Was ist Ransomware-as-a-Service?
Ransomware-as-a-Service ist ein Geschäftsmodell, bei dem Ransomware-Betreiber und Dritte, sogenannte „Affiliates“, zusammenarbeiten, um Ransomware-Angriffe durchzuführen. RaaS wurde erstmals in 2012 mit der Ransomware-Variante Reveton identifiziert und hat sich im darauffolgenden Jahrzehnt zu einer ausgeklügelten und sich ständig weiterentwickelnden Taktik der Cyberkriminalität entwickelt.
Beim Ransomware-as-a-Service-Modell schreiben Ransomware-Entwickler (sowohl Einzelpersonen als auch Organisationen, sogenannte Ransomware-Gruppen oder -Banden) ihre eigene Software und leihen diese gegen eine Gebühr an andere Personen und Gruppen. Diese wiederum nutzen diese Software dann, um verschiedenste Ransomware-Angriffe durchzuführen. Dieses Modell kann auch Vermittler für den Erstzugang (Initial Access Broker, IABs) umfassen, die sich darauf spezialisiert haben, Zugang zu Organisationen in aller Welt zu erhalten. Die Affiliates zahlen oft, um leichter Zugang zu den IT-Umgebungen ihrer Opfer zu erhalten oder arbeiten mit IABs zusammen.
Auch wenn das oben beschriebene Modell das gängigste ist, kann es weiter spezialisiert werden, indem verschiedene Cyberkriminelle vor, während und nach einem Angriff bestimmte Rollen spielen. So können sich bestimmte Betreiber auf das Schreiben spezifischer, hocheffektiver Malware-Varianten konzentrieren, während andere Affiliates möglicherweise Experten für den Erstzugang, die Erforschung und die Ausnutzung bestimmter Schwachstellen oder andere Taktiken sind. Darüber hinaus bieten viele Betreiber komplette Ransomware-Kits an, die Zugangsanweisungen, die erforderliche Malware und vieles mehr enthalten und so einen optimierten Angriffsprozess für technisch weniger versierte Affiliates bieten. Dieses Geschäftsmodell hat in den letzten Jahren direkt zur Zunahme von Ransomware-Angriffen beigetragen.
Erfahren Sie weitere Details über Ransomware auf unserer interaktiven Seite.
So funktioniert das RaaS-Modell
Die Betreiber erstellen Ransomware-Malware, die auch als Ransomware-Variante bezeichnet wird, während die Affiliates die Variante von den Betreibern erwerben und häufig den Angriff leiten. Die Preiskomponente des Modells kann, wie wir weiter unten erläutern werden, je nach Betreiber variieren. Des Weiteren können Initial Access Broker in das Modell einbezogen werden und den Affiliates helfen, den Angriff durchzuführen, indem sie Zugang zu den Opferorganisationen verkaufen.
Wie kommen Betreiber, Affiliates und andere zusammen, um Organisationen rund um den Globus zu Fall zu bringen und mit Millionen davonzukommen?
Die Vorgehensweise unterscheidet sich nicht wesentlich von seriösen „As-a-Service“-Organisationen, was zweifellos zum RaaS-Boom und der daraus resultierenden Rentabilität für die Beteiligten beigetragen hat.
Das Ransomware-as-a-Service-Modell umfasst folgende Komponente:
1. Ransomware-Betreiber überwachen die Entwicklung von Ransomware-Varianten und deren Verteilung an Affiliates
2. Ransomware-Affiliates kaufen die Ransomware-Variante sowie andere von den Betreibern entwickelte Tools und starten einen Ransomware-Angriff auf eine oder mehrere Organisationen
3. Beide Gruppen teilen den Gewinn gemäß den Bedingungen der Vereinbarung auf
Diese Arbeitsteilung hat sich als erfolgreich erwiesen, da sie es beiden Gruppen ermöglicht, mehr Angriffe zu starten, um Gewinne entsprechend zu maximieren. Des Weiteren befähigt sie Amateur-Cyberkriminelle, denen es möglicherweise an technischer Erfahrung fehlt, den Einstieg in das Ökosystem zu schaffen.
Gängige RaaS-Preisgestaltung:
- Affiliates zahlen den Betreibern eine pauschale, monatliche Gebühr
- Affiliates zahlen den Betreibern einen Prozentsatz ihres Gewinns
- Affiliates zahlen eine einmalige Lizenzgebühr für die Nutzung der Ransomware-Variante
- Affiliates und Betreiber teilen alle Gewinne und arbeiten vor, während und nach dem Angriff zusammen
Diese Preismodelle werden genauestens überwacht, wobei jeder Cent verbucht wird. Viele Ransomware-Betreiber verwenden ausgeklügelte Portale, auf denen Abonnenten und Affiliates Lösegeldzahlungen, den Status von Angriffen und mehr verfolgen können.
Ein weiterer beliebter Bestandteil nicht nur des RaaS-Modells, sondern auch von Ransomware im Allgemeinen ist die Doppel- und Dreifach-Erpressung. Die doppelte Erpressung, bei der die Ransomware-Affiliates sowohl Dateien verschlüsseln als auch exfiltrieren, um die Zahlung sicherzustellen, ist seit ihrer Einführung im Jahr 2019 zur Norm für Cyberkriminelle geworden. Die dreifache Erpressung, bei der Cyberkriminelle exfiltrierte Daten verwenden, um einen weiteren Anreiz für die Zahlung von Lösegeld während des Angriffs zu schaffen, oder versuchen, Geld direkt von den einzelnen Opfern des Datendiebstahls zu erpressen, hat in den letzten Jahren ebenfalls zugenommen. Zusätzliche Taktiken der dreifachen Erpressung können die Verschlüsselung weiterer Bestandteile der Unternehmensumgebung oder die Bedrohung durch einen zweiten Angriff sein.
Berüchtigte Ransomware-Gruppen
Da Ransomware immer beliebter und lukrativer geworden ist, haben sich viele Betreiber in Gruppen oder Banden organisiert, um größere und häufigere Angriffe mit hohem Auszahlungspotenzial durchzuführen. Diese Banden entwickeln Malware intern und sind dafür bekannt sind, auch vollständige Angriffe intern durchführen. Jedoch nutzen sie in den meisten Fällen das RaaS-Modell, indem sie ihre Variante an Partner verkaufen und so die Anzahl der möglichen Angriffe in einem bestimmten Zeitrahmen erhöhen.
Schauen wir uns Akira an, das aus der Asche der RaaS-Gruppe Conti auferstanden ist und laut dem US-amerikanischen Amt für Informationssicherheit eine erfolgreiche Laufbahn hingelegt hat. Innerhalb nur eines Tages veröffentlichte die RaaS-Gruppe im Herbst 2024 die exfiltrierten Daten von mehr als 35 Organisationen, die Opfer von Ransomware geworden waren, im Darknet. Ihre kontinuierlichen Angriffe, bei denen sie mit Affiliates zusammenarbeiten und sowohl Phishing als auch Spear-Phishing für den Erstzugang einsetzen und eine durchschnittliche erste Lösegeldforderung von über 300,000 US-Dollar stellen, zeigen, wie effizient und lukrativ das RaaS-Modell tatsächlich sein kann.
Laut Arctic Wolfs eigener Forschung, die aus Hunderten von weltweiten Digital Forensics und Incident Response (DFIR) Einsätzen stammt, sind die Ransomware-Gruppen, die am häufigsten in den von Arctic Wolf® Incident Response untersuchten Fällen auftraten, folgende:
1. Akira (15 % der Angriffe)
2. LockBit (9 % der Angriffe)
3. BlackSuit (6 % der Angriffe)
4. Fog (5 % der Angriffe)
5. Play (4 % der Angriffe)
Dass Akira in diesem Jahr die Liste anführt und LockBit, das mit alarmierender Häufigkeit Organisationen kritischer Infrastrukturen ins Visier nimmt, Silber mit nach Hause nimmt, sollte keine Überraschung sein. Beide Gruppen sind sehr produktiv. Akira listet 215 Opfer auf ihrer Leak-Site auf, und obwohl eine Strafverfolgung darauf abzielte, LockBit Anfang 2024 auszuschalten, ist die Gruppe noch immer aktiv und hat sogar eine neue Ransomware-Variante für 2025 angekündigt.
Die obigen Zahlen berücksichtigen alle Angriffe, bei denen Ransomware-Varianten einer bestimmten Bedrohungsgruppe zugeordnet werden konnten, einschließlich der Angriffe, die von cyberkriminellen Banden selbst durchgeführt wurden, sowie der Angriffe, die von Affiliates unter Verwendung der Ransomware-Varianten einer Bande durchgeführt wurden.
Auch wenn RaaS ähnlich wie legitime Organisationen operieren, existieren sie immer noch in der Welt der Cyberkriminalität, d. h. Ransomware-Gruppen tauchen auf, verschwinden wieder und passen ständig ihre Taktiken an, um eine Strafverfolgung oder Aufdeckung zu vermeiden. Darüber hinaus arbeiten die Betreiber mit mehreren Affiliates zusammen, und die Affiliates verwenden möglicherweise mehrere Ransomware-Varianten der Betreiber, was die Grenzen weiter verwischt. Tatsächlich beobachtete das Arctic Wolf Incident Response-Team im Jahr 2024 mehr als 50 verschiedene Gruppen von Bedrohungsakteuren, die in den Umgebungen der Opfer operierten, was verdeutlicht, wie weitreichend und oft schwer zu erfassen dieses Modell geworden ist.
Erfaren Sie mehr Details über diese Ransomware-Gruppen, einschließlich ihrer bevorzugten Taktiken, Zielbranchen und Verhaltensweisen.
Warum RaaS so beliebt ist
Ransomware-as-a-Service ist ein wichtiger Bestandteil der Bedrohungslandschaft geworden.
Zwar lassen sich nicht alle Ransomware-Angriffe auf das RaaS-Modell zurückführen, doch die kontinuierliche Zunahme von Ransomware-Angriffen – laut dem 2024 IBM® X-Force® Threat Intelligence Index machen sie 20 % aller Vorfälle von Cyberkriminalität aus – spiegelt sich in der Zunahme von Ransomware-Gruppen, Leak-Sites und schlagzeilenträchtigen Hacks wider. Arctic Wolfs eigene Forschung bestätigt dies, denn 45 % der von Arctic Wolf in 2024 befragten Organisationen gaben zu, in den letzten 12 Monaten Opfer eines Ransomware-Angriffs geworden zu sein.
Wenn man sich die finanzielle Seite ansieht, ist es leicht zu erkennen, warum RaaS zur Norm wird. Die durchschnittliche Lösegeldforderung im Jahr 2024 lag bei 600.000 US-Dollar. Die oben genannten Ransomware-Gruppen begannen ihre Forderungen mit 300.000 US-Dollar bis 5,5 Millionen US-Dollar, laut den internen Daten der Arctic Wolf Incident Response. Wenn ein RaaS-Betreiber seine Variante immer wieder verkauft und dabei zumindest einen Teil des ursprünglich geforderten Lösegelds zurückerhält, kann eine Person oder Bande so schnell mit Millionen davonkommen.
Die höchste jemals gezahlte Lösegeldsumme wurde ebenfalls im Jahr 2024 verzeichnet. Ein börsennotiertes Unternehmen zahlte der Ransomware-Gruppe Dark Angels satte 75 Millionen US-Dollar. Während die vollständigen Einzelheiten bisher nicht bestätigt wurden, scheint es, dass es sich dabei um einen Rabatt auf die ursprüngliche Lösegeldforderung handelte, wobei die Gruppe nicht einmal Ransomware in der Organisation des Opfers eingesetzt hat, sondern stattdessen die Daten exfiltriert und eine Zahlung verlangt hat, um deren Veröffentlichung zu verhindern.
Es gibt verschiedene Gründe, warum Cyberkriminelle dieses Modell nutzen, um Angriffe auszuführen und und Gewinne zu erzielen:
1. Die Arbeitsteilung erhöht die Anzahl der Angriffe, die Gruppen durchführen können
2. Die Möglichkeit, komplizierte Malware oder komplette Ransomware-Kits zu erwerben, senkt die Einstiegshürde für unerfahrene Bedrohungsakteure
3. Organisationen, insbesondere solche mit wenig Toleranz für Ausfallzeiten, zahlen nach wie vor Lösegelder (83 % der Opfer zahlten laut einer kürzlich durchgeführten Umfrage von Arctic Wolf)
4. Bei den meisten Ransomware-Vorfällen werden Daten exfiltriert, die diese Gruppen dann im Darknet verkaufen können, wenn die Organisation nicht zahlt
5. Das Modell des organisierten Verbrechens ermöglicht Anpassungsfähigkeit und Opportunismus, selbst angesichts von Razzien der Strafverfolgungsbehörden
So können Sie sich gegen RaaS-Angriffe schützen
Ransomware ist besonders heimtückisch, weil es keine einzelne Hauptursache für den Angriff gibt. Ransomware selbst bezieht sich auf die Malware, die zur Verschlüsselung und möglicherweise zur Exfiltration von Daten eingesetzt wird, und nicht auf die Methode, mit der dies geschieht. Während es gängige Taktiken, Techniken und Verfahren in Ransomware gibt, die jedes Unternehmen kennen und überwachen sollte, besteht eine wichtige Möglichkeit zur Verhinderung von Ransomware-Angriffen jedoch darin, nach Vorläufern Ausschau zu halten.
Häufige Vorläufer von Ransomware:
- Ungewöhnlicher Zugriff auf die Umgebung oder verdächtige Benutzeraktivitäten, die mit lateralen Bewegungen oder einer Privilegienerweiterung einhergehen
- Datenverschiebungen, einschließlich Änderungen von Dateiberechtigungen oder Daten, die das Netzwerk verlassen
- Erkennung von Malware, insbesondere eines Infostealers oder anderer Malware zur Datenexfiltration
Die beste Art, sich gegen einen Ransomware-Angriff zu verteidigen, besteht jedoch darin, vorbereitet zu sein und Maßnahmen zu ergreifen, die einen Angriff verhindern oder die potenziellen Auswirkungen abmildern. Proaktive Schritte, die eine Organisation unternehmen kann:
1. Durchführung grundlegender Dateisicherungen. Diese kleine Maßnahme kann im Falle eines Ransomware-Angriffs einen großen Unterschied machen, da sie vor doppelter Erpressung schützt. Laut Arctic Wolf haben zuverlässige Backups den Wiederherstellungsprozess bei 68 % der Ransomware-Vorfälle unterstützt. In vielen Fällen machte dies eine Auszahlung überflüssig, da es dadurch eine Alternative für eine ausreichende Wiederherstellung gab.
2. Sicherung der Cloud. Die Cloud kann nicht nur einen ersten Zugang für Bedrohungsakteure bieten, sondern mit der Ausweitung der Datenspeicherung und der betrieblichen Anwendungen auf die Cloud ist es auch wahrscheinlich, dass Bedrohungsakteure ihren Weg dorthin finden. Wenn Sie sich Ihrer Verantwortung in Cloud Security bewusst sind und auf Fehlkonfigurationen achten, können Sie diesen Teil der Angriffsfläche erheblich stärken.
3. Durchsetzung von Identitäts- und Zugangskontrollen. Identität ist ein immer mehr umkämpftes Gebiet. Dabei sind es nicht nur Zugangsdaten, die vermehrt für den ersten Zugang verwendet werden. Arctic Wolf fand außerdem heraus, dass ungesicherte Remote-Desktop-Protokolle (RDP) und kompromittierte VPN-Zugangsdaten die Hauptursachen für Ransomware und Eindringlinge sind. Indem sie eine Identitätsüberwachung, Multi-Faktor-Authentifizierung (MFA) und die Durchführung umfassender Schulungen zum Sicherheitsbewusstsein implementieren, können Unternehmen diese Angriffsfläche weiter verstärken.
4. Durchführung eines risikobasierten Vulnerability Managements. Oft sind es bekannte, ungepatchte Schwachstellen, die es Bedrohungsakteuren ermöglichen, sich Zugang zu einem Netzwerk oder System zu verschaffen. Da die Zahl der kritischen Schwachstellen von Jahr zu Jahr weiter zunimmt, ist ein kontinuierliches Vulnerability Management für Organisationen nicht mehr optional.
5. Investieren Sie in Lösungen zur Überwachung, Erkennung und Reaktion rund um die Uhr, wie z. B. Managed Detection and Response (MDR). Um einen Ransomware-Angriff zu verhindern und zu stoppen, gibt es zwei Schlüsselkomponenten: Transparenz in Ihrer Umgebung und die Fähigkeit, Anomalien schnell zu erkennen. Der Arctic Wolf 2024 Security Operations Report hebt hervor, wie wertvoll diese Lösungen sein können, und stellt fest, dass „trotz der ständigen Bedrohung bei weniger als 2 % unserer MDR-Kunden Anzeichen für Ransomware-Aktivitäten entdeckt wurden“.
In der sich ständig weiterentwickelnden Bedrohungslandschaft von heute reicht es jedoch nicht aus, sich nur auf eine einzige Verteidigungsmethode zu konzentrieren. Ein operativer Ansatz für die Cybersecurity, bei dem mehrere Risikopunkte gleichzeitig und kontinuierlich angegangen werden, ist die einzige Möglichkeit, Ihr Cyberrisiko zu verringern und Ihr Sicherheitsniveau zu verbessern. Sicherheit ist ein Prozess. Deshalb sollte Organisationen kontinuierlich daran arbeiten, ihre Sicherheitsmaßnahmen zu verbessern, ihre Angriffsfläche zu verringern und ihre proaktiven Maßnahmen zu verstärken.
Erfahren Sie, wie ein Anbieter für Security Operations, wie Arctic Wolf, sowohl Spitzentechnologie als auch menschliches Fachwissen einsetzt, um Cyberrisiken zu reduzieren.
Erfahren Sie mehr über die Details und Gefahren von Ransomware, um Ihre Organisation besser zu schützen.
