Ransomware „Marke Eigenbau“

Seit Juni 2023 hat das Spezialistenteam Sophos X-Ops 19 „Junk Gun“-Ransomware-Varianten ausgemacht. Billig, selbst produziert und eher plump aufgebaut tauchen die Programme im Darknet auf. Dahinter stecken eher rudimentär ausgebildete Entwickler, die mit einfachen und günstigen Ransomware-Modellen den etablierten Ransomware-as-a-Service-Markt (RaaS) aufrollen wollen. Junk Gun erinnert an eine Ära in den USA in den 60er und 70er-Jahren, als mit billigen und teils schlecht funktionieren Waffen, später „Junk Guns“ genannt, der Markt überschwemmt wurde. Eine Entwicklung, die sich zurzeit ähnlich in der Cybercrime-Szene wiederholt. 

Hat das RaaS-Modell ausgedient?

Anstatt Ransomware als Affiliate-Produkt zu verkaufen oder zu erwerben – wie es im Cybercrimemarkt seit Jahren Standard ist – bauen und verkaufen die Cybercrime-Emporkömmlinge primitive Ransomware-Modelle selbst, zu einer einmaligen Gebühr. Für einige Kriminelle ideal, um damit kleine und mittelständische Unternehmen oder Einzelpersonen anzugreifen.

„Wir, beobachten, dass Ransomware einen gewissen Sättigungsgrad erreicht hat. Es ist immer noch eine der gängigsten und ernsthaftesten Bedrohungen für Unternehmen, aber die Anzahl der Angriffe hat sich auf einem bestimmten Level eingependelt und das RaaS-Geschäft als gängiges Betriebsmodell für die meisten Haupt-Ransomware-Gruppen etabliert. Vor zwei Monaten verschwanden einige der größten Ransomware-Player von der Bildfläche und in der Vergangenheit machten einige der Ransomware-Partner ihrem Ärger über die Profit-Orientierung von RaaS Luft. Nichts in der Cybercrimewelt bleibt wie es ist und vielleicht sind wir gerade Zeitzeugen, wie diese billigen Versionen von Ransomware der nächste Evolutionsschritt sind, besonders für Kriminelle mit wenig Kenntnissen, die eher auf den schnellen Profit statt auf einen ruhmreichen Angriff setzen“, sagt Christopher Budd, Director Threat Research bei Sophos.

Ransomware zum einmaligen Schnäppchenpreis

Sophos listet im Report eine dieser Eigenbau-Varianten im Darknet zum Preis von 375 US-Dollar auf, eindeutig günstiger als einige RaaS-Kits für Partner, die mit mehr als 1.000 US-Dollar zu Buche schlagen. Laut Analyse haben die Cyberkriminellen bereits vier dieser Varianten in Angriffen eingesetzt. Während die Fähigkeiten der Junk-Gun-Ransomware sich stark von den RaaS-Varianten unterscheiden, können jedoch zwei Argumente punkten: die Schadsoftware braucht zum Laufen wenig oder sogar gar keine unterstützende Infrastruktur und die Nutzer sind nicht verpflichtet, ihren Gewinn mit den Entwicklern zu teilen.

Anzeigen und Tutorials zum Selberbasteln

Junk-Gun-Ransomware-Diskussionen finden hauptsächlich in Englisch-sprachigen Foren im Darknet statt und richten sich an Kriminelle mit wenig technischen Kenntnissen – ganz im Gegensatz zu den oft russischsprachigen Foren, die von bekannten und gut ausgebildeten Angriffsgruppierungen besucht werden. Diese neuen Varianten eröffnen einen reizvollen Weg für kriminelle Novizen, in die Ransomware-Welt zu starten. Neben Anzeigen für die Ransomware-Schnäppchen gibt es Beiträge zu Tipps und Trick und How-to-Tutorials.

Angriffe von Junk-Gun-Ransomware laufen womöglich unterm Radar

„Diese Arten von Ransomware werden keine Millionen-Dollar-Lösegelder wie bei Clop oder Lockbit einfordern, aber getreu dem Motto ‘Masse statt Klasse’ können sie recht effektiv bei KMUs sein und das Debüt für eine größeren Verbreitung darstellen. Während das Phänomen der Junk-Gun-Ransomware relativ neu ist, erhielten wir bereits Einblicke in den Ehrgeiz der Erfinder, um dieses Ransomware-Modell weiter zu verbreiten. Und wir haben viele Posts von weiteren Kriminellen gesehen, die ihre eigene Ransomware-Variante kreieren wollen“, so Budd. „Noch beunruhigender ist allerdings, dass diese neue Ransomware-Bedrohung eine ernsthafte Herausforderung für die Verteidigung darstellt: Da Angreifer diese Modelle gegen KMUs einsetzen und die Lösegeldforderungen gering sind, bleiben die meisten Attacken unentdeckt und unveröffentlicht. Das hinterlässt eine Informationslücke für die Verteidiger, die die Sicherheits-Gemeinschaft dann ausfüllen muss.“