WAS IST Ransomware-as-a-Service (RaaS)?

Kurt Baker - Januar 10, 2022

Definition von Ransomware-as-a-Service (RaaS)

Für Ransomware-as-a-Service (RaaS) nutzen Ransomware-Entwickler dasselbe Geschäftsmodell wie seriöse Software-Entwickler – allerdings vermieten sie Ransomware-Varianten anstelle legitimer Software. RaaS bietet jedem die Möglichkeit, Ransomware-Angriffe zu starten – auch ohne umfangreiche technische Kenntnisse. Es muss lediglich ein Service gebucht werden.

Mithilfe von RaaS-Kits können böswillige Akteure, die weder die Fähigkeiten noch die Zeit haben, eigene Ransomware-Varianten zu entwickeln, schnell und günstig loslegen. Da diese Kits ähnlich wie normale Produkte im Open Web offen beworben werden, sind sie auch im Dark Web leicht zu finden.

Es gibt RaaS-Kits mit Rund-um-die-Uhr-Support, Paketangeboten, Benutzerbewertungen, Foren und anderen Features – genauso wie bei seriösen SaaS-Anbietern. Der Preis für RaaS-Kits reicht von 40 US-Dollar pro Monat bis zu mehreren tausend US-Dollar. Angesichts durchschnittlicher Lösegeldforderungen von 234.000 US-Dollar im 3. Quartal 2020 (Tendenz steigend) sind diese Preise äußerst gering. Bedrohungsakteure müssen nicht bei jedem Angriff Erfolg haben, um reich werden zu können.

Funktionsweise des RaaS-Modells

Es gibt vier gängige RaaS-Umsatzmodelle:

  • Monatsabonnement mit Pauschalgebühr
  • Partnerprogramme mit einem monatlichen Gebührenmodell, wobei jedoch ein Teil des Gewinns (in der Regel 20–30 %) an den RaaS-Betreiber geht
  • Einmalige Lizenzgebühr ohne Gewinnbeteiligung
  • Reine Gewinnbeteiligung

Kunden melden sich einfach beim RaaS-Portal an, erstellen ein Konto, zahlen mit Bitcoins, geben die gewünschte Art der Malware ein und klicken auf „Absenden“. Abonnenten können Zugang zu Support, Communitys, Dokumentation, Funktionsupdates und anderen Vorteilen erhalten – genau wie Abonnenten seriöser SaaS-Produkte. Die meisten erfahrenen RaaS-Betreiber bieten Portale, in denen ihre Abonnenten den Status ihrer Infektionen, alle Zahlungen, die Gesamtzahl verschlüsselter Dateien sowie weitere Details zu ihren Zielen einsehen können.

Der RaaS-Markt ist hart umkämpft. Neben RaaS-Portalen organisieren RaaS-Betreiber auch Marketing-Kampagnen und unterhalten Websites, die genau wie die Kampagnen und Websites Ihrer Firma aussehen. Sie erstellen Videos, Whitepaper und sind auf Twitter aktiv. RaaS ist ein Riesengeschäft: Mit Ransomware wurden 2020 Umsätze von insgesamt 20 Milliarden US-Dollar erzielt – nach 11,5 Milliarden US-Dollar im Jahr zuvor.

Zu den bekannten Beispielen für RaaS-Kits gehören Locky, Goliath, Shark, Stampado, Encryptor und Jokeroo, doch es gibt noch viele andere. RaaS-Betreiber verschwinden regelmäßig, um sich neu aufzustellen und anschließend mit neueren, besseren Ransomware-Varianten zurückkehren.

Beispiele für RaaS

DarkSide

DarkSide wird einer Cybercrime-Gruppe zugeordnet, die von CrowdStrike als CARBON SPIDER geführt und überwacht wird. Die DarkSide-Betreiber konzentrierten sich in der Vergangenheit vor allem auf Windows-Systeme. In letzter Zeit wurden die Aktivitäten auch auf Linux ausgeweitet und Unternehmensumgebungen angegriffen, die ungepatchte VMware ESXi-Hypervisoren ausführen. In anderen Fällen werden vCenter-Anmeldedaten gestohlen.

Am 10. Mai wies das FBI öffentlich darauf hin, dass der Colonial Pipeline-Zwischenfall durch die Ransomware DarkSide verursacht wurde. Später wurde berichtet, dass aus dem Colonial Pipeline-Netzwerk etwa 100 GB an Daten gestohlen wurden. Zudem heißt es, das Unternehmen hätte fast 5 Millionen US-Dollar an einen DarkSide-Partner gezahlt.

REvil

REvil (auch als Sodinokibi bekannt) wurde als Ransomware hinter einer der höchsten offiziellen Lösegeldforderungen in Höhe von 10 Millionen US-Dollar identifiziert. Sie wird von der kriminellen Gruppe PINCHY SPIDER verkauft, die RaaS unter dem Partnermodell anbietet und in der Regel 40 % vom Gewinn erhält.

Ähnlich wie bei den ersten Lecks von TWISTED SPIDER warnt PINCHY SPIDER seine Opfer vor dem geplanten Datenleck, in der Regel über einen Blog-Post auf ihrer Data Leak Site (DLS). Zum Beweis werden darin Beispieldaten aufgelistet (siehe unten), bevor nach einer gewissen Zeit der Hauptteil der Daten veröffentlicht wird. Das REvil-Erpresserschreiben enthält den Link zu diesem Blog-Post, in dem das betroffene Opfer das Leck sehen kann, bevor es der Öffentlichkeit zugänglich gemacht wird. Sobald der Link besucht wird, beginnt ein Countdown bis zur Veröffentlichung des Lecks.
example of reevil ransomware dls

Dharma

Angriffe mit der Ransomware Dharma konnten einer iranischen Gruppe mit finanziellen Interessen zugeordnet werden. Diese RaaS ist seit 2016 im Dark Web verfügbar und basiert hauptsächlich auf RDP-Angriffen (Remote Desktop Protocol). Angreifer fordern in der Regel 1–5 Bitcoins von ihren Opfern, die aus den verschiedensten Branchen kommen. Dharma wird im Gegensatz zu REvil und anderen RaaS-Kits nicht zentral kontrolliert.

Dharma-Varianten stammen aus vielen Quellen und die meisten Zwischenfälle, bei denen CrowdStrike Dharma als Täter identifizieren konnte, ergaben eine Übereinstimmung von fast 100 % bei den Schaddateien. Die einzigen Unterschiede waren die Verschlüsselungsschlüssel, die Kontakt-E-Mail sowie einige andere Punkte, die über ein RaaS-Portal angepasst werden können. Da Dharma-Angriffe fast immer gleich ablaufen, können Threat Hunter nicht viel über den Akteur hinter dem jeweiligen Angriff und seine Methode lernen.

LockBit

LockBit befindet sich mindestens seit September 2019 in der Entwicklung, ist als RaaS verfügbar und wird bei russischsprachigen sowie englischsprachigen Benutzern mit einem russischsprachigen Bürgen beworben. Im Mai 2020 hat ein Partner, der LockBit betreibt, damit gedroht, Daten in einem bekannten russischsprachigen kriminellen Forum zu veröffentlichen:

example of lockbit ransomware message

Neben der Bedrohung liefert der Partner Beweise wie den Screenshot eines Beispieldokuments aus den Daten des Opfers. Es ist bekannt, dass der Partner nach Ablauf der Frist einen mega[.]nz-Link postet, über den die gestohlenen Daten des Opfers heruntergeladen werden können. Dieser Partner hat damit gedroht, Daten von mindestens neun Opfern zu veröffentlichen.

See Crowdstrike Falcon In Action

Erfahren Sie, wie das von CIRCUS SPIDER eingerichtete Ransomware-Portal funktioniert und warum NetWalker sich als so erfolgreiche Ransomware-as-a-Service (RaaS) erwiesen hat.

Jetzt herunterladen

Verhindern von RaaS-Angriffen

Die Wiederherstellung nach Ransomware-Angriffen ist schwierig und kostspielig. Deshalb verhindert man sie am besten komplett. RaaS-Angriffe können mit denselben Maßnahmen wie alle anderen Ransomware-Angriffe verhindert werden. Letztendlich handelt es sich bei RaaS um Ransomware, die den böswilligen Akteuren der Einfachheit halber in Paketform angeboten wird.

  • Implementieren Sie zuverlässigen und modernen Endgeräteschutz, der komplexe Algorithmen abwehren kann und rund um die Uhr automatisch im Hintergrund arbeitet.
  • Führen Sie regelmäßige und häufige Backups durch. Wenn Sie Backups nur am Wochenende planen, riskieren Sie bei einem Ransomware-Angriff die Arbeit einer ganzen Woche.
  • Erstellen Sie mehrere Backups und speichern Sie sie auf separaten Geräten an verschiedenen Orten.
  • Testen Sie Ihre Backups regelmäßig, um sicherzustellen, dass sie auch tatsächlich abgerufen werden können.
  • Implementieren Sie ein striktes Patch-Programm, um sich vor bekannten und unbekannten Schwachstellen zu schützen.
  • Segmentieren Sie Ihr Netzwerk, um eine Verbreitung in der gesamten Umgebung zu verhindern.
  • Implementieren Sie umfassenden Phishing-Schutz.
  • Investieren Sie in Benutzerschulungen und entwickeln Sie eine Sicherheitskultur.

Get to Know the Author

Kurt Baker ist Leiter des Produkt-Marketings für Falcon Intelligence bei CrowdStrike. Er hat mehr als 25 Jahre Erfahrung in leitenden Positionen und sich dabei auf aufstrebende Software-Firmen spezialisiert. Seine Expertise erstreckt sich auf Cyberbedrohungsdaten, Sicherheitsanalysen, das Sicherheitsmanagement und den Schutz vor komplexen Bedrohungen. Bevor er zu CrowdStrike kam, hat Kurt Baker in technischen Positionen bei Tripwire gearbeitet und mit Partnern Startups in verschiedenen Märkten gegründet – von Unternehmenssicherheitslösungen bis hin zu mobilen Geräten. Er besitzt einen Abschluss als Bachelor of Arts der University of Washington und wohnt jetzt in Boston (Massachusetts).