Definition RaaS | Ransomware-as-a-Service Was ist Ransomware-as-a-Service (RaaS)?

Von Dipl.-Ing. (FH) Stefan Luber Lesedauer: 3 min

Anbieter zum Thema

Ransomware-as-a-Service ist ein illegales Geschäftsmodell der Cyberkriminalität. Es lässt sich der übergeordneten Kategorie Cybercrime-as-a-Service zurechnen und ermöglicht die Nutzung von Ransomware und Durchführung von Ransomware-Kampagnen als externe Dienstleistung. Nutzer des Services benötigen für ihre Lösegeld­erpressungs­versuche weder technisches Know-how noch selbst entwickelte Ransomware oder selbst betriebene Ransomware-Infrastruktur.

Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können.
Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können.
(Bild: gemeinfrei / Pixabay)

Ransomware-as-a-Service, abgekürzt RaaS, ist eine Form von Cybercrime-as-a-Service (CaaS). Es handelt sich bei RaaS um ein illegales Geschäftsmodell der Cyberkriminalität, das die Bereitstellung und Nutzung von Ransomware sowie die Durchführung kompletter Ransomware-Kampagnen als externe Dienstleistung eines Dritten ermöglicht. Erpressungssoftware lässt sich gegen Bezahlung buchen und für Angriffe gegen Privatpersonen, Unternehmen oder Organisationen einsetzen. Die Bezeichnung Ransomware-as-a-Service orientiert sich an den klassischen Cloud-Computing-Servicemodellen Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und Software-as-a-Service. Gemäß dem Konzept Everything-as-a-Service (EaaS) oder Anything-as-a-Service (XaaS) erhalten die verschiedenen als Service externer Dienstleister (zum Beispiel Cloud-Provider) angebotene Leistungen eigene "-as-a-Service"-Bezeichnungen. Entsprechend der Implementierungstiefe lässt sich Ransomware-as-a-Service dem Servicemodell Software-as-a-Service zurechnen.

Nutzer von RaaS benötigen weder technisches Know-how noch selbst entwickelte Ransomware oder selbst betriebene Ransomware-Infrastruktur, um kriminelle Handlungen mit Ransomware durchzuführen. Je nach Ausgestaltung und Umfang des angebotenen Services übernehmen die Dienstleister die komplette Durchführung der Ransomware-Angriffe bis hin zur Abwicklung des Zahlungsverkehrs für das Lösegeld. Die kriminellen Dienstleister betreiben die komplette für die Ransomware-Kampagnen benötigte Backend-Infrastruktur inklusive Self-Service-Portal für ihre Kunden. Angeboten wird Ransomware-as-a-Service üblicherweise im Darknet und in einschlägigen Foren. Die Bezahlung für den Service erfolgt in der Regel über nicht nachverfolgbare Transaktionen in Kryptowährungen. Für RaaS existieren verschiedene Bezahl- und Geschäftsmodelle mit regelmäßigen Zahlungen in einem Abonnement, einmaligen Pauschalzahlungen oder Bezahlung in Form einer Gewinnbeteiligung.

Prinzipielle Funktionsweise von Ransomware-as-a-Service und angebotener Leistungsumfang

Das Herzstück von Ransomware-as-a-Service ist die Erpressungssoftware, bezeichnet als Ransomware. Es handelt sich um eine besondere Form von Malware, die, nachdem sie auf einem System eingeschleust wurde, im Hintergrund beginnt, Daten auf dem befallenen Rechner zu verschlüsseln. Die Daten werden dadurch für den Benutzer unbrauchbar. Das Opfer wird nach Verschlüsselung einer bestimmten Datenmenge aufgefordert, ein Lösegeld in Form einer Kryptowährung wie Bitcoin zu zahlen, um den Schlüssel zur Entschlüsselung der Daten zu erhalten. Teilweise werden von der Ransomware auch sensible Daten entwendet. Die Erpresser drohen in diesem Fall dem Opfer häufig, die Daten zu veröffentlichen, falls kein Lösegeld gezahlt wird.

Ransomware-Angriffe werden bei RaaS in Teilen oder als komplette Kampagne als Dienstleistung angeboten. Ein Kunde meldet sich über ein RaaS-Portal für den Service an, wählt die gewünschte Ransomware aus, bezahlt den Service und beauftragt den Dienstleister, einen gezielten Ransomware-Angriff auf ausgewählte Opfer oder eine breit gestreute Ransomware-Kampagne auf mehrere Ziele zu starten. Um potenzielle Opfer zur Ausführung der Ransomware zu verleiten und die Schadsoftware auf den Systemen einzuschleusen, kommen Methoden wie der Versand als getarnter Anhang in E-Mails oder die Aufforderung zum Download infizierter Software zum Einsatz. Sobald die Malware erfolgreich auf einem Rechner eingeschleust wurde und genügend Daten verschlüsselt oder entwendet hat, kann der eigentliche Erpressungsversuch starten.

Der tatsächliche Leistungsumfang von Ransomware-as-a-Service kann variieren. Zu den typischen angebotenen Leistungen des Services zählen:

  • Bereitstellung der Ransomware oder des Source Codes der Ransomware
  • individuelle Anpassung der Ransomware
  • Self-Service-Portal zur Konfiguration, Steuerung und Verwaltung von Ransomware-Kampagnen
  • Infrastruktur zur Durchführung der Ransomware-Kampagnen
  • technischer Support und Dokumentationen
  • Foren für den Informationsaustausch der Nutzer
  • Abwicklung des Zahlungsverkehrs
  • Unterstützung bei Lösegeldverhandlungen
  • komplette Durchführung einer Kampagne

Bedrohungspotenzial von RaaS

Mit Ransomware-as-a-Service kann prinzipiell jeder ohne größeres technisches Know-how zu einem kriminellen Cyber-Erpresser werden. Jeder mit einem Rechner, einer Internetverbindung und der entsprechenden kriminellen Energie kann mit RaaS einen Ransomware-Angriff ausführen. Die Einstiegshürde für diese Art der Kriminalität sinkt und die Zahl der Ransomware-Kampagnen steigt. Da sich die Entwicklung von Ransomware und die Bereitstellung des Services in vielen Fällen als lukratives Geschäft erwiesen hat, ist Ransomware-as-a-Service eine der wichtigsten und weit verbreitetsten Formen von Cybercrime-as-a-Service und lässt die Anzahl von Ransomware-Attacken kontinuierlich steigen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:49426492)