Ransomware-as-a-Service überschwemmt den Markt

Der Erfolg der Ransomware hat eine tiefgreifende Veränderung der gesamten Cybercrime-Branche in Gang gebracht. Verschiedene Gruppen entwickeln spezialisierte Tools, die sie „as-a-service“ anbieten und überschwemmen damit den Markt. Professionelle Cyberkriminalität bekommt dadurch eine neue Dimension, die immer weiter voranschreitet.

Kaum qualifizierte Einzelkämpfer und nationale APTs

„Jede Cybercrime-Gruppierung möchte natürlich ihren Anteil an den sprudelnden Einnahmen der Ransomware-Industrie vergrößern. Dafür kaufen sie sich Dienstleistungen bei spezialisierten Anbietern im Bereich der Internetkriminalität ein. Das ist das gleiche Outsourcing, wie wir es in der klassischen Wirtschaft kennen. Es geht einfach um die Steigerung der eigenen Gewinne“, erklärt Rüdiger Trost, Berater für Cybersicherheit bei WithSecure. „Dieses Angebot an Services und Informationen wird von immer mehr Bedrohungsakteuren genutzt. Das geht von wenig qualifizierten Einzelkämpfern bis hin zu nationalen APTs. Es gab natürlich auch schon Internetkriminalität, bevor es Ransomware gab. Aber Ransomware bringt eine enorme zusätzliche Schubkraft für die Entwicklung der Branche.“

Der Report “The Professionalization of Cyber Crime” von WithSecure beleuchtet ein bemerkenswertes Beispiel für diese Entwicklung ausführlicher. Bei dem Vorfall wurde eine Organisation von fünf verschiedenen Bedrohungsakteuren kompromittiert. Alle Angreifer verfolgten dabei unterschiedliche Ziele und repräsentieren unterschiedlichen Segmente der Cybercrime-Branche:

• Die Ransomware-Gruppe Monti
• Qakbot Malware-as-a-Service
• Die Kryptojacking-Gruppe 8220 Gang (auch bekannt als Returned Libra)
• Ein nicht näher benannter Initial Access Broker (IAB)
• Eine Untergruppe der Lazarus-Gruppe. Die hoch professionellen Hacker von Lazarus sind schon länger tätig und werden mit Nordkoreas Geheimdienst in Verbindung gebracht.

Zugriff auf Fachwissen und Dienstleistungen für Angriffe

Dem Bericht zufolge bekommen inzwischen durch diese Professionalisierung und Diversifizierung der Branche auch weniger qualifizierte oder mit unzureichenden eigenen Ressourcen ausgestattete Bedrohungsakteure Zugriff auf Fachwissen und Dienstleistungen für Angriffe auf Unternehmen. Die Analysten von WithSecure halten es deswegen für wahrscheinlich, dass sowohl die Zahl der Angreifer als auch die Größe der Cyberkriminalitätsbranche insgesamt in den kommenden Jahren weiter wachsen wird.

„Wir sprechen oft über den Schaden, den Ransomware-Angriffe bei den Opfern verursachen. Wir sollten aber besser darauf achten, wie Lösegeldzahlungen den Angreifern zusätzliche Ressourcen verschaffen und wie das den im Bericht beschriebenen Trend zur Professionalisierung der Branche befeuert. In naher Zukunft wird dieses sich verändernde Ökosystem wahrscheinlich die Ressourcen und die Art der Angriffe beeinflussen, mit denen die Verteidiger konfrontiert werden“, so Trost weiter.

Mehrere Erpressungsmethoden gleichzeitig

Ransomware gibt es schon seit Jahrzehnten, aber die Angriffsstrategie hat sich im Laufe der Jahre kontinuierlich an die verbesserten Verteidigungsmaßnahmen angepasst. Eine bemerkenswerte Entwicklung ist die derzeitige Dominanz von Ransomware-Gruppen, die mehrere Erpressungsmethoden gleichzeitig anwenden: Sie setzen sowohl auf Verschlüsselung, um den Zugriff auf die Daten zu verhindern, als auch auf Datendiebstahl. Mit der Drohung, die Daten öffentlich zu machen, erhöhen sie den Druck auf die Opfer, die geforderten Lösegeldzahlungen zu leisten.

Eine Analyse von über 3000 Datenlecks durch Ransomware-Gruppen mit dieser Strategie ergab: Am häufigsten fielen den Angriffen Organisationen in den Vereinigten Staaten zum Opfer, gefolgt von Kanada, Großbritannien, Deutschland, Frankreich und Australien. Insgesamt entfielen auf Organisationen in diesen Ländern drei Viertel der in der Analyse erfassten Datenlecks.

Die Bauindustrie ist dabei mit 19 Prozent der analysierten Vorfälle am stärksten betroffen. Auf Automobilunternehmen entfallen dagegen nur etwa 6 Prozent der Leaks. Dazwischen liegt ein breites Mittelfeld weiterer Branchen. Ein Grund dafür ist, dass sich einige Hackergruppen laut der Untersuchung auf einzelne Wirtschaftsbereiche spezialisiert haben.