Wie man sich gegen die wachsende Bedrohung durch Ransomware-as-a-Service verteidigt
Da Cyberkriminelle ihre Methoden verfeinern und ihre Angriffsmöglichkeiten ausweiten, wenden sich viele an Ransomware-as-a-Service (RaaS). RaaS-Gruppen waren für 60 % der Ransomware-Angriffe in den letzten 18 Monaten verantwortlich. Mit der wachsenden Beliebtheit von RaaS stellen diese kriminellen Gruppen eine erhebliche Bedrohung für Unternehmen in allen Branchen dar. Um ihre Mitarbeiter und Prozesse vor dieser wachsenden Bedrohung zu schützen, müssen Unternehmen zunächst verstehen, wie diese Gruppen vorgehen.
Das Ransomware-As-A-Service-Modell
Ransomware-as-a-Service ist ein Modell, bei dem Angreifer oder ihre Partner einen Dienstleister für den Zugang zu Ransomware-Tools bezahlen. In gewissem Sinne ähnelt das Modell dem Paradigma Software-as-a-Service (SaaS). Wie bei SaaS bezahlt ein RaaS-Kunde für einen Technologiedienst, den er auslagern möchte. Die Dienstleister stellen dann die benötigte Software zur Verfügung, damit die angeschlossenen Unternehmen ihre eigenen Angriffe starten können.
Die Anbieter sind für die Entwicklung eines RaaS-Kits und dessen Lizenzierung an ein Ransomware-Partnerunternehmen verantwortlich. Sobald sie ein leistungsfähiges Malware-System entwickelt haben, suchen sie nach Partnern, die an der Nutzung der Technologie interessiert sind. Die Partner können sich in der Zwischenzeit auf Aufgaben wie die Kompromittierung von Zielen oder die Verbreitung der Ransomware konzentrieren, ohne sich um die Malware-Entwicklung kümmern zu müssen.
Einige Partner zahlen für den Dienst auf monatlicher Basis. Andere geben dem RaaS-Anbieter einfach eine Provision von ihren Gewinnen, und die Prozentsätze werden in der Regel beim Kauf der Lizenz im Voraus festgelegt. Sobald das Geschäft abgeschlossen ist, erhält der Partner alle Einführungsinformationen, die er benötigt, um die Malware gegen seine Opfer einzusetzen.
Wichtigste RaaS-Organisationen
In den letzten Jahren hat sich eine Reihe krimineller Gruppen als wichtige RaaS-Anbieter etabliert. Durch die Entwicklung von Schadsoftware und deren Verkauf an Partner haben diese Gruppen erhebliche Gewinne erzielt.
Zu den prominenten Gruppen gehören:
- DarkSide/SchwarzKatze/ALPHV
- REvil/Sodinokibi
- Conti
- LockBit
- Maze/Egregor
Mit ihren unterschiedlichen Programmen und Praktiken stellt jede Gruppe eine einzigartige Bedrohung für ein Unternehmen dar. Indem sie erfahren, wie diese kriminellen Unternehmen operieren, können Unternehmen ihre Sicherheitslage verbessern und sich gegen RaaS-basierte Angriffe schützen.
1. DarkSide Umbenennung in BlackCat/ALPHV
DarkSide war jahrelang ein bedeutender RaaS-Anbieter mit einer langen Liste von Opfern in aller Welt. Die Gruppe war dafür bekannt, Phishing-E-Mails mit eingebetteten Links und bösartigen Anhängen als Angriffsvektor zu nutzen. Sobald die DarkSide-Malware Zugang zu einer Zielumgebung erlangt hatte, konnte sie wichtige Anmeldeinformationen sammeln und sensible und wertvolle Daten aus dem Unternehmen exfiltrieren.
Nach dem berüchtigten Angriff auf die Colonial Pipeline, eine große US-amerikanische Treibstoffpipeline, glaubte man, DarkSide sei verschwunden, nachdem seine Server beschlagnahmt und seine Kryptowährungsfonds abgezogen worden waren. Viele der Entwickler tauchten später als BlackCat/ALPHV wieder auf. Die neue Gruppe entwickelte ihre Malware in der Programmiersprache Rust. Der neueste Ansatz der Cyberkriminellen umfasst eine Vielzahl neuer, ausgefeilter Funktionen, wie die Möglichkeit, verschiedene Verschlüsselungsroutinen zu verwenden, sich zwischen Computern zu verbreiten, virtuelle Maschinen und ESXi-VMs zu zerstören und ESXi-Snapshots automatisch zu löschen, um eine Wiederherstellung zu verhindern.
Anfang 2022 wurde mit den Methoden der ALPVH ein Angriff auf Swissport gestartet, ein Luftfahrtunternehmen, das Flughäfen in über 50 Ländern logistisch unterstützt. Die Angreifer erbeuteten beträchtliche Mengen an sensiblen Daten und drohten, die Informationen freizugeben, wenn kein Lösegeld gezahlt würde. Sie kündigten außerdem an, dass sie bereit sind, die gesamten 1,6 TB an Daten an einen potenziellen Käufer zu verkaufen.
2. REvil/Sodinokibi
In vielerlei Hinsicht ähnelt die REvil-Malware den meisten anderen RaaS-Programmen. Sobald sie erfolgreich in das Netzwerk eines Unternehmens eingedrungen ist, meist durch Phishing, Brute-Force-Angriffe und Server-Exploits, erfasst und verschlüsselt sie wichtige Daten. REvil ahmt auch andere RaaS-Gruppen nach, indem es eine Leak-Site betreibt, auf der sensible Daten veröffentlicht werden können, um den Druck auf das Opfer zu erhöhen und die sofortige Zahlung eines Lösegelds zu erzwingen. Allein in den ersten sechs Monaten des Jahres 2021 lag die durchschnittliche Zahlungsforderung bei etwa 2,25 Millionen US-Dollar.
REvil zeichnet sich durch eine Reihe spezieller Funktionen aus, die darauf abzielen, die Privilegien zu erweitern und mehr Daten zu extrahieren. Die Malware meldet sich häufig mit einer Administrator-Anmeldeaufforderung oder startet Windows im abgesicherten Modus neu, um Dateien zu verschlüsseln.
In der Vergangenheit nutzten die REvil-Partner Spam-Kampagnen, um bösartige Dokumente und Exploit-Kits zu verbreiten, die auf bekannte Schwachstellen auf ungepatchten Rechnern abzielten. In den letzten Monaten haben einige bösartige Akteure begonnen, Spam-Kampagnen zu nutzen, um den Qakbot-Wurm zu verbreiten.
3. Conti
Conti trat erstmals Anfang 2020 in Erscheinung und hat seitdem seinen Mitgliedern geholfen, mehrere Millionen Dollar von über 400 Organisationen zu erpressen. Zu den häufigsten Angriffsvektoren gehören gestohlene oder geknackte RDP-Anmeldedaten, Phishing-E-Mails mit bösartigen Links oder Anhängen sowie die Ausnutzung von Software-Schwachstellen.
Seine Entwickler, von denen man annimmt, dass sie in den vergangenen Jahren mit Ryuk-Malware gearbeitet haben, haben ein Schadprogramm entwickelt, das ebenso schnell wie umfassend ist. Die Malware verschlüsselt die Daten der Opfer mit dem AES-256-Verschlüsselungsschlüssel und verwendet außerdem einen Multithreading-Ansatz, um die Ausführung viel schneller als bei anderen Malware-Familien zu machen.
Die Geschwindigkeit des Conti RaaS-Programms hat es bei Cyberkriminellen besonders beliebt gemacht. Sobald die erste Infiltration stattgefunden hat, kann sich die Verschlüsselung von einem Gerät zum anderen ausbreiten, bevor Cybersecurity-Experten Zeit haben zu reagieren.
4. LockBit
LockBit 2.0, die neueste Version des berüchtigten RaaS-Anbieters, ist dafür bekannt, dass er erfolgreich doppelte Erpressungstechniken einsetzt. Die Malware kann Geräte in Windows-Domänen schnell verschlüsseln, indem sie die Gruppenrichtlinien von Active Directory (AD) missbraucht, so dass die Angreifer hohe Lösegelder fordern können. Die Cyberkriminellen unterhalten auch eine Darkweb-Site, auf der sie die letzten Opfer auflisten und angeben, wie viel Zeit noch bleibt, bis ihre Daten freigegeben werden. Wenn der Countdown abgelaufen ist, werden die gestohlenen Daten zum Download bereitgestellt.
In einem prominenten Fall forderten die Angreifer 50 Millionen Dollar von der globalen Beratungsfirma Accenture. Zu den Ländern, die am häufigsten von LockBit-Angriffen betroffen sind, gehören Italien, Taiwan, Chile und das Vereinigte Königreich.
5. Maze/Egregor
Jahrelang stand die Maze-Gruppe an der Spitze der neuen Entwicklungen in der Welt der RaaS. Sie waren die ersten Bedrohungsakteure, die eine spezielle Leak-Site einrichteten und eine doppelte Erpressungstaktik anwandten - eine Praxis, die inzwischen für RaaS-Organisationen üblich geworden ist. Die Partner der Gruppe verbreiteten die Malware meist über Phishing-Kampagnen mit Downloadern, die Cobalt Strike Beacon installierten.
Nach der Ankündigung, den Betrieb im September 2020 einzustellen, hat sich die Maze-Gruppe in Egregor umbenannt. Mit einer Technologie, die den Ansatz von Conti widerspiegelt, hat Egregor eine äußerst erfolgreiche kriminelle Operation geschaffen. Wie Conti nutzen auch die Partner E-Mail-Phishing-Kampagnen mit bösartigen Dokumenten, um den Qakbot-Wurm zu verbreiten, und ergänzen diesen Ansatz häufig mit externen Exploits gegen RDP.
Wie man RaaS-Angriffe verhindert
Die Verhinderung von RaaS-bezogenen Kompromittierungen erfordert einen proaktiven Ansatz für die Cybersicherheit. Zuallererst müssen Unternehmen erkennen, dass die meisten Vorfälle mit einer bösartigen E-Mail beginnen. Malware kann nur dann Schaden anrichten, wenn es ihr gelingt, in das Netzwerk eines Unternehmens einzudringen, und E-Mail ist ein Hauptangriffsvektor. Um dieses Risiko zu mindern, sind sowohl menschliche als auch technologische Lösungen erforderlich. Indem sie ihre Mitarbeiter darin schulen, verdächtige Nachrichten zu erkennen, und ihre Abwehr mit Sicherheitsprogrammen mit maschinellem Lernen verstärken, können sich Unternehmen besser gegen RaaS-basierte Angriffe schützen.
Damit die Sensibilisierung der Mitarbeiter wirksam ist, muss sie kontinuierlich erfolgen. Bösewichte entwickeln ihre Methoden ständig weiter, und die Unternehmen müssen ihre Mitarbeiter über die neuesten Bedrohungen auf dem Laufenden halten. Unternehmen können auch überlegen, welche Mitarbeiter am ehesten von Phishing-Angriffen betroffen sind, und diese dann für zusätzliche Schulungen anmelden.
Um sicherzustellen, dass sie über den nötigen Schutz verfügen, sollten Unternehmen ihre Mitarbeiterschulungen durch maschinenintelligente E-Mail-Sicherheitsprogramme ergänzen. Solche Programme können Abweichungen von typischen Kommunikationsmustern innerhalb eines Unternehmens erkennen und so E-Mail-Bedrohungen identifizieren und stoppen, bevor sie die Posteingänge der Mitarbeiter erreichen. Mit einer kontinuierlichen Schulung des Sicherheitsbewusstseins der Mitarbeiter und dem Einsatz erstklassiger E-Mail-Sicherheitssysteme können Unternehmen potenzielle Ransomware-Angriffe abwehren.
Um zu erfahren, wie die maschinenintelligente Software von xorlab Ihr Unternehmen vor Ransomware-Angriffen schützen kann, fordern Sie noch heute eine Demo an.