Hacking als Geschäftsmodell – Erfolg von Ransomware as a Service steigt

IT-Sicherheit gewinnt in deutschen Unternehmen zunehmend an Bedeutung. Die IT-Infrastruktur der Unternehmen wird jeden Tag angegriffen und die Cyberangriffe verlaufen oft erfolgreich. Die Größe des Unternehmens spielt keine Rolle. Kleine Unternehmen sind ebenso wie mittlere und große Unternehmen von Cyberattacken betroffen. Das Hacking bedeutender Unternehmensdaten mit Ransomware ist eine unter Hackern beliebte Angriffsvariante. Bei der Erpressungssoftware handelt es sich um ein Schadprogramm, das sich IT-Zugriff verschafft und alle Daten, die mit der IT verbunden sind, verschlüsselt. Die Nutzer haben keine Möglichkeit mehr, an Ihre Daten heranzukommen. Um die Daten zu entschlüsseln, muss ein Lösegeld gezahlt werden. Der Begriff Ransomware stammt vom englischen Wort „Ransom“, das übersetzt Lösegeld bedeutet. Die Schadsoftware wurde in der Vergangenheit von Hackern gezielt entwickelt und eingesetzt. Heutzutage bieten Hackergruppen die Software als Dienstleistung mit einem ausgeklügelten Supportsystem an.

Was ist Ransomware?

Ransomware ist eine gefährliche Schadsoftware, die auch als Verschlüsselungssoftware und Erpressungssoftware bekannt ist. Wenn das Schadprogramm in das IT-System gelangt, dann verschlüsselt ein Filecoder die Dateien im System oder sperrt das infizierte Netzwerk. Berechtigte Nutzer bekommen nach der Verschlüsselung oder Systemsperrung eine Forderung zur Zahlung eines Lösegelds angezeigt. Die Hacker geben an, dass sie nach einer Zahlung den Code zur Entschlüsselung oder zur Systementsperrung bereitstellen. Eine eigenständige Entschlüsselung ist aufgrund ausgefeilter Verschlüsselungssoftware nicht möglich. In der Vergangenheit haben Hacker selbst für Programmierung und Infizierung von IT-Systemen gesorgt. Die Cyberkriminellen der heutigen Zeit müssen keine Programmierkenntnisse besitzen, sondern können spezielle Dienstleistungen, wie Ransomware-as-a-Service im Darknet buchen.

Was bedeutet Ransomware-as-a-Service?

Ransomware-as-a-Service, kurz RaaS, ist ein Angebot von Hackern. Erpressungssoftware wird als kostenpflichtige Serviceleistung gebucht. Die Schadsoftware wird genutzt, um Privatpersonen und Unternehmen gezielt zu attackieren. Der Cyberangriff erfolgt nicht durch die Programmierer der Schadsoftware. Die Erpressersoftware dient als Vertriebsmodell und soll kalkulierbare Einnahmen generieren. Die Programmierer der Schadsoftware setzen sich einem geringeren Risiko aus und haben mit potenziellen Opfern nicht viel zu tun. Die Erpressung obliegt anderen Cyberkriminellen. Die Angriffe durch RaaS haben seit diesen Dienstleistungsangeboten weiter zugenommen. Die Hacker lassen sich in Kryptowährungen bezahlen und erschweren die Verfolgung.

Wie einfach ist RaaS einsetzbar?

Hinter dem Ransomware-Angebot stehen Hackergruppen, die auf eine einfache Benutzung ihrer Schadprogramme setzen. Das Schadprogramm kann zwar kompliziert aufgebaut sein, aber die Verbreitung und Infektion von IT-Systemen ist relativ einfach. Bekannt und beliebt ist das sogenannte Phishing zur Verbreitung der Software. Es wird davon ausgegangen, dass 67 Prozent der Cyberattacken über Phishing E-Mails erfolgen. Die gefälschte E-Mail sieht den originalen E-Mails von Banken, Versicherungen, Gewinnspielunternehmen oder anderen Dienstleistern ähnlich. In der E-Mail wird versucht, den Empfänger zum Download einer Software zu bewegen. Phishing E-Mails können schnell erstellt werden und erfordern keine komplizierte Programmierung. Cyberkriminelle bieten RaaS im Darknet an. Es sind professionell agierende Phishing-Experten im Darknet zu finden, die selbst als Dienstleister auftreten und bei der Verbreitung von Schadsoftware helfen.

Es gibt vier gängige RaaS-Umsatzmodelle:

  • Monatliches Abonnement gegen eine Pauschalgebühr Partnerprogramme, die dem monatlichen Gebührenmodell entsprechen, bei denen jedoch ein Teil des Gewinns (in der Regel 20-30 %) an den RaaS-Betreiber geht
  • Einmalige Lizenzgebühr ohne Gewinnbeteiligung
  • Reine Gewinnbeteiligung

Wieso bieten Cyberkriminelle den Service an?

Cyberattacken werden nicht mehr selbst von Verschlüsselungssoftware-Entwicklern durchgeführt. Die Schadsoftware wird als Dienstleistung angeboten und das aus gutem Grund. Wenn Verschlüsselungssoftware eingesetzt wird, dann besteht das Risiko, dass der Angriff entdeckt und zurückverfolgt werden kann. Komplexe Angriffe finden nicht so anonym statt, wie viele Menschen denken mögen. Die Verschlüsselung von IT-Strukturen ist mit einer Lösegeldforderung verbunden. Das Lösegeld muss in der Regel in Kryptowährung bezahlt werden. Als Zahlungsmittel kommt beispielsweise Bitcoin infrage. Kryptowährungen sind zwar nicht reguliert, aber die digitalen Zahlungsmittel können nachverfolgt werden. Jede Transaktion wird aufgezeichnet und IT-Spezialisten haben die Möglichkeit, die Angreifer zu ermitteln. Der Entwickler der Schadsoftware bleibt im Hintergrund und setzt sich einem geringeren Risiko aus, erwischt zu werden.

Phishing als Abonnement

RaaS und Phishing können als Abonnement gebucht werden. Interessierte Nutzer erhalten durch die Zahlung des Abos die gewünschten Log-in-Daten. Die kriminellen Dienstleister stellen die falschen Webseiten ein und verschicken Phishing E-Mails, um an empfindliche Daten zu gelangen. Sicherheitsforscher haben angegeben, dass die Cyberkriminellen professionelles Marketing betreiben und den Kunden sogar Supportservices bieten. Wie viel ein potenzieller Angreifer für das Abonnement zahlen muss, das hängt vom Hacking-Umfang ab. Eine gefälschte Internetseite kann ca. 100 US-Dollar oder mehr kosten. Potenzielle Angreifer, die die Dienstleistung Ransomware-as-a-Service in Anspruch nehmen, müssen mit 50 Dollar pro Monat oder mehr rechnen. Die erbeuteten Zugangsdaten werden nicht nur dem zahlenden Abonnement-Kunden zur Verfügung gestellt. Es wird vermutet, dass die Gewinne maximiert werden sollen und die gestohlenen Zugangsdaten auch auf dem Schwarzmarkt im Darknet verkauft werden.

Die Phishing-Angriffe nutzen Infinite Subdomain Abuse. Es handelt sich um eine Technik, bei der eindeutige URLs eingesetzt werden. Durch die Verwendung der eindeutigen Subdomains können Spamfilter eine E-Mail nur schwer herausfiltern. Microsoft hat die Technik, die Phishing-Dienste wie BulletProofLink nutzen, veröffentlicht. Durch die Veröffentlichung sollen andere E-Mail-Anbieter ihre Filterregeln anpassen können und es Cyberkriminellen schwerer machen.

Welche RaaS-Anbieter sind bekannt?

Die Anbieter der kriminellen Dienstleistungen möchten unerkannt bleiben. Es ist dennoch gelungen, einige Hackergruppen zu identifizieren. Die Veröffentlichung der Dienstleister hat für Aufsehen gesorgt. Identifiziert wurden die Hackergruppen GandCrab, Rainmakers Labs und Sodinokibi (REvil). Rainmakers Labs setzt sogar Werbevideos ein, um kriminelle Kunden zu gewinnen.

DarkSide

DarkSide ist ein RaaS-Betrieb, der mit einer eCrime-Gruppe verbunden ist, die von CrowdStrike als CARBON SPIDER verfolgt wird. DarkSide-Betreiber konzentrierten sich traditionell auf Windows-Rechner und haben sich in letzter Zeit auf Linux ausgeweitet, wobei sie auf Unternehmensumgebungen mit ungepatchten VMware ESXi-Hypervisoren abzielen oder vCenter-Anmeldedaten stehlen. Am 10. Mai gab das FBI öffentlich bekannt, dass der Vorfall bei Colonial Pipeline mit der DarkSide-Ransomware in Verbindung steht. Später wurde berichtet, dass Colonial Pipeline etwa 100 GB an Daten aus ihrem Netzwerk gestohlen wurden und das Unternehmen angeblich fast 5 Millionen US-Dollar an eine DarkSide-Tochtergesellschaft gezahlt hat.

REvil

REvil, auch bekannt als Sodinokibi, wurde als die Ransomware identifiziert, die hinter einer der höchsten Lösegeldforderungen aller Zeiten steht: 10 Millionen US-Dollar. Sie wird von der kriminellen Gruppe PINCHY SPIDER verkauft, die RaaS im Rahmen des Affiliate-Modells vertreibt und in der Regel 40 % des Gewinns einstreicht.

Ähnlich wie bei den anfänglichen Datenlecks von TWISTED SPIDER warnt PINCHY SPIDER die Opfer vor dem geplanten Datenleck, in der Regel über einen Blogbeitrag auf ihrem DLS, der Beispieldaten als Beweis enthält (siehe unten), bevor der Großteil der Daten nach einer bestimmten Zeit freigegeben wird. REvil stellt in der Lösegeldforderung auch einen Link zu dem Blogbeitrag bereit. Der Link zeigt dem betroffenen Opfer das Datenleck an, bevor es an die Öffentlichkeit gelangt. Beim Besuch des Links beginnt ein Countdown-Timer, der die Veröffentlichung des Lecks nach Ablauf der angegebenen Zeitspanne veranlasst.

Mehr über Ransomware können Sie hier nachlesen!

Ransomware Angriff auf die Stadt Schwerin vom 15.10.2021 – Hier nachlesen

Wie Unternehmen sich vor schweren Ransomware Lösegeld schützen können. Hier lesen

Webinar-Aufzeichnung: Schutz vor Ransomware Angriffen. Aktuellen Geschehnissen mit IT-Sicherheits Basics vorbeugen. Hier anschauen

.