Cyberkriminalität im Abonnement: Wie Ransomware-as-a-Service funktioniert

Ransomware_Pixabay

Cyberkriminelle übernehmen gerne Modelle der legitimen Wirtschaft und passen sich dabei aktuellen Trends an. So ist es nicht verwunderlich, dass seit einiger Zeit auch Erpressersoftware als Dienstleistung immer beliebter wird – analog zu Software-as-a-Service oder auch Infrastructure-as-a-Service. Im Gegensatz zu „normaler“ Ransomware, die von den Cyberkriminellen selbst (weiter-) entwickelt oder aus bestehenden Elementen zusammengesetzt wird, bietet Ransomware-as-a-Service (RaaS) sofort einsatzbereite Ransomware-Tools für zahlungswillige „Kunden“ an. So ermöglicht RaaS einen einfachen abonnementbasierten Zugang zu Ransomware für Personen mit wenig bis gar keinen Programmierkenntnissen.

Bei RaaS gibt es zwei Parteien: die Entwickler und die Partner (Affiliates). Entsprechend sind die Entwickler für die Erstellung des Ransomware-Codes verantwortlich, der dann von den Partnern genutzt und verbreitet wird. RaaS-Anbieter bieten häufig jedoch nicht nur die technische Tiefe und Fähigkeiten, sondern auch alle Informationen, die zur Durchführung eines Angriffs benötigt werden. In einigen Fällen stellen sie sogar ein Dashboard und Status-Berichte zur Verfügung.

Die Partner wählen im mittlerweile recht breiten Angebot die Art der Malware aus, die sie verbreiten möchten, und bezahlen per Kryptowährung. Hierbei sind im Wesentlichen vier verschiedene Modelle üblich:

  • Monatliches Abonnement: Die Partner entrichten monatlich eine Pauschalgebühr, die meist zwischen 100 und 1.000 USD liegt, und erhalten einen kleinen Prozentsatz jedes bezahlten Lösegelds.
  • Partnerprogramme: Hierbei geht nur ein kleiner Prozentsatz des Gewinns an den RaaS-Betreiber mit dem Ziel, einen effizienteren Dienst zu betreiben und den Gewinn zu steigern. Diese Dienste leben vor allem von der Masse der Angriffe und Partner.
  • Einmalige Lizenzgebühr: Die Affiliates zahlen eine einmalige Gebühr ohne Gewinnbeteiligung und können die Malware dann unbegrenzt nutzen.
  • Reine Gewinnbeteiligung: Die Gewinne werden zwischen Partnern und Betreibern mit vorher festgelegten Prozentsätzen beim Lizenzerwerb aufgeteilt.

Gekommen, um zu bleiben

Eine kürzlich durchgeführte Untersuchung zeigte, dass über 60 Prozent aller Ransomware-Angriffe in den letzten 18 Monaten von RaaS-Gruppen durchgeführt wurden. Hierzu tragen vor allem die Benutzerfreundlichkeit und die Tatsache bei, dass keine technische Erfahrung erforderlich ist. Ransomware wird also für immer mehr (potenzielle) Cyberkriminelle zugänglich. Zudem wird durch das Partner-System das Risiko – aus Sicht der Kriminellen – besser verteilt. Insbesondere die RaaS-Anbieter sind kaum zu ermitteln und vermeiden hierzu auch möglichst den direkten Kontakt mit ihren Partnern.

Die Spezialisierung ist zudem ein Anzeichen für die zunehmende Professionalisierung in der Cyberkriminalität. Ähnliche Entwicklungen gab es historisch auch in legitimen Branchen, etwa im Automobilbau, wo zunächst noch die meisten Komponenten selbst entwickelt und gefertigt wurden, während sich bis heute eine enorme Wertschöpfungskette entwickelt hat. So bilden sich nicht nur Spezialisten für die verschiedenen Prozesse eines Angriffs (Entwicklung des Schadcodes, Durchführung von Phishing-Kampagnen etc.), sondern auch eine unterschiedliche Branchen-Fokussierung. So zielt Netwalker, eine der beliebtesten RaaS-Plattformen, speziell auf Gesundheits- und Bildungseinrichtungen ab.

Entsprechend wird die Bedrohung durch RaaS weiter steigen, sowohl was die Menge an Attacken als auch was deren Qualität anbelangt. Um sich hiervor zu schützen, müssen Unternehmen noch stärker in die proaktive Erkennung von Bedrohungen und die Schulung von Mitarbeitern investieren, um menschliches Versagen als Fehlerquelle zu vermeiden. Dies wird allerdings nicht ausreichen. Menschen machen immer Fehler, ganz gleich wie sicherheitsbewusst und gut geschult sie sind. Und es reicht nur einer von 1.000 Mitarbeitenden, der auf einen falschen Link hereinfällt, um das ganze Unternehmen in Gefahr zu bringen. Deshalb muss die Sicherheitsstrategie gerade auf Situationen Antworten finden, in denen es Angreifer ins Innere der Systeme geschafft haben. Nicht nur bei Ransomware sind dabei vor allem die Dateien besonders gefährdet und müssen entsprechend ins Zentrum der Sicherheitsmaßnahmen gestellt werden. Mit einem durchdachten datenzentrierten Konzept sind Sicherheitsverantwortliche in der Lage, auffällige Aktivitäten wie das reihenweise Öffnen, Kopieren oder Verschlüsseln von Dateien zu erkennen und automatisiert zu stoppen – ganz gleich, nach welchem Geschäftsmodell die Angreifer vorgehen.

 

Autor: Michael Scheffler, Country Manager DACH von Varonis Systems