Am häufigsten wurde Ransomware in den vergangenen sieben Jahren über Malware-as-a-Service (MaaS) verbreitet, wie aktuelle Kaspersky-Analysen zeigen. Sie macht 58 Prozent des Malware-as-a-Service-Marktes aus. Cyberkriminelle können sich kostenlos bei Ransomware-as-a-Service (RaaS) „anmelden“.
Sobald sie Partner des Programms werden, zahlen sie jedoch für den Dienst, nachdem der Angriff stattgefunden hat – 10 bis 40 Prozent des Lösegeldes der Opfer. Weiterhin können auch Infostealer, Botnets, Loader und Backdoors „gemietet“ werden.
Malware-as-a-Service (MaaS) beschreibt ein illegales Geschäftsmodell, bei dem Software vermietet wird, um Cyberangriffe durchzuführen. In der Regel wird den cyberkriminellen Nutzern solcher Dienste – neben technischem Support – ein persönliches Konto angeboten, über das sie den Angriff steuern können.
Ransomware als beliebtester Malware-as-a-Service
Eine Analyse durch Kaspersky-Experten zeigt nun, dass vor allem Ransomware im Rahmen von Malware-as-a-Service (MaaS) genutzt wird. Sie machte 58 Prozent aller Malware aus, die zwischen 2015 und 2022 im Rahmen der Dienste verbreitet wurde. Grundlage für die Analyse war die Untersuchung von 97 Malware-Familien, die über das Darknet und andere Internetquellen verbreitet wurden.
Cyberkriminelle können Ransomware-as-a-Service (RaaS) kostenlos „abonnieren“. Als Mitglied eines solchen Programms zahlen sie für den Dienst erst, nachdem der Angriff erfolgt ist. Die Zahlungssumme hängt dabei vom Anteil des vom Opfer gezahlten Lösegelds ab und liegt in der Regel zwischen 10 und 40 Prozent je Transaktion.
Ein Viertel der Malware-Familien sind Infostealer
Auch Infostealer sind weiterhin beliebt: Sie erreichen einen Anteil von 24 Prozent im untersuchten Zeitraum. Hierbei handelt es sich um Malware, die Daten wie Anmeldeinformationen, Passwörter, Bankkarten und -konten, Browserverläufe oder Krypto-Wallets stehlen kann. Infostealer-Services werden über ein Abonnementmodell bezahlt; der Preis liegt meist zwischen 100 und 300 US-Dollar pro Monat. Der Anfang Februar 2023 eingestellte Raccoon Stealer konnte beispielsweise für 275 US-Dollar pro Monat oder 150 US-Dollar pro Woche erworben werden. Die Konkurrenzsoftware RedLine kostet monatlich 150 US-Dollar, wobei laut den von den Betreibern im Darknet veröffentlichten Informationen auch eine lebenslange Lizenz für 900 US-Dollar erworben werden kann. Darüber hinaus bieten die Angreifer weitere kostenpflichtige Dienste an.
Neben Infostealern bilden Botnets, Loader und Backdoors 18 Prozent der Malware-Familien, die als Service verkauft werden. Oft werden solche Schadprogramme in einer Gruppe zusammengefasst, da sie ein gemeinsames Ziel haben: andere Malware auf das Gerät des Opfers zu laden und auszuführen.
Komponenten von MaaS und Rangordnung der Schadprogramme
Cyberkriminelle, die MaaS-Plattformen betreiben, werden in der Regel als Operators bezeichnet, während diejenigen, die diese Dienste kaufen, als Affiliates bekannt sind. Nach Vertragsabschluss mit den Operators erhalten die Affiliates Zugang zu allen notwendigen Komponenten von Malware-as-a-Service (MaaS), wie Command-and-Control-Panels (C2), Builders (Programme zur schnellen Erstellung einzigartiger Malware-Muster), Malware- und Schnittstellen-Upgrades, Support, Anleitungen und Hosting. Die Panels sind eine entscheidende Komponente, die es den Angreifern ermöglicht, Aktivitäten der infizierten Rechner zu kontrollieren und zu koordinieren. So können Cyberkriminelle beispielsweise Daten exfiltrieren, mit Betroffenen verhandeln, den Support kontaktieren, einzigartige Malware-Muster erstellen und vieles mehr.
Bestimmte Arten von Malware-as-a-Service (MaaS), wie Infostealer, ermöglichen es Affiliates, ihr eigenes Team zu bilden. Die Mitglieder eines solchen Teams werden Traffers genannt. Diese verbreiten Malware, um ihre Gewinne zu steigern und Zinsen, Boni und andere Zahlungen von den Affiliates zu erhalten. Traffers haben keinen Zugang zum C2-Panel oder anderen Tools. Ihr einziges Ziel ist es, die Verbreitung der Malware zu steigern. Dies gelingt ihnen meist, indem sie Samples als Cracks und Anleitungen zum Hacken legitimer Programme auf YouTube und anderen Websites tarnen.
„Schadprogramme wie beispielsweise der Matanbuchus-Loader zeigen im Laufe der Zeit Preisschwankungen – im Juni lag der Preis bei 4.900 US-Dollar pro Monat“, kommentiert Alexander Zabrovsky, Digital Footprint Analyst bei Kaspersky. „Diese Art von Malware ist teurer als Infostealer, da der Schadcode selbst komplexer ist. Gleichzeitig stellt der Operator die gesamte Infrastruktur zur Verfügung, so dass die Partner bei der Nutzung von Matanbuchus nicht extra für ein sicheres Hosting zahlen müssen. Die Anzahl der Abonnenten von Matanbuchus ist sehr begrenzt, was es den Angreifern ermöglicht, für längere Zeit unentdeckt zu bleiben.
Cyberkriminelle handeln aktiv mit illegalen Waren und Dienstleistungen, einschließlich Malware und gestohlenen Daten, in den Schattenbereichen des Internets. Je besser die Unternehmen verstehen, wie dieser Markt strukturiert ist, desto mehr können sie über die Methoden und Motivationen potenzieller Angreifer erfahren. Ausgestattet mit diesen Informationen können wir Unternehmen verstärkt darin unterstützen, wirksame Strategien zum Schutz vor Cyberangriffen zu entwickeln, da wir Aktivitäten von Cyberkriminellen erkennen und überwachen, den Informationsfluss verfolgen und uns über neue Bedrohungen und Trends auf dem Laufenden halten können.“
Kaspersky-Empfehlungen zum Schutz vor MaaS
- Die Software auf allen verwendeten Geräten stets auf dem neuesten Stand halten, um zu verhindern, dass Angreifer durch Ausnutzung von Schwachstellen in das Netzwerk eindringen. Weiterhin verfügbare Patches umgehend nach Bereitstellung installieren.
- Threat Intelligence nutzen, um über aktuelle TTPs, die von Bedrohungsakteuren eingesetzt werden, informiert zu sein.
- Services wie Kaspersky Digital Footprint Intelligence nutzen, die Sicherheitsanalysten eine externe Sicht auf Unternehmensressourcen erlaubt und so die Ergründung potenzieller Angriffsvektoren erlaubt. Dies trägt dazu bei, das Bewusstsein für bestehende Bedrohungen durch Cyberkriminelle zu schärfen, damit Unternehmen ihre Abwehrmaßnahmen entsprechend anpassen oder rechtzeitig Gegenmaßnahmen und deren Beseitigung ergreifen können.
- Im Falle eines Cybervorfalls Dienste wie Kaspersky Incident Response nutzen, die bei der Bekämpfung und Minimierung der Folgen, insbesondere bei der Identifizierung der gefährdeten Datenknoten und dem Schutz der Infrastruktur vor zukünftigen Angriffen, unterstützen.
Weitere Informationen zu Malware-as-a-Service sind hier verfügbar.
www.kaspersky.de