Schutz vor Cybercrime-Dienstleistung Was ist Ransomware as a Service? IT-Security-Experte erklärt

Wie funktioniert Ransomware as a Service? Um sich vor der kriminellen Dienstleistung schützen zu können, gilt es, sie zu verstehen. Ein IT-Security-Experte erklärt.

Aktualisiert – 13. Mai 2024: In der IT werden immer mehr Leistungen „as a Service“ erbracht. Diese Tendenz lässt sich leider auch auf der „dunklen Seite“ der IT beobachten. Cyberkriminelle bieten Angriffe mit Ransomware als Dienstleistung an. IT-Security-Experte Elmar Török vom Business-IT-Dienstleister All for One Group erklärt im Mittelstand-Heute-Interview, wie Ransomware as a Service funktioniert und wie sich Unternehmen davor schützen können.

Was ist Ransomware as a Service?

Mittelstand Heute: Was ist der Unterschied zwischen „normaler“ Ransomware und Ransomware as a Service (RaaS)?

Elmar Török: Ransomware as a Service ist im Unterschied zu normaler Ransomware eine Dienstleistung und kein „Produkt". Bei herkömmlicher Ransomware schleust ein Angreifer eine Verschlüsselungssoftware in ein Netzwerk ein. Diese Software aktiviert sich nach gewisser Zeit und verschlüsselt Daten. Der Angreifer benötigt IT-Kompetenzen, um die Systeme seines Opfers zu infiltrieren. Bei RaaS wird ein „Dienstleister“ beauftragt, der den Angriff durchführt. Bei diesem Dienstleister liegt die IT-Kompetenz und er verrichtet die Arbeit. Der Angreifer verwertet nur noch die erbeuteten Daten.

Mittelstand Heute: Warum ist Ransomware as a Service so gefährlich?

Török: Dieser Service ermöglicht es auch Personen und Organisationen ohne umfangreiches IT-Know-how Cyberangriffe durchzuführen. Die eigentliche Ransomware-Software konnte zwar bisher auch im Darknet erworben werden. Um damit Schaden anzurichten, war aber ein gewisses Fachwissen bezüglich ihrer Nutzung notwendig. Mit RaaS ist es zweitrangig, ob jemand Kompetenzen in den Bereichen IT oder IT-Security vorweisen kann. Deshalb wächst die Zahl der potenziellen Cyberkriminellen durch Ransomware as a Service signifikant an.

Von Revil bis Lockbit

Bekannte Ransomware-as-a-Service-Gruppen:

Revil: Mit einem geschätzten Jahresumsatz von bis zu 100 Millionen Dollar war die Gruppierung einer der profitabelsten RaaS-Anbieter weltweit. Bekanntheit erlangte Revil, als ihnen im März 2021 ein Angriff auf den Chiphersteller Asus zugeordnet wurde. Dabei verlangten die Erpresser laut Medienberichten 50 Millionen Dollar Lösegeld. Laut einer russischen Nachrichtenagentur wurde Revil im Januar 2022 durch den russischen Inlandsgeheimdienst FSB zerschlagen. Im November 2022 ordnete die australische Polizei Revil einen Cyberangriff auf den Krankenversicherer Mediabank zu. Möglicherweise haben ehemalige Mitglieder der Gruppe das RaaS-Geschäft erneut aufgenommen.
Darkside: Der wohl prominenteste Angriff der Gruppe richtete sich gegen den US-amerikanischen Pipelinebetreiber Colonial Pipeline. Diese Attacke hatte zur Folge, dass Colonial Pipeline im Mai 2021 an der US-Ostküste keine Ölprodukte ausliefern konnte. Die Darkside Hacker hatten sich über einen VPN-Zugang Zugriff zum Firmennetz verschafft. Der Zugang war nicht mit Multifaktor-Authentifizierung gesichert und deswegen ein eher leichtes Ziel. Die Cyberkriminellen hinter Darkside sind bemüht, nach außen als gemäßigte Cyberkriminelle zu erscheinen. Offiziell weigern sie sich, Angriffe auf Krankenhäuser, gemeinnützige Organisationen oder kritische Infrastrukturen durchzuführen. Der Hack auf Colonial Pipeline zeigt jedoch, dass die Gruppe sich nicht an dieses Versprechen hält.
Dharma: Dharma bezeichnet ein Toolkit, mit dem auch weniger erfahrene Hacker arbeiten können. Vermutlich sind deshalb die Lösegeldforderungen bei Angriffen mit dieser Ransomware vergleichsweise niedrig. Hinter anderen Ransomware-Anbietern stehen meist hochprofessionelle Threat Actors. Sie lassen sich dementsprechend für ihre Dienste bezahlen. Mit dem Dharma Toolkit haben mehr Cyberkriminelle die Möglichkeit, Ransomware as a Service als Geschäftsmodell umzusetzen.
Lockbit: Die Gruppierung Lockbit arbeitet vor allem mit Produktionsstörungen. Das heißt, sie verschlüsselt Daten oder sperrt Systeme, die mit Produktionsanlagen zusammenhängen. Das erhöht den Druck auf betroffene Unternehmen immens. Denn der Schaden, den Produktionsstörungen nach sich ziehen, kann die Lösegeldforderungen schnell übersteigen. Eine weitere Besonderheit bei Lockbit ist der Automatisierungsgrad der Schadsoftware. Hat ein Cyberkrimineller ein System infiltriert und die Ransomware platziert, beginnt diese direkt damit, sich auszubreiten. Andere Malware-Arten verbleiben meist inaktiv im Netzwerk, bis sie manuell aktiviert werden. Lockbit-Schadsoftware ist trotzdem schwierig zu entdecken. Denn die Software nutzt ähnliche Prozesse wie Windows-Anwendungen. Antivirus-Programme erkennen die Ransomware nicht unbedingt als schadhaftes Programm.

Ransomware as a Service: Wie funktioniert die kriminelle Dienstleistung?

Mittelstand Heute: Wie verdienen die Hacker mit Ransomware as a Service ihr Geld?

Török: Es sind mehrere Geschäftsmodelle üblich, ganz ähnlich wie bei einem legalen Software as a Service-Angebot. Der Dienst ist zum Beispiel für eine monatliche Abo-Gebühr erhältlich oder wird pro Angriff bezahlt. Angreifer, denen es an technischem Fachwissen und Kompetenzen fehlt, können mit einem Full-Service-Paket den Angriff komplett auslagern. Ein solcher Initiator bestimmt nur das Ziel, und die Ransomware-Gruppe kümmert sich um die Infiltration des Netzwerks, platziert die eigentliche Ransomware und wickelt die Kommunikation mit den Opfern ab. In einem Portal der Ransomware-Gruppe lässt sich dann verfolgen, wie der Angriff läuft, wie viele Opfer bereits infiziert und welche Summen gezahlt wurden. Der Auftraggeber bekommt die Erlöse über Bitcoin ausgezahlt. Es gibt auch Affiliate-Modelle, bei denen die Cyberkriminellen prozentual am Erlös des gezahlten Lösegelds beteiligt werden.

Mittelstand Heute: Auch wenn sie professionell auftreten, diese Hacker sind Kriminelle. Wenn man einen Service bucht, könnten sie das Geld nehmen und nichts machen, oder?

Török: Ja, das ist im Rahmen des Möglichen. Aber das würde dem Geschäftsmodell widersprechen. RaaS-Gruppen haben Interesse daran, dass ihre kriminellen Kunden zufrieden sind und weitere Aufträge vergeben. Die Branche ist mittlerweile, nicht zuletzt aufgrund des enormen Profits, hoch professionalisiert. Die RaaS-Betreiber schalten im Darknet Werbekampagnen und legen großen Wert auf positive Bewertungen in den entsprechenden Foren. Es gibt Videos mit Anleitungen, White Paper und technischen Support. Wie gesagt, Ransomware as a Service funktioniert als Geschäftsmodell sehr ähnlich wie legale As-a-Service-Leistungen.

Zum Thema

Ein Mann wurde Opfer eines Ransomware-Angriffs

Prävention, Reaktion und Recovery... Schutz vor Ransomware: So schützen Sie Ihr Unternehmen!

jetzt artikel lesen

So können sich Unternehmen vor Ransomware as a Service schützen

Mittelstand Heute: Wie können sich Unternehmen gegen RaaS verteidigen?

Török: RaaS-Gruppierungen dringen häufig über Schwachstellen in Netzwerke ein. Dagegen ist in erster Linie ein umfassendes Patch-Management wirksam. Häufig ist Unternehmen aber nicht bekannt, welche Systeme von außen erreichbar und verwundbar sind. Hier hilft Penetration Testing (Pentest): Pentests sind simulierte Angriffe durch einen, vom Unternehmen beauftragten, IT-Security-Spezialisten. Er nutzt ähnliche Tools und Angriffsszenarien wie die Angreifer, identifiziert Schwachstellen und informiert den Auftraggeber in einem umfassenden Report über die Ergebnisse.

Social-Engineering und Phishing-Mails sind weitere beliebte Angriffsvektoren für Ransomware. Dagegen können Unternehmen mit Anti-Malware-Software vorgehen und – ganz wichtig – die Mitarbeiter durch Awareness-Maßnahmen sensibilisieren. Mail-Authentifizierung über DMARC (Domain-based Message Authentication, Reporting and Conformance) und DKIM (DomainKeys Identified Mail) ist ebenfalls ein probates Mittel: Die beiden Verfahren authentifizieren den Mailserver des Senders eindeutig. Damit ist sofort klar, wenn eine Phishing-Mail mit ähnlichen oder gefälschten Absenderadressen in der Inbox landet. Je breiter diese Authentifizierung eingesetzt wird, desto unwahrscheinlicher ist es, dass ein Mitarbeiter versehentlich eine Phishing-Mail öffnet.

Auf der technischen Ebene können sich Unternehmen außerdem von IT-Dienstleistern unterstützen lassen. Zum Beispiel bei der Implementierung einer Zero-Trust-Infrastruktur. Mit Multifaktor-Authentifizierung, Privileged Access Management und Segmentierung wird es für Angreifer schwieriger, sich im Netzwerk auszubreiten, selbst wenn sie initialen Zugang erlangen. Wir als IT-Dienstleister helfen Unternehmen dabei, Schwachstellen aufzuspüren, die richtigen Security-Lösungen auszuwählen, diese zu implementieren und zu betreiben.

Zero Trust: Mit Multifaktor-Authentifizierung Zugänge schützen!

Quelle: All for One Group/YouTube

Mittelstand Heute: Worauf sollten Unternehmen bei der Umsetzung der IT-Security-Infrastruktur achten?

Török: Jedes Tool in der Security-Infrastruktur, das in die Arbeitsabläufe der Mitarbeitenden eingreift, muss benutzerfreundlich sein. Je anspruchsvoller es für die Angestellten ist, Security-Maßnahmen umzusetzen oder Vorgaben zu befolgen, desto wahrscheinlicher werden sie versuchen, sie zu umgehen. Dann ist die beste Security-Strategie wirkungslos.

Betriebe müssen auch nicht sofort alles umsetzen, was möglich und sinnvoll ist. Wichtig ist, IT-Sicherheit als essenziellen Bestandteil der Unternehmensstrategie zu akzeptieren und die größten Pain Points zu adressieren. Dazu werden die wahrscheinlichsten Angriffsvektoren über eine Risikoanalyse identifiziert und priorisiert. Danach lässt sich die Security-Infrastruktur weiter optimieren. Entscheidend ist immer, den Return on Investment für die Angreifer so unattraktiv wie möglich zu gestalten. Je mehr Aufwand die Cyberkriminellen haben, bis sie Profite generieren, desto unattraktiver ist das Ziel.

Mittelstand Heute: Vielen Dank für das Interview!

Alles zur digitalen Transformation!

Informiert bleiben mit dem Mittelstand-Heute-Newsletter!

14-tägig und direkt in Ihr Postfach: Hier kostenlos anmelden und informiert bleiben!

Quelle Aufmacherbild: unsplash/FlyD