Das „as a Service“-Geschäftsmodell erfreut sich bei Kriminellen einer rasant wachsenden Beliebtheit. Insbesondere steigt die Anzahl der gemieteten Ransomware-Attacken, bei denen Daten von Firmen verschlüsselt und nur gegen Lösegeld wieder freigegeben werden. Die Möglichkeit, auch ohne das nötige technische Know-how Firmen erpressen zu können, ist äußerst verlockend. Ein Beitrag von Parisa Kahani, Security Consultant bei Axians IT Security.

Ganze 13 Tage lang konnte ein Universitätsklinikum nach einem Ransomware-Angriff keine Notfall-Patienten mehr aufnehmen. Im Mai 2021 schaffte es die bekannte Ransomware, Darkside, den Betreiber der größten US-amerikanischen Pipeline für raffiniertes Öl lahm zu legen, was zu Versorgungsengpässen an der gesamten Ostküste der USA führte sowie globale Ölpreissteigerungen verursachte. Diese zwei Beispiele stammen aus völlig unterschiedlichen Bereichen, doch haben sie eine Gemeinsamkeit: Die verwendete Ransomware wird als RaaS vertrieben und angeboten und damit belegen diese Szenarien die eklatante Gefahr, die von solcher Malware ausgeht.

Laut Ransomeware Report 2022 von Sophos stieg die Anzahl der Angriffe auf Unternehmen um 78 Prozent gegenüber dem Vorjahr auf nun 66 Prozent. 65 Prozent der Angriffe führten zu Dateiverschlüsselungen. Die durchschnittlichen Kosten für die Unternehmen belaufen sich dabei auf 1,4 Millionen Dollar. Die Zahl der Ransomware-Angriffe steigt rapide an, weil mit dem Geschäftsmodell Ransomware as a Service nun auch technisch wenig versierte Kriminelle Zugang zu den nötigen Tools und professionellen Support bekommen.

Ransomware-Attacken buchbar im Darknet

Das „as a Service“ Geschäftsmodell erfreut sich in der IT-Welt schon lange großer Beliebtheit, immerhin können damit kleinere Unternehmen ihre IT-Abteilungen entlasten und Innovationen vorantreiben. Doch auch Kriminelle haben mittlerweile dieses Modell für sich entdeckt – Microsoft Security beobachtet bereits mehr als 35 Ransomware-Familien.

Mit derselben Professionalität wie seriöse Software-Unternehmen bieten RaaS-Provider ihre Ransomware potenziellen Kunden an. Das versetzt Kriminelle ohne technisches Know-how und Programmierkenntnisse ebenfalls in die Lage, komplizierte und lohnenswerte Ransomware-Attacken auszuführen. Dazu muss lediglich ein RaaS-Kit von einem RaaS-Anbieter gebucht werden. Generell werden die Geschäfte über Portale im Darkweb abgewickelt. Das Zahlungsmittel sind Kryptowährungen wie Bitcoin.

Der Kunde kann dabei frei nach eigenen Wünschen und Anforderungen das Malware-Kit selbst zusammenstellen. Und wie bei seriösen Anbietern üblich, gibt es eine Staffelung von Preisstufen. Die Zahlungsmodelle reichen dabei von festgelegten Gewinnbeteiligungen bis hin zu monatlichen Abos, ganz nach den Vorstellungen des Kunden. Ebenfalls wie bei seriösen Software-Dienstleistern üblich, bieten auch RaaS-Anbieter neben der eigentlichen Software noch viele andere Nebendienstleistungen: Aufbereitungen von Dashboards, Informationen zu erfolgreichen Infizierungen und eingegangenen Zahlungssummen, Dokumentationen und Technik-Support können je nach Preisstufe zur eigentlichen Software dazu gebucht werden.

Schutzmöglichkeiten vor RaaS-Attacken

Ein effektiver Schutz vor RaaS-Attacken erfordert eine durchdachte Kombination unterschiedlicher Maßnahmen. Neben technischen Schutzlösungen, sicherem Umgang mit Zugangsdaten und regelmäßigen Sicherheitsupdates für alle Systeme und Programme sollten auch gezielte Schulungen für das Personal nicht vernachlässigt werden. Denn Malware-Attacken beruhen oft auf der erfolgreichen psychischen Manipulation der Mitarbeitenden mitten im Firmen-Alltagsstress, zum Beispiel mit einer Phishing-Mail.

Für RaaS-Angriffe werden Credentials benötigt. Bei fast allen Attacken, bei denen die Bereitstellung von Ransomware erfolgreich war, hatten die Angreifer Zugriff auf ein Domänenkonto auf Administrator-Ebene oder lokale Administrator-Kennwörter, die in der gesamten Umgebung einheitlich waren. Daher ist der Aufbau einer Credential-Hygiene und Kennwort-Richtlinie in Unternehmen dringend erforderlich. Kompromittierte Zugangsdaten sind für diese Angriffe so wichtig, dass Kriminelle beim Handel mit unrechtmäßigem Zugang zu einem Netzwerk in vielen Fällen direkt ein garantiertes Administratorkonto im Preis inkludieren.

Als allererste Sicherheitsmaßnahme gilt jedoch immer noch das regelmäßige Erstellen und Testen von Backups. Da Ransomware-Angriffe vor allem auf das Abgreifen, Verschlüsseln und neuerdings das Leaken der Daten abzielen, sind Pläne für die Datensicherung und Wiederherstellung oberste Pflicht. Daneben gibt es noch weitere sinnvolle technische Maßnahmen wie etwa Netzwerk-Segmentierung, Mail Security und Anti-Phishing, Mitarbeiter Schulungen, System Updates und Patches, Credential-Hygiene, Multifaktor-Authentifizierung und XDR-Endpunktsicherheit. Security-Expert:innen von ITC-Dienstleistern wie beispielsweise Axians helfen dabei, eine sinnvolle Sicherheitsarchitektur zu implementieren und zu managen. Die eigene IT-Abteilung wird somit entlastet.

Folgen bei nicht ausreichendem Schutz

Wenn Unternehmen bei Schutzmaßnahmen nachlässig sind, drohen durch entstandene Schäden und eventuelle Strafen enorme Kosten, aber auch der Vertrauensverlust der Kunden sollte nicht unterschätzt werden. Dieser kann zukünftige Geschäfte empfindlich beeinträchtigen. Ein Musterszenario des GDF Cyberreport 2021 rechnet für eine bespielhafte Ransomware-Attacke mit 40.000 Euro Versicherungs-Kosten allein für Forensik und Wiederherstellung der Daten. Dazu kommen noch 45.000 Euro Kosten für Betriebsunterbrechung und noch weitere 50.000 für Kundeninformation und Krisenkommunikation. Vor allem bei mittelständischen Unternehmen verursachen solche Maßnahmen also empfindliche Einbußen im Haushalt, selbst wenn das Lösegeld nicht gezahlt wird.

Das bekannteste RaaS-Beispiel, neben dem eingangs erwähnten Darkside, ist wohl Emotet. Nach einem Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat allein Emotet weltweit einen Schaden von rund 2,5 Milliarden US-Dollar versursacht. Dieser Wert setzt sich aus sabotierter IT-Infrastruktur und erpressten Lösegeldern zusammen. Zwar war es den Behörden im Januar 2021 möglich, die In-frastruktur dieser Ransomware zu übernehmen und zu zerschlagen, aber das ist kein Grund für Entwarnung. Denn aktuell beobachten Experten schon erste Nachahmer der Emotet-Architektur.

RaaS-Attacken vorbeugen

Auch in Zukunft wird die Bedrohung durch Ransomware-Attacken weiter ansteigen. RaaS ermöglicht immerhin auch technisch nicht versierten Kriminellen einen bequemen Weg, horrende Lösegelder zu erpressen. Die Anbieter von RaaS-Kits profitieren dabei in zweierlei Hinsicht. Sie können ihre Einnahmen weiter steigern, während das Risiko von Strafverfolgung vermindert wird. Den eigentlichen Hack führen nämlich nun andere durch. Wirkungsvolle Schutzmaßnahmen für Unternehmen sind regelmäßige Backups, Mitarbeiterschulungen, System Updates und Patches, Credential-Hygiene und erweiterte intelligente Cyber-Security-Lösungen. Somit werden Angriffe gestoppt, bevor überhaupt Schaden entstehen kann.