Daten stehlen und verkaufen Die Entwicklung von Ransomware

Anbieter zum Thema

FTAPI Software GmbH

Specops Software GmbH

Arctic Wolf Networks Germany GmbH

Check Point Software Technologies GmbH

Ransomware scheint die formvollendete Hacking-Methode zu sein. Mit ihr lässt sich enormer Schaden anrichten und Geld erpressen. Wie Ransomware sich von einer Geldbeschaffungsmaßnahme zu hochgradig organisierten Operationen entwickelte.

Ransomware ist derzeit eine der größten Bedrohungen für die Sicherheit von Unternehmen, Behörden und Organisationen jeder Größenordnung. Zu Beginn gingen die Attacken noch von einzelnen Akteuren aus, die eine große Anzahl automatisierter Nutzdaten an zufällig ausgewählte Opfer verschickten, deren Daten nach „erfolgreicher“ Infiltration verschlüsselten und für die Freigabe einen kleinen Betrag an Lösegeld kassierten. Heute sehen die Größenordnungen anders aus – sowohl was die Betroffenen als auch die Höhe der Lösegelder angeht. Denn mittlerweile haben sich diese Angriffe zu einer eigenen Schattenindustrie entwickelt, die Unternehmen, Staaten und Kritische Infrastrukturen ins Visier nimmt. Ransomware-Attacken sind ein illegales Geschäftsmodell geworden und jeder Cyberangriff ist ein regelrechtes Projekt, das von den Drahtziehern über mehrere Wochen koordiniert wird.

Im Jahr 2022 wurde statistisch eine von 13 Organisationen Opfer eines versuchten Ransomware-Angriffs, und die Regierung von Costa Rica sah sich gezwungen, den nationalen Notstand auszurufen, als russische Hacker (Conti) in das Finanzministerium eindrangen und 20 Millionen Dollar Lösegeld forderten.

Auf dem Weg ins Jahr 2023 entwickelt sich Ransomware, wie wir sie kennen, jedoch weiter: Die Zahl der Opfer sinkt, und die Forderungen der Hacker ändern sich. Man könnte meinen, dass dies eine positive Entwicklung ist. Tatsächlich ist es so, dass das Ransomware-Ökosystem zunehmend fragmentiert ist, sich aber gleichzeitig viel stärker auf bestimmte Ziele und Sektoren konzentriert und immer ausgefeilter wird. Täglich tauchen neue Varianten von Malware auf, was zu einer komplexen und schwer zu durchschauenden Bedrohungslandschaft geführt hat.

Verlagerung des Schwerpunkts von Verschlüsselung auf Erpressung

Der Schwerpunkt der Kriminellen hat sich von Lösegeldzahlungen wegbewegt und liegt nun eindeutig auf der Erpressung unverschlüsselter Daten. Der Grund: Unverschlüsselte Daten sind wertvoller. Sie können fast sofort an die Öffentlichkeit gelangen, was bedeutet, dass die Opfer sie unbedingt zurückhaben wollen und bereit sind, dafür einen hohen Preis zu zahlen. Viele verschiedene Arten von Informationen gelten als sensibel: von Finanzdaten und geschützten Unternehmensdaten bis hin zu persönlichen Daten, die sich auf die körperliche oder geistige Gesundheit, Finanzen oder andere personenbezogene Daten beziehen, was die Bedrohung durch ihre Offenlegung noch größer macht. Einige Gruppen lassen die Verschlüsselungsphase ganz aus und verlassen sich allein auf die Drohung mit der Offenlegung von Daten, um Geld zu erpressen. Die Exfiltration von Daten ist viel einfacher als den gesamten Prozess eines Ransomware-Angriffs zu durchlaufen. Denn der ist meist langwierig: Von der Implementierung der Verschlüsselung eines ganzen Netzwerks bis zur darauffolgenden Unterstützung der Opfer bei der Entschlüsselung, nachdem Lösegeld gezahlt wurde, kann es lang dauern. Cyberkriminelle finden stets Wege, um weniger zu tun und mehr zu bekommen.

Ein extremes Beispiel für die Effektivität der Bedrohung durch persönliche Daten wurde bei einem Angriff auf die australische Krankenkasse Medibank im Oktober 2022 deutlich. Als sich das Unternehmen weigerte, das geforderte Lösegeld in Höhe von 10 Millionen Dollar zu zahlen, veröffentlichten die Angreifer (die möglicherweise mit der REvil-Gruppe in Verbindung stehen) riesige Mengen personenbezogener Daten. Die reichten von Schwangerschaftsabbrüchen über Drogen- und Alkoholmissbrauch bis hin zu psychischen Problemen und anderen vertraulichen medizinischen Daten von Millionen von australischen und internationalen Kunden.

Die Entwicklung von Ransomware-as-a-Service (RaaS)

Während sich das Ransomware-Ökosystem aufspaltet, ist gleichzeitig auch ein Wechsel zu attraktiveren Geschäftsmodellen, einschließlich Ransomware-as-a-Service (RaaS), zu sehen. RaaS wird oft als von Menschen betriebene Ransomware bezeichnet, und es ist genau dieser menschliche Aspekt, der RaaS so gefährlich macht. Menschliche Angreifer können kalkulierte Entscheidungen treffen, die zu einer großen Vielfalt von Angriffsmustern führen, welche speziell auf einzelne Ziele zugeschnitten sind. RaaS wird über das Dark Web angeboten und ist im Wesentlichen eine Vereinbarung zwischen zwei Parteien. Die eine entwickelt die Tools zur Durchführung eines Angriffs, die andere setzt die Nutzlast ein. Wenn der Angriff erfolgreich ist, erhalten beide Parteien einen Anteil am Gewinn, wobei besonders die anfänglichen (geringen) Kosten und die Zugänglichkeit von RaaS die Sache so einfach machen. Jeder kann ein Kit erwerben und braucht nur gut geschriebene Anleitungen und einige technische Grundkenntnisse, um einen Angriff durchzuführen.

RaaS ist extrem profitabel, und wer sie verkauft, ist ein Top-Ziel für die Behörden. So setzte das US-Außenministerium im Jahr 2021 eine Belohnung von 10 Millionen Dollar für Hinweise aus, die zum Auffinden des RaaS-Spezialisten DarkSide führen.

Sicherheitsverantwortliche befürchten, dass RaaS in den nächsten 12 Monaten als mögliche Folge von Entlassungen im Technologiesektor an Popularität gewinnen wird. So verloren im Jahr 2023 bisher über 150.000 Beschäftigte im Technologiesektor ihren Arbeitsplatz, wie die Website layoffs.fyi zeigt. Viele Entlassungen betrafen Fachbereiche, in denen technologieorientierte Arbeitsplätze rar sind, und die Gefahr, dass verärgerte Mitarbeiter ihre Fähigkeiten zur Unterstützung bösartiger Akteure einsetzen, könnte sich auch auf die Cyberkriminalität auswirken.

Ransomware ist eine erhebliche und kostspielige Bedrohung, die es zu bekämpfen gilt. Doch wird sich das Blatt wenden, wenn Regierungen auf der ganzen Welt offensiv gegen diese Gruppen vorgehen?

Hacker hacken – ein neuer Ansatz in der Strafverfolgung

Staaten auf der ganzen Welt verfügen bereits über offensive Hacking-Möglichkeiten. Im Januar 2023 gaben das US-Justizministerium und die Staatsanwaltschaft in Stuttgart bekannt, dass es deutschen Behörden in Zusammenarbeit mit dem FBI und internationalen Partnern gelungen war, das Netzwerk der Ransomware-Bande Hive vorübergehend zu unterbrechen. Sie hatten die Hacker gehackt.

Die Operation, die im Jahr 2022 begann, bewahrte mehrere, zuvor mit Ransomware verschlüsselte Regierungsorganisationen vor Lösegeldzahlungen in Millionenhöhe. In einem Fall gelang es dem FBI, einen Angriff auf einen texanischen Schulbezirk zu unterbrechen und die Zahlung von 5 Millionen Dollar an die Hacker zu verhindern. Dies ist ein klarer Beweis dafür, dass offensives Hacken funktioniert und in Zukunft ist davon auszugehen, dass diese Methode häufiger Anwendung findet.

In ähnlicher Weise schwor der australische Minister für Cybersicherheit nach zwei aufeinanderfolgenden großen Cyberangriffen auf den australischen Telekommunikationsriesen Optus und den bereits erwähnten Versicherungstitan Medibank, „die Hacker zu hacken“. Im Dezember 2022 begann auch Japan mit der Änderung von Gesetzen, um offensive Cyberoperationen gegen ausländische Hacker zu ermöglichen.

Es stellt sich die Frage: Wenn mehr Gruppen wüssten, dass sie gehackt werden könnten, bevor sie einen Angriff starten, würden sie es sich dann zweimal überlegen?

Wie kann man der Ransomware-Entwicklung Einhalt gebieten?

Eine Möglichkeit, Ransomware-Angriffe zu verhindern, wäre die Einführung eines Verbots für Organisationen, Zahlungen zu leisten. Ein solches Verbot wird in Deutschland bereits seit einigen Monaten diskutiert. Dabei gibt es Befürworter, die sich von der Unterbindung versprechen, den Anreiz für Cyberangriffe zu verringern. Kritiker dieser Idee führen an, dass ein Verbot lediglich dafür sorgen würde, dass insbesondere große Unternehmen mit Niederlassungen in anderen Ländern schlicht von dort aus die Zahlung leisten würden, während kleine und mittlere Unternehmen mit einem Firmensitz in Deutschland machtlos zusehen müssten, wie die Täter ihre Daten und die ihrer Kunden im Netz veröffentlichen. Eine solche Katastrophe kann selbst mittelgroße Unternehmen finanziell in die Knie zwingen.

In den US-Bundesstaaten Florida und North Carolina ist es hingegen für staatliche Behörden bereits illegal, Lösegeld zu zahlen. Australien erwägt ebenfalls, das Zahlungsverbot gesetzlich zu verankern. Das könnte jedoch dazu führen, dass böswillige Akteure gezielt Organisationen ins Visier nehmen, die sich längere Ausfallzeiten am wenigsten erlauben können. Krankenhäuser, Energieversorger und Schulen könnten zu bevorzugten Zielen werden. Dazu kann die Drohung, der Gesellschaft (über einen flächendeckenden Stromausfall) oder Einzelpersonen (durch die Verschlüsselung wichtiger Patientendaten) tatsächlich Schaden zuzufügen, diese Organisationen zur Zahlung verleiten.

Auch wenn Elemente der frühen Varianten von Ransomware erhalten geblieben sind, ist es unbestreitbar, dass sich die Methoden und die Ausführung weiterentwickelt haben. Früher ging es um Profit, heute geht es um viel mehr als das. Da die Bedrohungslandschaft immer fragmentierter wird und RaaS weiter auf dem Vormarsch ist, könnte 2023 ein entscheidendes Jahr im Kampf gegen Ransomware werden.

Über den Autor: Sergey Shykevich ist Threat Intelligence Group Manager bei Check Point.

(ID:49513689)