Ransomware-as-a-Service (RaaS) ist ein Geschäftsmodell für Cyberkriminalität, bei dem eine Ransomware-Gruppe oder -Gang ihren Ransomware-Code an andere Hacker verkauft, die ihn dann für ihre eigenen Ransomware-Angriffe verwenden.
Laut dem X-Force Threat Intelligence Index von IBM war Ransomware im Jahr 2022 die zweithäufigste Art von Cyberangriffen. Viele Experten glauben, dass der Aufstieg von RaaS dazu beigetragen hat, dass Ransomware weiterhin so verbreitet ist. Einem Bericht von Zscaler aus dem Jahr 2022 (Link befindet sich außerhalb von ibm.com) zufolge waren 8 der 11 aktivsten Ransomware-Varianten RaaS.
Es ist leicht nachzuvollziehen, warum das RaaS-Modell bei Cyberkriminellen so beliebt ist. RaaS senkt die Hürde für den Einstieg in die Cyberkriminalität, denn sie gibt auch Sicherheitsbedrohungsakteuren mit begrenzten technischen Kenntnissen die Möglichkeit, Cyberangriffe durchzuführen. Darüber hinaus ist RaaS für beide Seiten von Vorteil: Hacker können von Erpressungen profitieren, ohne eigene Malware zu entwickeln, und Ransomware-Entwickler können ihre Gewinne steigern, ohne Netzwerke manuell anzugreifen.
RaaS funktioniert genauso wie legitime Software-as-a-Service- bzw. SaaS-Geschäftsmodelle. Ransomware-Entwickler, auch RaaS-Betreiber genannt, übernehmen die Arbeit der Entwicklung und Wartung von Ransomware-Tools und -Infrastrukturen. Sie verkaufen ihre Tools und Services in Form von RaaS-Kits an andere Hacker, sogenannte RaaS-Partner.
Die meisten RaaS-Betreiber verwenden eines der folgenden Umsatzmodelle, um ihre Kits zu verkaufen:
RaaS-Kits werden in Dark-Web-Foren beworben, und manche Ransomware-Betreiber rekrutieren auch aktiv neue Partner. Die REvil-Gruppe beispielsweise gab im Rahmen einer groß angelegten Rekrutierungsaktion im Oktober 2020 1 Million US-Dollar aus (Link liegt außerhalb von ibm.com).
Nach dem Kauf eines Kits erhalten die Partner mehr als nur Malware und Entschlüsselungsschlüssel – oft erhalten sie ein Service- und Supportniveau, das dem von legalen SaaS-Anbietern entspricht. Einige der fortschrittlichsten RaaS-Betreiber bieten Annehmlichkeiten wie laufenden technischen Support, Zugang zu privaten Foren, in denen Hacker Tipps und Informationen austauschen können, Portale für die Zahlungsabwicklung (da die meisten Lösegeldzahlungen in nicht zurückverfolgbaren Kryptowährungen wie Bitcoin gefordert werden) und sogar Tools und Support für das Verfassen individueller Lösegeldforderungen oder die Aushandlung von Lösegeldforderungen.
Während das Gewinnpotenzial ein wesentlicher Faktor für die Verbreitung von RaaS ist, bieten Partnerprogramme Hackern und Ransomware-Entwicklern auch zusätzliche Vorteile – und stellen Cybersicherheitsexperten vor zusätzliche Herausforderungen.
Schwierige Zuordnung von Ransomware-Vorfällen. Im Kontext von RaaS sind die Personen, die Cyberangriffe ausführen, nicht unbedingt auch die Personen, die die verwendete Malware entwickelt haben. Darüber hinaus können verschiedene Hackergruppen dieselbe Ransomware verwenden. Cybersicherheitsexperten sind deshalb nicht immer in der Lage, Angriffe eindeutig bestimmten Gruppen zuzuordnen, was die Profilerstellung von RaaS-Betreibern und -Partnern und deren Ergreifung erschwert.
Verschiedene Spezialisierungen von Cyberkriminellen. Ähnlich wie die legale Wirtschaft hat auch die Wirtschaft für Cyberkriminalität eine Arbeitsteilung eingeführt. Akteure, von denen eine Sicherheitsbedrohung ausgeht, können sich nun spezialisieren und ihr Handwerk immer weiter verfeinern. Entwickler können sich darauf konzentrieren, immer leistungsfähigere Malware zu entwickeln, und Partner können sich auf die Entwicklung effektiverer Angriffsmethoden fokussieren. Es gibt auch eine dritte Klasse von Cyberkriminellen, sogenannte „Access Brokers“. Sie sind darauf spezialisiert, Netze zu infiltrieren und Zugriffspunkte an Angreifer zu verkaufen. Durch diese verschiedenen Spezialisierungen können Hacker schneller agieren und mehr Angriffe durchführen. Laut dem X-Force Threat Intelligence Index ist die durchschnittliche Zeit zur Ausführung einer Ransomware-Attacke von 60+ Tagen im Jahr 2019 auf 3,85 Tage im Jahr 2022 gesunken.
Ransomware-Bedrohungen werden immer hartnäckiger. RaaS ermöglicht ihren Betreibern und Partnern eine Risikoteilung, wodurch sie resilienter werden. Wenn Partner erwischt werden, schaltet das die Betreiber nicht automatisch aus, und Partner können zu einem anderen Ransomware-Kit wechseln, wenn ein Betreiber erwischt wird. Man weiß auch, dass Hacker ihre Aktivitäten neu organisieren und umbenennen, um den Strafverfolgungsbehörden zu entgehen. Nachdem die Kontrollbehörde des US-Finanzministeriums (Office of Foreign Assets Control; OFAC) beispielsweise die Ransomware-Gang Evil Corp sanktioniert hatte, stellten die Opfer ihre Lösegeldzahlungen ein, um Strafen durch die OFAC zu vermeiden. Als Reaktion darauf änderte Evil Corp den Namen ihrer Ransomware mehrmals (Link befindet sich außerhalb von ibm.com), um die Zahlungen weiter zu erhalten.
Es kann schwierig sein, festzustellen, welche Gangs für welche Ransomware verantwortlich sind oder welche Betreiber zu einem bestimmten Zeitpunkt offiziell aktiv sind. Allerdings haben Cybersicherheitsexperten im Laufe der letzten Jahre einige große RaaS-Betreiber identifiziert, darunter:
Obwohl RaaS die Landschaft für Cybersicherheitsbedrohungen verändert hat, können viele der Standardverfahren zum Schutz vor Ransomware auch bei der Bekämpfung von RaaS-Angriffen wirksam sein. Viele RaaS-Partner sind technisch weniger versiert als die Ransomware-Angreifer von gestern. Die Platzierung ausreichend vieler Hindernisse zwischen Hackern und Netzassets könnte manche RaaS-Angriffe vollständig abwehren. Weitere mögliche Cybersicherheitstaktiken sind Folgende:
Fangen Sie komplexe Bedrohungen ab, die anderen einfach entgehen. QRadar SIEM nutzt Analysen und KI, um Bedrohungsdaten, Netzwerk- und Benutzerverhaltensanomalien zu überwachen und zu priorisieren, wo umgehende Maßnahmen erforderlich sind.
Mit dieser ausgeklügelten und zugleich benutzerfreundlichen EDR-Lösung (Endpoint Detection and Response) können Sie Endpunkte vor Cyberangriffen schützen, Unregelmäßigkeiten erkennen und nahezu in Echtzeit korrigieren.
Verhindern Sie, dass Ransomware die Geschäftskontinuität unterbricht, und erholen Sie sich schnell von Angriffen – mit einem Zero-Trust-Ansatz, der Ihnen hilft, Ransomware schneller zu erkennen und auf sie zu reagieren und die Folgen dieser Angriffe zu minimieren.
Profitieren Sie von verwertbaren Erkenntnissen, die Ihnen zeigen, welche Strategien Angreifer anwenden und wie Sie Ihr Unternehmen proaktiv schützen können.
Erfahren Sie, welche Schritte entscheidend sind, um Ihr Unternehmen zu schützen, bevor ein Ransomware-Angriff Ihre Abwehrmaßnahmen durchdringen kann, und wie Sie eine optimale Recovery erreichen, wenn Angreifer in den Perimeter eindringen.
Dieser Bericht, der bereits seit 17 Jahren erscheint, vermittelt die neuesten Erkenntnisse über die immer größer werdende Sicherheitsbedrohungslandschaft und bietet Empfehlungen, wie Zeit gespart und Verluste begrenzt werden können.
Arbeiten Sie mit erfahrenen IBM Sicherheitsarchitekten und Beratern zusammen, um Ihre Cybersicherheitsmaßnahmen in einer kostenlosen, virtuellen oder persönlichen, dreistündigen Design-Thinking-Session zu priorisieren.
Los Angeles schließt sich mit IBM Security zusammen, um die erste Gruppe zum Austausch von Informationen über Cyberbedrohungen zum Schutz vor Cyberkriminalität zu gründen.
Das Sicherheitsinformations- und -ereignismanagement (SIEM) ermöglicht die Überwachung und Analyse von Ereignissen in Echtzeit sowie die Nachverfolgung und Protokollierung von Sicherheitsdaten zu Compliance- oder Protokollierungszwecken.