Inhaltsverzeichnis[Ausblenden][Zeigen]
Ransomware ist kaum eine brandneue Bedrohung im Internet. Seine Wurzeln reichen viele Jahre zurück. Diese Bedrohung ist im Laufe der Zeit nur noch gefährlicher und rücksichtsloser geworden.
Das Wort „Ransomware“ hat durch das Bombardement von Cyberangriffen, die in den letzten Jahren viele Unternehmen unbrauchbar gemacht haben, eine weit verbreitete Anerkennung erlangt.
Alle Dateien auf Ihrem PC wurden heruntergeladen und verschlüsselt, und dann wird Ihr Bildschirm schwarz und eine Meldung in holprigem Englisch erscheint.
YSie müssen Black-Hat-Cyberkriminellen ein Lösegeld in Bitcoin oder anderen nicht nachvollziehbaren Kryptowährungen zahlen, um einen Entschlüsselungsschlüssel zu erhalten oder zu verhindern, dass Ihre sensiblen Daten im Dark Web veröffentlicht werden.
Aber weniger kennen vielleicht Ransomware-as-a-Service, ein gut organisiertes Geschäftsmodell der Unterwelt, das diese Art von Angriffen (oder RaaS) ausführen kann.
Anstatt selbst Angriffe durchzuführen, vermieten Ransomware-Ersteller ihre teuren Viren an weniger erfahrene Cyberkriminelle, die bereit sind, das mit der Durchführung von Ransomware-Operationen verbundene Risiko einzugehen.
Wie funktioniert das Ganze aber? Wer führt die Hierarchie und wer fungiert als Mittelsmann? Und vielleicht noch wichtiger: Wie können Sie Ihr Unternehmen und sich selbst gegen diese lähmenden Angriffe verteidigen?
Lesen Sie weiter, um mehr über RaaS zu erfahren.
Was ist Ransomware as a Service (RaaS)?
Ransomware-as-a-Service (RaaS) ist ein Geschäftsmodell für kriminelle Unternehmen, das es jedem ermöglicht, sich anzuschließen und Tools zum Starten von Ransomware-Angriffen zu nutzen.
RaaS-Benutzer, wie diejenigen, die andere As-a-Service-Modelle wie Software-as-a-Service (SaaS) oder Platform-as-a-Service (PaaS) verwenden, mieten Ransomware-Dienste anstatt sie zu besitzen.
Es handelt sich um einen Low-Code-Software-as-a-Service-Angriffsvektor, der es Kriminellen ermöglicht, Ransomware-Software im Dark Web zu kaufen und Ransomware-Angriffe durchzuführen, ohne zu wissen, wie man codiert.
E-Mail-Phishing-Schemata sind ein häufiger Angriffsvektor für RaaS-Schwachstellen.
Wenn ein Opfer auf einen schädlichen Link in der E-Mail des Angreifers klickt, wird die Ransomware heruntergeladen und auf dem betroffenen Computer verbreitet, wodurch Firewalls und Antivirensoftware deaktiviert werden.
Die RaaS-Software kann nach Möglichkeiten suchen, Berechtigungen zu erhöhen, sobald die Perimeterabwehr des Opfers durchbrochen wurde, und schließlich die gesamte Organisation als Geisel halten, indem sie Dateien bis zu dem Punkt verschlüsselt, an dem sie nicht mehr erreichbar sind.
Sobald das Opfer über den Angriff informiert wurde, gibt das Programm ihm Anweisungen, wie es das Lösegeld bezahlen und (idealerweise) den richtigen kryptografischen Schlüssel zur Entschlüsselung erhalten kann.
Obwohl RaaS- und Ransomware-Schwachstellen rechtswidrig sind, können Kriminelle, die diese Art von Angriff durchführen, besonders schwierig zu fassen sein, da sie Tor-Browser (auch bekannt als Onion-Router) verwenden, um auf ihre Opfer zuzugreifen und Bitcoin-Lösegeldzahlungen zu fordern.
Das FBI behauptet, dass immer mehr Malware-Ersteller ihre schädlichen LCNC-Programme (Low Code/No Code) gegen eine Kürzung der Erpressungserlöse verbreiten.
Wie funktioniert das RaaS-Modell?
Entwickler und Partner arbeiten zusammen, um einen effektiven RaaS-Angriff durchzuführen. Entwickler sind dafür verantwortlich, spezialisierte Ransomware-Malware zu schreiben, die anschließend an ein verbundenes Unternehmen verkauft wird.
Der Ransomware-Code und Anweisungen zum Starten des Angriffs werden von den Entwicklern bereitgestellt. RaaS ist einfach zu bedienen und erfordert wenig technologisches Wissen.
Jeder, der Zugang zum Dark Web hat, kann das Portal betreten, als Partner beitreten und Angriffe mit einem einzigen Klick starten. Affiliates wählen den Virustyp aus, den sie verteilen möchten, und leisten eine Zahlung mit einer Kryptowährung, normalerweise Bitcoin, um loszulegen.
Der Entwickler und der Affiliate teilen die Einnahmen, wenn das Lösegeld gezahlt wird und der Angriff erfolgreich ist. Die Art des Erlösmodells bestimmt, wie die Mittel zugeteilt werden.
Lassen Sie uns einige dieser illegalen Geschäftsstrategien untersuchen.
Affiliate-RaaS
Aufgrund einer Vielzahl von Faktoren, darunter die Markenbekanntheit der Ransomware-Gruppe, die Erfolgsraten der Kampagnen sowie die Qualität und Vielfalt der angebotenen Dienste, sind Untergrund-Affiliate-Programme zu einer der bekanntesten Formen von RaaS geworden.
Kriminelle Organisationen suchen häufig nach Hackern, die selbstständig in Unternehmensnetzwerke eindringen können, um ihren Ransomware-Code innerhalb der Bande zu pflegen. Sie nutzen dann den Virus und die Hilfe, um den Angriff zu starten.
Ein Hacker benötigt dies jedoch möglicherweise nicht einmal, da der Zugang zu Unternehmensnetzwerken im Dark Web in jüngster Zeit zum Kauf angeboten wird, um diese Kriterien zu erfüllen.
Gut unterstützte, weniger erfahrene Hacker starten risikoreiche Angriffe im Austausch gegen eine Gewinnbeteiligung, anstatt eine monatliche oder jährliche Gebühr für die Verwendung des Ransomware-Codes zu zahlen (aber gelegentlich müssen Partner für das Spielen bezahlen).
In den meisten Fällen suchen Ransomware-Banden nach Hackern, die geschickt genug sind, um in ein Unternehmensnetzwerk einzudringen, und mutig genug sind, um den Angriff durchzuführen.
In diesem System erhält der Partner oft zwischen 60 % und 70 % des Lösegelds, während die restlichen 30 % bis 40 % an den RaaS-Betreiber gesendet werden.
Abonnementbasiertes RaaS
Bei dieser Taktik zahlen Betrüger regelmäßig einen Mitgliedsbeitrag, um Zugang zu Ransomware, technischem Support und Viren-Updates zu erhalten. Vergleichbar damit sind viele webbasierte Abo-Service-Modelle wie Netflix, Spotify oder Microsoft Office 365.
Normalerweise behalten Ransomware-Straftäter 100 % der Einnahmen aus Lösegeldzahlungen für sich, wenn sie für den Service im Voraus bezahlen, was je nach RaaS-Anbieter 50 bis Hunderte von Dollar pro Monat kosten kann.
Diese Mitgliedsbeiträge stellen im Vergleich zur üblichen Lösegeldzahlung von etwa 220,000 US-Dollar eine bescheidene Investition dar. Natürlich können Affiliate-Programme auch ein Pay-to-Play-Element auf Abonnementbasis in ihre Pläne integrieren.
Lebenslange Erlaubnis
Ein Malware-Hersteller kann sich entscheiden, Pakete gegen eine einmalige Zahlung anzubieten und das Risiko einer direkten Beteiligung an Cyberangriffen zu vermeiden, anstatt wiederkehrendes Geld über Abonnements und Gewinnbeteiligungen zu verdienen.
Cyberkriminelle zahlen in diesem Fall eine einmalige Gebühr, um lebenslangen Zugriff auf ein Ransomware-Kit zu erhalten, das sie beliebig verwenden können.
Einige Cyberkriminelle auf niedrigerer Ebene könnten sich für einen einmaligen Kauf entscheiden, auch wenn dieser erheblich teurer ist (Zehntausende von Dollar für ausgeklügelte Kits), da es für sie schwieriger wäre, sich mit dem RaaS-Betreiber zu verbinden, falls der Betreiber festgenommen wird.
RaaS-Partnerschaften
Cyberangriffe mit Ransomware erfordern, dass jeder beteiligte Hacker über einzigartige Fähigkeiten verfügt.
In diesem Szenario würde sich eine Gruppe zusammentun und verschiedene Beiträge zur Operation leisten. Ein Ransomware-Code-Entwickler, Unternehmensnetzwerk-Hacker und ein englischsprachiger Lösegeld-Unterhändler sind erforderlich, um loszulegen.
Abhängig von ihrer Rolle und Bedeutung in der Kampagne würde jeder Teilnehmer oder Partner einer Aufteilung der Einnahmen zustimmen.
Wie erkennt man einen RaaS-Angriff?
Normalerweise gibt es keinen Schutz vor Ransomware-Angriffen, der zu 100 % wirksam ist. Phishing-E-Mails bleiben jedoch die primäre Methode zur Durchführung von Ransomware-Angriffen.
Daher muss ein Unternehmen Phishing-Sensibilisierungsschulungen anbieten, um sicherzustellen, dass die Mitarbeiter das bestmögliche Verständnis dafür haben, wie man Phishing-E-Mails erkennt.
Auf technischer Ebene verfügen Unternehmen möglicherweise über ein spezialisiertes Cybersicherheitsteam, das mit der Suche nach Bedrohungen beauftragt ist. Threat Hunting ist eine sehr erfolgreiche Methode zur Erkennung und Abwehr von Ransomware-Angriffen.
Dabei wird anhand der Informationen über Angriffsvektoren eine Theorie erstellt. Die Vermutung und die Daten helfen bei der Erstellung eines Programms, das die Ursache des Angriffs schnell identifizieren und stoppen könnte.
Um nach unerwarteten Dateiausführungen, verdächtigem Verhalten usw. im Netzwerk Ausschau zu halten, werden Threat-Hunting-Tools verwendet. Um versuchte Ransomware-Angriffe zu identifizieren, nutzen sie die Watch for Indicators of Compromise (IOCs).
Darüber hinaus werden viele situative Threat-Hunting-Modelle verwendet, von denen jedes auf die Branche der Zielorganisation zugeschnitten ist.
Beispiele für RaaS
Autoren von Ransomware haben gerade erkannt, wie profitabel es ist, ein RaaS-Geschäft aufzubauen. Darüber hinaus haben mehrere Organisationen von Bedrohungsakteuren RaaS-Operationen eingerichtet, um Ransomware in fast jedem Unternehmen zu verbreiten. Dies sind einige der RaaS-Organisationen:
- Dunkle Seite: Es ist einer der berüchtigtsten RaaS-Anbieter. Berichten zufolge steckte diese Bande hinter dem Angriff auf die Colonial Pipeline im Mai 2021. DarkSide soll im August 2020 begonnen haben und in den ersten Monaten des Jahres 2021 seinen Höhepunkt erreicht haben.
- Dharma: Dharma Ransomware tauchte ursprünglich 2016 unter dem Namen CrySis auf. Obwohl es im Laufe der Jahre mehrere Variationen von Dharma Ransomware gab, erschien Dharma erstmals im Jahr 2020 in einem RaaS-Format.
- Maze: Wie viele andere RaaS-Anbieter debütierte Maze im Jahr 2019. Zusätzlich zur Verschlüsselung von Benutzerdaten drohte die RaaS-Organisation damit, Daten öffentlich zu veröffentlichen, um die Opfer zu demütigen. The Maze RaaS wurde im November 2020 offiziell heruntergefahren, obwohl die Gründe dafür noch etwas verschwommen sind. Einige Akademiker glauben jedoch, dass dieselben Täter unter verschiedenen Namen fortbestehen, wie Egregor.
- DoppelPaymer: Es wurde mit einer Reihe von Ereignissen in Verbindung gebracht, darunter eines im Jahr 2020 gegen ein Krankenhaus in Deutschland, das das Leben eines Patienten forderte.
- Ryuk: Obwohl RaaS 2019 aktiver war, wird angenommen, dass es mindestens 2017 existierte. Viele Sicherheitsunternehmen, darunter CrowdStrike und FireEye, haben Behauptungen bestimmter Forscher bestritten, dass sich das Unternehmen in Nordkorea befindet.
- LockBit: Als Dateierweiterung, die die Organisation verwendet, um Opferdateien zu verschlüsseln, tauchte „.abcd virus“ erstmals im September 2019 auf. Die Fähigkeit von LockBit, sich autonom über ein Zielnetzwerk zu verbreiten, ist eine seiner Funktionen. Für potenzielle Angreifer macht dies es zu einem wünschenswerten RaaS.
- revil: Obwohl es mehrere RaaS-Anbieter gibt, war dies im Jahr 2021 der häufigste. Der Kaseya-Angriff, der im Juli 2021 stattfand und Auswirkungen auf mindestens 1,500 Unternehmen hatte, war mit REvil RaaS verbunden. Die Organisation soll auch hinter dem Angriff auf den Fleischhersteller JBS USA im Juni 2021 gestanden haben, für den das Opfer 11 Millionen Dollar Lösegeld zahlen musste. Es wurde auch für einen Ransomware-Angriff auf den Cyber-Versicherungsanbieter CNA Financial im März 2021 verantwortlich gemacht.
Wie verhindert man RaaS-Angriffe?
RaaS-Hacker verwenden am häufigsten ausgeklügelte Spear-Phishing-E-Mails, die fachmännisch erstellt wurden, um authentisch zu wirken, um Malware zu verbreiten. Zum Schutz vor RaaS-Exploits ist ein solider Risikomanagementansatz erforderlich, der fortlaufende Sicherheitsbewusstseinsschulungen für Endbenutzer unterstützt.
Der erste und beste Schutz besteht darin, eine Unternehmenskultur zu schaffen, die Endbenutzer über die neuesten Phishing-Techniken und die Gefahren informiert, die Ransomware-Angriffe für ihre Finanzen und ihren Ruf darstellen. Zu den diesbezüglichen Initiativen gehören:
- Software-Upgrades: Betriebssysteme und Apps werden häufig von Ransomware ausgenutzt. Um Ransomware-Angriffe zu stoppen, ist es wichtig, die Software zu aktualisieren, wenn Patches und Updates veröffentlicht werden.
- Achten Sie darauf, Ihre Daten zu sichern und wiederherzustellen: Die Einrichtung einer Datensicherungs- und Wiederherstellungsstrategie ist der erste und wahrscheinlich wichtigste Schritt. Daten werden nach der Verschlüsselung durch Ransomware für Benutzer unbrauchbar. Die Auswirkungen der Datenverschlüsselung durch einen Angreifer können verringert werden, wenn ein Unternehmen über aktuelle Backups verfügt, die in einem Wiederherstellungsverfahren verwendet werden können.
- Verhinderung von Phishing: Phishing über E-Mails ist eine typische Angriffsmethode für Ransomware. RaaS-Angriffe können verhindert werden, wenn eine Art Anti-Phishing-E-Mail-Schutz vorhanden ist.
- Mehrfaktor-Authentifizierung: Einige Ransomware-Angreifer verwenden Credential Stuffing, bei dem gestohlene Passwörter von einer Website auf einer anderen verwendet werden. Da immer noch ein zweiter Faktor erforderlich ist, um Zugriff zu erhalten, verringert die Multifaktor-Authentifizierung die Auswirkungen eines zu häufig verwendeten einzelnen Kennworts.
- Sicherheit für XDR-Endpunkte: Endpoint-Sicherheits- und Threat-Hunting-Technologien wie XDR bieten eine zusätzliche wichtige Verteidigungsebene gegen Ransomware. Dies bietet erweiterte Erkennungs- und Reaktionsfähigkeiten, die dazu beitragen, die Gefahr von Ransomware zu verringern.
- DNS-Einschränkung: Ransomware verwendet häufig eine Art Command-and-Control-Server (C2) als Schnittstelle zur Plattform eines RaaS-Betreibers. Bei der Kommunikation von einem infizierten Rechner zum C2-Server ist fast immer eine DNS-Abfrage beteiligt. Organisationen können erkennen, wenn Ransomware versucht, mit dem RaaS C2 zu interagieren, und die Kommunikation mit Hilfe einer DNS-Filter-Sicherheitslösung verhindern. Dies kann als eine Art Infektionsprävention wirken.
Zukunft von RaaS
RaaS-Angriffe werden in Zukunft bei Hackern immer häufiger und beliebter werden. Laut einem aktuellen Bericht waren über 60 % aller Cyberangriffe in den letzten 18 Monaten RaaS-basiert.
RaaS wird immer beliebter, da es einfach zu bedienen ist und keine technischen Kenntnisse erforderlich sind. Darüber hinaus sollten wir uns auf eine Zunahme von RaaS-Angriffen vorbereiten, die auf wichtige Infrastrukturen abzielen.
Dies umfasst die Bereiche Gesundheit, Verwaltung, Verkehr und Energie. Hacker betrachten diese wichtigen Branchen und Institutionen als exponierter denn je und bringen Unternehmen wie Krankenhäuser und Kraftwerke ins Visier von RaaS-Angriffen Supply Chain Ausgaben laufen bis 2022.
Zusammenfassung
Fazit: Auch wenn Ransomware-as-a-Service (RaaS) eine Erfindung und eine der jüngsten Gefahren für digitale Benutzer ist, ist es entscheidend, bestimmte vorbeugende Maßnahmen zu ergreifen, um diese Bedrohung zu bekämpfen.
Zusätzlich zu anderen grundlegenden Sicherheitsvorkehrungen können Sie sich auch auf modernste Antimalware-Tools verlassen, um sich noch besser vor dieser Bedrohung zu schützen. Leider scheint RaaS vorerst hier zu bleiben.
Sie benötigen einen umfassenden Technologie- und Cybersicherheitsplan zum Schutz vor RaaS-Angriffen, um die Wahrscheinlichkeit eines erfolgreichen RaaS-Angriffs zu verringern.
Hinterlassen Sie uns einen Kommentar