Trace Id is missing

Ransomware-as-a-Service: Das neue Gesicht des industrialisierten Cyberverbrechens

Teilen
Zwei Pfeile, die eine Linie überlagern und in unterschiedliche Richtungen zeigen

 Das neueste Geschäftsmodell in der Welt der Cyberverbrechen – von Menschen durchgeführte Angriffe – spricht Kriminelle mit unterschiedlichen Fähigkeiten an.

Ransomware, eine der hartnäckigsten und am weitesten verbreiteten Cyberbedrohungen, entwickelt sich ständig weiter und stellt in ihrer neuesten Form eine neue Bedrohung für Unternehmen auf der ganzen Welt dar. Die Entwicklung von Ransomware stützt sich nicht unbedingt auf neue technologische Fortschritte. Vielmehr ist ein neues Geschäftsmodell entstanden: Ransomware-as-a-Service (RaaS).

Bei Ransomware-as-a-Service (RaaS) handelt es sich um eine Kooperation zwischen einem Betreiber, der die Tools zur Durchführung von Erpressungsaktionen entwickelt und pflegt, und einem Partner, der die Ransomware-Payload bereitstellt. Führt der Partner einen erfolgreichen Ransomware- und Erpressungsangriff durch, profitieren beide Parteien.

Das RaaS-Modell senkt die Einstiegshürden für Angreifer, die möglicherweise nicht über die Fähigkeiten oder technischen Ressourcen verfügen, ihre eigenen Tools zu entwickeln, aber wissen, wie sie vorgefertigte Penetrationstest- und Systemadministrator-Tools für Angriffe nutzen können. Diese einfacheren Kriminellen können auch einfach Zugang zu Netzwerken von einer raffinierteren kriminellen Gruppe kaufen, die bereits in einen Perimeter eingedrungen ist.

Obwohl RaaS-Partner Ransomware-Payloads verwenden, die von raffinierteren Betreibern bereitgestellt werden, gehören sie nicht derselben Ransomware-"Gang" an. Vielmehr handelt es sich um unabhängige Unternehmen, die im allgemeinen Wirtschaftsbereich der Cyberkriminalität tätig sind.

Erweiterung der Möglichkeiten von Cyberkriminellen und Förderung des allgemeinen Wirtschaftsbereichs der Cyberkriminalität

Das RaaS-Modell hat eine rasche Perfektionierung und Industrialisierung dessen ermöglicht, was weniger fähige Kriminelle erreichen können. In der Vergangenheit haben diese weniger raffinierten Kriminellen vielleicht mit Hilfe von selbst erstellter oder gekaufter Standard-Malware Angriffe von begrenztem Umfang durchgeführt. Jetzt können sie von ihren RaaS-Betreibern alles bekommen, was sie brauchen – vom Zugang zu Netzwerken bis hin zu Ransomware-Payloads (natürlich gegen Bezahlung). Viele RaaS-Angebote umfassen auch eine Reihe zusätzlicher Dienstleistungen zur Unterstützung von Erpressungen, darunter das Hosting von Leak-Sites und die Integration von Lösegeldforderungen sowie Entschlüsselungsverhandlungen, Zahlungsaufforderungen und Transaktionsdienste für Kryptowährungen.

Dies bedeutet, dass die Auswirkungen eines erfolgreichen Ransomware- und Erpressungsangriffs unabhängig von den Fähigkeiten des Angreifers die gleichen sind.

Ermittlung und Ausnutzung von Schwachstellen in Netzwerken – gegen Bezahlung

Eine Art, wie RaaS-Anbieter ihren Partnern einen Mehrwert bieten, ist die Bereitstellung von Zugang zu kompromittierten Netzwerken. Access Broker durchsuchen das Internet nach anfälligen Systemen, die sie für spätere Gewinnzwecke kompromittieren können.

Für eine erfolgreiche Aktion benötigen die Angreifer Zugangsdaten. Kompromittierte Zugangsdaten sind für diese Angriffe so wichtig, dass beim Verkauf von Netzwerkzugängen durch Cyberkriminelle in vielen Fällen ein garantiertes Administratorkonto im Kaufpreis inbegriffen ist.

Was die Kriminellen mit dem einmal erlangten Zugang machen, kann je nach Gruppe und deren Auslastung bzw. Beweggründen sehr unterschiedlich sein. So können zwischen dem erstmaligen Zugang und dem eigentlichen Angriff zwischen Minuten und Tagen oder mehr vergehen. Wenn es die Umstände erlauben, kann dem Opfer aber auch sehr schnell Schaden zugefügt werden. In der Tat wurde beobachtet, dass die Zeit zwischen dem ersten Zugriff und der vollständigen Lösegeldzahlung (einschließlich der Übergabe von einem Access Broker an einen RaaS-Partner) weniger als eine Stunde betragen kann.

Die Wirtschaft am Laufen halten – heimtückische Methoden für persistenten Zugang

Haben sich Angreifer erst einmal Zugang zu einem Netzwerk verschafft, werden sie es auch nach Erhalt des Lösegelds nur ungern wieder verlassen. Tatsächlich verringern Lösegeldzahlungen unter Umständen nicht das Risiko für das betroffene Netzwerk und dienen möglicherweise nur der Finanzierung von Cyberkriminellen, die weiterhin versuchen werden, Angriffe mithilfe verschiedener Arten von Malware oder Ransomware-Payloads zu monetarisieren, bis es gelingt, sie loszuwerden.

Die Übergabe zwischen verschiedenen Angreifern im Zuge von Übergängen in der der cyberkriminellen Ökonomie bedeutet, dass mehrere Aktivitätsgruppen in einer Umgebung fortbestehen können und sich dazu anderer Methoden bedienen als bei einem Ransomware-Angriff. Ein Beispiel: Der erste Zugriff, der durch einen Banking-Trojaner erlangt wurde, führt zu einer Cobalt Strike-Bereitstellung, aber der RaaS-Partner, der den Zugriff erlangt hat, könnte sich dafür entscheiden, ein Fernzugriffstool wie TeamViewer zu verwenden, um seine Kampagne durchzuführen.

Die Verwendung legitimer Tools und Einstellungen für die Persistenz anstelle von Malware-Implantaten wie Cobalt Strike ist eine beliebte Methode von Ransomware-Angreifern, um länger unentdeckt und in einem Netzwerk zu bleiben.

Eine weitere beliebte Angreifertaktik ist die Erstellung neuer Backdoor-Benutzerkonten, entweder lokal oder im Active Directory, die dann zu Remotezugriffstools wie einem virtuellen privaten Netzwerk (VPN) oder einem Remotedesktop hinzugefügt werden können. Es wurde auch beobachtet, dass Ransomware-Angreifer Systemeinstellungen ändern, um Remotedesktop zu aktivieren, die Sicherheit des Protokolls zu verringern und neue Benutzer zur Gruppe der Remotedesktopbenutzer hinzuzufügen.

Flussdiagramm zur Veranschaulichung, wie RaaS-Angriffe geplant und umgesetzt werden

Den am schwersten zu fassenden und gerissensten Gegnern der Welt entgegentreten

Eine der Besonderheiten von RaaS, die diese Bedrohung so schwerwiegend macht, ist die Tatsache, dass sie von menschlichen Angreifern ausgeht, die fundierte und durchdachte Entscheidungen treffen und Angriffsmuster auf der Grundlage dessen variieren können, was sie in den Netzwerken vorfinden, in denen sie sich befinden, um sicherzustellen, dass sie ihre Ziele erreichen.

Microsoft hat den Begriff "menschlich gesteuerte Ransomware" geprägt und diese Kategorie von Angriffen als eine Kette von Aktivitäten definiert, die in einer Ransomware-Payload gipfelt, und nicht als eine Reihe von Malware-Payloads, die es zu blockieren gilt.

Während die meisten Erstzugriffskampagnen auf automatisierter Aufklärung basieren, werden die Angreifer, sobald der Angriff in die praktische Phase übergeht, ihr Wissen und ihre Fähigkeiten nutzen, um zu versuchen, die Sicherheitsvorkehrungen in der Umgebung zu umgehen.

Ransomware-Angreifer sind auf schnelle Gewinne aus. Daher ist es wichtig, ihre Kosten durch verstärkte Sicherheitsmaßnahmen zu erhöhen und so ihr cyberkriminelles Geschäftsmodell zu durchkreuzen. Da die Entscheidungen bei diesen Angriffen von Menschen getroffen werden, bedeutet dies, dass selbst wenn Schutzprodukte bestimmte Angriffsphasen erkennen, die Angreifer selbst nicht vollständig abgewehrt werden; sie werden versuchen, weiterzumachen, wenn sie nicht durch eine Sicherheitskontrolle aufgehalten werden. Wird ein Tool oder eine Payload von einem Antivirenprodukt erkannt und blockiert, wechseln die Angreifer in vielen Fällen einfach zu einem anderen Tool oder ändern ihre Payload.

Die Angreifer kennen auch die Reaktionszeiten des Security Operations Centers (SOC) und die Möglichkeiten und Grenzen von Erkennungstools. Wenn der Angriff die Phase erreicht, in der Backups oder Schattenkopien gelöscht werden, sind es nur noch wenige Minuten bis zum Einsatz der Ransomware. Der Angreifer hat zu diesem Zeitpunkt wahrscheinlich bereits schädliche Aktionen wie Datenexfiltration durchgeführt. Dieses Wissen ist für SOCs entscheidend, um auf Ransomware reagieren zu können: Die Untersuchung von erkannten Elementen wie Cobalt Strike vor der Ransomware-Einsatzphase und die Durchführung von schnellen Abhilfemaßnahmen und Incident Response (IR)-Verfahren sind entscheidend für die Eindämmung eines menschlichen Angreifers.

Besserer Schutz vor Bedrohungen bei gleichzeitiger Vermeidung von Alarmmüdigkeit

Eine nachhaltige Sicherheitsstrategie gegen hartnäckige menschliche Angreifer muss Erkennungs- und Abwehrziele umfassen. Es reicht nicht aus, sich nur auf die Erkennung zu verlassen, da 1) einige Infiltrationsereignisse praktisch nicht erkannt werden können (sie wirken wie mehrere harmlose Aktionen) und 2) Ransomware-Angriffe nicht selten aufgrund von Alarmmüdigkeit übersehen werden, die durch eine Vielzahl verschiedenartiger Warnungen von Sicherheitsprodukten verursacht wird.

Da Angreifer mehrere Möglichkeiten haben, Sicherheitsprodukte zu umgehen und zu deaktivieren, und in der Lage sind, harmloses Administratorverhalten zu imitieren, um sich möglichst unbemerkt einzuschleichen, sollten IT-Sicherheitsteams und SOCs ihre Erkennungsbemühungen durch Maßnahmen zur Erhöhung der Sicherheit verstärken.

Ransomware-Angreifer sind auf schnelle Gewinne aus. Daher ist es wichtig, ihre Kosten durch verstärkte Sicherheitsmaßnahmen zu erhöhen und so ihr cyberkriminelles Geschäftsmodell zu durchkreuzen.

Hier sind einige Maßnahmen, die Organisationen ergreifen können, um sich zu schützen:

 

  • Maßnahmen für sichere Anmeldeinformationen ergreifen: Nehmen Sie eine logische Netzwerksegmentierung auf der Grundlage von Zugriffsberechtigungen vor, die neben der Netzwerksegmentierung implementiert werden können, um Lateral-Movement-Vorgänge (die Ausbreitung im System) einzuschränken.
  • Potenzielle Gefährdung von Anmeldeinformationen überwachen: Das Überwachen der Gefährdung von Anmeldeinformationen ist ausschlaggebend, um Ransomware-Angriffen und Cyberkriminalität im Allgemeinen vorzubeugen. IT-Sicherheitsteams und SOCs können zusammenarbeiten, um Administratorrechte zu reduzieren und zu verstehen, auf welcher Ebene die Anmeldeinformationen in ihrer Organisation gefährdet sind.
  • Die Cloud besser absichern: Da Angreifer auf Cloudressourcen abzielen, ist es wichtig, diese Ressourcen und die entsprechenden Identitäten sowie lokale Konten zu sichern. Sicherheitsteams sollten zur Stärkung der Infrastruktur für den Identitätsschutz die Multi-Faktor-Authentifizierung (MFA) für alle Konten durchsetzen sowie Cloud- und Mandantenadministratoren mit dem gleichen Maß an Hygiene in puncto Sicherheit und Anmeldeinformationen behandeln wie Domänenadministratoren.
  • Tote Winkel im Bereich Sicherheit beseitigen: Organisationen sollten sicherstellen, dass ihre Sicherheitstools optimal konfiguriert sind und regelmäßig Netzwerküberprüfungen durchführen, um sicherzustellen, dass ein Sicherheitsprodukt alle Systeme schützt.
  • Die Angriffsfläche verringern: Führen Sie Regeln zur Verringerung der Angriffsfläche ein, um den Einsatz der bei Ransomware-Angriffen üblichen Angriffstechniken zu verhindern. Bei beobachteten Angriffen verschiedener Aktivitätsgruppen, die mit Ransomware in Zusammenhang standen, konnten Unternehmen mit klar definierten Regeln die Angriffe in der Anfangsphase eindämmen und gleichzeitig manuelle Aktivitäten verhindern.
  • Den Perimeter auswerten: Organisationen müssen Perimetersysteme identifizieren und sichern, die von Angreifern ausgenutzt werden könnten, um Zugang zum Netzwerk zu erhalten. Öffentliche Scan-Schnittstellen können zur Ergänzung von Daten verwendet werden.
  • Mit dem Internet verbundene Ressourcen besser absichern: Ransomware-Angreifer und Access Broker nutzen ungepatchte Sicherheitslücken, ob bereits bekannte oder Zero-Day-Schwachstellen, vor allem in der Anfangsphase aus. Und sie machen sie sich sehr schnell neue Sicherheitslücken zunutze. Zur weiteren Verringerung der Gefährdung können Unternehmen die Bedrohungs- und Schwachstellenmanagement-Funktionen von Produkten für die Erkennung und Reaktion am Endpunkt nutzen, um Schwachstellen und Fehlkonfigurationen zu erkennen, zu priorisieren und zu beheben.
  • Sich auf die Wiederherstellung vorbereiten: Eine ideale Schutzstrategie gegen Ransomware sollte einen Plan für eine schnelle Wiederherstellung im Falle eines Angriffs umfassen. Die Wiederherstellung nach einem Angriff kostet weniger als die Zahlung von Lösegeld. Erstellen Sie daher regelmäßig Backups Ihrer kritischen Systeme und schützen Sie diese Backups vor mutwilliger Löschung und Verschlüsselung. Speichern Sie die Backups möglichst in einem unveränderlichen Online-Speicher oder gänzlich offline bzw. extern.
  • Weitere Abwehrmaßnahmen gegen Ransomware-Angriffe: Die facettenreiche Bedrohung durch die neue Ransomware-Industrie und die schwer zu fassende Natur von Ransomware-Angriffen, die von Menschen ausgeführt werden, erfordern von Unternehmen einen umfassenden Sicherheitsansatz.

Die oben beschriebenen Schritte helfen bei der Abwehr gängiger Angriffsmuster und leisten einen wichtigen Beitrag zur Prävention von Ransomware-Angriffen. Um den Schutz vor herkömmlicher und von Menschen ausgeführter Ransomware und anderen Bedrohungen weiter zu erhöhen, sollten Sicherheitstools eingesetzt werden, die eine umfassende, domänenübergreifende Transparenz und einheitliche Untersuchungsfunktionen bieten.

Einen weiteren Überblick über Ransomware mit Tipps und Best Practices für Vorbeugung, Erkennung und Gegenmaßnahmen finden Sie unter "Schützen Sie Ihr Unternehmen vor Ransomware". Noch ausführlichere Informationen zu Ransomware, die von Menschen ausgeführt wird, finden Sie in dem Artikel von Jessica Payne, Senior Security Researcher: "Ransomware-as-a-Service: Understanding the Gig Economy of Cybercrime and how to protect yourself" (Die Gig-Economy der Cyberkriminalität verstehen und wie man sich davor schützen kann).

Verwandte Artikel

Cyber Signals, 2. Ausgabe: Das Geschäftsmodell Lösegelderpressung

Erfahren Sie von Experten an vorderster Front Näheres zur Entwicklung von Ransomware-as-a-Service. Von Programmen und Payloads bis hin zu Access Brokern und Affiliates: Erfahren Sie mehr über die von Cyberkriminellen bevorzugten Tools, Taktiken und Ziele und erhalten Sie Ratschläge, wie Sie Ihr Unternehmen schützen können.
Mehr erfahren

Expertenprofil: Nick Carr

Nick Carr, Cybercrime Intelligence Team Lead im Microsoft Threat Intelligence Center, erläutert Ransomwaretrends, erklärt, wie Microsoft Kunden vor Ransomware schützt, und beschreibt, was Organisationen tun können, wenn sie davon betroffen sind.
Mehr erfahren

Schützen Sie Ihr Unternehmen vor Ransomware

Machen Sie sich ein Bild von den kriminellen Akteuren, die in der Ransomware-Schattenwirtschaft agieren. Wir unterstützen Sie dabei, die Motive und Mechanismen von Ransomwareangriffen zu verstehen, und bieten bewährte Methoden zum Schutz sowie zur Sicherung und Wiederherstellung.
Mehr erfahren