Ransomware-as-a-Service: Die Unterwelt ist organisierter als gedacht

Dr. Sebastian Schmerl ist Director Security Services EMEA bei Arctic Wolf. Er zeigt, wie umfassende Security Operations Schutz vor der steigenden Anzahl gut geplanter und koordinierter Ransomware-Angriffe bieten können.

Wie eine gut organisierte Parallelgesellschaft, aufgebaut auf Kriminalität, funktioniert, kann in dem Keanu Reeves-Film „John Wick“ in seiner ganzen Eindringlichkeit beobachtet werden: Kriminelle und Hitmen erhalten Aufträge, Unterstützung, Unterschlupf und generell Führung von einer im Verborgenen agierenden Institution mit eingemeißelten Regeln und festgelegten Prozessen. Sehr zum Leidwesen der potenziellen und tatsächlichen „Opfer“ dieser Ausprägung der Unterwelt, die so kaum eine Chance haben, den kriminellen oder todbringenden Anschlägen zu entgehen. Um Leben und Tod geht es wohl bei Ransomware – zumindest in den allermeisten Fällen – nicht, aber doch um horrende Summen (in Form von Kryptowährung oder „normalen“ Zahlungsmitteln), die entrichtet werden sollen, und auch um die Reputation und den Fortbestand von betroffenen Unternehmen.

Dass Unternehmen von Ransomware-Angriffen betroffen sind, ist keine Seltenheit. Eine Studie des Digitalverbands Bitkom e.V. belegt: „Neun von zehn Unternehmen (88 Prozent) waren 2020/2021 von Angriffen betroffen.“ Tendenz steigend! Vor diesem Hintergrund stellt sich die Frage: Wie kann es sein, dass die meisten Attacken auf Unternehmenssysteme mit Ransomware so gut koordiniert und daher erfolgreich sind? Die Antwort lautet: Ransomware-as-a-Service (RaaS).

Ein Herz für Cyberkriminelle – oder: Gib Ransomware eine Chance

Laut Schätzungen sind im Jahr 2020 bei 64 Prozent aller Ransomware-Attacken RaaS-Methoden zum Einsatz gekommen. Aber um was handelt es sich bei RaaS genau? Dieser Ansatz stellt einen Service dar, bei dem eine Ransomware-Bande entsprechende Tools oder -Plattformen zur Verfügung stellt und zusätzlich Anleitung zur Durchführung, Best Practices sowie einen IT-Helpdesk etc. bietet. Diese Dienstleistung ist meist über das Deep oder Dark Web erhältlich. Bedrohungsakteure haben dabei die Wahl, ob sie die bereitgestellte Ransomware lieber einmalig erwerben oder im Abo beziehen möchten, um Ransomware-Angriffe zu starten. Auch in puncto Preisstrategie hält der Anbieter verschiedene Strategien (Einmalzahlung beim Verkauf, Leasing, Anteil am Lösegeld etc.) bereit. Also ganz wie beim Erwerb legaler hochprofessioneller Services. Daher ist es nicht verwunderlich, dass der RaaS-Ansatz unter Cyberkriminellen äußerst beliebt ist und immer mehr an Einfluss gewinnt. Zudem ist Ransomware eine der gängigsten Schadprogramme, die bereits seit Jahrzenten genutzt wird.

Wie Bedrohungsakteure mit RaaS erfolgreich sind

RaaS ist erfolgreich, da die Verschlüsselung der IT und die damit verknüpfte Drohung der Datenveröffentlichung für Unternehmen eine Katastrophe bedeutet und Ransomware so ein ungemein mächtiges Druckmittel in den Händen von kriminellen Elementen darstellt. Unternehmen stehen einem erfolgreich durchgeführten Ransomware-Angriff oftmals hilf- und ratlos gegenüber und halten sich nicht an die Empfehlung von LKA, BKA und BSI, möglichst keine Lösegeldzahlung zu leisten. Die entsprechende Zahlung des Lösegelds wird zumeist in Kryprowährungen gefordert. Denn diese sind schwer zurückzuverfolgen und einfach in sauberes Geld umzuwandeln, weswegen sich Bitcoin, Monero und Co. besonders für die Begleichung von RaaS-Forderungen eignen.

Da RaaS-Services leicht zugänglich sowie anpassungsfähig sind, entscheiden sich Cyberkriminelle oftmals für eine solche Dienstleistung. Zudem können Bedrohungsakteure hier eine Ransomware-Plattform nutzen, um die Zielunternehmen und die Angriffsdaten zu managen. Des Weiteren können sie mittels solcher Plattformen einzelne Angriffsmodule weiterentwickeln. So ist es für die IT-Teams der „Opfer“-Organisationen äußerst schwierig, mit den aktuellen Ransomware-Entwicklungen Schritt zu halten. Um den Schutz der Infrastruktur und Unternehmenssysteme sicherzustellen, wird daher eine umfassende Cybersicherheits-Strategie benötigt.

Eine ausgefeilte Sicherheitsstrategie ist die beste Verteidigung

Eine erfolgreiche Strategie für Cybersecurity umfasst u.a. die Kenntnis der IT-Systeme, das Wissen um die auf dem Markt verbreiteten Schadsoftware-Lösungen, Managed-Detection-and-Response- sowie Managed-Risk-Maßnahmen wie Security-Monitorings und umfangreiche Analysen. Zudem müssen innerhalb des Unternehmens Security-Awareness- und Cyberhygiene-Initiativen durchgeführt werden, um die Mitarbeitenden für die Themen Cybersicherheit und Sicherheitsrisiken zu sensibilisieren. Zudem muss die Sicherheit als kontinuierlicher Prozess, nicht als Beibehaltung des Status quo, verstanden werden. Das heißt: Die Verteidigungsaktivitäten müssen sich der sich ständig ändernden Bedrohungslage anpassen. Das beinhaltet kontinuierliche Patches von Schwachstellen und Updates der Systeme.

Was muss passieren, wenn’s passiert ist?

Sicherheitsstrategien und entsprechende -maßnahmen reduzieren die Gefahr eines erfolgreichen Cyberangriffs zwar erheblich, jedoch bieten auch diese keinen 100-prozentigen Schutz. Deswegen ist es für Unternehmen unerlässlich, Pläne für eine angemessene und besonnene Reaktion im Ernstfall zu entwickeln. Ein solcher Notfallplan sollte dann auch minutiös befolgt werden. So werden panische und überstürzte Aktionen verhindert, die sich negativ auf die Verhandlungen sowie deren Ausgang auswirken könnten. Zusätzlich bieten Cyber Defense Hotlines von Security-Partnern, spezialisierte Berater und die entsprechenden offiziellen Stellen im Falle eines erfolgreichen Cyberangriffes Unterstützung und wertvollen Expertenrat.

Zu den zu unternehmenden Gegenmaßnahmen zählen Incident Response Management, um die Ausbreitung der Schadsoftware zu verhindern sowie Recovery-Maßnahmen, die die Beurteilung des Schadensausmaßes sowie die Evaluation aller Wiederherstellungsoptionen beinhalten. Zudem müssen die verfügbaren Daten zu Angreifern, Malware und Vorfällen zusammengetragen und die Entscheidung darüber getroffen werden, ob das geforderte Lösegeld gezahlt werden soll. Jedoch sollte dabei berücksichtigt werden, dass es sich bei den Verhandlungspartnern um Kriminelle handelt und diesen daher nicht vollumfänglich vertraut werden sollte. Dennoch sollte bei den Verhandlungen Sachlich- und Höflichkeit vorherrschen, um die Cyberkriminellen nicht zu provozieren.

Ist das Schlimmste überstanden, müssen noch abschließende Maßnahmen ergriffen werden. Dies umfasst das Scannen und „Reinigen“ aller Systeme sowie das Zurücksetzen der Login-Daten, da in vielen Fällen derselbe Angreifer sein Glück schon wenige Monate später erneut versucht. Zusätzlich muss eine intensive Recherche durchgeführt werden, um zu überprüfen, dass tatsächlich keine der eigenen Daten im Public, Dark oder Deep Web veröffentlicht wurden.

RaaS versus SOC bzw. SOCaaS

Der Entwurf der Sicherheitsstrategie sowie die Ausführung entsprechender Maßnahmen von Unternehmen findet üblicherweise im Security Operations Center (SOC) statt. Die hier arbeitenden Sicherheitsexperten befassen sich mit der Bestandsaufnahme der IT-Infrastruktur und -Systeme sowie der IT-gestützten Betriebsprozesse, dem fortwährenden Monitoring sowie der Aktualisierung der Systeme durch Updates und Patches. Unternehmen, die selbst nicht die benötigen Ressourcen aufbringen können, können die Partnerschaft mit hochqualifizierten SOC-as-a-Service (SOCaaS)-Anbietern – wie Arctic Wolf – eingehen, um die Abwehr von Ransomware- und weiteren Schadsoftware-Angriffen zu ermöglichen. Der Sicherheitspartner führt dafür das benötigte Monitoring sowie Detection-and-Response-Maßnahmen kontinuierlich durch und etabliert so einen proaktiven Schutz der Unternehmenssysteme.

Fazit: RaaS – die Risiken kennen und allzeit bereit sein

Digitalisierung, Homeoffice-Tätigkeiten, Remote Work und ähnliche aktuelle Trends vergrößern die Angriffsfläche für Cyberkriminelle, die die Möglichkeiten, die sich ihnen bieten, gerne und ausgiebig nutzen. Mit RaaS steht ihnen zusätzlich ein leicht zugängliches Angriffswerkzeug zur Verfügung. So ist „die steigende Anzahl an Cyber-Angriffen“ kaum verwunderlich. Daher müssen Unternehmen mehr denn je penibel darauf achten, ihre Systeme umfassend zu schützen. Sicherheitslücken müssen geschlossen, Angriffsversuche ausgiebig analysiert werden. Die Verantwortlichen der Unternehmen sollten sich über die Bedrohungslage und die nötigen Gegenmaßnahmen bewusst und dazu bereit sein, die entsprechenden Ressourcen zu investieren. Denn: Sind Organisationen auf Cyberangriffe durch eine proaktive Sicherheitsstrategie gut vorbereitet, ist der umfassende Schutz der Unternehmenssysteme, der Mitarbeitenden, der Geräte und Daten gegeben und die Chance, dass Attacken erfolgreich verlaufen, unwahrscheinlich.

Computacenter Consultant Portrait Sebastian Schmerl in Frankfurt am Main, Hessen, Deutschland, 1.6.2016

Über den Autor

Dr. Sebastian Schmerl ist Director Security Services EMEA bei Arctic Wolf. Er bringt mehr als 15 Jahre Erfahrung im Bereich Cybersecurity mit sowie in der Bereitstellung von Cyber Defense Services und dem Aufbau von Enterprise Security Operations Center (SOC) für Unternehmen wie Daimler, Volkswagen, Bosch, Datev und Bayer. Sebastian Schmerl ist ständiges Mitglied in der „EU/ENISA – Working Group on Security Operation Centres“ zur Angleichung der Cyber-Protection für die EU-Region sowie stellvertretender Vorstandssprecher der Fachgruppe SIDAR der Deutschen Gesellschaft für Informatik.


Bildquelle / Lizenz Aufmacher: Foto von Soumil Kumar von Pexels


Creative Commons Lizenz CC BY-ND 4.0

Sie dürfen:

Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten und zwar für beliebige Zwecke, sogar kommerziell.

Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.


Unter folgenden Bedingungen:

Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.

Keine Bearbeitungen — Wenn Sie das Material remixen, verändern oder darauf anderweitig direkt aufbauen, dürfen Sie die bearbeitete Fassung des Materials nicht verbreiten.