Ransomware-as-a-Service

Ransomware-as-a-Service, kurz RaaS, bietet wie andere as-a-Service-Modelle, etwa Software as a Service oder Platform as a Service, externe IT-Dienstleistungen an, welche an ihre Kunden vermietet werden. Diese müssen die entsprechende Schadsoftware somit nicht selbst entwickeln und bereitstellen.^[1]

Bedeutung

Die Bedeutung von Cyberattacken hat in den letzten Jahren wesentlich zugenommen. Der Cyberthreat Defense Report von CyberEdge zeigt weiter auf, dass 66,9 % der Ransomware-Opfer von 2019 die Lösegeldforderungen bezahlten und ihre Daten wiederherstellen konnten, doch 33,1 % der Opfer verloren trotz Bezahlung ihre Daten.^[2] Laut dem Bericht von SonicWall zu Cyber-Bedrohungen gab es im Jahr 2021 weltweit 623,3 Millionen Ransomware-Attacken, was einen Anstieg von 105 % im Vergleich zum Vorjahr bedeutet.^[3] Diese Attacken sind somit ein großes Risiko für viele Unternehmen, sowohl im finanziellen, als auch operativen Bereich, etwa durch Störung beziehungsweise Ausfall des Geschäfts. Weitere Folgen in diesem Zusammenhang waren etwa der Image-Verlust, Entlassungen von Führungskräften oder auch Unternehmensschließungen.^[4]

Ransomware

→ Hauptartikel: Ransomware

Ransomware, auch bekannt als Verschlüsselungstrojaner oder Erpressungssoftware, ist ein Schadprogramm, mit welchem Angreifer den Zugriff oder die Nutzung auf Daten oder des gesamten Computersystems des Opfers verhindern können. Dies geschieht etwa durch die Verschlüsselung der Daten auf dem Computer. Zur Entschlüsselung oder Freigabe wird ein entsprechendes Lösegeld gefordert.

Beschreibung

Ransomware-as-a-Service zeichnet sich als zukünftiger Trend ab. Bei dem Geschäftsmodell vermieten Ransomware-Entwickler ihre Schadsoftware ähnlich wie Softwareentwickler von SaaS-Produkten, gegebenenfalls auch ohne diese selbst zu verwenden.^[1][4] Damit bekommen Personen Zugriff auf Services beziehungsweise Programme ohne jegliche Kenntnisse von Ransomware-Software oder Softwareentwicklung selbst. Sie können somit auf schnelle Art und Weise ein RaaS-Kit erwerben und dann auch direkt eine Attacke mit dieser starten. Gefunden werden können diese im Darknet.^[4]

RaaS-Modelle umfassen hierbei verschiedene Umsatzmodelle. Anbieter können beispielsweise eine monatliche Gebühr in Form eines Abos verlangen oder einen Prozentsatz der Gewinne ihrer Kunden einbehalten (Affiliate-Programme). Auch ist eine Mischung aus beiden Modellen oder eine einmalige Lizenzgebühr möglich. Kunden erstellen für den Kauf ein Konto bei dem RaaS-Anbieter und wählen ein entsprechendes Zahlungsmittel (üblicherweise Bitcoin) und können dann die gewünschte Schadsoftware auswählen. Der Leistungsumfang kann je nach Anbieter und gebuchter Dienstleistung unterschiedlich sein und etwa Zugang zu Dokumentationen, 24-Stunden-Support, Communities, Updates oder andere Vorteile umfassen.^[1][4]

Nachdem die Zahlung erfolgt ist, beginnen die Angreifer mit der Verbreitung der Malware und dem Angriff auf das Opfer. Meistens verwenden Ransomware-Angreifer Phishing- oder Social-Engineering-Kampagnen, um die Benutzer zur Ausführung der Malware zu verleiten. Sobald die Malware eingeschleust wurde, wird der Computer des Opfers verschlüsselt und unbrauchbar gemacht, anschließend wird dem Geschädigten eine Nachricht mit Anweisungen über die Lösegeldsendung angezeigt.^[1]

RaaS ist genauso wettbewerbsfähig wie jede andere Branche, und viele Anbieter vermarkten ihre Dienste aggressiv. RaaS-Anbieter haben Twitter-Konten, Websites, Videoinhalte und andere Marketingmittel. Oft werden Marketingkampagnen durchgeführt, um das Geschäft anzukurbeln. Die meisten RaaS-Tools verfügen auch über Nutzerbewertungen und Community-Foren.^[1]

Bekannte Ransomware-as-a-Service Produkte und Anbieter

RaaS-Angriffe, sind in den letzten Jahren häufig geworden. Folgend sind bekannte RaaS-Produkte und Anbieter aufgelistet:

• Die Gruppe DarkSide hat im Frühjahr 2021 in Verbindung mit einem Angriff auf Colonial Pipeline aufsehen erregt. Bei diesem Vorfall wurden angeblich 100 GB an Daten gestohlen und an den DarkSide-Kunden wurden fast 5 Millionen US-Dollar an den Kunden gezahlt. Im ersten Halbjahr 2021 waren mindestens 60 Fälle ausgehend von DarkSide.^[4]
• REvil, auch bekannt als Sodinokibi, stammt von der kriminellen Gruppe PINCHY SPIDER. Nachdem REvil Daten verschlüsselt und stiehlt, werden Lösegeldforderung über eine verlinkten Blog-Beitrag, der über die gestohlenen Inhalte informiert, gestellt. Es wurden bereits Forderungen in Höhe von 10 Millionen US-Dollar mit REvil gestellt.^[4]

• Das RaaS-Angebot Dharma wird seit 2016 im Darknet angeboten. Die Identität der Gruppe dahinter ist weiterhin ungeklärt, verdächtigt wird eine finanziell motivierte iranische Bedrohungsgruppe. Dharma-Kunden fordern meistens ein bis fünf Bitcoins als Lösegeld.^[4]
• LockBit kann nur von russischsprachigen Kunden oder englischsprachigen Kunden mit einem russischsprachigen Bürgen erworben werden. Im Affiliate-Programm konnte ein Kunde Zugriff auf Daten von mindestens neun Opfern erlangen.^[4]

RaaS senkt die Einstiegshürde für diese profitable Form der Internetkriminalität erheblich. Jeder mit einem Computer und einer Internetverbindung kann einen Ransomware-Angriff durchführen. Die Wahrscheinlichkeit, dass sich die Nutzung von RaaS in den kommenden Jahren zunimmt ist groß.^[1]

Verteidigung gegen Ransomware-as-a-Service

Einige Sicherheitsmaßnahmen können Unternehmen helfen, sich sowohl gegen Ransomware-as-a-Service-Angriffe als auch gegen Malware-Angriffe im Allgemeinen zu schützen:

• Sicherheitstraining für Benutzer: Die Schulung von Mitarbeitern, Auftragnehmern und anderen Nutzern zur Erkennung von Phishing-Angriffen und Social-Engineering-Angriffen verringert die Wahrscheinlichkeit eines erfolgreichen RaaS-Angriffs.^[1][5]
• E-Mail-Sicherheit: Viele Ransomware-Angriffe beginnen mit einem infizierten E-Mail-Anhang. Das Scannen von E-Mails auf Malware und das Blockieren von E-Mail-Anhängen aus nicht vertrauenswürdigen Quellen kann dazu beitragen, diesen Angriffsvektor zu eliminieren.^[1]
• Häufige Datensicherungen: Ransomware macht es Unternehmen unmöglich, auf ihre Daten zuzugreifen oder sie zu nutzen. In vielen Fällen kann ein Unternehmen seine Daten jedoch aus einer Sicherungskopie wiederherstellen, anstatt das Lösegeld für die Entschlüsselung zu zahlen oder die gesamte IT-Infrastruktur von Grund auf neu aufzubauen.^[1][5]
• Software-Aktualisierung: Bei Ransomware-Angriffen werden oft bekannte Sicherheitslücken in Anwendungen und Betriebssystemen ausgenutzt. Aus diesem Grund ist es sinnvoll eine Software mit neue Versionen (Updates, Patches) so schnell wie möglich beziehungsweise regelmäßig zu aktualisieren, um die Möglichkeit von Ransomware-Angriffen zu verringern.^[5]
• DNS-Filterung: Oftmals werden eine Art von C&C-Server (Command and Control) von der Ransomware verwendet, um mit der RaaS-Betreiber-Plattform zu kommunizieren, welcher zumeist eine DNS-Abfrage beinhaltet. Mit einer Security-Lösung zur DNS-Filterung können Unternehmen erkennen, ob Ransomware versucht, mit dem RaaS-C&C-Server zu kommunizieren und diese Kommunikation blockieren.^[5]
• XDR-Endpunktsicherheit: Um Bedrohungen frühzeitig erkennen zu können, ist Endpunktsicherheit und entsprechende Software notwendig, wie beispielsweise XDR (Extended Detection and Response). Damit können Erkennungs- und Reaktionsmöglichkeiten erweitert und somit die die Risiken von Ransomware-Angriffen begrenzen werden.^[5]

Einzelnachweise

1. What is ransomware-as-a-service (RaaS)? Abgerufen am 29. Mai 2022. 
2. 2020 Cyberthreat Defense Report. In: Resource Library. Abgerufen am 29. Mai 2022 (amerikanisches Englisch). 
3. 2022 SonicWall Cyber Threat Report | Threat Intelligence. In: SonicWall. Abgerufen am 29. Mai 2022 (amerikanisches Englisch). 
4. Janina Kröger: Ransomware-as-a-Service nimmt zu. Im Darknet lässt sich Ransomware einfach mieten. 5. Juli 2021, abgerufen am 29. Mai 2022 (deutsch). 
5. Was ist Ransomware as a Service (RaaS)? - Definition von WhatIs.com. Abgerufen am 30. Mai 2022.