Ransomware as a Service (RaaS)
Ransomware as a Service (RaaS) ist ein Angebot von Schadsoftware, die gegen Bezahlung genutzt werden kann. Offerten wie Ransomware as a Service (RaaS) haben dafür gesorgt, dass Cyberkriminelle nicht unbedingt selbst über die technischen Fähigkeiten verfügen müssen, um entsprechende Schadsoftware zu erstellen. Sie buchen die Erpressersoftware einfach als Dienst, um Unternehmen oder Privatpersonen anzugreifen.
Für die Entwickler von Schadsoftware selbst, sorgt dieses Vertriebsmodell seinerseits dafür, die Einnahmen aus seiner Malware mit geringem persönlichem Risiko zu skalieren. Und zwar mit deutlich geringerem Risiko, als wenn sie sie selbst einsetzen. Mit dieser Vertriebsstufe entfernt sich der kriminelle Entwickler weiter vom potenziellen Opfer, dass um Lösegeld angegangen werden soll. Die eigentliche Erpressung wird von einem anderen Akteur vollzogen.
Wie funktioniert Ransomware as a Service?
Bei RaaS geht es um die Bereitstellung von Ransomware in einem SaaS-Modell (Software as a Service). An der Spitze der Organisationshierarchie steht der RaaS-Betreiber. Dies ist die Gruppe, die die eigentlich Schadsoftware entwickelt, die die Daten der Opfer verschlüsselt.
Der RaaS-Betreiber betreibt auch die gesamte Backend-Infrastruktur für die Durchführung der Ransomware-Kampagne. Dazu gehören der eigentliche Ransomware-Code, ein Portal, über das sich potenzielle Kunden anmelden und den Dienst nutzen können, sowie der Kundendienst zur Unterstützung der Kampagnen. Full-Service-RaaS-Betreiber wickeln darüber hinaus auch die Ransomware-Zahlungen ab. Dies erfolgt in der Regel über eine Kryptowährung wie Bitcoin. Und diese Betreiber stellen den Opfern, die das Lösegeld zahlen, auch die Schlüssel zur Entschlüsselung zur Verfügung stellen. Darüber hinaus werben die RaaS-Betreiber aktiv für ihre Dienste in den einschlägigen Untergrundforen, beispielsweise im Darknet.
Im Bereich Ransomware as a Service existieren unterschiedliche Umsatz- und Geschäftsmodelle. Als SaaS-Modell wird RaaS potenziellen Nutzern auf einer monatlichen Abonnementbasis oder über eine einmalige Gebühr angeboten. Eine weitere gängige Methode, mit der RaaS-Betreiber arbeiten, ist das Partnerschaftsmodell. Beim Affiliate-RaaS-Modell erhält der Betreiber einen vorher festgelegten Prozentsatz jeder Lösegeldauszahlung durch Opfer, die ein Lösegeld zahlen.
Ransomware vs. Ransomware as a Service
Ransomware ist der eigentliche Schad-Payload, der zur Verschlüsselung der Daten auf dem System des Opfers verwendet wird. Sobald ein System mit Ransomware infiziert ist, wird das Opfer aufgefordert, ein Lösegeld zu zahlen. Wenn das Opfer das Lösegeld zahlt, stellt der Angreifer üblicherweise einen Entschlüsselungsschlüssel zur Verfügung, mit dem die verschlüsselten Daten wiederhergestellt werden können. Von RaaS-Betreiber wird Ransomware als Dienstleistung angeboten.
RaaS vergrößert die potenzielle Reichweite von Ransomware. Anstatt, dass eine einzelne Gruppe Ransomware-Code verwendet, um Opfer anzugreifen, können viele Gruppen von Angreifern RaaS verwenden, um Opfer mit einer Ransomware-Infektion zu bedrohen.
Wie man sich vor Ransomware-as-Service-Angriffen schützt
Es gibt mehrere bewährte Methoden, um die Risiken von Ransomware zu mindern:
Sicherstellung von Backup und Wiederherstellung. Der erste und mit wichtigste Schritt besteht darin, einen Plan für die Datensicherung und -wiederherstellung zu erstellen. Ransomware verschlüsselt die Daten und macht sie für Benutzer unzugänglich. Wenn ein Unternehmen über aktuelle Backups verfügt, die bei einer Wiederherstellung verwendet werden können, lassen sich die Auswirkungen der Verschlüsselung von Daten durch einen Angreifer verringern.
Software aktualisieren. Ransomware nutzt häufig bekannte Schwachstellen in Anwendungen und Betriebssystemen aus. Die Aktualisierung von Software bei Erscheinen von Patches und Updates ist notwendig, um die Angriffsfläche für einen Ransomware-Angriff zu verringern.
Multifaktor-Authentifizierung. Einige Angreifer setzen auf Credential Stuffing, um eine Kontenübernahme durch andernorts erbeutete Zugangsdaten durchzuführen. Die Multifaktor-Authentifizierung verhindert dies, wenn Anwender Passwörter mehrfach verwenden.
Phishing-Schutz. Ein sehr häufiger Angriffsvektor für Ransomware sind Phishing-E-Mails. Sowohl technische Möglichkeiten des Phishing-Schutzes als auch die Schulung der Belegschaft kann dieses Risiko vermindern.
DNS-Filterung. Ransomware kommuniziert häufig mit der Plattform eines RaaS-Betreibers über eine Art C&C-Server (Command and Control). Die Kommunikation zwischen einem infizierten System und dem C&C-Server beinhaltet fast immer eine DNS-Abfrage. Mit einer Security-Lösung zur DNS-Filterung können Unternehmen erkennen, ob Ransomware versucht, mit dem RaaS-C&C-Server zu kommunizieren und diese Kommunikation blockieren.
XDR-Endpunktsicherheit. Eine weitere wichtige Ebene für den Schutz vor Ransomware ist die Endpunktsicherheit und Technologie zur Erkennung von Bedrohungen – wie XDR (Extended Detection and Response). Diese bieten erweiterte Erkennungs- und Reaktionsmöglichkeiten, die die Risiken von Ransomware begrenzen.