Was ist RaaS (Ransomware as a Service)
Ein Geschäftsmodell namens RaaS (Ransomware as a Service)findet zwischen Ransomware-Betreibern und verbundenen Unternehmen statt, wobei die verbundenen Unternehmen die Betreiber dafür bezahlen, Ransomware-Angriffe zu initiieren. „Do it yourself“-RaaS-Kits Sie ermöglichen es Partnern, schnell und kostengünstig loszulegen, selbst wenn sie nicht über das Wissen oder die Zeit verfügen, ihre eigene Art von Ransomware zu entwickeln.
Im Dark Web werden RaaS-Dienstangebote ähnlich beworben wie Produkte im Internet beworben werden.
So funktioniert RaaS
Malware-Autoren vermieten ihre Malware und die Infrastruktur, die sie erstellt und betrieben hat, über ein Cloud-Computing-Unternehmen namens MaaS (Malware as a Service) an andere Cyberkriminelle.
Da Kunden auf Software und Infrastruktur zugreifen können, ohne diese installieren und warten zu müssen, ist MaaS mit Software-as-a-Service-Modellen (SaaS) vergleichbar.
MaaS und RaaS (Ransomware-as-a-Service) unterscheiden sich darin, dass MaaS zur Verbreitung verschiedener Formen von Malware verwendet wird, während RaaS nur zur Verbreitung von Ransomware dient.
Vom Funktionsumfang her sind die beiden Dienste gleichwertig, sie unterscheiden sich lediglich in der Art der Virenverbreitung. Sowohl MaaS als auch RaaS berechnen den Kunden einen Preis für die Nutzung des Dienstes und beide bieten technischen Support und Verwaltungstools.
Das MaaS-Modell
Das MaaS-Modell (Malware as a Service) ist eine bösartige Form des SaaS-Konzepts (Software as a Service).
Das RaaS-Modell ist eine Teilmenge verschiedener MaaS-Modelle, die es Personen ohne vorherige Schulung oder Erfahrung leicht macht, erhebliche Vorteile aus böswilligen Angriffen zu ziehen.
RaaS beinhaltet ein sehr umfangreiches Paket an Diensten und Anleitungen. Das Paket umfasst: die kompilierte Ransomware oder ihren Quellcode, Tools zum Anpassen der Ransomware, Programme, die Daten vor der Verschlüsselung extrahieren, Infrastruktur zur Verwaltung der Ransomware, ein Control Panel, technischen Support, ein privates Forum zum Austausch von Informationen.
RaaS-Geschäftsmodelle
Abhängig von der Aufteilung der RaaS-Gewinne und den vorab festgelegten Aufgaben der Betreiber und verbundenen Unternehmen, bei denen jedem eine bestimmte Rolle zugewiesen wird, gibt es unterschiedliche Geschäftsmodelle.
Die gängigsten Geschäftsmodelle sind die folgenden:
- monatliche Abonnements anbieten,
- Angebot von Gewinnbeteiligungsvereinbarungen mit einem festgelegten Prozentsatz
- Nutzung von Affiliate-Marketing.
Die Gewinnbeteiligungsvereinbarung, bei der das Lösegeld zwischen dem Ransomware-Betreiber und einem verbundenen Unternehmen aufgeteilt wird, ist das am weitesten verbreitete Einnahmemodell.
Obwohl etwas seltener, werden andere Einnahmemodelle immer noch verwendet.
Um eine einmalige Pauschalgebühr zu erheben, muss der Affiliate dem Betreiber eine einmalige Gebühr für die Nutzung des RaaS-Kits zahlen. Monatliche Abonnementpläne sind vergleichbar, der Partner zahlt jedoch laufende Kosten.
Vielmehr entschädigt der Betreiber beim Affiliate-Marketing den Affiliate für jeden erfolgreichen Angriff.
Wie Ransomware geboren wurde
In der Vergangenheit wurden Ransomware-Angriffe automatisiert und in viel geringerem Umfang durchgeführt als heute.
Das funktionierte so: Eine Massen-E-Mail wurde mit einem Anhang verschickt und als der Empfänger darauf doppelklickte, wurde die Ransomware auf seinem Computer ausgeführt. Der Computer des Benutzers wurde gesperrt und er wurde aufgefordert, etwa 300 US-Dollar in Bitcoin zu zahlen, um ihn zu entsperren. Die Angreifer verschickten eine große Anzahl dieser E-Mails, die Daten vieler Empfänger wurden verschlüsselt gesperrt und viele von ihnen zahlten den Angreifern ein paar hundert Dollar. In der Praxis war dies das Geschäftsmodell der „alten Zeit“.
Doch dann sahen Ransomware-Gruppen eine große Chance.
Die Entwicklung von Ransomware-Angriffen
Ransomware-Angriffe erfolgen heute gezielter als je zuvor, da RaaS-Angriffe auf Ad-Personam-Basis abgewickelt werden. Gezielte Angriffe sind viel schädlicher als der Versand von Massen-E-Mails.
Angreifer investieren mehr Zeit, Ressourcen und Aufwand in gezielte Angriffe, um sich Zugang zum Unternehmensnetzwerk zu verschaffen und Informationen zu stehlen. Diese Angriffe verschaffen sich häufig Zugang, indem sie bekannte Sicherheitslücken ausnutzen.
RaaS-Partner können genau wählen, wann sie einen Angriff starten, da RaaS-Angriffe individuell gezielt und verwaltet werden. Dazu gehört auch, Zeiten zu nutzen, in denen Unternehmen am stärksten gefährdet sind, etwa Wochenenden oder Feiertage.
Für Angreifer ist die erste Phase des Angriffs die wichtigste, da das Eindringen, die Datenverschlüsselung und der Datendownload abgeschlossen sein müssen. Der Datendownload erfolgt, um im Falle einer Zahlungsverweigerung mehr Druck auf das Unternehmen auszuüben, da in diesem Fall die Daten öffentlich gemacht oder im Dark Web an Personen verkauft würden, die sie illegal nutzen könnten.
Eine der größten Innovationen im RaaS-Bereich in den letzten Jahren war der Einsatz doppelter Erpressungsmethoden, bei denen Angreifer Daten stehlen, bevor sie sie verschlüsseln, und drohen, sie zu veröffentlichen, wenn das Lösegeld nicht gezahlt wird.
Doppeltes Erpressungsmodell
Leider kommt es in den letzten Jahren immer häufiger zu Doppelerpressungen. Die von Unternehmen gestohlenen Daten werden geleakt, um den Zugriff auf die Daten nachzuweisen und die Verhandlungen zu beschleunigen. Sogar einige Bands machen sich nicht mehr die Mühe, die Daten zu verschlüsseln, da das wirtschaftliche Ergebnis ohnehin erzielt wird.
In den letzten Jahren sind sich Unternehmen der Risiken eines Ransomware-Angriffs deutlich bewusster geworden und haben sich aus diesem Grund mit deutlich häufigeren Backups ausgestattet. Im Falle der Datenverschlüsselung sind sie also deutlich weniger anfällig. Vielmehr ist die öffentliche Verbreitung von Daten stets mit gravierenden Reputationsschäden und Kosten durch Funktionseinbußen verbunden.
Verkauf des Zugangs
In jüngster Zeit wurde bekannt, dass Kriminelle nach einem Ransomware-Angriff Nachrichten und Beweise für den Einbruch im Dark Web verbreiteten, um Zugang zum Unternehmensnetzwerk zu verkaufen. Wir haben Werbeanzeigen dieser Art gesehen, in denen neben dem Verkauf des bereits gestohlenen Datenpakets auch der Zugang zum Netzwerk versprochen wird. Auf diese Weise können Kriminelle eine Auktion zwischen dem durch die Ransomware geschädigten Unternehmen und jedem Käufer eröffnen, der vertrauliche Informationen des Unternehmens in Besitz nehmen möchte.
Es wird geschätzt, dass rund 80 % der Unternehmen bereit sind, das Lösegeld zu zahlen. Opfer von Ransomware zu werden, ist jedoch immer traumatisch und kann das Wachstum Ihres Unternehmens bremsen. Für Unternehmen ist es zwingend erforderlich, strenge Sicherheitsmaßnahmen zu ergreifen, um sich vor dieser Katastrophe zu schützen, die die Entwicklung und Produktivität der Unternehmen selbst ernsthaft gefährdet.