kaptn - stock.adobe.com

Automatisierte Unsicherheit: Ransomware as a Service

In der Welt der IT-Sicherheit ist Ransomware as a Service zu einem zunehmenden Problem für Unternehmen geworden. Abwehrmaßnahmen und Cyberhygiene müssen ständig auf den Prüfstand.

Ransomware as a Service (RaaS) ist eine Art von Cyberangriff, bei dem sich Angreifer Zugang zum System eines Opfers verschaffen und dann dessen Dateien verschlüsseln und unbrauchbar machen. Er verlangt dann ein Lösegeld vom Opfer, um die Dateien zu entschlüsseln und sie wieder nutzbar zu machen.

Diese Art von Angriffen tritt in den letzten Jahren immer häufiger auf, da Ransomware immer ausgefeilter und gleichzeitig zugänglicher geworden ist. In der Vergangenheit konnten nur hochqualifizierte und erfahrene Bedrohungsakteure einen Ransomware-Angriff erfolgreich durchführen. Mit RaaS und dem gesamten Ökosystem dahinter, können nun auch unerfahrene Kriminelle diese Art von Angriffen problemlos durchführen.

Die Funktionsweise von RaaS besteht darin, dass jeder, unabhängig von seinem Kenntnisstand, die für einen erfolgreichen Ransomware-Angriff erforderlichen Tools und Infrastrukturen mieten oder kaufen kann. Diese Dienste werden in der Regel im Dark Web in einschlägig bekannten Foren angeboten und können mit Kryptowährungen bezahlt werden, was eine Rückverfolgung der Transaktionen erschwert. Sobald ein Bedrohungsakteur Zugang zu diesen Tools hat, kann er sein Ziel auswählen und den Angriff durchführen.

Nach der Durchführung der Infiltrierung wird er vom Opfer ein Lösegeld verlangen, um die Dateien zu entschlüsseln. Die Höhe des Lösegelds richtet sich nach der Art der verschlüsselten Daten und der voraussichtlichen Zahlungsfähigkeit des Opfers.

Das Modell Ransomware as a Service

RaaS ist letztlich ein Vertrag zwischen einem Betreiber und einem Subunternehmen. Der Betreiber der Malware-Infrastruktur erstellt und pflegt die Tools, welche die Ransomware-Aktivitäten ermöglichen, wie die verschiedenen ausführbaren Ransomware-Programme sowie Zahlungsseiten für die Verbindung mit den Opfern.

Das RaaS-Programm kann zusätzlich eine Leak-Site für die Weitergabe von Daten, die von den Opfern exfiltriert wurden, enthalten, so dass die Angreifer die Authentizität der Exfiltration nachweisen können, um Zahlungen zu erpressen. Viele RaaS-Programme umfassen auch Erpressungsunterstützungsdienste, wie das Hosten von Leak-Sites und deren Integration in Lösegeldnotizen, sowie Entschlüsselungsverhandlungen, Zahlungsdruck und Bitcoin-Transaktionsdienste.

Der Malware-Service vermittelt den Eindruck, dass es sich bei dem Payload der Kampagne um eine einzige Ransomware-Familie oder eine Gruppe von Angreifern handelt. Der RaaS-Betreiber verkauft jedoch den Zugriff auf den Ransomware-Payload und das Ver- und Entschlüsselungsprogramm an einen Partner, der das initiale Eindringen und die Ausweitung der Rechte vornimmt, um danach für die eigentliche Bereitstellung des Payloads verantwortlich ist. Der Gewinn wird anschließend zwischen den Parteien aufgeteilt.

Darüber hinaus können RaaS-Entwickler und -Hoster von dem Payload profitieren, indem sie diesen verkaufen und andere Akteure Kampagnen mit zusätzlichen Ransomware-Payloads durchführen, was die Rückverfolgung der Kriminellen hinter diesen Operationen stark erschwert.

Drei Beispiele verdeutlichen die Gefahr

Ein Beispiel ist der „Ryuk“-Ransomware-Vorfall, der sich auf die IT-Systeme der Tageszeitung New York Times im August 2019 auswirkte. Dem damaligen Bericht zufolge nutzten die Angreifer RaaS, um sich Zugang zum Netzwerk zu verschaffen, verschlüsselten dann Dateien und forderten ein Lösegeld von mehreren Millionen US-Dollar für die Bereitstellung der Entschlüsselungssoftware. Die IT-Abteilung der Zeitung zahlte Berichten zufolge das Lösegeld damals nicht und nutzte stattdessen Backups, um ihre Daten wiederherzustellen.

Ein ähnliches Beispiel wird der Maze-Gruppe zugeschrieben, die sich in das Netzwerk des US-amerikanischen Softwareunternehmens Cognizant hackten. Die Angreifer nutzten RaaS, um die Dateien des Unternehmens zu verschlüsseln, und verlangten ein Lösegeld in Höhe von 50 Millionen US-Dollar, um sie zu entschlüsseln. Berichten zufolge zahlte das Unternehmen das Lösegeld, um seine Daten wiederherzustellen.

Der größte US-amerikanische Betreiber von Kraftstoffpipelines Colonial Pipeline wurde von der DarkSide-Gruppe ins Visier genommen. Die Angreifer nutzten eine RaaS, um die Dateien des Unternehmens zu verschlüsseln. Sie verlangten ein Lösegeld von 75 Bitcoins (umgerechnet ungefähr fünf Mio. US-Dollar), um sie zu entschlüsseln. Das Unternehmen beschloss, das Lösegeld zu zahlen, aber der Angriff führte zu einem mehrtägigen Ausfall der Pipeline. Treibstoffengpässe, Preiserhöhungen und Verunsicherung unter Verbrauchern und Verbraucherinnen an der Ostküste der USA waren die Folge.

Irakli Edjibia, LogPoint

„Um sich vor RaaS zu schützen, ist es wichtig, gute Cybersicherheitshygiene zu praktizieren und regelmäßig die eigenen Cyberabwehrprozesse zu prüfen und stetig an die wachsenden Bedrohungen an zu passen.“

Irakli Edjibia, LogPoint

Wichtig ist festzustellen, dass die Zahlung des Lösegelds nicht immer dazu führt, dass die verschlüsselten Dateien auch tatsächlich entschlüsselt werden. In einigen Fällen haben die Opfer zwar gezahlt, aber trotzdem keinen Zugriff auf ihre Daten erhalten oder aber die Daten konnten nicht lückenlos wiederhergestellt werden. Deshalb ist es sowohl für Unternehmen so wichtig, in angemessene Cybersicherheitsmaßnahmen zu investieren, um sich gegen diese Art von Angriffen zu schützen.

Auswirkungen auf kritische Infrastrukturen

Sicherheitsvorfälle mit RaaS können erhebliche Auswirkungen auf kritische Infrastrukturen wie Energieunternehmen, Wasseraufbereitungsanlagen und Verkehrs- sowie Transportnetze haben. Die Verschlüsselung wichtiger Daten und IT-Systeme kann den normalen Betrieb dieser Infrastrukturen stören, was zu Dienstunterbrechungen, Stromausfällen und anderen kritischen Problemen führt.

Die Aktualisierung der bisherigen NIS-Richtlinie berücksichtigt diese neuen Herausforderungen. NIS2 zielt auf einen besseren Schutz der EU-Unternehmen vor Cyberbedrohungen ab und soll die EU-Gesetze und -Vorschriften zur Cybersicherheit harmonisieren sowie einen einheitlichen Ansatz zum Schutz der EU-Unternehmen bieten.

Generell trägt die Richtlinie zum Schutz kritischer Infrastrukturen bei, indem sie Maßnahmen für die Mitgliedstaaten und die öffentlichen Arbeitsverwaltungen zur Bewältigung von Cybersicherheitsrisiken, zur Erkennung, Verhinderung und Reaktion auf Cybervorfälle sowie zur Meldung dieser an die zuständigen Behörden festlegt.

Fazit

Trotz der letzten Entwicklungen auf der Gesetzgebungsebene bleibt RaaS ein wachsendes Problem in der Welt der Cybersicherheit. Es ermöglicht Cyberkriminellen auf einfache Weise Geld zu verdienen, indem sie ihre Malware jedem, der bereit ist, dafür zu bezahlen, als Dienstleistung anbieten.

Um sich vor RaaS zu schützen, ist es wichtig, gute Cybersicherheitshygiene zu praktizieren und regelmäßig die eigenen Cyberabwehrprozesse zu prüfen und stetig an die wachsenden Bedrohungen an zu passen. Es ist auch wichtig zu beachten, dass die Zahlung des Lösegelds nicht immer die Entschlüsselung der Dateien garantiert. Stattdessen ist es am wichtig, im Vorfeld in angemessene Cybersicherheitsmaßnahmen zu investieren, um solche Angriffe ab zu wehren, bevor die Angreifer die Dateien verschlüsseln.

Über den Autor:
Irakli Edjibia ist Sales Engineer Central EMEA bei LogPoint.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Bedrohungen