Ransomware
Ransomware-as-a-Service und Open-Source-Malware weiter auf dem Vormarsch
Ransomware als Cloud Service Geschäftsmodell
Ransomware ist nach wie vor zu lukrativ, um zu verschwinden. Seine Brillanz liegt in seiner Einfachheit und in der steten Weiterentwicklung. Dies macht es für Cyberkriminelle einfacher als je zuvor, diese Angriffsmethode weiterhin zu nutzen. Laut der Halbjahresaktualisierung des SonicWall Cyber Threat Report 2019 stieg das Ransomware-Volumen im ersten Halbjahr 2019 auf 110,9 Millionen – ein Anstieg von 15% gegenüber 2018.
Die alarmierendsten Ransomware-Daten stammen aus Großbritannien. Nach einem Rückgang der Ransomware um 59% im Jahr 2018 verzeichnete die Region im ersten Halbjahr einen Anstieg des Ransomware-Volumens um 195% gegenüber dem Vorjahr.
RaaS, Open-Source-Malware immer beliebter
Es geht aber mittlerweile nicht nur um Aufmerksamkeit. Weltweit orientieren sich Cyberkriminelle weiterhin an neuen Taktiken. Die exklusiven SonicWall-Daten belegen eine Eskalation von Ransomware-as-a-Service- (RaaS) und Open-Source-Malware-Kits im ersten Halbjahr 2019.
Cerber ist seit langem eine der mächtigsten und schädlichsten Ransomware-Familien, die im Einsatz sind. Dies liegt vor allem daran, dass es als ein Serviceangebot zu niedrigen monatlichen Preisen angeboten wird.
Andere Ransomware – wie HiddenTear und Cryptojoker – sind über Open-Source-Kits erhältlich. Dies bedeutet, dass Kriminelle mit sehr grundlegenden Codierungsfähigkeiten eine wirksame Open-Source-Malware erhalten können, de individuell an ihre Ziele angepasst werden kann. In vielen Fällen ändert dies den Kern der Malware und hilft dabei, konventionelle Sicherheitskontrollen zu umgehen, die nur auf Signaturen beruhen (z.B. Virenschutz und nicht unterstützte Firewalls).
Alleine im Juni 2019 verzeichneten die Security-Forscher von SonicWall Capture Labs mehr als 3 Millionen Treffer mit der RaaS-Signatur Cerber.G_5.
Je mehr RaaS- und Open-Source-Optionen verfügbar sind, desto größer werden das Volumen und die Aggressivität von Ransomware-Angriffen. Da es nur relativ wenig echte Malware-Autoren gibt, die neue Ransomware erstellen, werden sie ihre Ideen und Programme verstärkt als Services zur Verfügung stellen, so dass Cyberkriminelle über eine Vielzahl von Varianten verfügen, die sie im Dark Web kaufen oder frei beziehen können.
Was ist Ransomware-as-a-Service (RaaS)?
Ransomware-as-a-Service oder RaaS unterscheidet sich nicht von legitimen Cloud-gehosteten Diensten, die von Unternehmen jeden Tag verwendet werden. Anstatt Software zu kaufen, kann man Servicebereitstellungsmodule abonnieren, um die Investitionskosten zu minimieren, stets über die neuesten Angebote verfügen zu können und entsprechenden Support zu erhalten.
Recht oder Unrecht, Geschäftsmodelle müssen sich immer mit der Verteilungsmethode befassen. Ob sie nun direkt, über einen Vertriebskanal, oder über eine Mischung aus beiden direkt an den Endverbraucher verkauft werden.
Gleiches gilt für Ransomware-Entwickler. Viele entscheiden sich dafür, ihren erfolgreichen Code als Kit zu verkaufen, wodurch viele Risiken und die aufwendige Distribution beseitigt werden können.
BleepingComputer hat über die Funktionsweise eines typischen Zahlungsmodells eine interessante Übersicht erstellt.
"Im Gegensatz zu den meisten Ransomware-as-a-Service-Angeboten muss ein potenzieller Angreifer für die Teilnahme, ein bestimmtes Mitgliedschaftspaket erwerben", so BleepingComputer. „Diese Pakete reichen von 90 USD, bei denen der Partner 85% der Lösegeldzahlungen verdient, bis zu 300 USD und 600 USD, bei denen der Partner alle Einnahmen behält und zusätzliche Vergünstigungen wie Salsa20-Verschlüsselung, verschiedene Ransomware-Varianten und verschiedene Optionen für Zahlungen mit Kryptowährung erhält.
An jedem Tag, an dem wieder ein neues Ransomware-Opfer bekannt wird, kann man klar erkennen, dass Ransomware präsent bleiben wird und in Zukunft auch wesentlich leichter und schneller eingesetzt werden kann. Daher sollten Unternehmen und Organisationen zeitnah in fortgeschrittene Security-Technologien investieren, um ihren Brand, die Netzwerke, ihre Daten und Kunden schützen zu können.
