Ransomware ist zum Service-Geschäftsmodell geworden: Cyberkriminelle, die selbst nicht über die technischen Fähigkeiten verfügen, können sich ihre Erpressungssoftware via Ransomware as a Service (RaaS) zusammenstellen und Angriffe starten. Wie funktioniert das Mietmodell? Und wie können Sie sich davor schützen?

In Sachen Ransomware ist keine Entwarnung in Sicht. Laut dem Ransomware-Report 2021 von Sophos ist die Zahl der Angriffe zwar etwas zurückgegangen, dafür gehen die Cyberkriminellen umso gezielter und raffinierter vor:

  • Im Jahr 2021 waren mehr als 37 Prozent von einem Ransomware-Angriff betroffen, während es 2020 noch mehr als 51 Prozent waren.
  • Der Rückgang wird darauf zurückgeführt, dass wesentlich mehr Unternehmen die Angriffe stoppen konnten, bevor es zur Verschlüsselung ihrer Daten kam.
  • Die Lösegeldzahlungen sind hingegen gestiegen: Waren es 2020 noch 26 Prozent, so haben im Jahr 2021 bereits 32 Prozent der Erpressten die Forderung gezahlt.
  • Im Durchschnitt überwiesen deutsche Unternehmen rund eine Millionen Euro, um wieder an die eigenen Daten zu gelangen.

Allerdings kann der leichte Rückgang keine Entwarnung bedeuten, denn mit Ransomware as a Service verbreitet sich eine Angriffsart, die die Erpressungssoftware für viele als „Mietmodell“ zugänglich und damit die potenzielle Reichweite umso größer macht.

Was ist Ransomware as a Service?

Während die IT-Industrie das „as a Service“ Modell schon lange nutzt, haben Cyberkriminelle nun den Nutzen für sich erkannt: Sie bieten ihre Ransomware auf die gleiche Art an, wie seriöse Software-Entwickler ihre SaaS-Produkte. So können Täter auch ohne Kenntnisse über die Programmierung von Schadsoftware ein RaaS-Kit buchen und direkt eine Ransomware-Attacke starten.

Der Vorteil liegt darin, dass die Einnahmen der Entwickler mit einem geringeren Eigenrisiko skalierbar sind: Durch die zusätzliche Vertriebsstufe entfernt sich der Cyberkriminelle vom Opfer, während er gleichzeitig von einer Mietgebühr oder dem erpressten Lösegeld profitiert.

Dabei wird das auch als Malware as a Service (MaaS) oder Cybercrime as a Service (CaaS) bekannte Modell immer professioneller: Mittlerweile stehen für den „Kunden“ im Darknet vollumfängliche Portale mit z. B. Dashboards, Infos wie der Anzahl der Infizierungen oder auch der Summe der Zahlungen bereit. Selbst Dokumentationen, Support, Whitepaper und Rabatt-Aktionen werden angeboten.

Wie funktioniert das RaaS-Geschäftsmodell?

Wer mit Ransomware kriminell tätig werden möchte, benötigt lediglich ein Konto bei einem RaaS-Portal und die Kryptowährung Bitcoin, die das übliche Zahlungsmittel darstellt. Anschließend kann man sich als Kunde die Details und Art der gewünschten Malware selbst zusammenstellen. Die Leistungen variieren und sind häufig in verschiedenen Preisstufen gestaffelt. Die Zahlungsmodelle reichen von einem monatlichen Abo über Affiliate-Programme bis hin zu fix definierten Gewinnbeteiligungen.

Je nach gebuchter Kategorie profitieren die Cyberkriminellen dann von den oben genannten Funktionen und Vorteilen – vom reinen Geschäftsmodell ist es eben (fast) genauso, wie es auch bei völlig legitimen SaaS-Produkten üblich ist.

RaaS-Angriffe verursachen enorme Schäden

Wie viel Schaden mit RaaS-Angriffen angerichtet werden kann, darüber berichtet das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Lagebericht zur IT-Sicherheit: „Nach Schätzungen von Sicherheitsexpertinnen und -experten hat alleine Emotet weltweit einen Schaden von rund 2,5 Milliarden US-Dollar versursacht, der sich aus lahmgelegten IT-Infrastrukturen und erpressten Lösegeldern zusammensetzt. Und auch, wenn es im Januar 2021 gelang, die Infrastruktur dieser Schadsoftware zu übernehmen und sie zu zerschlagen, ist die Gefahr nicht gebannt.“

Das wohl bekannteste Beispiel wird auch als Prototyp für das RaaS-Geschäftsmodell gehandelt. Die mit Emotet gekaperten Zugriffsdaten wurden im Darknet an Dritte weiterverkauft und dienen somit auch als Einfallstor für RaaS-Angriffe. Aktuell beobachten Experten erste Nachahmer der erfolgreichen Emotet-Infrastruktur.

Wie kann man sich vor Ransomware as a Service schützen?

Um sich effektiv vor Bedrohungen wie Ransomware as a Service zu schützen, gibt es die eine richtige Lösung nicht. Vielmehr kommt es auf funktionierendes Zusammenspiel mehrerer Maßnahmen an, um einen guten Basisschutz aufrecht zu erhalten.

Erstellen und Testen von Backups: Da Ransomware Daten verschlüsselt und sie unzugänglich macht, sind Pläne für die Datensicherung und Wiederherstellung unerlässlich.

Software-Updates pflegen: Um die Angriffsfläche für Ransomware-Attacken zu verringern, ist das zügige Stopfen von Schwachstellen mittels Software-Updates und Patches Pflicht.

Phishing-Schutz: Da häufig Phishing-E-Mails als Angriffsvektor genutzt werden, können Unternehmen sowohl mit technischen Maßnahmen gegensteuern als auch die Sensibilität der Belegschaft mit Security Awareness-Trainings steigern.

Netzwerk-Segmentierung: Durch kleinere, separate Subnetzwerke mit speziellen Sicherheitskontrollen wird verhindert, dass sich die Schadsoftware unkontrolliert im gesamten Netzwerk ausbreitet.

Multifaktor-Authentifizierung: Durch die Nutzung mehrerer Passwörter wird verhindert, dass Angreifer durch andernorts erbeutete Zugangsdaten Konten übernehmen können (Credential Stuffing).

XDR-Endpunktsicherheit: Wenn Endpunkte durch erweiterte Erkennungs- und Reaktionsmöglichkeiten abgesichert sind, lassen sich die die Risiken von Ransomware effektiv begrenzen.

Schwachstellen Management System: Das Vulnerability Management unterstützt IT-Sicherheitsadministratoren dabei, Schwachstellen zu identifizieren, Risiken zu bewerten und Sicherheitslücken zu melden. Dazu kann es fehlende Patches oder Service Packs aufzeigen, die von Ransomware ausgenutzt werden können.

Regelmäßige Penetrationstests: Mit mindestens einmal pro Jahr durchgeführten Pentests lässt sich herausfinden, wie gut die Cyber Security gegen einen Ransomware-Angriff gewappnet ist.

Personalschulungen: Weil das Social Engineering ein großes Einfallstor für Schadsoftware ist, sollten die eigenen Mitarbeitenden regelmäßig geschult und für die Cybersicherheit sensibilisiert werden.

Schutzniveau erhöhen, RaaS-Angriffe vorbeugen

Dass die von Ransomware ausgehende Bedrohung weiter steigen wird, steht außer Frage. Auch ist es nicht verwunderlich, dass die via Ransomware as a Service durchgeführten Attacken weiter zunehmen werden. Denn die Anbieter von RaaS-Kits profitieren gleich zweimal: Während sie ihre Erträge maximieren, minimieren sie gleichzeitig das eigene Risiko einer Strafverfolgung, denn die eigentlichen Erpressungen werden von anderen (Klein)kriminellen ausgeführt.

Unternehmen, die sich davor schützen wollen, müssen ihre Daten sichern, ihre Mitarbeitenden schulen und die passenden Cyber-Security-Lösungen implementieren. Im besten Fall können sie die Angriffe dann schon stoppen, bevor die eigenen Daten verschlüsselt sind. Wir unterstützen dabei: Falls Sie mehr über das Thema Ransomware as a Service erfahren möchten oder noch Fragen dazu haben, zögern Sie nicht, mich jederzeit zu kontaktieren.

Parisa Kahani | IT Security Consultant Parisa Kahani hat ihr Studium als Computer Programmiererin abgeschlossen und anschließend 5 Jahre Erfahrungen als Netzwerk-Administrator:in gesammelt. Ihre Fachkenntnisse betreffen SIEM, Mail Security Gateway und Schwachstellen Management Systeme. Seit August 2021 ist Parisa Kahani als Security Consultant bei Axians IT Security tätig, ihr Fachgebiet ist der Bereich Schwachstellen Management.