraum [1. Juni 2020 und 31. Mai 2021] eine erhebliche Ausweitung der von Cyberkriminellen eingesetzten Erpressungsmethoden zu verzeichnen war“. Narang: „Solange das Ransomware-Ökosystem weiter gedeiht, werden es auch die Angriffe auf Organisationen und Regierungen tun. Es ist zwingend erforderlich, dass sich diese Unternehmen im Voraus vorbereiten, damit sie in der bestmöglichen Position sind, sich gegen Ransomware-Angriffe zu verteidigen und darauf zu reagieren. Während Ransomware-Gruppen die größte Bekanntheit und Aufmerksamkeit für Angriffe erhalten, kommen und gehen diese Gruppen. Trotz der Fluktuation bleiben Affiliates und IABs prominente Fixpunkte in diesem Bereich und diesen beiden Gruppen sollte im Ökosystem insgesamt mehr Aufmerksamkeit geschenkt werden.“

Andere interessante News

Wie ein DDoS-Angriff am besten zu verteidigen ist

Während DDoS früher in erster Linie für politisch-soziale Proteste oder zur Eigenwerbung eingesetzt wurden, sind die Angriffe jetzt hauptsächlich erpresserischer Natur. Aber egal welches Motiv, für die erfolgreiche Verteidigung sind einige Grundregeln dringend zu beachten.

Funktion im Microsoft Virenschutz öffnet Ransomware die Türen

Fast jeder aktuelle Windows-Rechner hat den Microsoft Windows Defender vorinstalliert. Doch das Programm bietet nicht nur Schutz: Das darin enthaltene Befehlszeilentool bietet Angriffspunkte für kriminelle Akteure der „LockBit“-Gruppe.

SEMIKRON Gruppe Opfer eines Ransomware-Angriffs

Die Nürnberger SEMIKRON Gruppe wurde von einer bisher unbekannten Hackergruppe angegriffen. Infolge des Angriffs seien IT-Systeme und Dateien teilweise verschlüsselt worden. Den Angreifern zufolge sollen zudem Unternehmensdaten gestohlen worden sein.