Ransomware-as-a-Service (RaaS) ist ein Geschäftsmodell für Cyberkriminalität, bei dem eine Ransomware-Gruppe oder -Gang ihren Ransomware-Code an andere Hacker verkauft, die ihn dann für ihre eigenen Ransomware-Angriffe verwenden.
Laut dem X-Force Threat Intelligence Index von IBM war Ransomware im Jahr 2022 die zweithäufigste Art von Cyberangriffen. Viele Experten glauben, dass der Aufstieg von RaaS dazu beigetragen hat, dass Ransomware weiterhin so verbreitet ist. Einem Bericht von Zscaler aus dem Jahr 2022 (Link befindet sich außerhalb von ibm.com) zufolge waren 8 der 11 aktivsten Ransomware-Varianten RaaS.
Es ist leicht nachzuvollziehen, warum das RaaS-Modell bei Cyberkriminellen so beliebt ist. RaaS senkt die Hürde für den Einstieg in die Cyberkriminalität, denn sie gibt auch Sicherheitsbedrohungsakteuren mit begrenzten technischen Kenntnissen die Möglichkeit, Cyberangriffe durchzuführen. Darüber hinaus ist RaaS für beide Seiten von Vorteil: Hacker können von Erpressungen profitieren, ohne eigene Malware zu entwickeln, und Ransomware-Entwickler können ihre Gewinne steigern, ohne Netzwerke manuell anzugreifen.
RaaS funktioniert genauso wie legitime Software-as-a-Service- bzw. SaaS-Geschäftsmodelle. Ransomware-Entwickler, auch RaaS-Betreiber genannt, übernehmen die Arbeit der Entwicklung und Wartung von Ransomware-Tools und -Infrastrukturen. Sie verkaufen ihre Tools und Services in Form von RaaS-Kits an andere Hacker, sogenannte RaaS-Partner.
Die meisten RaaS-Betreiber verwenden eines der folgenden Umsatzmodelle, um ihre Kits zu verkaufen:
- Monatliches Abonnement: RaaS-Partner zahlen eine wiederkehrende Gebühr – manchmal nur 40 US-Dollar pro Monat – für den Zugang zu Ransomware-Tools.
- Einmalige Gebühr: Partner zahlen eine einmalige Gebühr, um Ransomware-Code direkt zu kaufen.
- Affiliate-Modelle: Partner zahlen eine monatliche Gebühr und teilen einen geringen Prozentsatz aller Lösegeldzahlungen, die sie erhalten, mit den Betreibern.
- Gewinnbeteiligung: Die Betreiber verlangen keine Zahlungen im Voraus, kassieren aber einen erheblichen Anteil von jedem Lösegeld ein, das der Partner erhält (oft 30-40 %).
RaaS-Kits werden in Dark-Web-Foren beworben, und manche Ransomware-Betreiber rekrutieren auch aktiv neue Partner. Die REvil-Gruppe beispielsweise gab im Rahmen einer groß angelegten Rekrutierungsaktion im Oktober 2020 1 Million US-Dollar aus (Link liegt außerhalb von ibm.com).
Nach dem Kauf eines Kits erhalten die Partner mehr als nur Malware und Entschlüsselungsschlüssel – oft erhalten sie ein Service- und Supportniveau, das dem von legalen SaaS-Anbietern entspricht. Einige der fortschrittlichsten RaaS-Betreiber bieten Annehmlichkeiten wie laufenden technischen Support, Zugang zu privaten Foren, in denen Hacker Tipps und Informationen austauschen können, Portale für die Zahlungsabwicklung (da die meisten Lösegeldzahlungen in nicht zurückverfolgbaren Kryptowährungen wie Bitcoin gefordert werden) und sogar Tools und Support für das Verfassen individueller Lösegeldforderungen oder die Aushandlung von Lösegeldforderungen.
Während das Gewinnpotenzial ein wesentlicher Faktor für die Verbreitung von RaaS ist, bieten Partnerprogramme Hackern und Ransomware-Entwicklern auch zusätzliche Vorteile – und stellen Cybersicherheitsexperten vor zusätzliche Herausforderungen.
Schwierige Zuordnung von Ransomware-Vorfällen. Im Kontext von RaaS sind die Personen, die Cyberangriffe ausführen, nicht unbedingt auch die Personen, die die verwendete Malware entwickelt haben. Darüber hinaus können verschiedene Hackergruppen dieselbe Ransomware verwenden. Cybersicherheitsexperten sind deshalb nicht immer in der Lage, Angriffe eindeutig bestimmten Gruppen zuzuordnen, was die Profilerstellung von RaaS-Betreibern und -Partnern und deren Ergreifung erschwert.
Verschiedene Spezialisierungen von Cyberkriminellen. Ähnlich wie die legale Wirtschaft hat auch die Wirtschaft für Cyberkriminalität eine Arbeitsteilung eingeführt. Akteure, von denen eine Sicherheitsbedrohung ausgeht, können sich nun spezialisieren und ihr Handwerk immer weiter verfeinern. Entwickler können sich darauf konzentrieren, immer leistungsfähigere Malware zu entwickeln, und Partner können sich auf die Entwicklung effektiverer Angriffsmethoden fokussieren. Es gibt auch eine dritte Klasse von Cyberkriminellen, sogenannte „Access Brokers“. Sie sind darauf spezialisiert, Netze zu infiltrieren und Zugriffspunkte an Angreifer zu verkaufen. Durch diese verschiedenen Spezialisierungen können Hacker schneller agieren und mehr Angriffe durchführen. Laut dem X-Force Threat Intelligence Index ist die durchschnittliche Zeit zur Ausführung einer Ransomware-Attacke von 60+ Tagen im Jahr 2019 auf 3,85 Tage im Jahr 2022 gesunken.
Ransomware-Bedrohungen werden immer hartnäckiger. RaaS ermöglicht ihren Betreibern und Partnern eine Risikoteilung, wodurch sie resilienter werden. Wenn Partner erwischt werden, schaltet das die Betreiber nicht automatisch aus, und Partner können zu einem anderen Ransomware-Kit wechseln, wenn ein Betreiber erwischt wird. Man weiß auch, dass Hacker ihre Aktivitäten neu organisieren und umbenennen, um den Strafverfolgungsbehörden zu entgehen. Nachdem die Kontrollbehörde des US-Finanzministeriums (Office of Foreign Assets Control; OFAC) beispielsweise die Ransomware-Gang Evil Corp sanktioniert hatte, stellten die Opfer ihre Lösegeldzahlungen ein, um Strafen durch die OFAC zu vermeiden. Als Reaktion darauf änderte Evil Corp den Namen ihrer Ransomware mehrmals (Link befindet sich außerhalb von ibm.com), um die Zahlungen weiter zu erhalten.
Es kann schwierig sein, festzustellen, welche Gangs für welche Ransomware verantwortlich sind oder welche Betreiber zu einem bestimmten Zeitpunkt offiziell aktiv sind. Allerdings haben Cybersicherheitsexperten im Laufe der letzten Jahre einige große RaaS-Betreiber identifiziert, darunter:
- Tox: Tox wurde 2015 erstmals identifiziert und wird von vielen als das erste RaaS angesehen.
- LockBit: LockBit ist heute eine der am weitesten verbreiteten RaaS-Varianten und für 17 % der im Jahr 2022 beobachteten Ransomware-Vorfälle verantwortlich. Das sind mehr Prozent als bei jedem anderen Stamm. LockBit verbreitet sich häufig über Phishing-E-Mails. Die Gang hinter LockBit hat vor allem versucht, Partner zu rekrutieren, die für ihre Zielopfer arbeiten, um die Infiltration zu erleichtern.
- DarkSide: Die Ransomware-Variante von DarkSide wurde bei dem Angriff auf die U.S. Colonial Pipeline im Jahr 2021 eingesetzt, der als der bisher schwerwiegendste Cyberangriff auf kritische US-Infrastruktur gilt. DarkSide wurde 2021 zwar eingestellt, doch seine Entwickler veröffentlichten ein Nachfolge-RaaS-Kit namens BlackMatter.
- REvil/Sodinokibi: REvil, auch bekannt als Sodin oder Sodinokibi, entwickelte die Ransomware, die hinter den Angriffen auf JBS USA und Kaseya Limited im Jahr 2021 stand. 2021 war REvil eine der am weitesten verbreiteten Ransomware-Varianten und für 37 % aller Ransomware-Angriffe in diesem Jahr verantwortlich. Der Inlandsgeheimdienst der Russischen Föderation (Russian Federal Security Service) schaltete REvil aus und erhob Anfang 2022 Anklage gegen mehrere wichtige Mitglieder. Allerdings war die RaaS-Infrastruktur der Gang im April 2022 wieder im Umlauf (Link befindet sich außerhalb von ibm.com).
- Ryuk: Vor seiner Ausschaltung im Jahr 2021 war Ryuk eines der größten RaaS-Modelle. Allerdings veröffentlichten die Entwickler hinter Ryuk anschließend Conti, eine weitere wichtige RaaS-Variante, die 2022 bei einem Angriff auf die Regierung von Costa Rica verwendet wurde (Link befindet sich außerhalb von ibm.com).
- Hive: Hive erlangte im Jahr 2022 nach einem Angriff auf Microsoft Exchange Server Bekanntheit. Hive-Partner waren eine erhebliche Bedrohung für Finanzunternehmen und Gesundheitsorganisationen, bis das FBI den Betreiber im Jahr 2023 ausschaltete (Link befindet sich außerhalb von ibm.com).
Obwohl RaaS die Landschaft für Cybersicherheitsbedrohungen verändert hat, können viele der Standardverfahren zum Schutz vor Ransomware auch bei der Bekämpfung von RaaS-Angriffen wirksam sein. Viele RaaS-Partner sind technisch weniger versiert als die Ransomware-Angreifer von gestern. Die Platzierung ausreichend vieler Hindernisse zwischen Hackern und Netzassets könnte manche RaaS-Angriffe vollständig abwehren. Weitere mögliche Cybersicherheitstaktiken sind Folgende:
- Erstellung von Backups vertraulicher Daten und Systemimages, idealerweise auf Festplatten oder anderen Geräten, die vom Netz getrennt werden können.
- Verringerung der Netzangriffsfläche durch die regelmäßige Anwendung von Patches zur Schließung häufig ausgenutzter Schwachstellen. Sicherheitstools wie Antivirensoftware, Security Orchestration, Automation and Response (SOAR), Endpoint Detection and Response (EDR), Security Information and Event Management (SIEM) und Extended Detection and Response (XDR) können Sicherheitsteams ebenfalls dabei helfen, Ransomware schneller abzufangen.
- Schulungen zur Cybersicherheit können Mitarbeitern helfen, gängige Ransomware-Vektoren wie Phishing, Social Engineering und bösartige Links zu erkennen und zu vermeiden.
- Die Implementierung von Zugriffskontrollen wie Multi-Faktor-Authentifizierung, Zero-Trust-Architektur und Netzwerksegmentierung kann verhindern, dass Ransomware besonders vertrauliche Daten erreicht.
- Umfassende Incident-Response-Pläne können Sicherheitsteams bei der Bewältigung der meisten Cybersicherheitsbedrohungen unterstützen, doch bei RaaS-Angriffen können sie besonders hilfreich sein. Da die eindeutige Zuordnung von Angriffen schwierig sein kann, können sich Incident-Response-Teams nicht darauf verlassen, dass Ransomware-Angriffe immer dieselben Taktiken, Techniken und Verfahren (Tactics, Techniques and Procedures; TTPs) verwenden. Und wenn Incident-Response-Experten RaaS-Partner aus den Netzen entfernen, sind Access Broker möglicherweise immer noch darin aktiv. Eine proaktive Bedrohungsjagd und gründliche Untersuchung von Vorfällen können den Sicherheitsteams dabei helfen, diese schwer zu fassenden Sicherheitsbedrohungen zu beseitigen.
Fangen Sie komplexe Bedrohungen ab, die anderen einfach entgehen. QRadar SIEM nutzt Analysen und KI, um Bedrohungsdaten, Netzwerk- und Benutzerverhaltensanomalien zu überwachen und zu priorisieren, wo umgehende Maßnahmen erforderlich sind.
Mit dieser ausgeklügelten und zugleich benutzerfreundlichen EDR-Lösung (Endpoint Detection and Response) können Sie Endpunkte vor Cyberangriffen schützen, Unregelmäßigkeiten erkennen und nahezu in Echtzeit korrigieren.
Verhindern Sie, dass Ransomware die Geschäftskontinuität unterbricht, und erholen Sie sich schnell von Angriffen – mit einem Zero-Trust-Ansatz, der Ihnen hilft, Ransomware schneller zu erkennen und auf sie zu reagieren und die Folgen dieser Angriffe zu minimieren.
Profitieren Sie von verwertbaren Erkenntnissen, die Ihnen zeigen, welche Strategien Angreifer anwenden und wie Sie Ihr Unternehmen proaktiv schützen können.
Erfahren Sie, welche Schritte entscheidend sind, um Ihr Unternehmen zu schützen, bevor ein Ransomware-Angriff Ihre Abwehrmaßnahmen durchdringen kann, und wie Sie eine optimale Recovery erreichen, wenn Angreifer in den Perimeter eindringen.
Dieser Bericht, der bereits seit 17 Jahren erscheint, vermittelt die neuesten Erkenntnisse über die immer größer werdende Sicherheitsbedrohungslandschaft und bietet Empfehlungen, wie Zeit gespart und Verluste begrenzt werden können.
Arbeiten Sie mit erfahrenen IBM Sicherheitsarchitekten und Beratern zusammen, um Ihre Cybersicherheitsmaßnahmen in einer kostenlosen, virtuellen oder persönlichen, dreistündigen Design-Thinking-Session zu priorisieren.
Los Angeles schließt sich mit IBM Security zusammen, um die erste Gruppe zum Austausch von Informationen über Cyberbedrohungen zum Schutz vor Cyberkriminalität zu gründen.
Das Sicherheitsinformations- und -ereignismanagement (SIEM) ermöglicht die Überwachung und Analyse von Ereignissen in Echtzeit sowie die Nachverfolgung und Protokollierung von Sicherheitsdaten zu Compliance- oder Protokollierungszwecken.