Ransomware as a Service (RaaS) Ransomware als professionelle Dienstleistung aus dem Darknet

Von Parisa Kahani

Anbieter zum Thema

Neue Versionen von bekannten Schadsoftwares fluten bereits seit einiger Zeit das Darknet. Mit dem Geschäftsmodell Ransomware as a Service (RaaS) haben sich Kriminelle einen neuen, lukrativen Markt geschaffen. Nicht nur um sich selbst, sondern auch um Geschäftspartner und Kunden zu schützen, müssen Unternehmen ihre Cyber Security priorisieren und professionalisieren.

Die Entwicklung von Ransomware wird immer vielfältiger und besonders das Modell RaaS verbreitet sich rasant, da keine besonderen Kenntnisse nötig sind, um Kriminalität als Dienstleistung in Anspruch zu nehmen.
Die Entwicklung von Ransomware wird immer vielfältiger und besonders das Modell RaaS verbreitet sich rasant, da keine besonderen Kenntnisse nötig sind, um Kriminalität als Dienstleistung in Anspruch zu nehmen.
(Bild: vchalup - stock.adobe.com)

Bei Cyberangriffen kommen immer professionellere Geschäftsmodelle zum Einsatz, wie Ransomware as a Service (RaaS). Dadurch steigt die Zahl der Angriffe erheblich, da auch Kriminelle ohne technisches Know-how Ransomware als Dienstleistung nutzen können. Laut dem von Sophos lag zum Stand Februar 2022 die Zahl von Angriffen in diesem Jahr um 78 Prozent höher als noch 2021. Den befragten Unternehmen sind durch Ransomware-Attacken durchschnittlich Kosten in Höhe von 1,4 Millionen US-Dollar entstanden, um die Angriffsfolgen zu beheben. Vor allem kleine und mittelständische Unternehmen (KMU) sind sich der aktuellen Bedrohungslage oft nicht bewusst, wie aus dem Bericht „IT-Sicherheit in Deutschland 2021“ vom Bundesamt für Sicherheit in der Informationstechnik (BSI) hervorgeht.

Warum KMU zunehmend ins Visier geraten

Dass RaaS-Nutzer KMU bevorzugen, liegt nicht nur an der oft schwachen Cyber Security in kleineren Unternehmen. Es geht auch darum, möglichst wenig Aufmerksamkeit zu erregen – bei großen Betrieben ist das kaum möglich. Besonders, wenn ein Unternehmen global vernetzt ist und auch Kunden und Geschäftspartner als Zielscheibe dienen können, erhöht sich die Attraktivität für Angreifer und Angreiferinnen, und die Lösegeldforderungen steigen. Welche Auswirkungen eine Ransomware-Attacke auf globaler Ebene haben kann, zeigt sich am Beispiel des US-amerikanischen Softwareunternehmens Kaseya aus 2021. Die Hackerinnen und Hacker hatten es auf die Supply Chain abgesehen und auf ihrem Weg mindestens weitere 1.000 Betriebe aus 17 Ländern geschädigt. Auch deutsche Unternehmen waren betroffen. Darunter unter anderem der Betriebs- und Lagerausstatter Berger.

Daten – die Währung im Darknet

RaaS-Nutzern geht es nicht primär darum, den Ruf eines Unternehmens zu schädigen, sondern um das Erbeuten von Daten. Je sensibler die Daten sind, desto wertvoller sind sie und desto höhere Lösegeldforderungen fallen an. Dass viele Unternehmen sich trotz einer rasant steigenden Anzahl von Cyberangriffen immer noch in Sicherheit wiegen, zeigt der Deloitte Cyber Security Report 2021. Datenbetrug befindet sich auf der Liste der Gefahren durch Cyberkriminalität bereits seit acht Jahren unter den Top drei. Dabei gibt es eine Vielzahl an Schadprogrammen, die für Datendiebstahl eingesetzt werden. Derzeit sind mehr als 35 Ransomware-Familien bekannt, so Microsoft Security. Zu den bekanntesten zählen unter anderem Icedld, Dridex, Qbot oder auch Tickbot.

Das Geschäftsmodell „as a Service“

Genauso wie beispielsweise Software as a Service wird auch Ransomware als Dienstleistung angeboten. Der Vorteil für Angreifer: Sie bekommen einen Anteil des Lösegeldes, führen die Attacke aber nicht selbst aus. Ransomware as a Service kombiniert die im Darknet angebotenen Dienstleistungen Phishing und Malware. Da sich das kriminelle As-a-Service-Modell an den Modellen seriöser Software-Anbieter orientiert, gibt es auch hier unterschiedliche Preisstufen. Sogar Zusatzleistungen lassen sich hinzubuchen. Dazu gehören etwa technische Unterstützung, das Aufbereiten von Dashboards oder Informationen zu Zahlungssummen und geglückten Angriffen. Ein passendes RaaS-Kit können sich Angreifer und Angreiferinnen anhand ihres Vorhabens individuell zusammenstellen. Die Zahlung erfolgt dann in Kryptowährungen, zum Beispiel Bitcoin.

Zwar gelingt den Behörden hin und wieder ein Gegenschlag, wie im Fall der RaaS-Software Emotet, deren Infrastruktur 2021 zerschlagen werden konnte. Laut einem Lagebericht des BSI hatte allein diese spezielle Software vor ihrer Zerschlagung weltweit einen Schaden von etwa 2,5 Milliarden US-Dollar verursacht. Leider sind solche Erfolge oft nur von kurzer Dauer – die Nachahmer der Emotet-Architektur strömen bereits auf den Markt.

Gegen professionelle Angriffe schützt die Professionalisierung der Abwehr

Wie können sich Unternehmen also am besten schützen, welche Strategie ist die richtige?

Um den zunehmend professionellen Geschäftsmodellen der Cyberkriminalität entgegenzutreten, ist eine Kombination aus verschiedenen Sicherheitsmaßnahmen erforderlich – wie etwa Netzwerk-Segmentierung, Mail Security und Anti-Phishing, Endpoint Protection (oder XDR-Endpunktsicherheit), Schwachstellen-Management und Pentesting. Dazu gehören grundsätzlich regelmäßige Programm- und Systemupdates. Da Credentials – also Zugangsdaten – für Hackerinnen und Hacker ein Türöffner sind, muss hier unternehmensweit ein sicherer Umgang erfolgen. Zugangsdaten sollten nicht für mehrere Konten gleichzeitig verwendet und in regelmäßigen Abständen geändert werden. Jedes Unternehmen benötigt hierfür eine Credential-Hygiene und Richtlinien zum sorgfältigen Umgang mit Kennwörtern. Regelmäßige Backups sind ebenso wichtig wie Sicherheits-Checks, um Erpressungsversuchen vorzubeugen. Neben den technischen Maßnahmen sind Awareness Trainings für Mitarbeitende erforderlich, um sie im verantwortungsvollen Umgang mit typischen Angriffsmethoden zu schulen. Vor allem bei KMU werden im Rahmen der ständig zu aktualisierenden Cyber-Security-Maßnahmen finanzielle und personelle Ressourcen erforderlich, die im Unternehmen meist anderweitig gebunden sind. Angesichts des aktuellen Mangels an IT-Fachkräften sind entsprechende Expertinnen und Experten kurzfristig auch nur schwer rekrutierbar. Spezialisierte Managed Security Service Provider (MSSP) wie beispielsweise Axians können hier als externe Partner bei der Professionalisierung der Cyber Security unterstützen und die unternehmensinterne IT-Abteilung entlasten. Sie helfen dabei, eine zeitgemäße IT-Sicherheitsarchitektur einzuführen und zu managen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Cyber Security muss höchste Priorität erhalten

Wenn sich besonders kleine und mittelständische Unternehmen nicht bewusst sind, welche Gefahr von Hackerangriffen ausgeht, nehmen sie hohe finanzielle Risiken in Kauf. Und sie riskieren das Vertrauen ihrer Kunden und Geschäftspartner. Die Entwicklung von Ransomware wird immer vielfältiger und besonders das Modell RaaS verbreitet sich rasant, da keine besonderen Kenntnisse nötig sind, um Kriminalität als Dienstleistung in Anspruch zu nehmen. Das Absichern der IT-Infrastruktur muss daher höchste Priorität haben und mit der Professionalität der Angreifer und Angreiferinnen Schritt halten.

Über die Autorin: Parisa Kahani hat ihr Studium als Programmiererin abgeschlossen und anschließend 5 Jahre Erfahrungen als Netzwerk-Administratorin gesammelt. Ihre Fachkenntnisse betreffen SIEM, Mail Security Gateway und Schwachstellen Management Systeme. Seit August 2021 ist Parisa Kahani als Security Consultant bei Axians IT Security tätig, ihr Fachgebiet ist der Bereich Schwachstellen Management.

(ID:48741687)