Malware - Ransomware

Ransomware-as-a-Service (RaaS): Das Geschäft aus dem Untergrund, das gut sichtbar im Freien arbeitet

Adrien Gendre

19. März 2020

3 min

Die weltweiten Schäden durch Ransomware beliefen sich im Jahr 2019 auf atemberaubende 11,5 Milliarden Dollar. Vor allem MSPs bekamen die bösen Folgen von Ransomware zu spüren, und die Angriffe trafen hochrangige MSP-Kunden in der Regierung, im Gesundheitswesen und in anderen kritischen Diensten. 

Datto zufolge meldeten 59 Prozent der MSPs in der ersten Hälfte von 2019 Ransomware-Angriffe auf Kunden. Die durchschnittliche Ransomware-Forderung stieg um 37 Prozent, und die Kosten für die Ausfallzeit (5.900 Dollar) waren 23 Mal so hoch wie die durchschnittliche Ransomware-Forderung im Jahre 2018.

Diese Zahlen allein sind schon alarmierend, darüber hinaus aber boomt auch Ransomware-as-a-Service (RaaS). Für rund 50 Dollar kann jeder Möchtegern-Hacker ein RaaS-Abonnement und damit eine monatliche Lizenz zur Durchführung von Angriffen auf Unternehmen erhalten.

Was ist RaaS?

RaaS ist ein SaaS-ähnliches Angebot, das alles beinhaltet, was ein Hacker braucht, um einen Ransomware-Angriff zu starten. Ein typisches RaaS-Abonnement kostet etwa 50 Dollar und enthält den Ransomware-Code und den Entschlüsselungsschlüssel, und es gibt große und kleine RaaS-Kits. Raffinierte RaaS-Angebote enthalten Kundendienst und Dashboards, über die Hacker ihre Opfer verfolgen können, einschließlich des Status von Infektionen und Ransomware-Zahlungen.

RaaS wurde von Cyberkriminalitätsorganisationen entwickelt und vereinfacht die Entwicklung und Durchführung von Ransomware, und damit wurde die Einstiegsbarriere für nur gering qualifizierte Hacker praktisch beseitigt. Während einige RaaS-Organisationen eine monatliche Lizenzgebühr für die Nutzung ihrer Produkte erheben, verlangen andere eine Provision – bis zu 70 Prozent – auf die Lösegeldzahlungen an die Partner.

Wie SaaS-Unternehmen geben RaaS-Entwickler häufig neue Versionen an ihre Kunden und Partner heraus, und sie betreiben ihre Websites im Dark Web mit der Raffinesse und Effizienz eines E-Commerce-Unternehmens. Ebenfalls wie SaaS-Abos werden viele RaaS-Abo-Modelle in den Stufen Bronze, Silber und Gold angeboten, wobei jede nachfolgende Stufe bessere Funktionalitäten und Unterstützung beinhaltet.

RaaS-Organisationen

Zu den im Dark Web identifizierten RaaS-Entwicklern gehören RainMaker Labs, GandCrab, Sodinokibi und seit kurzem auch Jokeroo. RainMaker steht hinter der Philadelphia-Ransomware, die 2017 für Schlagzeilen sorgte. Obwohl die Philadelphia-RaaS von einigen in der Tech-Community im Vergleich zur Konkurrenz als plump betrachtet wurde, war das Angebot ansprechend und wurde sogar mit einem qualitativ hochwertigen Video beworben.

Die Gruppe, die hinter der GandCrab-Ransomware steht, behauptet, dass sie $ 2 Mrd. von Opfern auf der ganzen Welt erpresst hat. Rein aus Barmherzigkeit veröffentlichte ein GandCrab-Entwickler 2019 einen Entschlüsselungsschlüssel für syrische Opfer von Ransomware, die sich mit dem Trauma, den Zugriff auf Fotos ihrer verstorbenen Kinder zu verlieren, an die Öffentlichkeit wendeten. Sicherheitsforscher entwickelten schnell einen GandCrab-Entschlüsseler, und kurz darauf verstummte GandCrab.

GandCrab hatte laut Bleeping Computer zum Höhepunkt seines RaaS-Geschäfts 392 Partner. Obwohl die Gruppe im Oktober 2019 verschwand, ist es wahrscheinlich, dass sie sich in Sodinokibi umorganisiert hat, die Ransomware hinter einigen der größten Angriffe 2019. Forscher haben auffällige Ähnlichkeiten im Code von GandCrab und Sodinokibi festgestellt, aber auch Unterschiede im Hinblick auf die Identität der Entwickler, was darauf hindeutet, dass es hier ein neues Management gibt.

Mit Dutzenden von Partnern und einem RaaS-Modell, das GandCrab sowohl organisatorisch als auch technisch in den Schatten stellt, wird Sodinokibi auf die individuellen Bedürfnisse der Partner zugeschnitten und an diese verteilt. In einem Artikel der Bank Info Security aus dem Jahr 2019 erklärte ein Vertreter der in Connecticut ansässigen Sicherheitsfirma Coveware, dass einige Partner über spezielle Erfahrungen mit Angriffen auf MSPs und andere IT-Dienstleister verfügen. Sodinokibi griff 2019 eine Reihe von MSPs an, darunter Synoptec, PercSoft, CyrusOne und LogicalNet.

Jokeroo wurde erstmals im März 2019 entdeckt, als es seine Existenz auf Twitter bekanntmachte. Jokeroo bietet mehrere Mitgliedschaftsstufen sowie eine attraktive Benutzeroberfläche, die eine aktuelle Liste der Jokeroo-Opfer und Ransomware-Zahlungen sowie einen anpassbaren Assistenten zum Erstellen von Lösegeldforderungen enthält.

Bereitstellen von RaaS-Paketen

RaaS-Betreiber wissen, dass ihr Produkt einfach zu bedienen sein muss, um mehr Kunden zu gewinnen. Obwohl Sodinokibi, wie die meisten Formen von Malware, raffiniert sein kann, so lässt es sich doch mit einer einfachen E-Mail verbreiten.

Phishing ist nach wie vor die beliebteste Methode zum Zustellen aller Arten von Ransomware: 67 Prozent aller Angriffe werden über Phishing verbreitet. Zu den jüngsten Ransomware-Opfern, die Phishing-E-Mails zugeschrieben werden, gehören die Städte New Orleans (Louisiana, USA) und Durham (North Carolina, USA), die daraufhin beide vom Netz gingen, darunter auch Notruf-Callcenter und Feuerwehren.

Phishing-E-Mails sind einfach zu erstellen und zu versenden, und die Methoden zur Umgehung der Filter werden immer ausgefeilter. Darüber hinaus können Phishing-Neulinge die Hilfe von kriminellen Phishing-Organisationen in Anspruch nehmen, die ihre eigenen SaaS-Geschäfte betreiben.

Phishing-as-a-Service (PhaaS) ist, wie RaaS, eine All-in-One-Hacking-Lösung. Ein typisches Phishing-Kit umfasst Phishing-E-Mails, Phishing-Websites, E-Mail-Listen und sogar Tools zur Erkennungsvermeidung. Zusammen bieten RaaS und PhaaS alles, was ein Hacker braucht, um einen Angriff zu starten.

Ransomware-Forderungen verhindern

Die Verfügbarkeit von RaaS und PhaaS hat unbegrenzte Möglichkeiten für Hacker mit wenigen bis gar keinen Hacking-Erfahrungen geschaffen. Und indem sie MSPs angreifen, können sie mehrere Ziele auf einen Schlag treffen. Schützen Sie Ihr Unternehmen, indem Sie die folgenden Maßnahmen ergreifen:

  • Backups: Führen Sie regelmäßig Backups durch und speichern Sie diese auf einem separaten Gerät, um sicherzustellen, dass Hacker nicht auf Ihre Dateien zugreifen können.
  • Updates: Aktualisieren und patchen Sie die gesamte Software regelmäßig, um sich vor bekannten und unbekannten System-Schwachstellen zu schützen.
  • Schutz gegen Phishing und Ransomware: Investieren Sie in einen fortschrittlichen Phishing-Schutz, der Phishing-E-Mails zum Zeitpunkt der Zustellung und zum Zeitpunkt des Klickens erkennen und blockieren kann.
  • Benutzerschulung: Bieten Sie eine Phishing-Schulung zur Sensibilisierung an, um Ihren Benutzern zu zeigen, wie man die Anzeichen von Phishing erkennt, und sorgen Sie für kontextbezogenes Training zum Verstärken der Lernwirkung, wenn Ihre Benutzer auf eine Phishing-E-Mail klicken oder sie beantworten.