Künstliche Intelligenz Server IT-Automatisierung

Der Aufstieg von Ransomware-as-a-Service: Wie Cyberkriminalität zu einem Geschäft geworden ist

Blick aus der Vogelperspektive auf Computerprogrammierer, die an einem Schreibtisch sitzen und einen Desktop-PC verwenden

Autor

Syed Jawwad

Security Consultant

Ransomware-as-a-Service (RaaS) hat sich zu einem bahnbrechenden Geschäftsmodell entwickelt, bei dem Hacker die Funktionen traditioneller Ransomware mit der Zugänglichkeit von Cloud-Diensten kombinieren. Dieser Schritt half ihnen, die raffinierte digitale Erpressung in ein abonnementbasiertes Wirtschaftssystem umzuwandeln, das fast jedem mit böswilligen Absichten zur Verfügung steht.

Historisch gesehen wurden Ransomware-Angriffe hauptsächlich von technisch versierten Bedrohungsakteuren durchgeführt, die ihre eigene Malware schrieben, diese über Phishing oder ausnutzen Kits verbreiteten und direkt mit dem Opfer verhandelten. Dieses traditionelle Modell hatte jedoch Einschränkungen, wie z. B. die begrenzte Skalierbarkeit, das Risikopotenzial und die Notwendigkeit eines breiten Spektrums von Kompetenzen. 

Dann kam das RaaS-Modell ins Spiel. Bei diesem Modell erstellen Ransomware-Entwickler robuste Malware-Tools und vermieten diese an ihre Kunden oder Partner, die dann die eigentlichen Angriffe durchführen. Die Entwickler erhalten 20 % bis 40 % des Gewinns, während die Partner den restlichen Teil erhalten.

Dies hat die Cyberkriminalität zugänglicher gemacht und ermöglicht es Menschen mit begrenzten Kenntnissen, mächtige Angriffe mit fortschrittlichen Tools auszuführen. 

Branchen-Newsletter

Die neuesten Tech-News – von Experten bestätigt

Bleiben Sie mit dem Think-Newsletter über die wichtigsten – und faszinierendsten – Branchentrends in den Bereichen KI, Automatisierung, Daten und darüber hinaus auf dem Laufenden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.

Vielen Dank! Sie haben ein Abonnement abgeschlossen.

Ihr Abonnement wird auf Englisch geliefert. In jedem Newsletter finden Sie einen Abmeldelink. Hier können Sie Ihre Abonnements verwalten oder sich abmelden. Weitere Informationen finden Sie in unserer IBM Datenschutzerklärung.

Wie Ransomware-as-a-Service funktioniert

RaaS ist ein Geschäftsmodell der Cyberkriminalität, bei dem professionelle Hacker, sogenannte Entwickler, fertige Ransomware-Tools erstellen und an Partner (andere Kriminelle) verkaufen oder vermieten, die diese zur Durchführung von Angriffen nutzen. Es gibt mehrere Phasen, wie nachfolgend erläutert.

1. Entwicklung der Malware 

Der Entwickler oder Betreiber entwirft die Ransomware-Payload. Zu den Eigenschaften gehören in der Regel:

  • Verschlüsselungsalgorithmen zum Sperren von Opferdaten
  • Selbstlöschungstechniken
  • Umgehungsmethoden zur Umgehung von Antivirus und EDR
  • Eingebaute Kommunikationskanäle (wie TOR-basierte Befehls- und Kontrollsysteme)

Einige hochentwickelte Familien bieten sogar modulare Funktionen wie wurmähnliche Verbreitung, Sandbox-Umgehung und Multithreading-Verschlüsselung. 

2. RaaS-Plattform-Hosting 

Sobald die Malware erstellt wurde, wird sie gepackt und über Darknet-Marktplätze oder private Foren verfügbar gemacht. Diese Plattformen ähneln seriösen SaaS-Websites und bieten unter anderem folgende Funktionen:

  • Benutzer-Dashboards zur Erfassung von Infektionen
  • Zahlungsportal und Schlüsselverwaltung 
  • Supportforen
  • Aktualisierungen und neue Funktionen 
  • Marketingmaterialien für ihre Partner

Einige RaaS-Konzerne verfügen sogar über Kundendienstportale, die den Partnern bei Problemen mit der Bereitstellung helfen.

Laut Crowdstrike werden RaaS-Kits auf Dark-Web-Plattformen beworben und beinhalten Support rund um die Uhr, gebündelte Angebote, Nutzerrezensionen, Foren und andere Funktionen, die mit denen von legitimen SaaS-Anbietern identisch sind.

3. Anwerbung von Partnern

Partner sind typischerweise andere Cyberkriminelle, die nicht so talentiert sind wie die Entwickler von Ransomware, aber diese Cyberkriminelle können Ransomware über ihren Zugang zu echten Netzwerken verbreiten.  

In großen RaaS-Betrieben wird die Rekrutierung in der Regel von Partner-Managern oder -Personalvermittlern durchgeführt. Eine dedizierte Person oder ein kleines Team findet Partner, überprüft und integriert sie. Bei kleinen oder neu gestarteten RaaS-Betrieben erfolgt die Rekrutierung in der Regel vom Entwickler oder Betreiber selbst.

Die Rekrutierung erfolgt oft über mehrere Quellen, darunter private Messaging-Plattformen wie Telegram oder Jabber, Dark Web-Foren oder Einladungen, sich privaten Gruppen anzuschließen.

Entwickler prüfen Partnerunternehmen sorgfältig, bevor sie ihnen den Beitritt zur Gruppe gestatten. Im Gegenzug erhalten die Partner Zugang zu Ransomware, Dokumentation und Tools. Manchmal zielen sie auf die Rekrutierung auf der Basis von Reputation ab. In seltenen Fällen nutzen Angreifer gefälschte IT-Stellenanzeigen oder Freelance-Plattformen, um unwissentlich Personen anzuwerben oder deren Fähigkeiten zu testen.

4. Nutzlastlieferung 

Partner wickeln die Verbreitung von Ransomware über mehrere Quellen ab, darunter:

  • Phishing-E-Mails mit bösartigen Anhängen 
  • Bösartige Werbung 
  • Kompromittierte Websites  
  • Ausnutzen von nicht gepatchter Software oder Schwachstellen 
  • Initial Access Brokers (IABs) oder Ersteindringlinge (diese Kriminellen verkaufen kompromittierte Zugangspunkte zu Netzwerken)

In einigen Fällen setzen die Partner auch Techniken der doppelten Erpressung ein, bei denen sie zunächst Daten stehlen, bevor sie diese verschlüsseln, und dann mit deren Veröffentlichung drohen, wenn das Opfer das Lösegeld nicht zahlt.  

5. Abwicklung der Zahlung mit dem Opfer 

Sobald die Systeme verschlüsselt sind, zeigt die Ransomware eine Nachricht mit Zahlungsanweisungen an. Diese Kriminellen verlangen in der Regel Kryptowährungen wie Bitcoin. In der Lösegeldforderung selbst werden detaillierte Anweisungen zur Verwendung von Tor und Krypto-Wallets gegeben.

Dem Opfer werden die Links zu Verhandlungsportalen zur Verfügung gestellt. Diese Portale werden in der Regel auf TOR gehostet. Einige RaaS-Gruppen automatisieren diese Gespräche mithilfe von Chatbots, während andere Gruppen menschliche Operatoren zur Preisverhandlung anbieten. 

Diese Gruppen teilen ihre Verantwortlichkeiten klar auf. Die Partner sind für das Bereitstellen von Ransomware, die Übermittlung der Lösegeldforderung, die erste Kommunikation und die Verhandlungen verantwortlich. Das Kernentwicklerteam stellt das Backend bereit, indem es Portale hostet, Zahlungen überprüft und Entschlüsselungsschlüssel verteilt.

6. Gewinnbeteiligung 

Wenn diese Gruppen erfolgreich das Geld von dem Opfer erpressen können, teilen sie das Geld gemäß ihrer Vereinbarung auf. Der vereinbarte Betrag geht an den Entwickler und der Rest des Betrages wird von dem Partner einbehalten. 

Mixture of Experts | 28. August, Folge 70

KI entschlüsseln: Wöchentlicher Nachrichtenüberblick

Schließen Sie sich unserer erstklassigen Expertenrunde aus Ingenieuren, Forschern, Produktführern und anderen an, die sich durch das KI-Rauschen kämpfen, um Ihnen die neuesten KI-Nachrichten und Erkenntnisse zu liefern.
Die neuesten Podcast-Folgen ansehen

RaaS-Geschäftsmodelle

Es gibt mehrere Modelle, nach denen RaaS funktioniert. Dazu gehören die folgenden:

  • Partner-/Profit-Teilen: Partner zahlen keine Vorabkosten, aber Entwickler erhalten einen Teilen von jedem Lösegeld. Dies ist das gängigste Modell.
  • Abonnementbasiert: Partner zahlen eine monatliche Gebühr für den Zugang zum Ransomware-Kit und den Support. 
  • Einmalige Lizenz: Eine Pauschalgebühr verschafft unbegrenzten Zugang zur Malware, aber keinen laufenden Support.
  • Sonderanfertigung: Maßgeschneiderte Ransomware, die an einen einzelnen Käufer verkauft wird, oft für hochkarätige oder gezielte Angriffe.

RaaS-Gruppen in der realen Welt 

Zu den bekanntesten Ransomware-Gruppen, die nach dem RaaS-Modell arbeiten, gehören unter anderem:

  • REvil: Diese Gruppe bot detaillierte Dashboards für Partner an und verhandelte oft Lösegelder in ihrem Namen, bevor sie sich auflöste.
  • DarkSide: Diese Gruppe ist bekannt für professionelles Branding, PR-Aussagen und sogar einen Verhaltenskodex.
  • Conti: Diese Gruppe arbeitete wie ein Unternehmen, mit Gehaltsabrechnung, Managern und Leistungsbeurteilungen, bevor sie sich auflöste.
  • LockBit: Diese Gruppe ist immer noch aktiv, bekannt für aggressive Taktiken und öffentliche Leak-Seiten.

Vorsichtsmaßnahmen: Wie wir uns vor RaaS schützen können

Um sich vor RaaS zu schützen, sollten Unternehmen eine mehrschichtige Verteidigungsstrategie wählen, die Folgendes umfasst:

  1. Nutzerbewusstsein: Phishing ist der häufigste Einstiegspunkt. Regelmäßige Schulungen können Nutzer auf Cyberangriffe aufmerksam machen. 
  2. Verhaltens- und heuristisch-basierte Erkennung: Jeden Tag startet Raas neue Dienste.   Indicators of Compromise (IOCs) können böswillige Aktivitäten oder Hinweise auf eine Sicherheitsverletzung innerhalb eines Netzwerks, Systems oder Endgeräts erkennen. Wenn bei einem Ransomware-Angriff jede Sekunde zählt, können EDR/XDR-Tools den Angriff in Echtzeit erkennen, eindämmen und darauf reagieren
  3. Signatur-Zuordnung: Jede Ransomware-Familie hat unterschiedliche Verhaltenssignaturen und Nutzlastmerkmale. Die Kartierung dieser Signaturen hilft dabei, gezieltere Verteidigungsstrategien zu entwickeln. Unternehmen können Threat-Intelligence regelmäßig aktualisieren und diese in SIEM- oder SOAR-Plattformen integrieren. Das MITRE ATT&CK-Framework oder Threat Fox sind für diesen Zweck sehr gut geeignet. Benutzer können sich für ein Abonnement von Any.run Malware Trends entscheiden, um regelmäßig detaillierte Berichte über die häufigsten Malware-Typen, IOCs oder TTPs zu erhalten. Nutzer können das Dashboard des Anbieters auch nutzen, um detaillierte Informationen über Malware-Familien einzusehen.
  4. Überwachung der Dateiintegrität: Wenn Benutzer die Dateiintegrität überwachen, können sie unautorisierte Änderungen an Dateien und Verzeichnissen auf einem System leicht erkennen. Sie werden benachrichtigt, wenn entscheidende Dateien (wie Systemkonfigurationen oder ausführbare Dateien) geändert, gelöscht oder hinzugefügt werden. So lassen sich Anzeichen für Malware, Backdoors oder sogar Insider-Bedrohungen frühzeitig erkennen.
  5. Patching und Updates: Regelmäßige Patches spielen eine wichtige Rolle bei der Abwehr von RaaS, da viele RaaS-Partner nach Software ohne Patches suchen, um Zugriff zu erhalten.
  6. Endpoint Detection and Response (EDR): Die Bereitstellung von EDR schützt vor RaaS. EDR führt Verhaltensanalysen durch, um Ransomware in frühen Ausführungsphasen zu erkennen.
  7. Zero-Trust-Architektur: Durch den Einsatz einer Zero-Trust-Architektur wird die Lateralbewegung begrenzt, selbst wenn ein System kompromittiert wird.
  8. Segmentierung: Die Segmentierung des Netzwerks hilft, eine vollständige Netzwerkverschlüsselung zu verhindern, indem kritische Systeme in verschiedene Segmente isoliert werden.
  9. Offline-Backups: Offline-Backups sind immun gegen Infektionen. Wenn also Online-Backups kompromittiert werden, können Benutzer sie sicher aus Offline-Kopien wiederherstellen.
  10. Compliance: Die Aufrechterhaltung der Endgerät-Compliance reduziert das von Ransomware as a Service (RaaS) ausgehende Risiko erheblich. Unternehmen müssen sicherstellen, dass die Systeme gesichert sind, keine Schwachstellen aufweisen und mit den neuesten Malwareschutzdefinitionen aktualisiert werden.

Ransomware-as-a-Service hat die Einstiegshürden für Cyberkriminalität gesenkt und ermöglicht es selbst gering qualifizierten Angreifern, verheerende Kampagnen zu starten. Mit gut organisierten Abläufen, Affiliate-Netzwerken und Gewinnbeteiligungsmodellen entwickelt sich RaaS weiterhin rasant. 

Um dieser Bedrohung entgegenzuwirken, müssen Unternehmen eine geschichtete Verteidigungsstrategie verfolgen, die Benutzerschulung, regelmäßige Backups, den Einsatz von EDR, Threat-Intelligence und schnelle Reaktion auf Sicherheitsvorfälle umfasst.
Weiterführende Lösungen
Incident Response Services

Verbessern Sie das Programm zur Reaktion auf Vorfälle in Ihrem Unternehmen, minimieren Sie die Auswirkungen einer Sicherheitsverletzung und profitieren Sie von einer schnellen Reaktion auf Vorfälle im Bereich der Cybersicherheit.

 Incident Response Services kennenlernen
Lösungen für die Bedrohungserkennung und -reaktion

Verwenden Sie IBM Bedrohungserkennungs- und Reaktionslösungen, um Ihre Sicherheit zu stärken und die Bedrohungserkennung zu beschleunigen.

 Lösungen zur Bedrohungserkennung erkunden
IBM QRadar SOAR-Lösungen

Optimieren Sie Entscheidungsprozesse, verbessern Sie die SOC-Effizienz und beschleunigen Sie die Reaktion auf Vorfälle mit einer intelligenten Automatisierung und Orchestrierungslösung.

 Mehr zu QRadar SOAR
Machen Sie den nächsten Schritt

Verbessern Sie das Programm zur Reaktion auf Vorfälle in Ihrem Unternehmen, minimieren Sie die Auswirkungen einer Sicherheitsverletzung und profitieren Sie von einer schnellen Reaktion auf Vorfälle im Bereich der Cybersicherheit.

 Incident Response Services kennenlernen Weitere Informationen zu IBM X-Force