Das stereotype Bild eines Cyberkriminellen in einem Kapuzenpulli, der von einem Keller aus operiert, verharmlost das Ausmaß der heutigen Ransomware-Operationen. Diese stellen dank Do-it-yourself-Ransomware-Kits eine der größten Bedrohungen für australische Unternehmen dar.
Die Umstellung auf die Subscription Economy hat eine neue Normalität in der As-a-Service-Welt geschaffen. Und es sind nicht nur Netflix und Spotify, die dieses Geschäftsmodell übernommen haben: Laut einer neuen Studie des Cyber Exposure-Unternehmens Tenable liegt einer der Hauptgründe für das Florieren von Ransomware in der Einführung von Ransomware-as-a-Service (RaaS), denn damit wurde Ransomware von einer relativ unbedeutenden Bedrohung plötzlich zu einem ernstzunehmenden Problem. Dank des Servicemodells ist die Einstiegshürde deutlich gesunken, sodass Cyberkriminelle, denen die nötigen technischen Kenntnisse fehlen, Ransomware als Massenware nutzen können.
Allein im Jahr 2020 haben Ransomware-Gruppen Berichten zufolge 692 Millionen USD mit ihren kollektiven Angriffen verdient – ein Anstieg um 380 % gegenüber den vorangegangenen sechs Jahren (144 Millionen USD von 2013-2019). Der Erfolg von RaaS hat zudem weitere Akteure wie Affiliates und Initial Access Brokers (IABs) auf den Plan gerufen, die im Ransomware-Ökosystem eine wichtige Rolle spielen – oftmals sogar wichtiger als die Ransomware-Gruppen selbst.
Affiliates, die zwischen 70 % und 90 % des Lösegelds verdienen, müssen die schmutzige Arbeit verrichten, um sich den Zugang zu Netzwerken zu verschaffen, und zwar mit bewährten Methoden wie Spearphishing, Brute-Force-Angriffen auf Remote-Desktop-Protokoll-Systeme (RDP), der Ausnutzung von ungepatchten oder Zero-Day-Schwachstellen und dem Kauf gestohlener Zugangsdaten aus dem Dark Web. Affiliates können auch mit sogenannten IABs zusammenarbeiten. Hierbei handelt es sich um Einzelpersonen oder Gruppen, die bereits Zugang zu Netzwerken erlangt haben und diesen an den Meistbietenden verkaufen. Ihre Gebühren reichen im Durchschnitt von 303 USD für Zugriff auf die Systemsteuerung bis hin zu 9.874 USD für RDP-Zugang.
Die Untersuchung zeigte, dass die gegenwärtige Vorherrschaft von Ransomware direkt mit dem Aufkommen einer als doppelte Erpressung bekannten Methode zusammenhängt. Bei dieser Taktik, die erstmals von der Ransomware-Gruppe Maze angewandt wurde, werden sensible Daten von Betroffenen gestohlen und es wird damit gedroht, diese Dateien auf Leak-Websites zu veröffentlichen. Zugleich werden diese Daten verschlüsselt, sodass die Geschädigten nicht darauf zugreifen können. Ransomware-Gruppen haben in jüngster Zeit eine Reihe weiterer Erpressungstechniken in ihr Repertoire aufgenommen, von der Durchführung von DDoS-Angriffen bis hin zur Kontaktaufnahme mit Kunden ihrer Opfer, wodurch es für Verteidiger noch schwieriger wird. Diese Taktiken sind Teil des Arsenals der Ransomware-Banden, um zusätzlichen Druck auf die betroffenen Unternehmen auszuüben.
„Mit RaaS und doppelter Erpressung wurde die Büchse der Pandora geöffnet, und Angreifer finden Löcher in unserer derzeitigen Verteidigung und profitieren davon. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sagte in seinem Bericht „Stand der IT-Sicherheit in Deutschland“, dass „der Schaden durch einen Ransomware-Angriff eine existenzielle Bedrohung für betroffene Organisationen darstellen kann“. BSI fügte hinzu, dass „im aktuellen Berichtszeitraum [1. Juni 2020 und 31. Mai 2021] eine erhebliche Ausweitung der von Cyberkriminellen eingesetzten Erpressungsmethoden zu verzeichnen war“, erklärt Satnam Narang, leitender Forschungsingenieur bei Tenable.
„Solange das Ransomware-Ökosystem weiter gedeiht, werden es auch die Angriffe auf Organisationen und Regierungen tun. Es ist zwingend erforderlich, dass sich diese Unternehmen im Voraus vorbereiten, damit sie in der bestmöglichen Position sind, sich gegen Ransomware-Angriffe zu verteidigen und darauf zu reagieren. Während Ransomware-Gruppen die größte Bekanntheit und Aufmerksamkeit für Angriffe erhalten, kommen und gehen diese Gruppen. Trotz der Fluktuation bleiben Affiliates und IABs prominente Fixpunkte in diesem Bereich und diesen beiden Gruppen sollte im Ökosystem insgesamt mehr Aufmerksamkeit geschenkt werden.“
www.tenable.com