Ransomware-as-a-Service: Krypto-Malware im Abo

  • 7. Dezember 2017
  • 7 min Lesezeit
ransomware-as-a-service-blog

ransomware-as-a-service-blog

Die moderne Geschäftswelt hat sich in den vergangenen Jahren grundlegend verändert und langsam zu einem Paradies der Abos entwickelt. Ursprünglich haben Sie Ihr hart verdientes Geld an einen Anbieter gezahlt und dafür ein Produkt oder eine Leistung erhalten, das/die Sie behalten konnten. Doch dieser Ansatz wird jetzt von Unternehmen und Verbrauchern immer mehr zugunsten eines Dienstleistungsmodells vernachlässigt. In den meisten Fällen ist es für alle Seiten die beste Lösung: Für Kunden bedeutet es mehr Flexibilität und für Unternehmen ein besser vorhersehbares und stabileres Einkommen.

Leider haben nicht nur Netflix und Spotify mit ihren Abos dieses Geschäftsmodell übernommen. Auch in den dunklen Untiefen der digitalen Welt bieten Malware-Entwickler ihre Ransomware-Abos an, deren Abnehmer Leute mit skrupellosen Absichten sind. Ein relativ neues Phänomen hier ist RaaS (Ransomware-as-a-Service – also Ransomware als Dienstleistung). Damit kann jede Person mit einer Internetverbindung – unabhängig von ihrem technischen Wissen – über das Darknet schlagkräftige Ransomware kaufen und selbst verheerende Verschlüsselungsangriffe durchführen.

Wie funktioniert Ransomware-as-a-Service?

Ransomware ist eine Form von Schadsoftware, die Ihre Dateien verschlüsselt und erst wieder freigibt, wenn Sie ein Lösegeld bezahlen (meistens in Form von Bitcoins oder einer anderen Kryptowährung). Weitere Informationen zur Funktionsweise von Ransomware finden Sie hier in einem früheren Blog-Artikel.

Bisher war es nur Technikspezies möglich, einen Ransomware-Angriff erfolgreich durchzuführen. Mit Ransomware-as-a-Service hat sich das geändert. Benutzerfreundliche Ransomware-Sets enthalten alles, was man braucht, um ebenfalls mit Ransomware-Angriffen Erfolg zu haben.

Derartige Sets werden in der Regel über Portale angeboten, die sich im tiefsten Darknet verstecken, damit die Käufer vor neugierigen Augen „geschützt“ bleiben. Für viele RaaS-Sets werden im Vorlauf keine Kosten zur Nutzung oder Bereitstellung fällig. Die Entwickler erhalten stattdessen einen Anteil (meistens 20–40 Prozent) des illegal erzielten Einkommens. Damit wird RaaS im Grunde zu einer Art Partnerprogramm. Das ist für Käufer und Ransomware-Entwickler ein gleichermaßen lohnendes Geschäftsmodell, da beide mit dem Schädling immer wieder Geld machen können.

Wenn die Käufer Zugriff auf das RaaS-Set haben, müssen Sie den Schädling auch verbreiten, entweder selbst oder über einen Bezahldienst. Die Angriffe erfolgen dann auf verschiedenen Wegen. Phishing ist hier die häufigste Methode, weil viele sorglose Anwender leichtsinnig auf fremde Links klicken oder unbekannte Programme ausführen.

Eine weitere Methode sind Systeme mit ungeschütztem Remotedesktopprotokoll. Dazu kaufen die Nutzer des RaaS-Sets Listen von Geräten mit Schwachstellen oder sie nutzen allgemein verfügbare Tools, um im Internet danach zu suchen. Das ganze RaaS-Prozedere könnte wie folgt aussehen:

  1. Ein (oder mehrere) Malware-Entwickler erstellt ein RaaS-Set für eine Gruppe von Cyberkriminellen.
  2. Die Gruppe bewirbt das RaaS-Set im Darknet und auf anderen Plattformen.
  3. Ein Interessent kauft das RaaS-Set.
  4. Dieser verteilt die Ransomware dann selbst oder mithilfe eines entsprechenden Dienstes.
  5. Sofern es erfolgreich war, werden die Opfer infiziert.

Beispiele für Ransomware-as-a-Service

Satan

Satan tauchte erstmals Anfang 2017 auf. Diese RaaS erlaubt den Partnern, innerhalb von Minuten mühelos eine eigene Ransomware zu entwickeln und einzusetzen. Satan kann kostenlos genutzt werden, wobei der Ransomware-Entwickler 30 Prozent aller unrechtmäßiger Einnahmen erhält. Diese RaaS-Variante ist besonders für ihre Benutzerfreundlichkeit, die professionelle Benutzeroberfläche mit einfachen Optionen zur Anpassung und ihre praktischen Tipps zur Verteilung bemerkenswert. Sie verfügt sogar über eine Auswertungsübersicht, in der Benutzer Infektionsraten, eingenommene Lösegelder und dergleichen nachverfolgen können.

Philadelphia

Philadelphia setzt nicht auf Abos, sondern kann direkt mit einer einmaligen Zahlung von 389 USD gekauft werden. Das ist für kommerziell gehandelte Ransomware eher teuer. Allerdings rechtfertigen die Entwickler diesen hohen Preis mit einer Reihe professioneller Funktionen, von denen sich selbst legitime Programme eine Scheibe abschneiden könnten. Käufer von Philadelphia erhalten eine selbsterklärende Oberfläche, lebenslangen Zugriff, die Möglichkeit, unbegrenzte Ransomware-Ableger zu erstellen, sowie laufenden Support und Updates.

Cerber

Die über ein russisches Untergrundforum verbreitete Cerber ist bis jetzt eines der berüchtigtsten Beispiele für RaaS. Im Juni 2016 sorgte eine frühe Version von Cerber bei Microsoft für Kopfschmerzen, als Millionen Office 365-Benutzer der Ransomware ausgesetzt wurden. Im September 2017 stellte sich heraus, dass eine Website der US-Regierung einen JavaScript-Download-Trojaner beherbergte, über den Cerber verbreitet wurde. Im Gegensatz zu anderer Ransomware benötigt diese Version keine Netzwerkkommunikation. Es besteht also selbst bei Geräten ohne Internetverbindung die Gefahr, dass die Dateien verschlüsselt werden, wenn sie einmal infiziert wurden.

MacRansom

MacRansom legt das anhaltende Gerücht ad acta, macOS sei gegenüber Malware unverwundbar. Forscher hatten im Juni 2017 im Darknet Portale entdeckt, über die MacRansom verkauft wurde. Diese Ransomware hat es – im Gegensatz zu den meisten anderen Artgenossen – besonders auf macOS-Anwender abgesehen. Bei dieser RaaS behalten die Partner nur 30 Prozent der eingenommenen Lösegelder und der Rest geht an die Ransomware-Entwickler. Interessanterweise ist MacRansom im Vergleich zu vielen Windows-Ransomware-Versionen recht primitiv. Da viele manuelle Eingaben seitens des Entwicklers erforderlich sind, ist sie nicht ganz so wirksam wie andere RaaS.

Der Aufstieg von Ransomware-as-a-Service

Es ist kein Geheimnis, dass Ransomware-Angriffe in letzter Zeit enorm an Beliebtheit gewonnen haben. SonicWall berichtet, dass ihre Anzahl innerhalb eines Jahres sogar um das 167-fache zugenommen hat. Während es 2015 noch 3,8 Millionen Angriffe waren, gab es im Jahr 2016 bereits 638 Millionen.

Dieser schockierende Trend ergibt sich hauptsächlich durch die zunehmende Verfügbarkeit von RaaS. Angetrieben durch die unglaublichen Gewinnaussichten wurden 2016 fast eine Viertelmillion neue Ransomware-Versionen entwickelt, mit denen Cyberkriminelle über 1 Milliarde USD einkassierten. Auch die durchschnittlichen Lösegeldforderungen sind mit 294 USD im Jahr 2015 auf 1077 USD im Jahr 2016 um mehr als das Dreifache angestiegen.

Ebenso wie die Lösegelder sind auch die Erwartungen der RaaS-Partner gestiegen. Die Ransomware vergangener Jahre war für den durchschnittlichen Anwender technisch eher schwierig umzusetzen. RaaS ist jedoch immer besser zugänglich und auch benutzerfreundlicher, womit sie für Kriminelle interessant wird, die technisch nicht so bewandert sind. In Anlehnung an Ransomwares wie Spora, deren Oberfläche und Funktionalität sehr an professionelle Software erinnert, verfügen moderne RaaS über ein ansprechendes Design, eine intuitive Bedienung und mitunter sogar nützliche Hilfen.

spora-ransomware-payment-website

Englische Version der Spora-Lösegeldseite

Auch die Vermarktung von RaaS hat sich enorm weiterentwickelt. Vormals auf das Darknet beschränkt werden Malware-Gruppen mit ihren Vertriebstaktiken immer unverschämter und nutzen nun auch das Surface Web (also der Teil des Internets, der für alle zugänglich ist).

Zur Werbekampagne für Philadelphia gehörte beispielsweise ein hochwertiges Einführungsvideo auf YouTube, in dem alle Funktionen der Ransomware und neuen Benutzern der Einstieg erklärt wurden. Auch der/die Autor(en) von Karmen veröffentlichten eine kurze Videoanleitung auf YouTube, in der die Ransomware in Aktion zu sehen ist. Recorded Future hat das Video erneut und ohne den Link zur Ransomware hochgeladen, doch sehen Sie selbst.

Mit welchen Risiken müssen Unternehmen rechnen?

Mit der zunehmenden Verfügbarkeit von RaaS sehen sich Unternehmen aller Größen einem immer höheren Risiko ausgesetzt. Doch das größte Problem ist nicht das Lösegeld, sondern der Stillstand. Laut einem aktuellen Industriebericht dauert ungefähr jeder sechste Ausfall aufgrund eines Ransomware-Befalls länger als 25 Stunden. Einige Unternehmen meldeten sogar Ausfälle von über 100 Stunden. Indem ihnen die Möglichkeit genommen wird, Verkäufe zu tätigen, Kundendienstleistungen bereitzustellen oder Interessenten anzuwerben, kann RaaS kleinen und mittleren Unternehmen schnell Zehntausende Dollar Verlust bescheren.

RaaS-Angriffe werden häufig gezielt für bestimmte Unternehmen oder Industriezweige eingesetzt, um möglichst viel Geld zu machen. Daher ist das Risiko für einige Branchen höher als für andere. Laut Recherchen von Dimension Data sind 77 % aller Ransomware-Angriffe auf vier Industriezweige konzentriert:

Sollten Sie in einem dieser Bereiche aktiv sein, müssen Sie besonders vorsichtig vorgehen, um kein Opfer von RaaS zu werden.

Wie können Sie Ihr Unternehmen vor Ransomware-Angriffen schützen?

Es gibt so viele Arten von Malware. Wenn Sie Ihr System also auch vor den zahlreichen RaaS-Partnern schützen möchten, sollten Sie mehrgleisig vorgehen:

Sicherungen

Ein proaktives Vorgehen zum Schutz vor RaaS ist definitiv ein guter Ansatz, um das Infektionsrisiko zu minimieren. Noch mehr Seelenfrieden dürfte jedoch die Sicherheit bringen, dass man sein System im Notfall schnell wiederherstellen kann.

Dann ist eine Sicherung Gold wert.

Sowohl Cloud- als auch physische Speichermethoden sind heutzutage durchaus erschwinglich. Es gibt also keine Entschuldigung dafür, nicht regelmäßig Sicherungen anzulegen. Dafür empfehlen wir die 3-2-1-Regel:

321_backup_philosophie-de

Legen Sie mindestens drei Kopien ihrer Daten auf mindestens zwei verschiedenen Speichertypen an. Davon sollte mindestens eine an einem anderen Ort liegen. Idealerweise sind alle Kopien identisch und werden regelmäßig aktualisiert – am besten in Echtzeit.

Mitarbeiterschulungen

Dreiviertel aller Malware-Angriffe erfolgen über Phishing, wodurch es als eine der beliebtesten Infektionsmethoden gilt. RaaS ist da keine Ausnahme. Zum Schutz Ihres Unternehmens ist es folglich enorm wichtig, alle Ihre Mitarbeiter auf den neuesten Stand zu bringen, wie sie sich beim Surfen im Internet und Abrufen von E-Mails sicher verhalten.

Bringen Sie Ihren Mitarbeitern bei, wie sie verdächtige Nachrichten erkennen können, und bestärken Sie sie, nicht auf eventuell gefährliche Links und E-Mail-Anhänge zu klicken. Das ist eine sehr nachhaltige Maßnahme, um das Risiko einer RaaS-Infektion auch auf lange Sicht zu senken.

In unserem Blog finden Sie zahlreiche Anleitungen und Hintergrundwissen zu dem Thema, etwa unseren nützlichen Anti-Phishing-Artikel.

Antivirus mit Verhaltensanalyse

Neue RaaS-Versionen werden so schnell veröffentlicht, dass es für Antivirus-Produkte, die sich nur auf eine Signatur-Datenbank verlassen, schlicht unmöglich wird, alle zu erkennen. Daher sollten Sie unbedingt eine IT-Sicherheitssoftware einsetzen, die über eine Technologie zur Verhaltensanalyse verfügt.

Indem es Ihr System auf verdächtiges Verhalten überwacht, das von einer Schadsoftware kommen könnte, kann beispielsweise Emsisoft Anti-Malware alle Arten von Ransomware erkennen und beenden, bevor sie auch nur auf Ihre Dateien zugreifen.

Ransomware-as-a-Service – kein Ende in Sicht

Das Abo-Geschäftsmodell hat eine neue Zeit eingeläutet – für Bequemlichkeit und Flexibilität … und Ransomware. Durch die zunehmende Verfügbarkeit von RaaS können selbst die technisch unbedarftesten Kriminellen gezielt Ransomware-Angriffe auf Unternehmen und Verbraucher weltweit durchführen. Indem Sie jedoch proaktiv bleiben und die besten Sicherheits- und Sicherungspraktiken einsetzen, sorgen Sie für den bestmöglichen Schutz Ihres Unternehmens.

Wir wünschen eine schöne (Ransomware-freie) Zeit!

 

Übersetzt von Doreen Schäfer

Jareth

Jareth

Freier Schriftsteller und Sicherheits-Enthusiast in Auckland, Neuseeland.

Weitere Artikel

Leserkommentare