{"id":6230,"date":"2022-09-26T07:04:01","date_gmt":"2022-09-26T07:04:01","guid":{"rendered":"https:\/\/www.forenova.com\/blog\/ransomware-as-a-service-4-trends-to-be-aware-of-in-2022\/"},"modified":"2024-12-13T10:44:13","modified_gmt":"2024-12-13T10:44:13","slug":"ransomware-as-a-service-4-trends-die-man-2022-beachten-sollte","status":"publish","type":"post","link":"https:\/\/www.forenova.com\/de\/blog\/ransomware-as-a-service-4-trends-die-man-2022-beachten-sollte\/","title":{"rendered":"Ransomware-as-a-Service & 4 Trends, die man 2022 beachten sollte"},"content":{"rendered":"

Die Ransomware-Bedrohungslandschaft nimmt immer mehr zu<\/span><\/h2>\n

Nach einer noch nie dagewesenen Anzahl von Angriffen im Jahr 2021 dominiert Ransomware auch in diesem Jahr die Cyber-Bedrohungslandschaft. Zahlreiche bekannte Unternehmen und auch Regierungen wie Nvidia, die Regierung von Costa Rica und Toyota sind Opfer gef\u00e4hrlicher Ransomware-Angriffe geworden. Dabei sind die Angriffe auf Colonial Pipeline, JBS und Kaseya aus dem Vorjahr noch in unseren K\u00f6pfen. Laut <\/span>Statista<\/span><\/a> haben in der ersten Jahresh\u00e4lfte 236,1 Millionen Ransomware-Angriffe stattgefunden. Das zeigt, dass 2022 eines der folgenschwersten Jahre der j\u00fcngeren Geschichte werden k\u00f6nnte.\u00a0\u00a0 <\/span><\/p>\n

<\/p>\n

Im Folgenden stellen wir Ihnen vier Ransomware-Trends vor, die auch im Jahr 2022 und dar\u00fcber hinaus zu einer sich verschlechternden Ransomware-Bedrohungslandschaft beitragen werden.<\/p>\n

#1 Ransomware-as-a-Service dominiert Angriffe<\/span><\/strong><\/h2>\n

Was ist Ransomware-as-a-Service?<\/span><\/strong><\/h3>\n

Ransomware-as-a-Service (RaaS) ist ein Gesch\u00e4ftsmodell bei dem ein Bedrohungsakteur f\u00fcr die Verwendung vorgefertigter Ransomware bezahlt, um Ransomware-Angriffe auszuf\u00fchren.<\/span><\/p>\n

Wie funktioniert RaaS?<\/span><\/h3>\n

Beim RaaS-Modell verkaufen Ransomware-Entwickler, die als Betreiber bekannt sind, ihre Dienste wie in jedem anderen Gesch\u00e4ft, nur dass es im Dark Web stattfindet. RaaS-Betreiber k\u00f6nnen beispielsweise \u00fcber eine eigene Website haben, auf der sie Details zu ihren Dienstleistungen, einschlie\u00dflich Videos, Whitepapers und Bewertungen, bereitstellen. Sie k\u00f6nnen auch in Hackerforen und sozialen Medien aktiv um Kunden, so genannte Affiliates, werben. Bekannte RaaS-Anbieter k\u00f6nnen von angehenden Affiliates wegen ihres guten Rufs aufgesucht werden.<\/span><\/p>\n

RaaS-Betreiber bieten ihre Ransomware-Kits mit einer Vielzahl von Abonnementmodellen an. So k\u00f6nnen Partner beispielsweise eine monatliche Pauschalgeb\u00fchr f\u00fcr die kontinuierliche Nutzung der Ransomware zahlen oder einen vereinbarten Prozentsatz der erhaltenen L\u00f6segeldzahlungen mit dem RaaS-Betreiber teilen. RaaS-Betreiber k\u00f6nnen neben dem eigentlichen Angriff auch an anderen Aspekten eines Angriffs beteiligt sein, z. B. an der Erkundung von Zielen und der Unterst\u00fctzung von Verhandlungen mit den Opfern.<\/span><\/p>\n

Die Auswirkungen von RaaS<\/h3>\n

RaaS ist im Jahr 2022 zu einer vollwertigen Industrie herangereift, mit einer Vielzahl bekannter Ransomware-Familien wie Conti, LockBit, BlackCat und Revil. Das RaaS-Modell hat die Einstiegsh\u00fcrden von profitablen Ransomware-Angriffen deutlich gesenkt. W\u00e4hrend diese Form der Cyberkriminalit\u00e4t fr\u00fcher ausschlie\u00dflich hochqualifizierte Bedrohungsakteure f\u00fcr sich nutzen konnten, k\u00f6nnen nun auch Laien mithilfe von RaaS zerst\u00f6rerische Ransomware-Angriffe ausf\u00fchren. RaaS-Betreiber hingegen konnten den Anwendungsbereich ihrer Ransomware ausweiten und eine neue, lukrative Einnahmequelle erschlie\u00dfen. Diese erm\u00f6glicht es ihnen wiederum, fortschrittlicherer Angebote zu entwickeln und diese zu f\u00f6rdern. Dieses Win-Win-Gesch\u00e4ftsmodell hat unweigerlich zu einem starken Anstieg der Ransomware-Angriffe gef\u00fchrt.<\/span><\/p>\n

#2 Doppelte und dreifache Erpressung, die sich lohnt<\/span><\/strong><\/h2>\n

Was ist eine Doppelte Erpressung?<\/span><\/strong><\/h3>\n

Doppelte Erpressungen sind eine Taktik, bei der Ransomware Angreifer die Daten ihrer Opfer nicht nur verschl\u00fcsseln sondern auch stehlen. Indem der Angreifer dem Opfer droht seine Daten zu ver\u00f6ffentlichen, erh\u00f6ht er den Druck auf das Opfer, das L\u00f6segeld zu zahlen.<\/span><\/p>\n

Die Folgen der Doppelten Erpressung<\/span><\/strong><\/h3>\n

Die doppelte Erpressung wurde entwickelt, um den verbesserten Datensicherungs- und Wiederherstellungsmechanismen, die im Notfall in Unternehmen eingesetzt werden, au\u00dfer Kraft zu setzen. Im Fall eines Ransomware-Angriffs konnten Unternehmen ihre Systeme mit minimalem Datenverlust wiederherstellen und waren nicht mehr dazu gezwungen, L\u00f6segeldforderungen von Angreifern zu beachten, um ihr Unternehmen wieder zum Laufen zu bringen. Um dieses Szenario zu verhindern,\u00a0haben Ransomware-Banden Techniken entwickelt, um die Daten der Opfer vor der Verschl\u00fcsselung zu exfiltrieren. Das bedeutet, selbst wenn das Opfer seine Daten wiederherstellen k\u00f6nnte, kann der Angreifer damit drohen seine sensiblen Daten preiszugeben oder zu verkaufen. Dadurch erh\u00f6ht sich der Druck auf das Opfer das L\u00f6segeld letztendlich doch zu zahlen. Der <\/span>The State of Ransomware 2022<\/span><\/a> Bericht best\u00e4tigt diese Beobachtung: 26 % der Unternehmen, die verschl\u00fcsselte Daten mit Hilfe von Backups wiederherstellen konnten, werden auch im Jahr 2021 noch das L\u00f6segeld zahlen.<\/span>\u00a0<\/span>\u00a0<\/span><\/p>\n

Was ist dreifache Erpressung?<\/span><\/h3>\n

Die dreifache Erpressung setzt das Opfer zus\u00e4tzlich unter Druck, um den Erfolg des Angriffs zu erh\u00f6hen. Diese dritte Ebene des Drucks kann verschiedene Formen annehmen. Die gestohlenen Daten des Opfers k\u00f6nnen sensible Informationen von Dritten wie Kunden und Partnern enthalten. Angreifer k\u00f6nnen diesen Drittparteien mit der Preisgabe und dem Verkauf ihrer Daten drohen. Diese Taktik wird genutzt, um Dritte zu manipulieren. Dadurch wird zus\u00e4tzlicher Druck auf das Opfer ausge\u00fcbt, damit es das L\u00f6segeld bezahlt, oder um direkt von den Drittparteien eine L\u00f6segeldzahlung zu verlangen. Die Angreifer k\u00f6nnen auch DDoS-Angriffe (Distributed Denial of Service) gegen die Opfer starten, um deren Systeme lahm zu legen und die Zahlung zu erzwingen.<\/span><\/p>\n

#3 Das Aufkommen der intermittierenden Verschl\u00fcsselung\u00a0<\/span><\/strong><\/h2>\n

WAS IST DIE INTERMITTIERENDE VERSCHL\u00dcSSELUNG?<\/span><\/h3>\n

Bei der intermittierenden Verschl\u00fcsselung handelt es sich um die teilweise Verschl\u00fcsselung von Dateien. Anstatt die gesamte Datei zu verschl\u00fcsseln, ist die Ransomware so konfiguriert, dass sie nur einen Teil der Datei verschl\u00fcsselt. Beispielsweise wird jede festgelegte Anzahl von Bytes verschl\u00fcsselt, jede festgelegte Anzahl von Bytes \u00fcbersprungen oder ein festgelegter Prozentsatz der Dateigr\u00f6\u00dfe verschl\u00fcsselt. Die intermittierende Verschl\u00fcsselung wird so ausgef\u00fchrt, dass die verschl\u00fcsselte Datei unbrauchbar gemacht wird, obwohl sie nicht vollst\u00e4ndig verschl\u00fcsselt ist.\u00a0<\/span>\u00a0<\/span><\/p>\n

Die Folgen der intermittierenden Verschl\u00fcsselung<\/h3>\n

Die erste Ransomware, die intermittierende Verschl\u00fcsselung eingesetzt hat, wurde von Sophos im August 2021 entdeckt. Die LockFile-Ransomware verwendete eine intermittierende Verschl\u00fcsselung, bei der alle 16 Bytes einer Datei \u00fcbersprungen wurden. Auf diese Weise konnte sie der Erkennung durch Anti-Ransomware-L\u00f6sungen entgehen, da die verschl\u00fcsselte Datei dem unverschl\u00fcsselten Original statistisch gesehen sehr \u00e4hnlich sah. Abgesehen von der M\u00f6glichkeit, sich der Sicherheitserkennung zu entziehen, f\u00fchrt die Verschl\u00fcsselung nur von Teilen einer Datei auch zu einer schnelleren Verschl\u00fcsselungsgeschwindigkeit. Dadurch kann die Ransomware den Umfang der Infektion maximieren, bevor Sicherheitsl\u00f6sungen und Sicherheitsbeauftragte den Angriff erkennen und darauf reagieren.<\/span><\/p>\n

Die bedeutenden Vorteile der intermittierenden Verschl\u00fcsselung haben dazu gef\u00fchrt, dass verschiedene Ransomware-Betreiber mit ihren intermittierenden Verschl\u00fcsselungsfunktionen werben, um Partner zu rekrutieren. Zugegeben, die intermittierende Verschl\u00fcsselung ist eine relativ neue Technik und Konstruktionsfehler k\u00f6nnen es dem Opfer erm\u00f6glichen, seine Daten wiederherzustellen, ohne f\u00fcr einen Entschl\u00fcsselungsschl\u00fcssel zu bezahlen. Angesichts der Vorteile der intermittierenden Verschl\u00fcsselung sind Ransomware-Banden jedoch gezwungen, diese Technologie weiterzuentwickeln und zu verfeinern. Durch eine solche Entwicklung steigt h\u00f6chstwahrscheinlich auch die Anzahl erfolgreicher Ransomware-Angriffe. <\/span>\u00a0<\/span>\u00a0<\/span><\/p>\n

#4 Plattform\u00fcbergreifende Ransomware auf dem Vormarsch<\/span><\/strong><\/h2>\n

Was ist plattform\u00fcbergreifende Ransomware?<\/span><\/strong><\/h3>\n

Bei plattform\u00fcbergreifender Ransomware handelt es sich um Ransomware, die in der Lage ist, Dateien auf mehreren Systemen zu infizieren und zu verschl\u00fcsseln, z. B. Windows, macOS, Linux, Android und propriet\u00e4re Systeme.<\/p>\n

DAS AUFKOMMEN VON PLATTFORM\u00dcBERGREIFENDER RANSOMWARE<\/span><\/h3>\n

Die meiste Zeit seit ihrer Entstehung wurden Ransomware und andere Arten von Malware speziell f\u00fcr den Einsatz auf bestimmten Plattformen geschrieben. Die meisten von ihnen sind f\u00fcr Windows geschrieben, weil es so weit verbreitet ist. Mit der zunehmenden Digitalisierung von Unternehmen sehen sich Ransomware-Bedrohungsakteure jedoch mit komplexen IT-Umgebungen konfrontiert, in denen verschiedene Systeme betrieben werden. Anstatt Ransomware f\u00fcr einzelne Systeme zu schreiben oder bestimmte Systeme aufzugeben, haben Ransomware-Gruppen begonnen, plattform\u00fcbergreifende Ransomware-Funktionen zu entwickeln, um den Umfang der Verschl\u00fcsselung zu maximieren und den gr\u00f6\u00dftm\u00f6glichen Gewinn zu erzielen.<\/span>\u00a0<\/span><\/p>\n

Die Folgen plattform\u00fcbergreifender Ransomware<\/span><\/h3>\n

Plattform\u00fcbergreifende Ransomware verspricht, die ohnehin schon gef\u00e4hrliche Ransomware-Bedrohungslandschaft noch weiter zu versch\u00e4rfen. Im Jahr 2022 sind mehrere Berichte \u00fcber Ransomware mit plattform\u00fcbergreifenden Funktionen aufgetaucht, was auf einen steigenden Trend hindeutet. Im Mai berichtete Kaspersky, dass die ber\u00fcchtigte Conti-Gruppe bestimmten Mitgliedern den Zugriff auf eine Linux-Version ihrer Ransomware erm\u00f6glicht, die auf ESXi-Systeme, den Hypervisor f\u00fcr Unternehmen von VMware, abzielt. Im Juli 2022 berichtete <\/span>Kaspersky<\/span><\/a> \u00fcber zwei neue Arten von\u00a0 Ransomware, Black Basta und Luna, die in der plattform\u00fcbergreifenden Sprache Rust geschrieben wurden und sowohl auf Windows-, und Linux-Systemen als auch auf ESXi-Systemen funktionieren. Die M\u00f6glichkeit, ESXi-Systeme anzugreifen, ist von besonderem Interesse. ESXi ist ein branchenf\u00fchrender Hypervisor und wird von vielen Unternehmen eingesetzt. Wenn ein Angreifer einen einzelnen ESXi-Host kompromittiert, kann er die Dateien von Hunderten und Tausenden von virtuellen Maschinen verschl\u00fcsseln und damit weitreichenden Schaden anrichten.<\/span><\/p>\n

Schutz vor Ransomware mit ForeNova<\/span><\/strong><\/h3>\n

Durch die oben genannten Entwicklungen der Ransomware-Taktiken und -Techniken steigt gleichzeitig das Risiko von Ransomware-Angriffen. Gro\u00dfe und kleine, private und \u00f6ffentliche Organisationen m\u00fcssen unbedingt ihren Ransomware-Schutz aufr\u00fcsten, um ihre Daten zu sch\u00fctzen und erhebliche Verluste und Auswirkungen zu verhindern.<\/span><\/p>\n

ForeNova ist hier, um zu helfen.<\/span><\/p>\n

ForeNova ist ein spezialisierter Anbieter von Network Detection and Response (NDR)-Technologie. Unsere einzigartige NDR-L\u00f6sung, <\/span>NovaCommand<\/span><\/a>, bietet Sicherheitsadministratoren einen vollst\u00e4ndigen \u00dcberblick \u00fcber die Bedrohungen, die sich im Netzwerk befinden. NovaCommand erkennt Anomalien mithilfe von k\u00fcnstlicher Intelligenz und maschinellem Lernen. Dadurch erkennt es selbst unauff\u00e4llige Abweichungen im Netzwerkverhalten und setzt sie in einen Kontext zueinander. Das erm\u00f6glicht den Sicherheitsverantwortlichen, Anzeichen f\u00fcr b\u00f6sartige Aktivit\u00e4ten zu untersuchen und darauf zu reagieren, bevor Angreifer ihre Ransomware ausf\u00fchren k\u00f6nnen.<\/span><\/p>\n

ForeNova NovaCommand ist die einzige vollst\u00e4ndige, ganzheitliche Sicherheitsl\u00f6sung, die Ransomware-Angriffe in Echtzeit verhindert und entsch\u00e4rft.<\/p>\n