Ransomware-as-a-Service: Wegbereiter für breit gefächerte Angriffe

Originalartikel von Fyodor Yarochkin, Janus Agcaoili, Byron Gelera und Nikko Tamaña

Ransomware as a Service (RaaS) versorgt potenzielle Angreifer — selbst solche, die nur über minimale technische Fähigkeiten und Kenntnisse verfügen — mit der für ihre Attacken erforderliche Ausstattung. Damit kann sich Ransomware schnell auf mehr Ziele ausbreiten. Einfach ausgedrückt: RaaS besteht aus dem Verkauf oder der Vermietung von Ransomware an Käufer, die als Geschäftspartner bezeichnet werden. Doch wie funktioniert das Geschäftsmodell, welche Ransomware-Familien sind am häufigsten vertreten und wie können sich Unternehmen schützen?

Im Wesentlichen gibt es eine organisierte Arbeitsteilung in den Gruppen, die RaaS nutzen. Diese Entwicklung hat zur Folge, dass die Teilnehmer im Cyberkriminalitäts-Ökosystem eine höhere Kompetenz und Spezialisierung für bestimmte Aufgaben erlangen, wobei sich einige auf das Eindringen in Netzwerke und andere auf die Durchführung der Ransomware oder die Aushandlung des Lösegelds mit den Opfern konzentrieren.

Diese Spezialisierung zusammen mit den ausgefeilten Erpressungstechniken und Strategien macht moderne Ransomware zu einer gefährlichen Bedrohung. Angesichts der ständig zunehmenden Reichweite dieser Bedrohung wurde vorausgesagt, dass Ransomware-Angriffe im nächsten Jahrzehnt Milliarden kosten könnten.

Der kriminelle Untergrund als Nährboden für RaaS

RaaS basiert zwar auf dem Software-as-a-Service (SaaS)-Modell, bei dem Software auf Abonnementbasis online abgerufen werden kann, entwickelt sich aber auch auf eigene Weise weiter, und dieses voll funktionsfähige und unabhängige Ökosystem gedeiht im kriminellen Untergrund.

Die Hauptakteure, die Betreiber von Ransomware sind in der Regel in einer Gruppe organisiert und haben bestimmte Rollen wie Anführer, Entwickler, Infrastruktur- und Systemadministratoren. Progressivere Gruppen können auch andere Rollen besetzen, z. B. Anwerber, Penetrationstester, Opferanalysten und Verhandlungsführer. Einige Rollen und Tools lassen sich auch auslagern oder über Partnerprogramme erwerben. So nutzen einige Betreiber beispielsweise Access-as-a-Service (AaaS) für verschiedene Zugangsmöglichkeiten zu den anvisierten Organisationen. Andere Gruppen verfügen zwar über starke Penetrationstest-Teams, aber möglicherweise nicht über die erforderliche Ransomware. Diese sind oft als Partner für RaaS tätig und nutzen Ransomware-Tools und -Infrastrukturen des Partnerprogramms, wenn ein Ziel kompromittiert wird. Die Partner können selbst organisierten Banden angehören oder unabhängig operieren.

Bild 1. Vergleich von direkten Ransomware-Operationen und RaaS-Betreibern

Die kriminelle Gruppe, die RaaS betreibt, muss zunächst die Ransomware-Software und -Infrastruktur entwickeln oder erwerben. Anschließend rekrutieren sie über Online-Foren, Telegram-Kanäle oder persönliche Kontakte Partner, wobei einige Betreiber bis zu einer Milliarde US-Dollar darin investieren. Die angeworbenen Partner können dann ihre eigenen Angriffe starten.

RaaS erzeugt eine Win-Win-Situation und hohe Gewinne sowohl für Betreiber als auch für Partner. Diese können Gewinne erzielen, ohne die Ransomware selbst entwickeln zu müssen, während die Betreiber direkt von ihren Partnern profitieren können. Die Vergütungen werden in der Regel über ein Umsatzmodell für RaaS-Abonnements organisiert. Mögliche Erlösmodelle neben dem Abonnement sind Einmalzahlungen, Gewinnbeteiligung und Affiliate-Marketing. Bei solchen Geschäftsmodellen können sich die Ransomware-Betreiber voll und ganz auf die Entwicklung und Verbesserung ihrer Ransomware-Software und -Operationen konzentrieren, ohne dass sie Ressourcen für andere Aufgaben aufwenden müssen, z. B. für die Kompromittierung von Zielen oder die Verteilung der Ransomware selbst.

Die Kosten und Folgen für Lösegeldforderungen

Für jede Gruppe fallen natürlich Betriebskosten an. Sie muss Geld für Tools, Fachpersonal und monatliche Betriebskosten ausgeben, das heißt Ransomware-Angriffe können in der Tat teuer sein. Insbesondere die Miete der Netzwerkinfrastruktur verursacht Kosten, und viele Gruppenmitglieder erhalten monatliche Vergütungen, die auch dann gezahlt werden müssen, wenn die Opfer des Ransomware-Angriffs das Lösegeld nicht zahlen. Eine erfolgreiche Lösegeldzahlung aus einem Angriff ist daher notwendig, um die laufenden Kosten für den Betrieb zu decken.

Ransomware-Gruppen und Netzwerk-Penetrationsteams entwickeln die Angriffswerkzeuge oft nicht selbst, sondern kaufen sie lieber von Drittanbietern und Softwareentwicklern auf dem Untergrundmarkt, die unterschiedliche Preise für vorrätige oder angepasste Werkzeuge verlangen. Für Gruppen, die RaaS-Modelle und -Dienste mit doppelten Erpressungstechniken verfolgen, sind die Prozentsätze der Vergütungen für Kit-Verkäufer und RaaS-Partnerschaftsprogramme gestiegen, wobei einige von ihnen eine ganze Reihe von Einsatzkräften wie Pentester, Opferanalysten und Verhandlungsführer bereitstellen, wie in Anzeigen in Untergrundforen angepriesen.

Wenn man die durchschnittlichen monatlichen Kosten schätzt (u. a. für Gehälter, Server, die Anmietung virtueller privater Server, Dienstleister, Tools, Zugänge und Infrastruktur), könnten sich die Ausgaben dieser Gruppen auf mindestens 100.000 US-Dollar belaufen, um den Betrieb aufrechtzuerhalten. Wenn zehn Unternehmen auf einmal angegriffen werden, aber nur ein einziges Opfer zahlen kann, trägt diese eine Organisation die Hauptlast aller Ausgaben, die die Gruppen zusätzlich zu dem erhofften Gewinn machen.

Meiden bestimmter Ziele

Die Betreiber eine Strategie entwickelt, um zu bestimmen, welche Ziele zu meiden sind. So sind die USA zwar nach wie vor eines der Hauptziele für alle Arten bösartiger Aktivitäten, doch einige Betreiber erwägen, das Land zu meiden. Im Zuge der aufsehenerregenden Ransomware-Angriffe schenken die Behörden der Bedrohung verstärkte Aufmerksamkeit, und dies hat zur Folge, dass es für Ransomware-Gruppen schwieriger werden könnte, Lösegeld zu erhalten, denn es gibt No-Pay Policies, die Behörden unterstützen die Opfer bei der Aushandlung des Lösegelds, und es gibt Techniken zur Wiedererlangung des gezahlten Lösegelds.

Andere Faktoren, die Bedrohungsakteure davon abhalten können, eine bestimmte Region anzugreifen, sind der Patriotismus der Betreiber, das Ausmaß der Armut in den Ländern oder die geopolitische Lage, in der sich die Ziele befinden.

In diesem Jahr gab es spürbare Veränderungen im Untergrund. Nach dem Angriff von DarkSide auf Colonial Pipeline wurden aus vielen Untergrundforen alle Themen im Zusammenhang mit Ransomware verbannt. Die Betreiber warben in Untergrundforen diskret für Systemadministratoren, Pentester und andere scheinbar legitime Jobs, ohne den Zweck hinter diesen Anzeigen offenzulegen. Wenn sich herausstellt, dass die Personen, die hinter diesen Anzeigen stehen, tatsächlich Ransomware anbieten, werden ihre Konten gesperrt. Auch sind die Kriminellen wählerischer geworden bei der Auswahl ihrer Ziele. Sie meiden politische und kritische Infrastrukturen und auch das Gesundheitswesen.

Auch die Gewinnaufteilung hat sich geändert. Als die Lösegeldforderungen noch im fünf- bis sechsstelligen Bereich lagen, wurden die Gewinne in der Regel zu 70 % und 30 % zu Gunsten des Partners aufgeteilt. Jetzt verlangen Gruppen, die bis zu siebenstellige Beträge einnehmen, einen „Finderlohn“ von 20 % für den Zugang, während laterale Bewegungen und Penetrationstests innerhalb der angestellten Gruppe durchgeführt werden.

Die jüngsten Angriffe, etwa von REvil (oder Sodinokibi) und DarkSide auf Linux-basierte VMware ESXi Server und Network-Attached Storage (NAS), lassen vermuten, dass auch andere Gruppen ihre Ziele außerhalb von Windows ausweiten werden auf Linux CentOS, Linux RedHat und andere UNIX-Dialekte, die alle Portable Operating System Interface (POSIX)-compliant sind.

Ransomware-Familien, die von RaaS-Betreibern genutzt werden

Die meisten modernen Ransomware-Familien haben das RaaS-Modell übernommen. In unserem Halbjahresbericht zur Cybersicherheit haben wir die zehn am häufigsten entdeckten Ransomware-Familien ermittelt. Interessanterweise wurden acht davon irgendwann einmal von RaaS-Betreibern und Partnern eingesetzt. Einige Familien, wie z. B. Locky, Cerber und GandCrab, kamen bereits bei früheren RaaS-Operationen zum Einsatz, obwohl diese Varianten in letzter Zeit nicht mehr aktiv für Angriffe herangezogen wurden. Dennoch werden sie immer noch in betroffenen Systemen entdeckt:

Bild 2. Die im ersten Halbjahr am häufigsten entdeckten Ransomware-Familien, die als RaaS-Modell eingesetzt wurden

REvil

Vor seinem plötzlichen Verschwinden sorgte REvil in diesem Jahr immer wieder für Schlagzeilen, unter anderem durch seine öffentlichkeitswirksamen Angriffe auf den Fleischlieferanten JBS und das IT-Unternehmen Kaseya. In unseren Daten zur Jahresmitte 2021 steht REvil mit 2.119 Entdeckungen an vierter Stelle der am häufigsten entdeckten Ransomware. Nachdem diese Gruppe etwa zwei Monate lang verschwunden war, hat sie vor kurzem ihre Infrastruktur zurückgebracht und Anzeichen neuer Aktivitäten gezeigt.

In diesem Jahr forderte REvil sehr hohe Lösegelder: 70 Millionen Dollar im Kaseya-Angriff und 22.5 Millionen Dollar (wovon 11 Millionen gezahlt wurden) im Fall von JBS. Einzelheiten zu den Techniken, Download, Ausführung und Erkennung der Ransomware beinhaltet der Originalbeitrag.

DarkSide

DarkSide geriet in die Schlagzeilen wegen des Angriffs auf Colonial Pipeline. Das Opferunternehmen wurde gezwungen, 5 Millionen Dollar Lösegeld zu zahlen. DarkSide belegt mit 830 Entdeckungen den siebten Platz in unserer Halbjahresstatistik der am häufigsten entdeckten Ransomware-Familien.

Die Betreiber haben inzwischen erklärt, den Betrieb aufgrund des Drucks der Behörden einstellen zu wollen. Doch wie bei einigen anderen Ransomware-Familien könnte es sein, dass sie sich für eine Weile bedeckt halten, bevor sie wieder auftauchen oder einen Nachfolger der Bedrohung herausbringen. Einzelheiten zu den Techniken, Auskundschaftung, laterale Bewegungen und Erkennung der Ransomware beinhaltet der Originalbeitrag.

Nefilim

Nefilim steht mit 692 Entdeckungen an neunter Stelle der am häufigsten entdeckten Ransomware in unserem Report. Angreifer, die die Ransomware-Variante einsetzen, haben es auf Unternehmen mit Milliardenumsätzen abgesehen. Wie die meisten anderen modernen Ransomware-Familien auch, nutzt Nefilim doppelte Erpressungstaktiken, und die Partner gelten als besonders skrupellos, wenn Opfer nicht zahlen wollen. Einzelheiten zu den Techniken, Auskundschaftung, laterale Bewegungen und anderes mehr beinhaltet der Originalbeitrag.

LockBit

LockBit tauchte Mitte des Jahres mit LockBit 2.0 wieder auf und nahm mehr Unternehmen ins Visier mit doppelter Erpressung. LockBit 2.0 behauptet, eine der schnellsten Verschlüsselungstechniken  zu haben. Darüber hinaus weist die Malware Ähnlichkeiten mit bekannten Ransomware-Familien wie Ryuk und Egregor auf. Einzelheiten zu den Techniken und anderem mehr beinhaltet der Originalbeitrag

Conti

Conti ist wahrscheinlich eine der größten heute operierenden Ransomware-Gruppen. Sie wird oft als Nachfolger der Ryuk-Ransomware bezeichnet, da sie einige Gemeinsamkeiten haben. So werden beispielsweise sowohl Conti als auch Ryuk taktisch über Emotet, Trickbot und BazarLoader verbreitet. In unserem Bericht zur Jahresmitte stand Conti mit 610 Erkennungen an zehnter Stelle der am häufigsten entdeckten Ransomware. Einzelheiten zu den Techniken und anderem mehr beinhaltet der Originalbeitrag

Schutzmaßnahmen gegen Ransomware

Unternehmen sollten auf jeden Fall Pläne für die Verteidigung gegen Ransomware aufstellen. Diese können auf Sicherheitsrahmenwerken basieren, wie z. B. denen des Center of Internet Security (CIS) und des National Institute of Standards and Technology (NIST). Diese Richtlinien können bei der Festlegung von Prioritäten und der Verwaltung von Ressourcen für die Prävention, Verteidigung und Wiederherstellung vor Ransomware helfen.

Abgesehen von den technischen Mitteln ist es wichtig zu verstehen, dass Angreifer jede identifizierte Schwachstelle innerhalb eines Zielunternehmens (wie z. B. Kundendaten, falsch gehandhabte personenbezogene Daten oder Fehler in der Buchhaltung) als Druckmittel nutzen, um den Verhandlungswert des Lösegelds zu erhöhen und das Opfer zur Zahlung zu bewegen. Unternehmen sollten daher diese Aspekte bei der Bewertung ihrer organisatorischen Bereitschaft, sich vor Ransomware-Angriffen zu schützen, berücksichtigen.

Einige der  Best Practices aus diesen Frameworks:

Auditieren von Ereignissen und Inventarisieren: vorhandene Assets und Daten, autorisierte und nicht autorisierte Geräte und Software, Sicherheitsvorkommnisse.

Konfigurieren und Überwachen: Management und Nachverfolgung von Hardware- und Software-Konfigurationen, Admin-Privilegien und Zugang, Aktivitäten auf Netzwerk-Ports, Protokolle und Services, Netzwerkinfrastruktur-Geräte wie Firewalls und Router sowie deren Sicherheitskonfigurationen.

Patchen und Updaten: Regelmäßige Schwachstellenüberprüfung, Patching oder Virtual Patching, Versions-Updates für Software und Applikationen.

Systeme schützen und Daten wiederherstellen: Datenschutz, Backup und Wiederherstellungsmaßnahmen, Multifaktor-Authentifizierung

Sichern und Verteidigungsebenen

  • Das Prinzip der „Defense in Depth“ (DiD). Dabei werden mehrere Verteidigungsebenen gegen potenzielle Bedrohungen geschaffen. Ein Beispiel hierfür ist die Sperrung ungenutzter Dienste nicht nur auf einer Firewall, sondern auch auf den tatsächlichen Servern.
  • Netzwerksegmentierung und das Prinzip der Mindestberechtigungen. Die Einhaltung dieser Prinzipien ist bei der Vergabe von Berechtigungen an Systembenutzer, Dienste und Rollen von größter Bedeutung.
  • Statische und dynamische E-Mail-Analyse. Beide dienen dazu, bösartige E-Mails zu untersuchen und zu blockieren.
  • Die neueste Version von Sicherheitslösungen für alle Ebenen des Systems. Zu diesen Schichten gehören E-Mail, Endpunkt, Web und Netzwerk.
  • Überwachung auf frühe Anzeichen eines Angriffs. Die Erkennung des fragwürdigen Vorhandenseins verschiedener Tools im System kann Unternehmen viel Zeit und Mühe bei der Abwehr möglicher Angriffe ersparen.
  • Fortschrittliche Erkennungstechnologien. Insbesondere Technologien, die mit KI und maschinellem Lernen arbeiten, bieten einen verstärkten Schutz.
  • Schulen und Testen. S Bewertung und Schulung von Sicherheitsfähigkeiten, Red-Team-Übungen und Penetrationstests.

Trend Micro Vision One™  unterstützt bei der Erkennung und dem Blockieren verdächtiger Aktivitäten, auch solcher, die beim Monitoring von einer einzigen Ebene aus unbedeutend erscheinen.

Trend Micro Cloud One™ –  Workload Security gewährleistet Echtzeitschutz vor bekannten und neuen Bedrohungen, die Schwachstellen ausnutzen. Ermöglicht wird dies durch virtuelles Patching, maschinelle Lerntechniken und globale Bedrohungsdaten.

Trend Micro™ Deep Discovery™ Email Inspector  führt benutzerdefiniertes Sandboxing mit fortschrittlichen Analysetechniken durch. Diese verhindern effektiv potenzielle Ransomware-Angriffe, die über bösartige E-Mails durchgeführt werden.

Trend Micro Apex One™ bietet mit Hilfe moderner Techniken automatisierten Endpoint-Schutz, Bedrohungserkennung und schnelle Reaktion auf eine Vielzahl von Sicherheitsproblemen, einschließlich Ransomware und dateiloser Bedrohungen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.