Was ist Ransomware-as-a-Service?
Ransomware-as-a-Service ist ein Gesch?ftsmodell, bei dem Ransomware-Betreiber und Dritte, sogenannte ?Affiliates¡°, zusammenarbeiten, um Ransomware-Angriffe durchzuf¨¹hren. RaaS wurde erstmals in 2012 mit der Ransomware-Variante Reveton identifiziert und hat sich im darauffolgenden Jahrzehnt zu einer ausgekl¨¹gelten und sich st?ndig weiterentwickelnden Taktik der Cyberkriminalit?t entwickelt.
Beim Ransomware-as-a-Service-Modell schreiben Ransomware-Entwickler (sowohl Einzelpersonen als auch Organisationen, sogenannte Ransomware-Gruppen oder -Banden) ihre eigene Software und leihen diese gegen eine Geb¨¹hr an andere Personen und Gruppen. Diese wiederum nutzen diese Software dann, um verschiedenste Ransomware-Angriffe durchzuf¨¹hren. Dieses Modell kann auch Vermittler f¨¹r den Erstzugang (Initial Access Broker, IABs) umfassen, die sich darauf spezialisiert haben, Zugang zu Organisationen in aller Welt zu erhalten. Die Affiliates zahlen oft, um leichter Zugang zu den IT-Umgebungen ihrer Opfer zu erhalten oder arbeiten mit IABs zusammen.
Auch wenn das oben beschriebene Modell das g?ngigste ist, kann es weiter spezialisiert werden, indem verschiedene Cyberkriminelle vor, w?hrend und nach einem Angriff bestimmte Rollen spielen. So k?nnen sich bestimmte Betreiber auf das Schreiben spezifischer, hocheffektiver Malware-Varianten konzentrieren, w?hrend andere Affiliates m?glicherweise Experten f¨¹r den Erstzugang, die Erforschung und die Ausnutzung bestimmter Schwachstellen oder andere Taktiken sind. Dar¨¹ber hinaus bieten viele Betreiber komplette Ransomware-Kits an, die Zugangsanweisungen, die erforderliche Malware und vieles mehr enthalten und so einen optimierten Angriffsprozess f¨¹r technisch weniger versierte Affiliates bieten. Dieses Gesch?ftsmodell hat in den letzten Jahren direkt zur Zunahme von Ransomware-Angriffen beigetragen.
Erfahren Sie weitere Details ¨¹ber Ransomware auf unserer interaktiven Seite.
So funktioniert das RaaS-Modell
Die Betreiber erstellen Ransomware-Malware, die auch als Ransomware-Variante bezeichnet wird, w?hrend die Affiliates die Variante von den Betreibern erwerben und h?ufig den Angriff leiten. Die Preiskomponente des Modells kann, wie wir weiter unten erl?utern werden, je nach Betreiber variieren. Des Weiteren k?nnen Initial Access Broker in das Modell einbezogen werden und den Affiliates helfen, den Angriff durchzuf¨¹hren, indem sie Zugang zu den Opferorganisationen verkaufen.
Wie kommen Betreiber, Affiliates und andere zusammen, um Organisationen rund um den Globus zu Fall zu bringen und mit Millionen davonzukommen?
Die Vorgehensweise unterscheidet sich nicht wesentlich von seri?sen ?As-a-Service¡°-Organisationen, was zweifellos zum RaaS-Boom und der daraus resultierenden Rentabilit?t f¨¹r die Beteiligten beigetragen hat.
Das Ransomware-as-a-Service-Modell umfasst folgende Komponente:
1. Ransomware-Betreiber ¨¹berwachen die Entwicklung von Ransomware-Varianten und deren Verteilung an Affiliates
2. Ransomware-Affiliates kaufen die Ransomware-Variante sowie andere von den Betreibern entwickelte Tools und starten einen Ransomware-Angriff auf eine oder mehrere Organisationen
3. Beide Gruppen teilen den Gewinn gem?? den Bedingungen der Vereinbarung auf
Diese Arbeitsteilung hat sich als erfolgreich erwiesen, da sie es beiden Gruppen erm?glicht, mehr Angriffe zu starten, um Gewinne entsprechend zu maximieren. Des Weiteren bef?higt sie Amateur-Cyberkriminelle, denen es m?glicherweise an technischer Erfahrung fehlt, den Einstieg in das ?kosystem zu schaffen.
G?ngige RaaS-Preisgestaltung:
- Affiliates zahlen den Betreibern eine pauschale, monatliche Geb¨¹hr
- Affiliates zahlen den Betreibern einen Prozentsatz ihres Gewinns
- Affiliates zahlen eine einmalige Lizenzgeb¨¹hr f¨¹r die Nutzung der Ransomware-Variante
- Affiliates und Betreiber teilen alle Gewinne und arbeiten vor, w?hrend und nach dem Angriff zusammen
Diese Preismodelle werden genauestens ¨¹berwacht, wobei jeder Cent verbucht wird. Viele Ransomware-Betreiber verwenden ausgekl¨¹gelte Portale, auf denen Abonnenten und Affiliates L?segeldzahlungen, den Status von Angriffen und mehr verfolgen k?nnen.
Ein weiterer beliebter Bestandteil nicht nur des RaaS-Modells, sondern auch von Ransomware im Allgemeinen ist die Doppel- und Dreifach-Erpressung. Die doppelte Erpressung, bei der die Ransomware-Affiliates sowohl Dateien verschl¨¹sseln als auch exfiltrieren, um die Zahlung sicherzustellen, ist seit ihrer Einf¨¹hrung im Jahr 2019 zur Norm f¨¹r Cyberkriminelle geworden. Die dreifache Erpressung, bei der Cyberkriminelle exfiltrierte Daten verwenden, um einen weiteren Anreiz f¨¹r die Zahlung von L?segeld w?hrend des Angriffs zu schaffen, oder versuchen, Geld direkt von den einzelnen Opfern des Datendiebstahls zu erpressen, hat in den letzten Jahren ebenfalls zugenommen. Zus?tzliche Taktiken der dreifachen Erpressung k?nnen die Verschl¨¹sselung weiterer Bestandteile der Unternehmensumgebung oder die Bedrohung durch einen zweiten Angriff sein.
Ber¨¹chtigte Ransomware-Gruppen
Da Ransomware immer beliebter und lukrativer geworden ist, haben sich viele Betreiber in Gruppen oder Banden organisiert, um gr??ere und h?ufigere Angriffe mit hohem Auszahlungspotenzial durchzuf¨¹hren. Diese Banden entwickeln Malware intern und sind daf¨¹r bekannt sind, auch vollst?ndige Angriffe intern durchf¨¹hren. Jedoch nutzen sie in den meisten F?llen das RaaS-Modell, indem sie ihre Variante an Partner verkaufen und so die Anzahl der m?glichen Angriffe in einem bestimmten Zeitrahmen erh?hen.
Schauen wir uns Akira an, das aus der Asche der RaaS-Gruppe Conti auferstanden ist und laut dem US-amerikanischen Amt f¨¹r Informationssicherheit eine erfolgreiche Laufbahn hingelegt hat. Innerhalb nur eines Tages ver?ffentlichte im Herbst 2024 die exfiltrierten Daten von mehr als 35 Organisationen, die Opfer von Ransomware geworden waren, im Darknet. Ihre kontinuierlichen Angriffe, bei denen sie mit Affiliates zusammenarbeiten und sowohl Phishing als auch Spear-Phishing f¨¹r den Erstzugang einsetzen und eine durchschnittliche erste L?segeldforderung von ¨¹ber 300,000 US-Dollar stellen, zeigen, wie effizient und lukrativ das RaaS-Modell tats?chlich sein kann.
Laut Arctic Wolfs eigener Forschung, die aus Hunderten von weltweiten Digital Forensics und Incident Response (DFIR) Eins?tzen stammt, sind die Ransomware-Gruppen, die am h?ufigsten in den von Arctic Wolf? Incident Response untersuchten F?llen auftraten, folgende:
1. Akira (15 % der Angriffe)
2. LockBit (9 % der Angriffe)
3. BlackSuit (6 % der Angriffe)
4. Fog (5 % der Angriffe)
5. Play (4 % der Angriffe)
Dass Akira in diesem Jahr die Liste anf¨¹hrt und LockBit, das mit alarmierender H?ufigkeit Silber mit nach Hause nimmt, sollte keine ?berraschung sein. Beide Gruppen sind sehr produktiv. Akira listet 215 Opfer auf ihrer Leak-Site auf, und obwohl eine Strafverfolgung darauf abzielte, LockBit Anfang 2024 auszuschalten, ist die Gruppe noch immer aktiv und hat sogar eine neue Ransomware-Variante f¨¹r 2025 angek¨¹ndigt.
Die obigen Zahlen ber¨¹cksichtigen alle Angriffe, bei denen Ransomware-Varianten einer bestimmten Bedrohungsgruppe zugeordnet werden konnten, einschlie?lich der Angriffe, die von cyberkriminellen Banden selbst durchgef¨¹hrt wurden, sowie der Angriffe, die von Affiliates unter Verwendung der Ransomware-Varianten einer Bande durchgef¨¹hrt wurden.
Auch wenn RaaS ?hnlich wie legitime Organisationen operieren, existieren sie immer noch in der Welt der Cyberkriminalit?t, d.?h. Ransomware-Gruppen tauchen auf, verschwinden wieder und passen st?ndig ihre Taktiken an, um eine Strafverfolgung oder Aufdeckung zu vermeiden. Dar¨¹ber hinaus arbeiten die Betreiber mit mehreren Affiliates zusammen, und die Affiliates verwenden m?glicherweise mehrere Ransomware-Varianten der Betreiber, was die Grenzen weiter verwischt. Tats?chlich beobachtete das Arctic Wolf Incident Response-Team im Jahr 2024 mehr als 50 verschiedene Gruppen von Bedrohungsakteuren, die in den Umgebungen der Opfer operierten, was verdeutlicht, wie weitreichend und oft schwer zu erfassen dieses Modell geworden ist.
Erfaren Sie mehr Details ¨¹ber diese Ransomware-Gruppen, einschlie?lich ihrer bevorzugten Taktiken, Zielbranchen und Verhaltensweisen.
Warum RaaS so beliebt ist
Ransomware-as-a-Service ist ein wichtiger Bestandteil der Bedrohungslandschaft geworden.
Zwar lassen sich nicht alle Ransomware-Angriffe auf das RaaS-Modell zur¨¹ckf¨¹hren, doch die kontinuierliche Zunahme von Ransomware-Angriffen ¨C laut dem machen sie 20 % aller Vorf?lle von Cyberkriminalit?t aus ¨C spiegelt sich in der Zunahme von Ransomware-Gruppen, Leak-Sites und schlagzeilentr?chtigen Hacks wider. Arctic Wolfs eigene Forschung best?tigt dies, denn 45 % der von Arctic Wolf in 2024 befragten Organisationen gaben zu, in den letzten 12 Monaten Opfer eines Ransomware-Angriffs geworden zu sein.
Wenn man sich die finanzielle Seite ansieht, ist es leicht zu erkennen, warum RaaS zur Norm wird. Die durchschnittliche L?segeldforderung im Jahr 2024 lag bei 600.000 US-Dollar. Die oben genannten Ransomware-Gruppen begannen ihre Forderungen mit 300.000 US-Dollar bis 5,5 Millionen US-Dollar, laut den internen Daten der Arctic Wolf Incident Response. Wenn ein RaaS-Betreiber seine Variante immer wieder verkauft und dabei zumindest einen Teil des urspr¨¹nglich geforderten L?segelds zur¨¹ckerh?lt, kann eine Person oder Bande so schnell mit Millionen davonkommen.
Die h?chste jemals gezahlte L?segeldsumme wurde ebenfalls im Jahr 2024 verzeichnet. Ein b?rsennotiertes Unternehmen zahlte der satte 75 Millionen US-Dollar. W?hrend die vollst?ndigen Einzelheiten bisher nicht best?tigt wurden, scheint es, dass es sich dabei um einen Rabatt auf die urspr¨¹ngliche L?segeldforderung handelte, wobei die Gruppe nicht einmal Ransomware in der Organisation des Opfers eingesetzt hat, sondern stattdessen die Daten exfiltriert und eine Zahlung verlangt hat, um deren Ver?ffentlichung zu verhindern.
Es gibt verschiedene Gr¨¹nde, warum Cyberkriminelle dieses Modell nutzen, um Angriffe auszuf¨¹hren und und Gewinne zu erzielen:
1. Die Arbeitsteilung erh?ht die Anzahl der Angriffe, die Gruppen durchf¨¹hren k?nnen
2. Die M?glichkeit, komplizierte Malware oder komplette Ransomware-Kits zu erwerben, senkt die Einstiegsh¨¹rde f¨¹r unerfahrene Bedrohungsakteure
3. Organisationen, insbesondere solche mit wenig Toleranz f¨¹r Ausfallzeiten, zahlen nach wie vor L?segelder (83 % der Opfer zahlten laut einer k¨¹rzlich durchgef¨¹hrten Umfrage von Arctic Wolf)
4. Bei den meisten Ransomware-Vorf?llen werden Daten exfiltriert, die diese Gruppen dann im Darknet verkaufen k?nnen, wenn die Organisation nicht zahlt
5. Das Modell des organisierten Verbrechens erm?glicht Anpassungsf?higkeit und Opportunismus, selbst angesichts von Razzien der Strafverfolgungsbeh?rden
So k?nnen Sie sich gegen RaaS-Angriffe sch¨¹tzen
Ransomware ist besonders heimt¨¹ckisch, weil es keine einzelne Hauptursache f¨¹r den Angriff gibt. Ransomware selbst bezieht sich auf die Malware, die zur Verschl¨¹sselung und m?glicherweise zur Exfiltration von Daten eingesetzt wird, und nicht auf die Methode, mit der dies geschieht. W?hrend es g?ngige Taktiken, Techniken und Verfahren in Ransomware gibt, die jedes Unternehmen kennen und ¨¹berwachen sollte, besteht eine wichtige M?glichkeit zur Verhinderung von Ransomware-Angriffen jedoch darin, nach Vorl?ufern Ausschau zu halten.
H?ufige Vorl?ufer von Ransomware:
- Ungew?hnlicher Zugriff auf die Umgebung oder verd?chtige Benutzeraktivit?ten, die mit lateralen Bewegungen oder einer Privilegienerweiterung einhergehen
- Datenverschiebungen, einschlie?lich ?nderungen von Dateiberechtigungen oder Daten, die das Netzwerk verlassen
- Erkennung von Malware, insbesondere eines Infostealers oder anderer Malware zur Datenexfiltration
Die beste Art, sich gegen einen Ransomware-Angriff zu verteidigen, besteht jedoch darin, vorbereitet zu sein und Ma?nahmen zu ergreifen, die einen Angriff verhindern oder die potenziellen Auswirkungen abmildern. Proaktive Schritte, die eine Organisation unternehmen kann:
1. Durchf¨¹hrung grundlegender Dateisicherungen. Diese kleine Ma?nahme kann im Falle eines Ransomware-Angriffs einen gro?en Unterschied machen, da sie vor doppelter Erpressung sch¨¹tzt. Laut Arctic Wolf haben zuverl?ssige Backups den Wiederherstellungsprozess bei 68 % der Ransomware-Vorf?lle unterst¨¹tzt. In vielen F?llen machte dies eine Auszahlung ¨¹berfl¨¹ssig, da es dadurch eine Alternative f¨¹r eine ausreichende Wiederherstellung gab.
2. Sicherung der Cloud. Die Cloud kann nicht nur einen ersten Zugang f¨¹r Bedrohungsakteure bieten, sondern mit der Ausweitung der Datenspeicherung und der betrieblichen Anwendungen auf die Cloud ist es auch wahrscheinlich, dass Bedrohungsakteure ihren Weg dorthin finden. Wenn Sie sich Ihrer Verantwortung in Cloud Security bewusst sind und auf Fehlkonfigurationen achten, k?nnen Sie diesen Teil der Angriffsfl?che erheblich st?rken.
3. Durchsetzung von Identit?ts- und Zugangskontrollen. Identit?t ist ein immer mehr umk?mpftes Gebiet. Dabei sind es nicht nur Zugangsdaten, die vermehrt f¨¹r den ersten Zugang verwendet werden. Arctic Wolf fand au?erdem heraus, dass ungesicherte Remote-Desktop-Protokolle (RDP) und kompromittierte VPN-Zugangsdaten die Hauptursachen f¨¹r Ransomware und Eindringlinge sind. Indem sie eine Identit?ts¨¹berwachung, Multi-Faktor-Authentifizierung (MFA) und die Durchf¨¹hrung umfassender Schulungen zum Sicherheitsbewusstsein implementieren, k?nnen Unternehmen diese Angriffsfl?che weiter verst?rken.
4. Durchf¨¹hrung eines risikobasierten Vulnerability Managements. Oft sind es bekannte, ungepatchte Schwachstellen, die es Bedrohungsakteuren erm?glichen, sich Zugang zu einem Netzwerk oder System zu verschaffen. Da die Zahl der kritischen Schwachstellen von Jahr zu Jahr weiter zunimmt, ist ein kontinuierliches Vulnerability Management f¨¹r Organisationen nicht mehr optional.
5. Investieren Sie in L?sungen zur ?berwachung, Erkennung und Reaktion rund um die Uhr, wie z.?B. Managed Detection and Response (MDR). Um einen Ransomware-Angriff zu verhindern und zu stoppen, gibt es zwei Schl¨¹sselkomponenten: Transparenz in Ihrer Umgebung und die F?higkeit, Anomalien schnell zu erkennen. Der Arctic Wolf 2024 Security Operations Report hebt hervor, wie wertvoll diese L?sungen sein k?nnen, und stellt fest, dass ?trotz der st?ndigen Bedrohung bei weniger als 2 % unserer MDR-Kunden Anzeichen f¨¹r Ransomware-Aktivit?ten entdeckt wurden¡°.
In der sich st?ndig weiterentwickelnden Bedrohungslandschaft von heute reicht es jedoch nicht aus, sich nur auf eine einzige Verteidigungsmethode zu konzentrieren. Ein operativer Ansatz f¨¹r die Cybersecurity, bei dem mehrere Risikopunkte gleichzeitig und kontinuierlich angegangen werden, ist die einzige M?glichkeit, Ihr Cyberrisiko zu verringern und Ihr Sicherheitsniveau zu verbessern. Sicherheit ist ein Prozess. Deshalb sollte Organisationen kontinuierlich daran arbeiten, ihre Sicherheitsma?nahmen zu verbessern, ihre Angriffsfl?che zu verringern und ihre proaktiven Ma?nahmen zu verst?rken.
Erfahren Sie, wie ein Anbieter f¨¹r Security Operations, wie Arctic Wolf, sowohl Spitzentechnologie als auch menschliches Fachwissen einsetzt, um Cyberrisiken zu reduzieren.
Erfahren Sie mehr ¨¹ber die Details und Gefahren von Ransomware, um Ihre Organisation besser zu sch¨¹tzen.
