Was ist Ransomware-as-a-Service (RaaS)?

Ransomware-as-a-Service-Vereinbarungen sind bei Cyberkriminellen beliebt. Ransomware ist nach wie vor eine häufige Cyberbedrohung, die laut dem IBM X-Force Threat Intelligence Index an 20 % aller Cyberkriminalitätsvorfälle beteiligt ist. Viele der berüchtigtsten und verheerendsten Ransomware-Stämme – wie LockBit und BlackBasta – verbreiten sich durch RaaS-Verkäufe.

Die Verbreitung des RaaS-Modells ist leicht zu verstehen. Durch die Auslagerung einiger ihrer Bemühungen an RaaS-Anbieter erhalten Möchtegern-Hacker einen schnelleren und einfacheren Einstieg in die Cyberkriminalität. Selbst Bedrohungsakteure mit begrenztem technischem Fachwissen können mittlerweile Cyberangriffe initiieren.

RaaS ist für beide Seiten von Vorteil. Hacker können von Erpressung profitieren, ohne ihre eigene Malware zu entwickeln. Gleichzeitig können Entwickler von Ransomware ihre Gewinne steigern, ohne Netzwerke angreifen zu müssen, und von Opfern profitieren, die sie sonst möglicherweise nicht gefunden hätten.

RaaS funktioniert genauso wie legitime Software-as-a-Service (SaaS)- Geschäftsmodelle. Ransomware-Entwickler, auch RaaS-Betreiber oder RaaS-Gruppen genannt, übernehmen die Entwicklung und Wartung von Ransomware-Tools und -Infrastruktur. Sie verkaufen ihre Tools und Services in Form von RaaS-Kits an andere Hacker, sogenannte RaaS-Partner.

Die meisten RaaS-Betreiber verwenden eines dieser Umsatzmodelle, um ihre Kits zu verkaufen:

• Monatliche Subskription
• Einmalige Gebühr
• Partnerprogramme
• Gewinnbeteiligung

RaaS-Partner zahlen eine wiederkehrende Gebühr – manchmal nur 40 US-Dollar pro Monat – für den Zugang zu Ransomware-Tools.

Partner zahlen eine einmalige Gebühr, um Ransomware-Code direkt zu kaufen.

Partner zahlen eine monatliche Gebühr und teilen einen geringen Prozentsatz aller Lösegeldzahlungen, die sie erhalten, mit den Betreibern.

Die Betreiber verlangen nichts im Voraus, nehmen aber einen beträchtlichen Anteil von jedem Lösegeld, das der Partner erhält, oft 30 bis 40 %.

RaaS-Kits werden in Dark-Web-Foren im gesamten Untergrund-Ökosystem‌ beworben, und einige Ransomware-Betreiber rekrutieren aktiv neue Partner und investieren Millionen von US-Dollar in Rekrutierungskampagnen im Dark Web.

Nach dem Kauf eines RaaS-Kits erhalten die Partner mehr als nur Malware und Entschlüsselungsschlüssel. Oft erhalten sie ein Service- und Supportniveau, das dem von legalen SaaS-Anbietern entspricht. Einige der fortschrittlichsten RaaS-Betreiber bieten Annehmlichkeiten wie:

• Kontinuierlicher technischer Support.
• Zugang zu privaten Foren, in denen Hacker Tipps und Informationen austauschen können.
• Zahlungsabwicklungsportale, da die meisten Lösegeldzahlungen in nicht nachverfolgbaren Kryptowährungen wie Bitcoin gefordert werden.
• Tools und Unterstützung für das Verfassen individueller Lösegeldforderungen oder das Aushandeln von Lösegeldforderungen.

Alle Ransomware-Angriffe können schwerwiegende Folgen haben. Laut dem IBM Data Breach Kostenreport kostet eine durchschnittliche Datenschutzverletzung ein Unternehmen 4,91 Millionen USD. Angriffe von RaaS-Partnern stellen jedoch zusätzliche Herausforderungen für Cybersicherheits-Experten dar. Dazu gehören:

• Unklare Zuordnung von Ransomware-Angriffen
• Spezialisierung von Cyberkriminellen
• Immer hartnäckigere Ransomware-Bedrohungen
• Neue Druckmittel

Im Kontext von RaaS sind die Personen, die Cyberangriffe ausführen, nicht unbedingt auch die Personen, die die verwendete Malware entwickelt haben. Darüber hinaus könnten verschiedene Hackergruppen dieselbe Ransomware verwenden. Cybersicherheitsexperten sind möglicherweise nicht in der Lage, Angriffe eindeutig einer oder mehreren bestimmten Gruppen zuzuordnen, was die Profilerstellung von RaaS-Betreibern und -Partnern und deren Ergreifung erschwert.

Ähnlich wie die legale Wirtschaft hat auch die Wirtschaft für Cyberkriminalität eine Arbeitsteilung eingeführt. Akteure, von denen eine Sicherheitsbedrohung ausgeht, können sich nun spezialisieren und ihr Handwerk immer weiter verfeinern. Entwickler können sich darauf konzentrieren, immer leistungsfähigere Malware zu entwickeln, und Partner können sich auf die Entwicklung effektiverer Angriffsmethoden fokussieren.

Es gibt auch eine dritte Klasse von Cyberkriminellen, sogenannte „Access Brokers“. Sie sind darauf spezialisiert, Netze zu infiltrieren und Zugriffspunkte an Angreifer zu verkaufen. Durch diese verschiedenen Spezialisierungen können Hacker schneller agieren und mehr Angriffe ausführen. Laut dem X-Force Threat Intelligence Index ist die durchschnittliche Zeit zur Ausführung einer Ransomware-Attacke von über 60 Tagen im Jahr 2019 auf 3,84 Tage gesunken.

RaaS ermöglicht ihren Betreibern und Partnern eine Risikoteilung, wodurch sie resilienter werden. Wenn Partner erwischt werden, schaltet das die Betreiber nicht automatisch aus, und Partner können zu einem anderen Ransomware-Kit wechseln, wenn ein Betreiber erwischt wird. Man weiß auch, dass Hacker ihre Aktivitäten neu organisieren und umbenennen, um den Strafverfolgungsbehörden zu entgehen.

Nachdem die Kontrollbehörde des US-Finanzministeriums (Office of Foreign Assets Control; OFAC) beispielsweise die Ransomware-Gang Evil Corp sanktioniert hatte, stellten die Opfer ihre Lösegeldzahlungen ein, um Strafen durch die OFAC zu vermeiden. Als Reaktion darauf änderte Evil Corp den Namen seiner Ransomware, um die Zahlungen am Laufen zu halten.

Die Cyberkriminellen, die RaaS-Angriffe nutzen, haben festgestellt, dass sie oft höhere und schnellere Lösegeldzahlungen verlangen können, wenn sie die Daten des Opfers nicht verschlüsseln. Der zusätzliche Schritt der Systemwiederherstellung kann Zahlungen verlangsamen. Darüber hinaus haben mehr Unternehmen ihre Backup- und Wiederherstellungsstrategien verbessert, sodass die Verschlüsselung für sie weniger schädlich ist.

Stattdessen greifen Cyberkriminelle Unternehmen mit großen Beständen an sensiblen personenbezogenen Daten (PII) an (z. B. Gesundheitsdienstleister) und drohen damit, diese sensiblen Informationen zu veröffentlichen. Die Opfer zahlen oft lieber ein Lösegeld, als die Schande – und mögliche rechtliche Konsequenzen – eines Datenlecks zu riskieren.

Es kann schwierig sein, festzustellen, welche gangs für welche Ransomware verantwortlich sind oder welche Betreiber einen Angriff gestartet haben. Allerdings haben Cybersicherheitsexperten im Laufe der letzten Jahre einige große RaaS-Betreiber identifiziert, darunter:

• Tox
• LockBit
• DarkSide
• REvil/Sodinokibi
• Ryuk
• Hive
• Black Basta
• CL0P
• Eldorado

Tox wurde 2015 erstmals identifiziert und wird von vielen als das erste RaaS angesehen.

Laut dem X-Force Threat Intelligence Index ist LockBit eine der am weitesten verbreiteten RaaS-Varianten. LockBit verbreitet sich häufig über Phishing -E-Mails. Die Gang hinter LockBit hat vor allem versucht, Partner zu rekrutieren, die für ihre Zielopfer arbeiten, um die Infiltration zu erleichtern.

Die Ransomware-Variante von DarkSide wurde bei dem Angriff auf die US-amerikanische Colonial Pipeline im Jahr 2021 eingesetzt, der als der bisher schwerwiegendste Cyberangriff auf kritische US-Infrastruktur gilt. DarkSide wurde 2021 zwar eingestellt, doch seine Entwickler veröffentlichten ein Nachfolge-RaaS-Kit namens BlackMatter.

REvil, auch bekannt als Sodin oder Sodinokibi, entwickelte die Ransomware, die hinter den Angriffen auf JBS USA und Kaseya Limited im Jahr 2021 stand. Auf ihrem Höhepunkt war REvil eine der am weitesten verbreiteten Ransomware-Varianten. Der russische Inlandsgeheimdienst FSB löste REvil auf und erhob Anfang 2022 Anklage gegen mehrere wichtige Mitglieder.

Vor seiner Ausschaltung im Jahr 2021 war Ryuk eines der größten RaaS-Modelle. Die Entwickler hinter Ryuk veröffentlichten anschließend Conti, eine weitere wichtige RaaS-Variante, die 2022 bei einem Angriff auf die Regierung von Costa Rica eingesetzt wurde.

Hive erlangte im Jahr 2022 nach einem Angriff auf Microsoft Exchange Server Bekanntheit. Hive-Partner waren eine erhebliche Bedrohung für Finanzunternehmen und Unternehmen im Gesundheitswesen, bis das FBI den Betreiber ausschaltete.

Black Basta tauchte 2022 als Bedrohung auf und forderte schnell mehr als 100 Opfer in Nordamerika, Europa und Asien. Mit gezielten Angriffen forderten die Hacker eine doppelte Erpressung: sowohl die Entschlüsselung der Daten des Opfers als auch die Drohung, sensible Informationen zu veröffentlichen.

Im Jahr 2023 nutzte die Ransomware-Gruppe CL0P eine Schwachstelle in der Dateiübertragungsanwendung MOVEit aus, um Informationen über Millionen von Personen offenzulegen.

Das Eldorado RaaS wurde Anfang 2024 in einer Anzeige in einem Ransomware-Forum angekündigt. Innerhalb von drei Monaten wurden bereits 16 Opfer in den USA und Europa angegriffen.¹

Obwohl RaaS die Landschaft für Cybersicherheitsbedrohungen verändert hat, können viele der Standardverfahren zum Schutz vor Ransomware auch bei der Bekämpfung von RaaS-Angriffen wirksam sein.

Viele RaaS-Partner sind technisch weniger versiert als frühere Ransomware-Angreifer. Die Platzierung ausreichend vieler Hindernisse zwischen Hackern und Netzassets könnte manche RaaS-Angriffe vollständig abwehren. Einige Cybersicherheitstaktiken, die hilfreich sein könnten:

• Umfassende Notfallpläne
• Tools zur Erkennung von Anomalien
• Verringerung der Netzwerk-Angriffsfläche
• Cybersicherheitsschulungen
• Implementierung von Zugriffskontrollen
• Verwaltung von Backups
• Zusammenarbeit mit den Strafverfolgungsbehörden

Die Ausarbeitung von Notfallplänen kann bei RaaS-Angriffen besonders hilfreich sein. Da die eindeutige Zuordnung von Angriffen schwierig sein kann, können sich Notfallteams nicht darauf verlassen, dass Ransomware-Angriffe immer dieselben Taktiken, Techniken und Verfahren (Tactics, Techniques and Procedures; TTPs) verwenden.

Und wenn Incident Responders RaaS-Partner aus den Netzen entfernen, sind Access Broker möglicherweise immer noch darin aktiv. Eine proaktive Bedrohungsjagd und gründliche Untersuchung von Vorfällen können den Sicherheitsteams dabei helfen, diese schwer zu fassenden Sicherheitsbedrohungen zu beseitigen.

Um laufende Ransomware-Angriffe zu erkennen, können Unternehmen Tools zur Erkennung von Anomalien verwenden, wie z. B. einige Lösungen zur Endpoint Detection and Response (EDR) und Network Detection and Response (NDR). Diese Tools nutzen intelligente Automatisierung, künstliche Intelligenz (KI) und maschinelles Lernen (ML), um neue und fortschrittliche Bedrohungen nahezu in Echtzeit zu erkennen und einen besseren Endgeräteschutz zu bieten.

Ein Ransomware-Angriff kann in einem sehr frühen Stadium durch ein ungewöhnliches Löschen von Backups oder einen plötzlich und ohne Vorwarnung einsetzenden Verschlüsselungsprozess entdeckt werden. Schon vor einem Angriff können ungewöhnliche Ereignisse die „Frühwarnzeichen“ für einen bevorstehenden Hack sein, den das Sicherheitsteam verhindern kann.

Unternehmen können zur Reduzierung ihrer Angriffsfläche im Netzwerk beitragen, indem sie häufige Schwachstellenbewertungen durchführen und regelmäßig Patches anwenden, um häufig ausgenutzte Schwachstellen zu schließen.

Sicherheitstools wie Antivirensoftware, Security Orchestration, Automation and Response (SOAR),  Security Information and Event Management (SIEM) und Extended Detection and Response (XDR) können Sicherheitsteams ebenfalls dabei helfen, Ransomware schneller abzufangen.

Zeigen Sie Ihren Mitarbeitern, wie sie typische Ransomware-Vektoren wie Phishing, Social Engineering und bösartige Links erkennen und vermeiden können.

Multi-Faktor-Authentifizierung, Zero-Trust-Architektur und Netzwerksegmentierung können dazu beitragen, dass Ransomware keine sensiblen Daten erreicht.

Unternehmen können regelmäßig Backups von sensiblen Daten und Systemimages erstellen, idealerweise auf Festplatten oder anderen Geräten, die vom Netzwerk getrennt werden können.

Unternehmen können manchmal mit Hilfe der Strafverfolgungsbehörden Kosten und Zeit für die Eindämmung sparen.

Laut dem IBM Data Breach Kostenreport konnten Opfer von Ransomware, die mit den Strafverfolgungsbehörden zusammenarbeiteten, die Kosten ihrer Datenschutzverletzungen um durchschnittlich fast 1 Million US-Dollar senken, wobei die Kosten für das gezahlte Lösegeld nicht berücksichtigt sind. Durch den Einbezug von Strafverfolgungsbehörden konnte außerdem die für die Erkennung und Eindämmung von Data Breaches erforderliche Zeit von 297 Tagen auf 281 Tage verkürzt werden.