Ransomware-as-a-Service (RaaS) hat sich zu einem bahnbrechenden Geschäftsmodell entwickelt, bei dem Hacker die Funktionen traditioneller Ransomware mit der Zugänglichkeit von Cloud-Diensten kombinieren. Dieser Schritt half ihnen, die raffinierte digitale Erpressung in ein abonnementbasiertes Wirtschaftssystem umzuwandeln, das fast jedem mit böswilligen Absichten zur Verfügung steht.
Historisch gesehen wurden Ransomware-Angriffe hauptsächlich von technisch versierten Bedrohungsakteuren durchgeführt, die ihre eigene Malware schrieben, diese über Phishing oder ausnutzen Kits verbreiteten und direkt mit dem Opfer verhandelten. Dieses traditionelle Modell hatte jedoch Einschränkungen, wie z. B. die begrenzte Skalierbarkeit, das Risikopotenzial und die Notwendigkeit eines breiten Spektrums von Kompetenzen.
Dann kam das RaaS-Modell ins Spiel. Bei diesem Modell erstellen Ransomware-Entwickler robuste Malware-Tools und vermieten diese an ihre Kunden oder Partner, die dann die eigentlichen Angriffe durchführen. Die Entwickler erhalten 20 % bis 40 % des Gewinns, während die Partner den restlichen Teil erhalten.
Dies hat die Cyberkriminalität zugänglicher gemacht und ermöglicht es Menschen mit begrenzten Kenntnissen, mächtige Angriffe mit fortschrittlichen Tools auszuführen.
Branchen-Newsletter
Bleiben Sie mit dem Think-Newsletter über die wichtigsten – und faszinierendsten – Branchentrends in den Bereichen KI, Automatisierung, Daten und darüber hinaus auf dem Laufenden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.
Ihr Abonnement wird auf Englisch geliefert. In jedem Newsletter finden Sie einen Abmeldelink. Hier können Sie Ihre Abonnements verwalten oder sich abmelden. Weitere Informationen finden Sie in unserer IBM Datenschutzerklärung.
RaaS ist ein Geschäftsmodell der Cyberkriminalität, bei dem professionelle Hacker, sogenannte Entwickler, fertige Ransomware-Tools erstellen und an Partner (andere Kriminelle) verkaufen oder vermieten, die diese zur Durchführung von Angriffen nutzen. Es gibt mehrere Phasen, wie nachfolgend erläutert.
Der Entwickler oder Betreiber entwirft die Ransomware-Payload. Zu den Eigenschaften gehören in der Regel:
Einige hochentwickelte Familien bieten sogar modulare Funktionen wie wurmähnliche Verbreitung, Sandbox-Umgehung und Multithreading-Verschlüsselung.
Sobald die Malware erstellt wurde, wird sie gepackt und über Darknet-Marktplätze oder private Foren verfügbar gemacht. Diese Plattformen ähneln seriösen SaaS-Websites und bieten unter anderem folgende Funktionen:
Einige RaaS-Konzerne verfügen sogar über Kundendienstportale, die den Partnern bei Problemen mit der Bereitstellung helfen.
Laut Crowdstrike werden RaaS-Kits auf Dark-Web-Plattformen beworben und beinhalten Support rund um die Uhr, gebündelte Angebote, Nutzerrezensionen, Foren und andere Funktionen, die mit denen von legitimen SaaS-Anbietern identisch sind.
Partner sind typischerweise andere Cyberkriminelle, die nicht so talentiert sind wie die Entwickler von Ransomware, aber diese Cyberkriminelle können Ransomware über ihren Zugang zu echten Netzwerken verbreiten.
In großen RaaS-Betrieben wird die Rekrutierung in der Regel von Partner-Managern oder -Personalvermittlern durchgeführt. Eine dedizierte Person oder ein kleines Team findet Partner, überprüft und integriert sie. Bei kleinen oder neu gestarteten RaaS-Betrieben erfolgt die Rekrutierung in der Regel vom Entwickler oder Betreiber selbst.
Die Rekrutierung erfolgt oft über mehrere Quellen, darunter private Messaging-Plattformen wie Telegram oder Jabber, Dark Web-Foren oder Einladungen, sich privaten Gruppen anzuschließen.
Entwickler prüfen Partnerunternehmen sorgfältig, bevor sie ihnen den Beitritt zur Gruppe gestatten. Im Gegenzug erhalten die Partner Zugang zu Ransomware, Dokumentation und Tools. Manchmal zielen sie auf die Rekrutierung auf der Basis von Reputation ab. In seltenen Fällen nutzen Angreifer gefälschte IT-Stellenanzeigen oder Freelance-Plattformen, um unwissentlich Personen anzuwerben oder deren Fähigkeiten zu testen.
Partner wickeln die Verbreitung von Ransomware über mehrere Quellen ab, darunter:
In einigen Fällen setzen die Partner auch Techniken der doppelten Erpressung ein, bei denen sie zunächst Daten stehlen, bevor sie diese verschlüsseln, und dann mit deren Veröffentlichung drohen, wenn das Opfer das Lösegeld nicht zahlt.
Sobald die Systeme verschlüsselt sind, zeigt die Ransomware eine Nachricht mit Zahlungsanweisungen an. Diese Kriminellen verlangen in der Regel Kryptowährungen wie Bitcoin. In der Lösegeldforderung selbst werden detaillierte Anweisungen zur Verwendung von Tor und Krypto-Wallets gegeben.
Dem Opfer werden die Links zu Verhandlungsportalen zur Verfügung gestellt. Diese Portale werden in der Regel auf TOR gehostet. Einige RaaS-Gruppen automatisieren diese Gespräche mithilfe von Chatbots, während andere Gruppen menschliche Operatoren zur Preisverhandlung anbieten.
Diese Gruppen teilen ihre Verantwortlichkeiten klar auf. Die Partner sind für das Bereitstellen von Ransomware, die Übermittlung der Lösegeldforderung, die erste Kommunikation und die Verhandlungen verantwortlich. Das Kernentwicklerteam stellt das Backend bereit, indem es Portale hostet, Zahlungen überprüft und Entschlüsselungsschlüssel verteilt.
Wenn diese Gruppen erfolgreich das Geld von dem Opfer erpressen können, teilen sie das Geld gemäß ihrer Vereinbarung auf. Der vereinbarte Betrag geht an den Entwickler und der Rest des Betrages wird von dem Partner einbehalten.
Es gibt mehrere Modelle, nach denen RaaS funktioniert. Dazu gehören die folgenden:
Zu den bekanntesten Ransomware-Gruppen, die nach dem RaaS-Modell arbeiten, gehören unter anderem:
Um sich vor RaaS zu schützen, sollten Unternehmen eine mehrschichtige Verteidigungsstrategie wählen, die Folgendes umfasst:
Ransomware-as-a-Service hat die Einstiegshürden für Cyberkriminalität gesenkt und ermöglicht es selbst gering qualifizierten Angreifern, verheerende Kampagnen zu starten. Mit gut organisierten Abläufen, Affiliate-Netzwerken und Gewinnbeteiligungsmodellen entwickelt sich RaaS weiterhin rasant.
Um dieser Bedrohung entgegenzuwirken, müssen Unternehmen eine geschichtete Verteidigungsstrategie verfolgen, die Benutzerschulung, regelmäßige Backups, den Einsatz von EDR, Threat-Intelligence und schnelle Reaktion auf Sicherheitsvorfälle umfasst.
Gewinnen Sie mit dem Index „IBM X-Force Threat Intelligence“ Erkenntnisse, um Vorbereitung und Reaktion auf Cyberangriffe schneller und effektiver zu machen.
Erfahren Sie, wie sich die heutige Sicherheitslandschaft verändert und wie Sie die Herausforderungen meistern und die Leistungsfähigkeit der generativen KI nutzen können.
Erhalten Sie wichtige Erkenntnisse und praktische Strategien zur Sicherung Ihrer Cloud mit der neuesten Threat-Intelligence.
Verbessern Sie das Programm zur Reaktion auf Vorfälle in Ihrem Unternehmen, minimieren Sie die Auswirkungen einer Sicherheitsverletzung und profitieren Sie von einer schnellen Reaktion auf Vorfälle im Bereich der Cybersicherheit.
Verwenden Sie IBM Bedrohungserkennungs- und Reaktionslösungen, um Ihre Sicherheit zu stärken und die Bedrohungserkennung zu beschleunigen.
Optimieren Sie Entscheidungsprozesse, verbessern Sie die SOC-Effizienz und beschleunigen Sie die Reaktion auf Vorfälle mit einer intelligenten Automatisierung und Orchestrierungslösung.
Verbessern Sie das Programm zur Reaktion auf Vorfälle in Ihrem Unternehmen, minimieren Sie die Auswirkungen einer Sicherheitsverletzung und profitieren Sie von einer schnellen Reaktion auf Vorfälle im Bereich der Cybersicherheit.