Ransomware als Dienstleistung

Doch nicht nur bei den Methoden kann eine Ausweitung und eine Professionalisierung beobachtet werden, auch die Hacker selbst setzen auf immer ausgefeiltere Arbeits­teilung. Urbanski von Eset berichtet davon, dass die Kriminellen ganze Geschäftsmodelle aus illegalen Praktiken aufbauten. «So kaufen sie zum Beispiel fertige Ransomware und bieten diese als Teil eines ‹Ransomware as a Service›-Pakets (RaaS) an», berichtet er. Dadurch wird der Aufwand für die Angreifer deutlich reduziert. Auf die Folge dieses Trends macht Wüest von Acronis aufmerksam. «Gerade das Ransomware-as-a-Service-Modell erlaubt es hier, auch kleinere Unternehmen profitabel anzugreifen», so Wüest.

In diesem Zusammenhang berichtet Roman Stefanov, Head of Cybersecurity Sales bei Cisco Schweiz, von einer ganz neuen Entwicklung, dem «Compromise as a Service» (CaaS). «Diese Angebote richten sich an Ransomware-Betreiber, die Erpressungsangriffe starten wollen, ohne sich zunächst Zugang zu den Netzwerken verschaffen zu müssen, auf die sie abzielen», meint Stefanov und fügt an, dass die Personen, die diese Angebote verkauften, inzwischen als «Erstzugangs-Broker» bezeichnet würden. «Denn sobald sie diese Zugriffsmöglichkeiten geschaffen haben, ver­suchen sie, die Ransomware nicht selbst einzusetzen, sondern die Zugänge anderen Bedrohungsakteuren zu verkaufen, damit sie für weitere Angriffe genutzt werden können», führt er weiter aus. Dies sei denn auch für viele Ransomware-Betreiber ein attraktives Geschäftsmodell, da sie sich nicht mehr darum kümmern müssten, wie sie Zugang erhielten, ergänzt Stefanov. «Sie können ihn einfach kaufen, was die Einstiegshürde erheblich senkt und auch den Prozess der Ransomware-Bereitstellung vereinfacht», sagt er.

Ein weiterer, besonders effektiver Verbreitungsweg für Ransomware, der sich in letzter Zeit besonderer Beliebtheit in Hackerkreisen erfreut, ist der Angriff über die Lieferkette. Bestes Beispiel war hier die Attacke über den US-IT-Dienstleister Kaseya, dessen IT-Management-Software mit Ransomware verseucht wurde. Da viele Managed Service Provider das Programm für die Verwaltung der Kunden-IT nutzten, waren schlussendlich zahlreiche Unternehmen betroffen. Wohl am schlimmsten traf es in diesem Zusammenhang die schwedische Supermarktkette Coop, deren Kassen­system lahmgelegt wurde.

Einen solchen Multiplikations-Effekt zu erzielen, ist natürlich für eine Hackerbande das Nonplusultra und daher sehr erstrebenswert. «Seit diesem Jahr konnte ein vermehrter Fokus auf Service Provider und MSPs festgestellt werden», beobachtet daher Wüest von Acronis. «Einmal infil­triert, ermöglicht diese Methode es den Angreifern, über den MSP auf alle Endkunden zu springen und so den möglichen Profit zu multiplizieren», fügt er an und warnt generell vermehrt vor Supply-Chain-Angriffen. Gerade das besondere Vertrauen, das ein IT-Dienstleister geniesse, werde so ausgenutzt, gibt Wüest zu bedenken.

Allerdings sind derartige Attacken eher komplex, sodass Stefanov von Cisco doch auch beruhigende Worte findet. «Solche Angriffe dürften kaum zunehmen, da der Aufwand doch erheblich ist und der IT-Dienstleister sich schützen kann», gibt er zu bedenken. Ein Angreifer müsse nämlich immer noch ein Netzwerk durchqueren und sich seitlich bewegen, um sein Ziel zu erreichen. Werde Datendiebstahl angestrebt, müsse die Täterschaft zudem die Daten exfil­trieren. Bei all diesen Aktionen würden schliesslich Befehls- und Steuerungsaktivitäten durchgeführt, zählt Stefanov weiter auf, um die Vielzahl der Tätigkeiten zu betonen, welche die Hacker ausführen müssen. «Malware, die mehrere Sicherheitspunkte passiert, kann mit guter Chance erkannt werden», folgert der Security-Experte von Cisco daher.