Ransomware-as-a-Service nimmt zu

Im Darknet lässt sich Ransomware einfach mieten

Von in IT-Sicherheit
05
Jul
'21

Ob Microsoft 365, Google Workspace, Slack oder Zoom: Viele Anwendungen werden heute als Software-as-a-Service angeboten – und das ist eine feine Sache. Leider setzt sich diese Art von Mietmodell auch in kriminellen Kreisen immer mehr durch. Ransomware-as-a-Service wird zunehmend zum Problem.

Was ist Ransomware-as-a-Service und wie entwickelt sich Ransomware als Dienstleistung? Wir geben Antworten!

Eine Frau sitzt verzweifelt an ihrem Laptop. Ihr Unternehmen ist Opfer von Ransomware-as-a-Service. Bild: Pexels/Yan Krukov

Ransomware-as-a-Service entwickelt sich zunehmend zu einem Problem. Bild: Pexels/Yan Krukov

(Neuer) Trend aus dem Darknet

Cyberattacken haben sich in den vergangenen Jahren zu einem der größten Geschäftsrisiken entwickelt. Laut einer Studie von cybereason zahlten 17 Prozent der befragten deutschen Opfer-Unternehmen nach einer Ransomware-Attacke zwischen 300.000 und 1 Million Euro Lösegeld, um verschlüsselte Unternehmensdaten zurück zu bekommen – teilweise sogar noch mehr. Allerdings hatte das oft nur mäßigen Erfolg: 40 Prozent der Unternehmen, die sich zur Zahlung des Lösegeldes entschlossen hatten, gaben an, dass einige oder sogar alle Daten während des Wiederherstellungsprozesses beschädigt worden seien.

Fakt ist: Die Folgen von Ransomware-Attacken sind massiv. Der direkte finanzielle Schaden durch eine Lösegeld-Zahlung sowie durch die Störung des Geschäfts ist nur eine Folge. Als weitere Konsequenzen nannten die in der Studie befragten deutschen Unternehmen einen gewaltigen Image-Verlust (> 50 Prozent), Entlassungen auf Führungsebene (28 Prozent), Entlassungen als Folge der finanziellen Schäden (19 Prozent) und sogar Unternehmensschließungen (20 Prozent).

Die schlechte Nachricht: Es zeichnet sich ab, dass es zumindest in nächster Zukunft eher zu einer Intensivierung des Gefahrenpotenzials von Ransomware kommen wird. Und ein Trend sticht dabei besonders hervor: Ransomware-as-a-Service.

Was ist Ransomware-as-a-Service (RaaS)?

Das Modell Ransomware-as-a-Service existiert schon seit einigen Jahren, verbreitet sich aber aktuell besonders schnell. Cyberkriminelle haben sich damit gängige Software-as-a-Service-Modelle (SaaS) zum Vorbild genommen, bei denen Anwendungen in einem monatlichen Abo bezahlt werden – Microsoft 365, Google Workspace, Slack oder Zoom sind prominente Beispiele. Dadurch, dass die Hersteller kontinuierlich am Funktionsumfang arbeiten und oft auch einen technischen Support bieten, wird die Bereitstellung von Software bei diesem Modell eher als eine Dienstleistung verstanden. Und genau das dient nun als Vorbild.

Das heißt: Ransomware-as-a-Service (RaaS) ist ein Geschäftsmodell, mit dem Ransomware-Entwickler ihre Ransomware-Varianten auf dieselbe Art vermieten, wie legitime Software-Entwickler ihre SaaS-Produkte. Personen oder Personengruppen, die selbst keine Kenntnisse über die Programmierung von Schadsoftware besitzen, können schnell und kostengünstig ein RaaS-Kit buchen und direkt eine Ransomware-Attacke starten.

Zu finden sind diese Angebote recht einfach im Darknet (auch: Dark Web). Dort werden sie ähnlich beworben wie legale Software-Produkte im „normalen“ Web. Weitere gängige Bezeichnungen für solche Modelle sind Malware-as-a-Service und Cybercrime-as-a-Service.

Wie funktioniert das RaaS-Geschäftsmodell?

Wer Ransomware-as-a-Service (auch: Ransomware as a Service) nutzen möchte, meldet sich einfach bei einem RaaS-Portal an und erstellt dort ein Konto. Übliches Zahlungsmittel sind Bitcoin. Zuletzt sind noch Details zur Art der gewünschten Malware anzugeben. Der Leistungsumfang variiert bei den verschiedenen Angeboten stark und ist häufig in den Stufen Bronze, Silber und Gold gestaffelt. Je nach gebuchter Leistung erhalten Kunden Zugang zu 24/7-Support, Communities, Dokumentation, Funktionsupdates und anderen Vorteilen, die auch bei legitimen SaaS-Produkten üblich sind.

Besonders ausgefeilte RaaS-Produkte verfügen sogar über Dashboads, mit denen die Abonnenten den Status von Infektionen, die Gesamtzahl der Zahlungen, die Gesamtzahl der verschlüsselten Dateien und andere Informationen über ihre Ziele überblicken können. Und das lassen sich die RaaS-Anbieter natürlich angemessen bezahlen. Insgesamt kommen vier verschiedene Zahlungsmodelle zum Einsatz:

  • Monatliches Abonnement mit Pauschalgebühr
  • Affiliate-Programme, bei denen der RaaS-Betreiber sozusagen als „stiller Partner“ mit 20 bis 30 Prozent an den Lösegeld-Gewinnen beteiligt ist
  • Einmalige Lizenzgebühr ohne Gewinnbeteiligung
  • Reine Gewinnbeteiligung (reicht bis zu 70 Prozent)

Inzwischen gibt es so einige RaaS-Anbieter auf dem Markt – er dieser entsprechend stark umkämpf. Mit Marketing-Kampagnen, Websites, Videos und Whitepapern werben sie im Darknet, teilweise sogar auch auf Twitter, für ihre Produkte und agieren auch hiermit ganz ähnlich wie es Hersteller legaler Software tun. Um aus der Masse der RaaS-Anbieter herauszustechen, rufen Sie sogar schon Rabattaktionen aus.

Ein Mann sitzt mit sorgenvollem Blick vor seinem Laptop. Ist sein Unternehmen ein Opfer von Ransomware-as-a-Service? Bild: Pexels/Vanessa Garcia

Sorgenvolle Blicke – ein Opfer von Ransomware-as-a-Service? Bild: Pexels/Vanessa Garcia

RaaS-Geschäft wächst

Zwar beginnt das Umsatzmodell im Abonnement schon bei 40 US-Dollar im Monat; besonders bei den Modellen mit Gewinnbeteiligung winken aber deutlich höhere Erträge. Gehen wir einmal vom durchschnittlich gezahlten Lösegeld aus: Dieses liegt inzwischen bei 310.000 US-Dollar. Im Affiliate-Programm mit 20 bis 30 Prozent Gewinnbeteiligung würden für den Anbieter 62.000 bis 93.000 US-Dollar herausspringen; bei reiner Gewinnbeteiligung wären es sogar bis zu 217.000 Euro.

Das bedeutet: Für die Hinterleute ist RaaS ein extrem lukratives Geschäft. Sie selbst übernehmen die Programmierung, die Kunden die breite Streuung. Die RaaS-Betreiber profitieren gleich zweifach: Einerseits summieren sich ihre Erträge auf diese Weise immens; andererseits profitieren sie davon, dass die Erpressungen selbst von anderen (Klein-)Kriminellen ausgeführt werden, wodurch sich das eigene Risiko einer Strafverfolgung verringert. Vor diesem Hintergrund ist es nicht weiter verwunderlich, dass das Geschäft mit den Cybercrime-Dienstleistungen boomt und Ransomware-as-a-Service zunehmend das Darknet erobert.

Ransomware-as-a-Service: Emotet als Urtyp?

Emotet, der inzwischen entthronte König der Schadsoftware, war das wohl bekannteste Beispiel für Ransomware-as-a-Service – und wird teilweise auch als Urtyp des Dienstleistungsmodells RaaS gehandelt. Bei Emotet war es gängige Praxis, dass gekaperte Unternehmenszugriffe im Darknet an Dritte verkauft wurden. Auch heute noch ist die bereits erfolgte Infektion bei einigen Angeboten im Paket inbegriffen, sodass RaaS als Einfallstor für Computersysteme fungiert.

Mit der Zerschlagung von Emotet hat Ransomware-as-a-Service auf jeden Fall kein Ende genommen. Im Gegenteil: IT-Spezialisten beobachten sogar schon erste Recycling-Modelle der Emotet-Infrastruktur. Branchenexperten zeige sich gespannt, wie sich dies in Zukunft noch weiterentwickeln wird. Im schlimmsten Fall könnte sich die Zeit nach Emotet wiederum als Zeit vor Emotet herausstellen.

Überblick: bekannteste RaaS-Dienste

Aktuell ist dieser Moment aber noch nicht gekommen. Stattdessen gibt es andere Akteure, die auf der RaaS-Bühne die Hauptrollen spielen. Hier ein kurzer Überblick:

  • DarkSide ist ein Angebot der Gruppe CARBON SPIDER und hat in Verbindung mit einem Angriff auf Colonial Pipeline im Frühjahr 2021 von sich reden gemacht. Angeblich wurden bei diesem Vorfall 100 GB an Daten gestohlen und fast 5 Millionen US-Dollar an den Kunden gezahlt, der sich die Dienste von DarkSide gesichert hatte. Im ersten Halbjahr 2021 gingen mindestens 60 Fälle auf das Konto von DarkSide.
  • REvil ist auch als Sodinokibi bekannt und wird von der kriminellen Gruppe PINCHY SPIDER offeriert. Nach dem Abzug und der Verschlüsselung von Daten stellt REvil die Lösegeldforderung in Verbindung mit einem Link zu einem Blog-Beitrag, der über die gestohlenen Inhalte informiert. Mit REvil wurden bereits Lösegeldforderungen in Höhe von 10 Millionen US-Dollar gestellt.
  • Der Gruppe hinter Dharma, einem RaaS-Angebot, das seit 2016 im Darknet angeboten wird, gelingt es besonders gut, ihre Identität zu verstecken. In Verdacht steht eine finanziell motivierte iranische Bedrohungsgruppe. In der Regel fordern die Dharma-Kunden ein bis fünf Bitcoin als Lösegeld.
  • LockBit lässt sich ausschließlich von russischsprachigen Kunden oder englischsprachigen Kunden mit einem russischsprachigen Bürgen erwerben. Allein ein einziger Kunde im Affiliate-Programm konnte Daten von mindestens neun Opfern erbeuten und drohte mit deren Veröffentlichung.

Erschreckend: Laut den Sicherheitsforschern von Group IB gingen im Jahr 2020 fast zwei Drittel der registrierten Ransomware-Angriffe auf das Konto von RaaS-Modellen. Zudem konnten sie allein im Jahr 2020 15 neue RaaS-Anbieter identifizieren. Unternehmen sind daher gut beraten, sich bestmöglich vor solchen Angriffen abzuschotten.

Zu sehen ist eine Tafel mit dem Schriftzug „Don't panic“. Es geht um das Thema Ransomware-as-a-Service. Bild: Unsplash/Tonik

Mit den richtigen Mechanismen schützen sich Unternehmen vor Ransomware-as-a-Service. Bild: Unsplash/Tonik

So schützen sich Unternehmen vor Ransomware-as-a-Service

Zum Glück gibt es auch Mittel und Wege, mit denen sich Unternehmen schützen können – vor allem wenn sie sich die Unterstützung durch ein IT-Dienstleistungsunternehmen sichern. Wir haben dazu einige Tipps für Sie gesammelt:

  • Daten sichern, Daten sichern, Daten sichern – das ist das wichtigste Mantra, wenn es um den Schutz von Ransomware geht. Wenn Backups optimal ausgeführt sind, entfällt bei einer Lösegeldforderung schon einmal ein wichtiger Hebel. Wir empfehlen hier das Backup-Management.
  • Eine genaue Analyse des Netzwerks hilft dabei, Lücken aufzudecken und zu stopfen. Dabei ist beispielsweise zu prüfen, ob die Multi-Faktor-Authentifizierung konsequent etabliert ist und neu veröffentliche Sicherheitsupdates in möglichst kurzer Zeit auf alle Geräte ausgespielt werden. Unser Tipp: Setzen Sie auf die Kombi aus IT-Infrastrukturanalyse, IT-Optimierung und Patch-Management.
  • Die Beobachtung des Netzwerk am besten 24/7  ist mindestens genauso wichtig. Ein Ransomware-Befall lässt sich häufig durch geringfügige Anomalien ausmachen. Mit etwas Glück handelt es sich dabei nur um den Türöffner und mit noch mehr Glück lässt sich dieser entfernen, bevor die für Datendiebstahl und Datenverschlüsselung verantwortliche Ransomware eingeschleust und aktiv ist. Hierbei helfen Managed Services.
  • RDP-Server haben sich besonders in Zeiten des Home Office als Schwachstelle entpuppt – und sind daher so gut wie nur möglich abzusichern. Es hilft oft schon, voreingestellte Passwörter schnellstmöglich zu ändern und den Zugang zum Netzwerk nur bestimmten IP-Adressen zu ermöglichen. Ein sicheres Home Office ist unabdingbar!
  • Der wirksamste Schutz sind immer die Mitarbeitenden. Sind diese ausreichend für Gefahrensituationen geschult, fallen Sie auf die Ransomware-Kampagnen der Affiliate-Kunden nicht hinein und die Angriffe laufen ins Leere. Spezielle Security-Awareness-Schulungen sensibilisieren dafür.

Unser Appell: Unternehmen sollten jetzt handeln! Denn: Die Anzahl der Attacken nimmt in der jüngsten Zeit nicht nur extrem zu; die Angriffe werden auch immer gezielter und ausgefeilter.

Unterstützung beim Schutz vor Ransomware

Neben der dreifachen Erpressung ist Ransomware-as-a-Service momentan einer der entscheidenden Trends in der Cybercrime-Welt – Unternehmen sollten davor auf keinen Fall die Augen davor verschließen. Sie benötigen Unterstützung dabei, die zuvor genannten Schutzmechanismen umzusetzen und Ihr Unternehmen vom Endpunkt bis in die Cloud umfassend zu schützen? Dann holen Sie sich doch einfach professionelle Hilfe zur Seite – zum Beispiel von den IT-Fachkräften aus dem IT-SERVICE.NETWORK!

Mit vielfältigen IT-Dienstleistungen stehen Ihnen unsere IT-Fachleute gern zur Verfügung, wenn es um eine umfassende IT-Sicherheit im Unternehmen geht. Es besteht diesbezüglich Bedarf in Ihrem Unternehmen? Dann nehmen Sie doch Kontakt zu einem in ihrer Nähe ansässigen IT-Systemhaus aus unserem Netzwerk auf und lassen sich zunächst unverbindlich beraten. Wir freuen uns auf Ihre Anfrage!


Weiterführende Links:
cyberreason, CROWDSTRIKE, Security Insider, vade, it-daily

Janina Kröger

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich. Neue IT-Trends? Wichtige Business-News? Die studierte Germanistin und ausgebildete Redakteurin behält nicht nur das Geschehen auf dem IT-Markt im Blick, sondern versteht es zudem, das IT-Wissen des IT-SERVICE.NETWORK verständlich aufzubereiten.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.