Ransomware-as-a-Service

Erpressersoftware im Aufwind

Ransomware-Angreifer profitieren von den zunehmenden Angeboten professioneller Access Broker. Deshalb ist eine umfassende Cybersecurity-Strategie für den Schutz von Unternehmenssystemen unabdingbar.
Von 
CSO | 22. August 2022 07:20 Uhr
Ransomware-as-a-Service hat sich zu einem florierenden Geschäftsmodell entwickelt.
Ransomware-as-a-Service hat sich zu einem florierenden Geschäftsmodell entwickelt.
Foto: Nicescene - shutterstock.com

Laut einer Studie des Digitalverbandes Bitkom e.V. führen Ransomware-Angriffe typischerweise zum Ausfall oder zur Störung aller Betriebsabläufe, die durch Informations- und Produktionssysteme unterstützt werden. In der Praxis heißt das oft: alles steht.

Die Studie zeigt weiterhin, dass die Angriffsstrategien als Reaktion auf die Weiterentwicklung von Abwehrtechnologien immer ausgefeilter, professioneller und größtenteils automatisierter werden. Die sich stetig vergrößernde Angriffsfläche spielt den Kriminellen dabei in die Hände: Homeoffice, Remote-Learning, E-Commerce und die Nutzung vernetzter IoT-Geräte verschärfen die kritische Sicherheitslage.

Verwenden Angreifer in diesem Szenario dann noch professionelle Angriffswerkzeuge oder Plattformen wie Ransomware-as-a-Service (RaaS), ist es für die hauseigenen IT-Mitarbeitenden schwer, mit den neuesten Entwicklungen Schritt zu halten und Unternehmenssysteme erfolgreich zu schützen. Deshalb ist eine umfassende und detailliert ausgearbeitete Cybersecurity-Strategie und die Unterstützung von Sicherheitsexperten erforderlich.

RaaS: Geschäftsmodell für die einen, Gefährdung für die anderen

RaaS hat sich in den vergangenen Jahren zu einem florierenden Geschäftsmodell mit professionalisierten Anbietern entwickelt. Schätzungen gehen davon aus, dass im Jahr 2020 bei 64 Prozent aller Ransomware-Angriffe RaaS zum Einsatz kam. Was bedeutet das? Wie der Name vermuten lässt, ist RaaS eine Dienstleitung, die Angriffswerkzeuge oder -Plattformen samt Anleitung zur Vorgehensweise bereitstellt. Die Services können von Bedrohungsakteuren im Dark Web erworben oder abonniert werden, um Ransomware-Angriffe zu starten.

Ransomware-Banden nutzen dabei verschiedene Preisstrategien, um ihre Services und schädlichen Tools anzubieten. Diese werden häufig zusammen mit Anleitungen für die Durchführung von Angriffen, Best Practices, Lösegeldstrategien und sogar einem IT-Helpdesk zur Verfügung gestellt.

Im Grunde bietet RaaS die Art von Dokumentation und Architektur, die von gängigen SaaS-Angeboten für Unternehmen bekannt ist. Diese Anbieter sind jedoch keine stereotypen Hacker-Nerds, die wie im Spiel "Watch_Dogs" oder anderen populären Darstellungen als Einzelkämpfer im Kapuzenpulli aus ihrer eigenen Garage, dem Hinterzimmer oder einer leeren Lagerhalle heraus agieren.

Es handelt es sich vielmehr um professionelle Dienstleister, deren kriminelle Hilfestellung gerne von Bedrohungsakteuren in Anspruch genommen wird. Dass der RaaS-Ansatz so erfolgreich ist, verwundert nicht - stellt er doch eine Win-Win-Situation für beide Seiten dar. Die Anbieter der Ransomware verdienen durch Verkauf oder Leasing von Angriffs-Tools, während die Angreifer das Lösegeld der Unternehmen einsammeln. Erpressersoftware zählt zu den erfolgreichsten Schadprogrammen. Die Erpressung und Lösegeldforderung, bei der die Bedrohungsakteure Dateien verschlüsseln, hat sich seit Jahrzehnten bewährt. Mittlerweile werden Unternehmen aber auch mit der Veröffentlichung der gestohlenen Daten erpresst.

Black-Hat-Akteure und RaaS-Anbieter

Einer der aktuell bekanntesten Anbieter ist oder war die Conti-Gruppe. Die berüchtigte Cybergang war für zahlreiche schwerwiegende Cyberangriffe auf Unternehmen und Staaten verantwortlich. Ein Beispiel dafür ist der Angriff auf Costa Rica im April 2022, aufgrund dessen der nationale Notstand ausgerufen wurde. Conti war für verbrecherische Hacker und andere Cyberkriminelle bislang die Anlaufstelle, wenn es um RaaS-Angebote ging. Mittlerweile lassen mehrere Berichte vermuten, dass Conti sich auflösen und neuformieren möchte. Diese Umstrukturierung beinhaltet vermutlich eine Aufteilung in kleinere Teameinheiten und die Abwanderung von Mitarbeitenden zu anderen RaaS-Organisationen. Doch auch ohne diesen einflussreichen Player, gibt es noch eine Vielzahl weiterer krimineller Organisationen, die RaaS anbieten: darunter Yanluowang und DarkSide.

Yanluowang ist eines der neuen Ransomware-Programme, die immer bekannter werden. Eine weitere Schadsoftware ist Ryuk, die seit 2018 auf dem Markt ist und für die Kompromittierung von größeren Unternehmen entwickelt wurde. Das Schad-Tool war für einige der größten Ransomware-Angriffe der vergangenen zwei Jahre verantwortlich.

DopplePaymer, ein weiterer Dienst und eine Ransomware, zielt auf Organisationen im Gesundheitswesen, Notfalldienste und das Bildungswesen ab. Der Ransomware-Service Egregor ist von Sekhmet und Maze, zwei früheren Programmen, abgeleitet und vor allem für seinen Einsatz bei den Angriffen auf Barnes & Noble, Crytek und Ubisoft bekannt. Der Markt für Angreifer ist ständig in Bewegung, und die RaaS-Anbieter stehen auch in Konkurrenz, was zu sehr schnellen Evolutionszyklen und Innovation führt. Die Optionen für Cyberkriminelle sind also vielfältig.

Warum ist der RaaS-Ansatz so erfolgreich?

Selbst wenn einige RaaS-Banden wieder in der Versenkung verschwinden, verliert dieses Geschäftsmodell für Bedrohungsakteure nicht an Attraktivität. Vor allem, da es ein effizientes Werkzeug im Arsenal eines Hackers ist. Wenn Daten gestohlen oder verschlüsselt werden, wissen die betroffenen Unternehmen oftmals nicht, welche Schritte und Gegenmaßnahmen einzuleiten sind. Das macht sie zu idealen Zielen. Häufig sind die Opfer davon überzeugt, dass die Zahlung des Lösegelds die einzige Option sei, und das, obwohl die zuständigen Stellen und Behörden (BSI, BKA, LKA) den Unternehmen dringend davon abraten.

RaaS ist nicht nur eine effektive Angriffsstrategie, sondern auch relativ leicht zugänglich, einfach in der Handhabung und unkompliziert anzupassen. Meist beginnen Angreifer mit einer bestehenden Ransomware-Plattform und aktualisieren sie, um neue Funktionen einzubauen, die die Plattform noch wirksamer gestalten. Einige Ransomware-Entwickler gehen sogar so weit, den Code mehrerer Ransomware-Programme zu kombinieren. Diese Faktoren erschweren eine effektive Abwehr von Angriffen.

Schutz vor Ransomware-Angriffen

Auch wenn die erfolgreiche Abwehr von Ransomware auf den ersten Blick äußerst schwierig erscheint, gibt es wirksame Methoden, um Angriffe zu vereiteln. So ist die Förderung einer IT-Sicherheitskultur in Unternehmen unerlässlich. Dazu braucht es eine fundierte Aufklärung über Cyberhygiene und eine Sensibilisierung für die Tatsache, dass Sicherheit kein Zustand, sondern ein kontinuierlicher Prozess ist.

Sofern sich die Bedrohungslage ändert - was insbesondere angesichts der weltpolitischen Lage sehr schnell geschehen kann - sollten die gesammelten Daten genutzt werden, um die Verteidigungsstrategien anzupassen. Kontinuierliche Sicherheitsschulungen für die Mitarbeitenden schaffen zudem ein Bewusstsein für Cyberattacken und verdeutlichen den Teams, wie sie beispielsweise Social-Engineering-Versuche und Phishing-Nachrichten erkennen und dann die richtigen Maßnahmen ergreifen können.

Ein weiteres wichtiges Mittel zum Schutz vor Cyberangriffen sind Managed-Detection-and-Response-Ansätze, die umfangreiche Security-Monitorings und -Analysen beinhalten. Diese gestatten es Sicherheitsexperten in Unternehmen, Cyberattacken schnell aufzudecken und die geeigneten Maßnahmen zu ergreifen.

Häufige Backups der Unternehmensdaten, die in einem separaten Verwaltungsbereich gespeichert werden, stellen sicher, dass diese Informationen nicht mit den aktiv genutzten Daten gefährdet werden. Mit regelmäßigen Patches können Schwachstellen geschlossen und Konfigurationsfehler behoben werden, was es Angreifern deutlich erschwert, in die Systeme einzudringen.

Maßnahmen für den Ernstfall

Haben es Cyberkriminelle geschafft, Unternehmensdaten zu erbeuten, sollte ein im Vorfeld erarbeiteter Notfallplan befolgt werden, der die Verantwortlichen Schritt für Schritt anleitet. Wichtig ist, nicht in Panik zu verfallen und überstürzt zu handeln. Cyber Defense Hotlines von Security-Partnern, spezialisierte Berater sowie LKA, BKA und BSI bieten im Ernstfall wertvollen Expertenrat und Unterstützung. Zudem muss die Führungsebene umgehend informiert werden und anstehende Maßnahmen besprochen werden.

Die notwendigen Gegenmaßnahmen beinhalten folgende fünf Punkte:

  1. Incident Response Management: Die weitere Ausbreitung der Schadsoftware muss verhindert, der Vorfall möglichst begrenzt werden.

  2. Recovery-Aktionen: Das Schadensausmaß muss bewertet und die möglichen Wiederherstellungsoptionen evaluiert werden.

  3. Cyber Threat Intelligence: Die verfügbaren Informationen zu Angreifern, Malware und Vorfällen müssen zusammengetragen werden.

  4. Aufstellen des Business Case: Während dieses Schritts muss entschieden werden, ob Lösegeld gezahlt wird oder nicht. Falls die Entscheidung für eine Zahlung fällt, sollte bedacht werden: Es gibt keine Garantien für einen erfolgreichen Abschluss, denn es handelt sich bei den Verhandlungspartnern um Kriminelle.

  5. Verhandlungen mit dem Angreifer: In dieser Phase treten Unternehmen in die Verhandlung mit dem Angreifer. Hierbei ist Höflichkeit geboten.

Lesetipp: 9 Tipps für Ransomware-Notfälle - So verhandeln Sie mit Cybergangstern

Damit es bei einem einzigen erfolgreichen Ransomware-Angriff bleibt, gilt es im Anschluss an den Vorfall abschließende Maßnahmen zu ergreifen. Alle Systeme sollten gescannt und bereinigt sowie die Login-Daten der Nutzer zurückgesetzt werden. Zudem sollte ein intensives Hunting beziehungsweise Public-, Dark-, und Deep-Web-Monitoring folgen, um zu überprüfen, ob tatsächlich keine eigenen Daten veröffentlicht werden - egal ob das "Lösegeld" gezahlt wurde oder nicht.

Fazit: Eine proaktive Sicherheitsstrategie ist ein zuverlässiger Schutz für Unternehmen - auch gegen RaaS-Angriffe

In Zeiten, in denen Cyberkriminelle Zugangsdaten zu Unternehmensinfrastrukturen direkt über Access Broker im Dark Web beziehen können und Bedrohungsakteure Zugang zu Software, Anleitung und Support von Ransomware-Gruppen haben, müssen Unternehmen mehr denn je auf der Hut sein und ihre Systeme effektiv schützen. Das Schließen von Sicherheitslücken und Systemschwachstellen verhindert den Großteil der Attacken bereits im Vorfeld. Angriffsversuche sollten ausgiebig analysiert und Gegenmaßnahmen entworfen werden. (jm)

Dr. Sebastian Schmerl ist Director Security Services EMEA bei Arctic Wolf. Er hat mehr als 15 Jahre Erfahrung im Bereich Cybersecurity, unter anderem im Aufbau von Enterprise Security Operations Center für Unternehmen wie Daimler, Volkswagen, Bosch, Datev und Bayer.