Cyberattacken leicht gemacht: Ransomware as a Service (RaaS)

Wenn du genügen Kleingeld im Portemonnaie hast, kannst du dir einen Ransomware-Angriff mieten, genauso wie ein Auto oder eine Wohnung. Ransomware as a Service (RaaS) ist eine Angriffsart und eine Dienstleistung, bei der die Ransomware-Software, unterstützende Tools und die Infrastruktur an die Angreifer vermietet wird. Derartige Ransomware-Dienste können im Dark Web von Bedrohungsakteuren und Ransomware-Gangs erworben werden.

Es sind aber nicht immer nur die oft zitierten, vermeintlich Bösen, die solche Services in Anspruch nehmen. Jeder von uns kann das. Und so gab es beispielsweise auch schon Unternehmen, die auf diese Art und Weise versucht haben, einen unliebsamen Konkurenten loszuwerden.

Ransomware-Angriffe kannst du kaufen, mieten oder buchen

Ein Ransomware-Service-Paket beinhalt zum Beispiel die Miete etwaiger Software sowie Tools und die Nutzung einer vorhandenenen, technischen Infrastruktur. Manche Dienste rechnen dabei zu einem monatlichen Pauschalpreis ab (ca. 500 – 1000 €), andere verlangen die Bezahlung pro getätigter Infektion.

Es gibt aber auch Dienste, die den Auftraggebern professionelle Ransomware-Gangs inklusive der erforderlichen Infrastruktur zur Verfügung stellen. Nach einem erfolgreichen Angriff und erfolgter Zahlung des Opfers, wird hier die Beute zwischen den Auftraggebern und den Auftragnehmern geteilt.

Im vergangenen Jahr hat beispielsweise eine us-amerikanische Ransomware-Gruppe, die auf den Zugriff über Dritte spezialisiert ist, einen mittelgroßen Einzelhändler mit dutzenden von Standorten in den Vereinigten Staaten attackiert – mit Erfolg!

Die Angreifer nutzten dabei Ransomware als Service, um in das Netzwerk des Einzelhändlers einzudringen. Mit ihrem Service-Paket waren sie in der Lage, Anmeldeinformationen von Drittanbietern auszunutzen, um sich innerhalb weniger Minuten Zugang zu den Systemen des Opfers zu verschaffen und das Lösegeld zu erpressen.

Ungewöhnlich war die Schnelligkeit dieses Angriffs, denn in den meisten Fällen harren die Angreifer wochen- und monatelang in den Netzwerken aus, bevor sie ein Lösegeld fordern.

Merke:

Wenn das Opfer gut bezahlt, können Ransomware-Angriffe von verschiedenen Gruppen wiederholt werden

Nach einer eingehenden Prüfungen stellte sich heraus, dass das Opfer bereits 13 Monate vor dem zweiten Ransomware-Angriff schon einmal attackiert und freigekauft wurde. Die erste Angreifergruppe hat somit nicht nur das erhaltene Lösegeld als Gewinn für sich verbuchen können. Sie hat ein zweites Mal profitiert, indem sie die Netzwerkinformationen des angegriffenen Unternehmens an die zweite Ransomware-Gruppe verkauft hat.

Zwar änderte das Unternehmen in den 13 Monaten zwischen den beiden Angriffen die Netzwerkstruktur, entfernte Server und implementierte weitere Sicherheitsmaßnahmen, aber dennoch, die zweite Angriffstruppe hatte von der ersten Gruppe so viele wertvolle Informationen über das Opfer und dessen Netzwerke erworben, so dass der zweite Angriff in Nullkommanichts erfolgreich über die Bühne ging.

Ransomware-as-a-Service-Dienste schiessen derzeit wie Pilze aus dem Boden

Unter diesen Service-Anbietern gibt es gut aufgestellte und weniger gut aufgestellte “Dienstleister”, so wie in allen anderen Branchen auch. Die Qualität solcher Services zeigt sich dann meist erst im Nachhinein: Wenn der Dienstleister gut ist, machen die Angreifer fette Beute. Ist der Anbieter und die Qualität des Services schlecht, gibt es keine Beute, sondern viel eher eine Haftstrafe für alle Beteiligten.

RaaS ist eine nicht zu unterschätzende Gefahr

Von RaaS-Services geht eine zusätzliche, nicht zu unterschätzende Gefahr aus. Mit Hilfe dieser Dienste können auch Amateure, Script-Kiddies oder Cyber-Dummies, die absolut keine Erfahrungen mit Ransomware-Angriffen haben und auch keine Hacking-Skills oder -Fähigkeiten besitzen, einen Angriff auf ein x-beliebiges Unternehmen, eine Organisation oder eine Behörde in Auftrag geben.

Somit können Wettbewerber, verärgerte Mitarbeiter, verprellte Lieferanten und Kunden oder Interessenverbände und Initiativen, die mit der Politik und der Ausrichtung eines Unternehmens nicht einverstanden sind, eine Ransomware-Attacke lostreten.

Merke:

Einem Ransomware-Angriff geht immer ein Phishing- und/oder Social-Engineering-Angriff voraus. Du tust gut daran, die Beschäftigten und Führungskräfte in deinem Unternehmen, in deiner Institution oder deiner Organisation mit Hilfe von Cyber Security Awareness Trainings zu sensibilisieren und zu schulen. Ausserdem solltest du deine digitalen/technischen Systeme immer auf dem aktuellsten Stand halten und einen Notfallplan erarbeiten.