psdesign1 - Fotolia

Ransomware as a Service: Erpressersoftware als Dienstleistung

Wie bei legaler Software etablieren sich auch bei Ransomware Dienstleistungsmodelle. Unternehmen müssen mit immer raffinierteren Angriffen rechnen.

Ransomware ist mittlerweile ein Milliarden-Dollar-Geschäft und damit eines der lukrativsten Geschäftsfelder für Cyberkriminelle. Der jüngste Verizon Data Breach Investigations Report sieht Kryptotrojaner auf Platz fünf der meistverbreiteten Malware-Arten. Und Ransomware entwickelt sich immer weiter: Mittlerweile gibt es kaum mehr eine nennenswerte Plattform, die nicht von der Erpressersoftware bedroht wird (jüngst legte Erebus etwa Linux-Systeme lahm) und auch die Geschäftsmodelle erweitern sich.

Mit Ransomware as a Service (RaaS) bieten nun Cyberkriminelle ihre Dienste an, inzwischen sogar für das bislang einigermaßen verschont gebliebene MacOS. Dank der Demokratisierung der Ransomware als Dienstleistung, kann mittlerweile jeder, der über einen Computer mit Internetverbindung verfügt, seinen Anteil am Milliardengeschäft mit der Erpressersoftware abbekommen – auch ohne tiefere IT-Kenntnisse.

„Klassische“ Ransomware-Kriminelle mussten noch ihre Software selber schreiben und sie dann in fremde Systeme einschleusen – normalerweise mit einer überzeugenden Phishing-Kampagne. Im Inneren angekommen, verschlüsselt sie dann wertvolle Daten und fordert ein Lösegeld. Und je mehr Ziele erreicht werden, desto höher der Gewinn.

Bereits bei diesem einfachen Geschäftsmodell sieht man in den letzten Jahren eine deutliche Professionalisierung. Die Erpresser orientieren sich an legalen Webseiten und versuchen ihren Raubzug so nutzerfreundlich wie möglich zu machen. Aus gutem Grund: Nur wenn das Opfer weiß oder erfährt, was Bitcoins sind und was man damit machen muss, ist es auch in der Lage, das Lösegeld zu bezahlen.

Geschäftsmodell Ransomware

Die Professionalisierung zielt aber auch in eine weitere Richtung: Wie bei legaler Software etablieren sich zunehmend auch As-a-Service-Modelle. Angreifer müssen so nicht mehr selbst ihre Malware entwickeln, eine Infrastruktur aufbauen oder Angriffe selbst managen – alles was sie nun machen müssen ist, sich bei einem entsprechenden Anbieter anzumelden, ein paar Mailadressen beisteuern (die notfalls auch bei ähnlichen „Shops“ erworben werden können) und einen gewissen Prozentsatz des Erlöses (in aller Regel rund 30 Prozent) als Gebühr entrichten.

Ransomware-as-a-Service-Stämme wie Cerber und Karmen bestimmen die IT-Security-Schlagzeilen und konnten sogar Locky vom Ransomware-Thron werfen. Beide Varianten können im Dienstleistungsmodell genutzt werden und verringern auf diese Weise die Eintrittsbarriere. Die Angreifer können ihre Kampagnen anhand von graphischen Dashboards, welche die Infektionsrate oder das gezahlte Lösungsgeld darstellen, überwachen und sogar die Höhe des Lösegelds entsprechend anpassen.

Genau wie legale SaaS-Anbieter es ihren Kunden ermöglichen, Prozesse und Infrastruktur (teilweise) auszulagern, können mit den illegalen Angeboten Kriminelle ihre Ransomware-Aktivitäten outsourcen. Und genau wie die legalen Anbieter haben die RaaS-Betreiber Interesse daran, die besten Tools zum besten Preis anzubieten, damit sich potenzielle Kunden für ihren Service entscheiden. Wenn also ein Angriffsvektor unwirksam wird, ist es ihr (geschäftskritisches) Bestreben, hier Abhilfe zu schaffen und durch Updates dafür zu sorgen, dass ihre Dienste wieder funktionieren – bevor die kriminelle Kundschaft zu einem Wettbewerber wechselt.

„Unternehmen stehen zukünftig nicht nur einer größeren Anzahl von Angreifern gegenüber, sondern werden wahrscheinlich auch mit raffinierteren Angriffen rechnen müssen.“

Thomas Ehrlich, Varonis

Dies wird zu einem technologischen Wettkampf um die beste, will heißen, erfolgreichste, Ransomware führen und möglicherweise aus den momentan noch recht plumpen Ransomware-Attacken deutlich ausgefeiltere Angriffe machen.

Unternehmen stehen also zukünftig nicht nur einer größeren Anzahl von Angreifern und einer entsprechend höheren Frequenz gegenüber, sondern werden wahrscheinlich auch mit raffinierteren Angriffen rechnen müssen. Dennoch bleiben die Schlüsselstrategien zur Abwehr dieser und ähnlicher Angriffe dieselben.

Dem Risiko Ransomware richtig begegnen

Schützen Sie die Daten von innen. Bedenken Sie, dass es Schadsoftware trotz aller Mitarbeiterschulung und Perimeter-Schutz immer wieder ins Innere Ihrer Systeme schaffen kann und schützen Sie Ihre Daten entsprechend, denn sie sind in aller Regel mit das Wertvollste Ihres Unternehmens.

Überdenken Sie ihre Zugriffsrechte. Ein kürzlich veröffentlichter Datenrisiko-Report hat ergeben, dass durchschnittlich 20 Prozent der Ordner eines Unternehmens – und damit oftmals personenbezogene Daten, Kreditkarten- oder auch medizinische Informationen – für alle Mitarbeiter zugänglich sind. Dies bedeutet, dass nur ein einziger Mitarbeiter einen Fehler machen muss und sich mit Ransomware infiziert, um damit 20 Prozent der Unternehmensdateien (zumindest kurzfristig) zu verlieren. Stellen Sie deshalb sicher, dass Mitarbeiter nur auf die Daten Zugriff haben, die sie wirklich benötigen und reduzieren Sie Zugriffsrechte.

Überwachen Sie ihre Daten. Es ist eigentlich ganz logisch: Was man nicht sieht, kann man nicht aufhalten. Und das Monitoring gerade von kritischen Dateien ist von größter Bedeutung. Niemand bricht in eine Bank ein, um dann Kugelschreiber zu stehlen, deshalb sollten Sie überwachen, wie Nutzer auf Daten zugreifen um festzustellen, wenn etwas Verdächtiges im Gange ist.

Erstellen Sie einen Remediation-Plan. Und man kann es leider gar nicht oft genug sagen: Halten Sie Ihre Systeme auf dem aktuellen Stand und führen Sie regelmäßig Daten-Backups durch, insbesondere von kritischen und sensiblen Daten. Entwerfen Sie einen Remediation-Plan um kompromittierte Daten nach einem Ransomware- oder ähnlichen Angriff zu finden und wiederherzustellen.

Über den Autor:
Thomas Ehrlich ist Country Manager DACH bei Varonis.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Die Tools gegen Ransomware richtig einsetzen und konfigurieren

Best Practices: Ransomware verhindern oder eindämmen

Ransomware-Angriffe: Die Kosten für Unternehmen

Ransomware mit alternativen Ansätzen begegnen

 

Artikel wurde zuletzt im Juli 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Vulnerability-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close