Ransomware-as-a-Service heizt die Bedrohungslandschaft an
Zunehmende Zahl an Ransomware-Angriffen bereitet auch der Strafverfolgung große Sorgen.
Cyber-Angriffe mit Ransomware werden immer häufiger, wie eine neue Studie des FortiGuard Labs-Teams zeigt. Angreifer führen dem Bericht zufolge nicht nur neue Stämme ein, sie aktualisieren, verbessern und verwenden alte wieder, was die Attacken raffinierter und zerstörerischer macht Die zunehmende Zahl an Ransomware-Angriffen bereitet auch der Strafverfolgung große Sorgen: Laut des aktuellen Global Crime Trend Report von INTERPOL stufen mehr als 60 Prozent der Befragten Verbrechen wie Ransomware als eine hohe bis sehr hohe Bedrohung ein.
Besonders besorgniserregend ist, dass sich die Zahl der identifizierten neuen Ransomware-Varianten in der ersten Jahreshälfte im Vergleich zum vorangegangenen Halbjahr fast verdoppelt hat. Im ersten Halbjahr 2022 wurden 10.666 neue Ransomware-Varianten entdeckt, im Vergleich zu nur 5.400 im zweiten Halbjahr 2021. Neue Varianten bedeuten, dass auch Taktiken und Techniken zur Bekämpfung angepasst werden müssen.
Ransomware-as-a-Service (RaaS) scheint der Treiber hinter alldem zu sein. Daher ist es wichtig zu verstehen, was RaaS eigentlich ist, wie es funktioniert und vor allem, wie Unternehmen sich angemessen vor diesen Angriffen schützen können.
Was ist Ransomware-as-a-Service?
RaaS ist ein Ransomware-System auf Abonnementbasis. Es ist eine Untergruppe des größeren Crime-as-a-Service (CaaS)-Marktes, auf dem erfahrene Cyberkriminelle Tools und Wissen verkaufen, um anderen bei der Durchführung von Cyberkriminalität zu helfen. Auf dem CaaS-Markt werden zahlreiche Angriffsvektoren und zugehörige Codes angeboten, z.B. Phishing-Kits, DDoS-Attacken und natürlich RaaS.
RaaS-Programme zeichnen sich dadurch aus, dass die Angreifer keinen eigenen Schadcode schreiben müssen. So können selbst unerfahrene Cyberkriminelle erfolgreich Menschen, Unternehmen und andere Organisationen angreifen, um schnelles Geld zu verdienen. Angreifer können gegen eine monatliche Gebühr auf Ransomware und andere Schadsoftware zugreifen. In den letzten Jahren hat die Beliebtheit von RaaS bei Cyberkriminellen stark zugenommen.
Wie funktioniert RaaS?
Die meisten CaaS-Vorgänge – auch der RaaS-Markt – beschäftigen Entwickler aller Fähigkeitsstufen. Sogenannte „Scriptkiddies“ auf Junior-Level kopieren und fügen bestehenden Code ein, um neue Angebote zu erstellen, während erfahrene Entwickler an ausgefeilten Attacken arbeiten, z.B. Zero-Day-Waffen. Das Ergebnis sind unzählige neue Angriffsvarianten, die diese Ransomware-Gruppen dann an Hacker verkaufen können.
Wenn Cyberkriminelle sich für einen RaaS-Dienst anmelden, werden sie zu Partnern der RaaS-Gruppen. Sie sind jedoch eher Franchisenehmer, da sie einen Prozentsatz ihrer Gewinne an das RaaS-Unternehmen abführen. Im Gegenzug bieten viele RaaS-Angebote eine Reihe zusätzlicher Dienste an, darunter Helpdesk, Lösegeldvermittler und Geldwäscherei. Jeder Partner erhält eine eigene Kennung und oft sogar eine eigene Malware, was erklärt, warum die Zahl der neu identifizierten Ransomware-Varianten sprunghaft ansteigt. Die RaaS-Betreiber weisen absichtlich eindeutige IDs und Varianten zu, um die Identität der Gruppe und der Partner, die das Abonnement erwerben, zu verschleiern.
Wie können Unternehmen sich schützen?
Da Angreifern immer mehr Ransomware-Varianten zur Verfügung stehen, sind viele böswillige Akteure auf der Suche nach einer einfachen Auszahlung. Ransomware ist zwar nicht neu, aber ihr schnelles Wachstum in Verbindung mit ihrer zerstörerischen Natur macht sie für CISOs und ihre Security-Teams noch wichtiger. Sie benötigen Echtzeiteinblicke in die externe (außerhalb des Perimeter) und interne Angriffsfläche eines Unternehmens sowie wirksame Schutz- und Abhilfestrategien und Tools. Eine fortschrittliche EDR-Technologie (Endpoint Detection and Response) in Kombination mit KI- und ML-gesteuerten, verhaltensorientierten Erkennungsfunktionen bietet eine starke Verteidigung gegen eine wachsende Anzahl von Varianten und die cleveren Techniken der Hacker.
Darüber hinaus bietet ein Dienst wie der Digital Risk Protection Service (DRPS) organisationsspezifische, von Experten kuratierte und umsetzbare Informationen über externe Angriffsflächen, identifiziert die Aktivitäten von Bedrohungsakteuren sowie Markenverletzungen und überwacht Ransomware-Datenlecks. Wenn durchgesickerte Zugangsdaten in Hacker-Foren zum Verkauf angeboten werden, besteht eine hohe Wahrscheinlichkeit, dass sie für eine Attacke auf das Unternehmen verwendet werden.
Schulung von Mitarbeitern entscheidend
Neben der Implementierung effektiver Strategien und Technologien ist auch die Schulung der Mitarbeitenden in Sachen Cybersicherheit von entscheidender Bedeutung. Die Mitarbeitenden darauf zu trainieren, wie sie Phishing und Ransomware erkennen, vermeiden und melden können, ist eine wichtige erste Verteidigungslinie. Immer mehr RaaS-Gruppen greifen auch direkt die Security-Teams von Unternehmen an, was bei Erfolg in der Szene besonderen Ruhm bringt.
Daher ist es wichtig, Möglichkeiten für Teams zu finden, ihre Aufmerksamkeit zu schärfen und Fähigkeiten zu verbessern. Dafür können beispielsweise Prozesse und Playbooks in Kombination mit Mitarbeiterschulungen entwickelt und getestet werden, die auf realen Szenarien basieren. Eine weitere Option ist ein externes Unternehmen zu beauftragen, um Teams einem Drucktest zu unterziehen und potenzielle Security-Lücken zu ermitteln. Um die Komplexität zu reduzieren und die Sicherheitseffektivität in den expandierenden Netzwerken von heute zu erhöhen, ist vor allem ein ganzheitlicher, integrierter und automatisierter Cybersecurity-Ansatz wichtig.
Ransomware bleibt auch in Zukunft eine der stärksten Waffen der Cyberkriminellen. Und RaaS macht es Cyberkriminellen jeder Erfahrungsstufe leicht, sich diesen Angriffsvektor zunutze zu machen. Durch das Angebot von Schulungen zu bewährten Security-Verfahren, die Zusammenarbeit mit anderen Verteidigern und den Einsatz verhaltensbasierter KI-Lösungen zur Erkennung und Implementierung von Gegenmaßnahmen können Unternehmen Angreifer abwehren und sich vor der sich entwickelnden Bedrohungslandschaft schützen.
Mehr zum KI-gestützten Service-Portfolio von Fortinet finden Sie hier.