Ransomware-as-a-Service überschwemmt den Markt

Der Erfolg der Ransomware hat eine tiefgreifende Veränderung der gesamten Cybercrime-Branche in Gang gebracht. Verschiedene Gruppen entwickeln spezialisierte Tools, die sie „as-a-service“ anbieten und überschwemmen damit den Markt. Professionelle Cyberkriminalität bekommt dadurch eine neue Dimension, die immer weiter voranschreitet.

Kaum qualifizierte Einzelkämpfer und nationale APTs

„Jede Cybercrime-Gruppierung möchte natürlich ihren Anteil an den sprudelnden Einnahmen der Ransomware-Industrie vergrößern. Dafür kaufen sie sich Dienstleistungen bei spezialisierten Anbietern im Bereich der Internetkriminalität ein. Das ist das gleiche Outsourcing, wie wir es in der klassischen Wirtschaft kennen. Es geht einfach um die Steigerung der eigenen Gewinne“, erklärt Rüdiger Trost, Berater für Cybersicherheit bei WithSecure. „Dieses Angebot an Services und Informationen wird von immer mehr Bedrohungsakteuren genutzt. Das geht von wenig qualifizierten Einzelkämpfern bis hin zu nationalen APTs. Es gab natürlich auch schon Internetkriminalität, bevor es Ransomware gab. Aber Ransomware bringt eine enorme zusätzliche Schubkraft für die Entwicklung der Branche.“

Der Report “The Professionalization of Cyber Crime” von WithSecure beleuchtet ein bemerkenswertes Beispiel für diese Entwicklung ausführlicher. Bei dem Vorfall wurde eine Organisation von fünf verschiedenen Bedrohungsakteuren kompromittiert. Alle Angreifer verfolgten dabei unterschiedliche Ziele und repräsentieren unterschiedlichen Segmente der Cybercrime-Branche:

  • Die Ransomware-Gruppe Monti
  • Qakbot Malware-as-a-Service
  • Die Kryptojacking-Gruppe 8220 Gang (auch bekannt als Returned Libra)
  • Ein nicht näher benannter Initial Access Broker (IAB)
  • Eine Untergruppe der Lazarus-Gruppe. Die hoch professionellen Hacker von Lazarus sind schon länger tätig und werden mit Nordkoreas Geheimdienst in Verbindung gebracht.
Zugriff auf Fachwissen und Dienstleistungen für Angriffe

Dem Bericht zufolge bekommen inzwischen durch diese Professionalisierung und Diversifizierung der Branche auch weniger qualifizierte oder mit unzureichenden eigenen Ressourcen ausgestattete Bedrohungsakteure Zugriff auf Fachwissen und Dienstleistungen für Angriffe auf Unternehmen. Die Analysten von WithSecure halten es deswegen für wahrscheinlich, dass sowohl die Zahl der Angreifer als auch die Größe der Cyberkriminalitätsbranche insgesamt in den kommenden Jahren weiter wachsen wird.

„Wir sprechen oft über den Schaden, den Ransomware-Angriffe bei den Opfern verursachen. Wir sollten aber besser darauf achten, wie Lösegeldzahlungen den Angreifern zusätzliche Ressourcen verschaffen und wie das den im Bericht beschriebenen Trend zur Professionalisierung der Branche befeuert. In naher Zukunft wird dieses sich verändernde Ökosystem wahrscheinlich die Ressourcen und die Art der Angriffe beeinflussen, mit denen die Verteidiger konfrontiert werden“, so Trost weiter.

Mehrere Erpressungsmethoden gleichzeitig

Ransomware gibt es schon seit Jahrzehnten, aber die Angriffsstrategie hat sich im Laufe der Jahre kontinuierlich an die verbesserten Verteidigungsmaßnahmen angepasst. Eine bemerkenswerte Entwicklung ist die derzeitige Dominanz von Ransomware-Gruppen, die mehrere Erpressungsmethoden gleichzeitig anwenden: Sie setzen sowohl auf Verschlüsselung, um den Zugriff auf die Daten zu verhindern, als auch auf Datendiebstahl. Mit der Drohung, die Daten öffentlich zu machen, erhöhen sie den Druck auf die Opfer, die geforderten Lösegeldzahlungen zu leisten.

Eine Analyse von über 3000 Datenlecks durch Ransomware-Gruppen mit dieser Strategie ergab: Am häufigsten fielen den Angriffen Organisationen in den Vereinigten Staaten zum Opfer, gefolgt von Kanada, Großbritannien, Deutschland, Frankreich und Australien. Insgesamt entfielen auf Organisationen in diesen Ländern drei Viertel der in der Analyse erfassten Datenlecks.

Die Bauindustrie ist dabei mit 19 Prozent der analysierten Vorfälle am stärksten betroffen. Auf Automobilunternehmen entfallen dagegen nur etwa 6 Prozent der Leaks. Dazwischen liegt ein breites Mittelfeld weiterer Branchen. Ein Grund dafür ist, dass sich einige Hackergruppen laut der Untersuchung auf einzelne Wirtschaftsbereiche spezialisiert haben.

Roger Homrich

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

1 Stunde ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

2 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

19 Stunden ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

20 Stunden ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

22 Stunden ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

2 Tagen ago