Blog

Ransomware-as-a-Service & 4 Trends, die man 2022 beachten sollte

Geschrieben von ForeNova | September 28, 2022

Die Ransomware-Bedrohungslandschaft nimmt immer mehr zu

Nach einer noch nie dagewesenen Anzahl von Angriffen im Jahr 2021 dominiert Ransomware auch in diesem Jahr die Cyber-Bedrohungslandschaft. Zahlreiche bekannte Unternehmen und auch Regierungen wie Nvidia, die Regierung von Costa Rica und Toyota sind Opfer gefährlicher Ransomware-Angriffe geworden. Dabei sind die Angriffe auf Colonial Pipeline, JBS und Kaseya aus dem Vorjahr noch in unseren Köpfen. Laut Statista haben in der ersten Jahreshälfte 236,1 Millionen Ransomware-Angriffe stattgefunden. Das zeigt, dass 2022 eines der folgenschwersten Jahre der jüngeren Geschichte werden könnte.  

Im Folgenden stellen wir Ihnen vier Ransomware-Trends vor, die auch im Jahr 2022 und darüber hinaus zu einer sich verschlechternden Ransomware-Bedrohungslandschaft beitragen werden.

#1 Ransomware-as-a-Service dominiert Angriffe

Was ist Ransomware-as-a-Service?

Ransomware-as-a-Service (RaaS) ist ein Geschäftsmodell bei dem ein Bedrohungsakteur für die Verwendung vorgefertigter Ransomware bezahlt, um Ransomware-Angriffe auszuführen.

Wie funktioniert RaaS?

Beim RaaS-Modell verkaufen Ransomware-Entwickler, die als Betreiber bekannt sind, ihre Dienste wie in jedem anderen Geschäft, nur dass es im Dark Web stattfindet. RaaS-Betreiber können beispielsweise über eine eigene Website haben, auf der sie Details zu ihren Dienstleistungen, einschließlich Videos, Whitepapers und Bewertungen, bereitstellen. Sie können auch in Hackerforen und sozialen Medien aktiv um Kunden, so genannte Affiliates, werben. Bekannte RaaS-Anbieter können von angehenden Affiliates wegen ihres guten Rufs aufgesucht werden.

RaaS-Betreiber bieten ihre Ransomware-Kits mit einer Vielzahl von Abonnementmodellen an. So können Partner beispielsweise eine monatliche Pauschalgebühr für die kontinuierliche Nutzung der Ransomware zahlen oder einen vereinbarten Prozentsatz der erhaltenen Lösegeldzahlungen mit dem RaaS-Betreiber teilen. RaaS-Betreiber können neben dem eigentlichen Angriff auch an anderen Aspekten eines Angriffs beteiligt sein, z. B. an der Erkundung von Zielen und der Unterstützung von Verhandlungen mit den Opfern.

Die Auswirkungen von RaaS

RaaS ist im Jahr 2022 zu einer vollwertigen Industrie herangereift, mit einer Vielzahl bekannter Ransomware-Familien wie Conti, LockBit, BlackCat und Revil. Das RaaS-Modell hat die Einstiegshürden von profitablen Ransomware-Angriffen deutlich gesenkt. Während diese Form der Cyberkriminalität früher ausschließlich hochqualifizierte Bedrohungsakteure für sich nutzen konnten, können nun auch Laien mithilfe von RaaS zerstörerische Ransomware-Angriffe ausführen. RaaS-Betreiber hingegen konnten den Anwendungsbereich ihrer Ransomware ausweiten und eine neue, lukrative Einnahmequelle erschließen. Diese ermöglicht es ihnen wiederum, fortschrittlicherer Angebote zu entwickeln und diese zu fördern. Dieses Win-Win-Geschäftsmodell hat unweigerlich zu einem starken Anstieg der Ransomware-Angriffe geführt.

#2 Doppelte und dreifache Erpressung, die sich lohnt

Was ist eine Doppelte Erpressung?

Doppelte Erpressungen sind eine Taktik, bei der Ransomware Angreifer die Daten ihrer Opfer nicht nur verschlüsseln sondern auch stehlen. Indem der Angreifer dem Opfer droht seine Daten zu veröffentlichen, erhöht er den Druck auf das Opfer, das Lösegeld zu zahlen.

Die Folgen der Doppelten Erpressung

Die doppelte Erpressung wurde entwickelt, um den verbesserten Datensicherungs- und Wiederherstellungsmechanismen, die im Notfall in Unternehmen eingesetzt werden, außer Kraft zu setzen. Im Fall eines Ransomware-Angriffs konnten Unternehmen ihre Systeme mit minimalem Datenverlust wiederherstellen und waren nicht mehr dazu gezwungen, Lösegeldforderungen von Angreifern zu beachten, um ihr Unternehmen wieder zum Laufen zu bringen. Um dieses Szenario zu verhindern, haben Ransomware-Banden Techniken entwickelt, um die Daten der Opfer vor der Verschlüsselung zu exfiltrieren. Das bedeutet, selbst wenn das Opfer seine Daten wiederherstellen könnte, kann der Angreifer damit drohen seine sensiblen Daten preiszugeben oder zu verkaufen. Dadurch erhöht sich der Druck auf das Opfer das Lösegeld letztendlich doch zu zahlen. Der The State of Ransomware 2022 Bericht bestätigt diese Beobachtung: 26 % der Unternehmen, die verschlüsselte Daten mit Hilfe von Backups wiederherstellen konnten, werden auch im Jahr 2021 noch das Lösegeld zahlen.  

Was ist dreifache Erpressung?

Die dreifache Erpressung setzt das Opfer zusätzlich unter Druck, um den Erfolg des Angriffs zu erhöhen. Diese dritte Ebene des Drucks kann verschiedene Formen annehmen. Die gestohlenen Daten des Opfers können sensible Informationen von Dritten wie Kunden und Partnern enthalten. Angreifer können diesen Drittparteien mit der Preisgabe und dem Verkauf ihrer Daten drohen. Diese Taktik wird genutzt, um Dritte zu manipulieren. Dadurch wird zusätzlicher Druck auf das Opfer ausgeübt, damit es das Lösegeld bezahlt, oder um direkt von den Drittparteien eine Lösegeldzahlung zu verlangen. Die Angreifer können auch DDoS-Angriffe (Distributed Denial of Service) gegen die Opfer starten, um deren Systeme lahm zu legen und die Zahlung zu erzwingen.

#3 Das Aufkommen der intermittierenden Verschlüsselung 

WAS IST DIE INTERMITTIERENDE VERSCHLÜSSELUNG?

Bei der intermittierenden Verschlüsselung handelt es sich um die teilweise Verschlüsselung von Dateien. Anstatt die gesamte Datei zu verschlüsseln, ist die Ransomware so konfiguriert, dass sie nur einen Teil der Datei verschlüsselt. Beispielsweise wird jede festgelegte Anzahl von Bytes verschlüsselt, jede festgelegte Anzahl von Bytes übersprungen oder ein festgelegter Prozentsatz der Dateigröße verschlüsselt. Die intermittierende Verschlüsselung wird so ausgeführt, dass die verschlüsselte Datei unbrauchbar gemacht wird, obwohl sie nicht vollständig verschlüsselt ist.  

Die Folgen der intermittierenden Verschlüsselung

Die erste Ransomware, die intermittierende Verschlüsselung eingesetzt hat, wurde von Sophos im August 2021 entdeckt. Die LockFile-Ransomware verwendete eine intermittierende Verschlüsselung, bei der alle 16 Bytes einer Datei übersprungen wurden. Auf diese Weise konnte sie der Erkennung durch Anti-Ransomware-Lösungen entgehen, da die verschlüsselte Datei dem unverschlüsselten Original statistisch gesehen sehr ähnlich sah. Abgesehen von der Möglichkeit, sich der Sicherheitserkennung zu entziehen, führt die Verschlüsselung nur von Teilen einer Datei auch zu einer schnelleren Verschlüsselungsgeschwindigkeit. Dadurch kann die Ransomware den Umfang der Infektion maximieren, bevor Sicherheitslösungen und Sicherheitsbeauftragte den Angriff erkennen und darauf reagieren.

Die bedeutenden Vorteile der intermittierenden Verschlüsselung haben dazu geführt, dass verschiedene Ransomware-Betreiber mit ihren intermittierenden Verschlüsselungsfunktionen werben, um Partner zu rekrutieren. Zugegeben, die intermittierende Verschlüsselung ist eine relativ neue Technik und Konstruktionsfehler können es dem Opfer ermöglichen, seine Daten wiederherzustellen, ohne für einen Entschlüsselungsschlüssel zu bezahlen. Angesichts der Vorteile der intermittierenden Verschlüsselung sind Ransomware-Banden jedoch gezwungen, diese Technologie weiterzuentwickeln und zu verfeinern. Durch eine solche Entwicklung steigt höchstwahrscheinlich auch die Anzahl erfolgreicher Ransomware-Angriffe.   

#4 Plattformübergreifende Ransomware auf dem Vormarsch

Was ist plattformübergreifende Ransomware?

Bei plattformübergreifender Ransomware handelt es sich um Ransomware, die in der Lage ist, Dateien auf mehreren Systemen zu infizieren und zu verschlüsseln, z. B. Windows, macOS, Linux, Android und proprietäre Systeme.

DAS AUFKOMMEN VON PLATTFORMÜBERGREIFENDER RANSOMWARE

Die meiste Zeit seit ihrer Entstehung wurden Ransomware und andere Arten von Malware speziell für den Einsatz auf bestimmten Plattformen geschrieben. Die meisten von ihnen sind für Windows geschrieben, weil es so weit verbreitet ist. Mit der zunehmenden Digitalisierung von Unternehmen sehen sich Ransomware-Bedrohungsakteure jedoch mit komplexen IT-Umgebungen konfrontiert, in denen verschiedene Systeme betrieben werden. Anstatt Ransomware für einzelne Systeme zu schreiben oder bestimmte Systeme aufzugeben, haben Ransomware-Gruppen begonnen, plattformübergreifende Ransomware-Funktionen zu entwickeln, um den Umfang der Verschlüsselung zu maximieren und den größtmöglichen Gewinn zu erzielen. 

Die Folgen plattformübergreifender Ransomware

Plattformübergreifende Ransomware verspricht, die ohnehin schon gefährliche Ransomware-Bedrohungslandschaft noch weiter zu verschärfen. Im Jahr 2022 sind mehrere Berichte über Ransomware mit plattformübergreifenden Funktionen aufgetaucht, was auf einen steigenden Trend hindeutet. Im Mai berichtete Kaspersky, dass die berüchtigte Conti-Gruppe bestimmten Mitgliedern den Zugriff auf eine Linux-Version ihrer Ransomware ermöglicht, die auf ESXi-Systeme, den Hypervisor für Unternehmen von VMware, abzielt. Im Juli 2022 berichtete Kaspersky über zwei neue Arten von  Ransomware, Black Basta und Luna, die in der plattformübergreifenden Sprache Rust geschrieben wurden und sowohl auf Windows-, und Linux-Systemen als auch auf ESXi-Systemen funktionieren. Die Möglichkeit, ESXi-Systeme anzugreifen, ist von besonderem Interesse. ESXi ist ein branchenführender Hypervisor und wird von vielen Unternehmen eingesetzt. Wenn ein Angreifer einen einzelnen ESXi-Host kompromittiert, kann er die Dateien von Hunderten und Tausenden von virtuellen Maschinen verschlüsseln und damit weitreichenden Schaden anrichten.

Schutz vor Ransomware mit ForeNova

Durch die oben genannten Entwicklungen der Ransomware-Taktiken und -Techniken steigt gleichzeitig das Risiko von Ransomware-Angriffen. Große und kleine, private und öffentliche Organisationen müssen unbedingt ihren Ransomware-Schutz aufrüsten, um ihre Daten zu schützen und erhebliche Verluste und Auswirkungen zu verhindern.

ForeNova ist hier, um zu helfen.

ForeNova ist ein spezialisierter Anbieter von Network Detection and Response (NDR)-Technologie. Unsere einzigartige NDR-Lösung, NovaCommand, bietet Sicherheitsadministratoren einen vollständigen Überblick über die Bedrohungen, die sich im Netzwerk befinden. NovaCommand erkennt Anomalien mithilfe von künstlicher Intelligenz und maschinellem Lernen. Dadurch erkennt es selbst unauffällige Abweichungen im Netzwerkverhalten und setzt sie in einen Kontext zueinander. Das ermöglicht den Sicherheitsverantwortlichen, Anzeichen für bösartige Aktivitäten zu untersuchen und darauf zu reagieren, bevor Angreifer ihre Ransomware ausführen können.

ForeNova NovaCommand ist die einzige vollständige, ganzheitliche Sicherheitslösung, die Ransomware-Angriffe in Echtzeit verhindert und entschärft.

  • Blockieren Sie jeden Schritt in der Ransomware-Kill-Chain 
  • Direkte Integration zwischen Firewall und Endpunkt-Agenten ohne Verwendung von TI oder Management-Konsole als Vermittler  
  • Blockieren der Befehls- und Kontrollkommunikation und der seitlichen Ausbreitung basierend auf  direkten Endpunkteingaben
  • Überprüfung der Endpunktinfektion anhand der Befehls- und Kontrollkommunikation  

    Organisationen, die sich gegen Ransomware schützen möchten, jedoch nicht in der Lage sind, in die Technologie und das Personal zu investieren, können unseren Managed Network Detection and Response Service nutzen. Managed NDR ist ein erschwinglicher Service auf Abonnementbasis, bei dem wir die Technologie und das Fachwissen zum Schutz Ihres Unternehmens bereitstellen. Durch die Erkennung von Bedrohungen rund um die Uhr und die Reaktion durch unser 24/7 Security Operations Center können sich Kunden auf einen professionellen Schutz vor Ransomware verlassen und ihre Ressourcen für das Wachstum ihres Unternehmens einsetzen.