Ransomware-as-a-Service bekämpfen? Denken Sie an Intel-Sharing

  • Aamir Lakhani, Cybersecurity-Forscher und -Praktiker bei FortiGuard Labs, erklärt den Aufstieg von RaaS und die entscheidende Rolle von Bedrohungsdaten bei der effektiven Verteidigung dagegen.

    Der Colonial Pipeline Ransomware-Angriff hat ein grelles Schlaglicht auf die Ransomware-Geißel geworfen – und insbesondere auf den Aufstieg von Ransomware-as-a-Service (RaaS). Der Angriff wurde von DarkSide verübt, einer RaaS-Plattform, die angeblich erstmals im August letzten Jahres auftauchte.

    Obwohl die Gruppe jetzt behauptet, dass sie nicht mehr aktiv ist, hat dieser Vorfall der gesamten Branche einen besseren Eindruck davon vermittelt, wie lähmend RaaS sein kann. Und es wird definitiv nicht verschwinden. DarkSide mag erledigt sein, aber es gibt eine unbekannte Anzahl von Organisationen, die in den Startlöchern stehen, um zuzuschlagen.

    Dennoch ist es möglich, sie zu besiegen, wenn der Austausch von Bedrohungsdaten mit Strafverfolgungsbehörden und Sicherheitsexperten verbessert wird.

    Fernarbeit und Ransomware-as-a-Service

    Die heutige Bedrohungslandschaft wird im Wesentlichen von zwei Faktoren geprägt: Die Verlagerung zur Telearbeit als Folge der Pandemie (die die Angriffsvektoren erweitert hat) und der Aufstieg von RaaS, der Angriffe noch einfacher gemacht hat. RaaS ermöglicht es so gut wie jedem bösen Akteur, einen erfolgreichen Angriff zu starten – es sind keine besonderen Fähigkeiten oder Erfahrungen erforderlich. Sie kaufen einfach vorgefertigte Ransomware-Tools, die von einem erfahrenen Ransomware-Entwickler erstellt wurden.

    Dieser Entwickler verkauft entweder ein Abonnement für die Ransomware oder stimmt zu, einen Prozentsatz von dem zu nehmen, was der potenzielle Erpresser verdient. Das bedeutet, dass sie nicht so viel technisches Know-how benötigen, um in dieses Geschäft mit der Cyberkriminalität einzusteigen. Und das ist ein großartiges Geschäft für den angehenden Kriminellen; er kann Millionen von Dollar verdienen, ohne spezielle Fähigkeiten zu benötigen. Kein Wunder, dass RaaS so populär geworden ist.

    Es sollte beachtet werden, dass nicht alle RaaS-Anbieter gleich geschaffen sind. Einige der etablierteren Anbieter verlangen hohe Anzahlungen. Es ist nicht ungewöhnlich, eine Anfrage zu sehen, die mehr als 100.000 $ an Einlagen verlangt. RaaS-Anbieter erwarten, dass sie Geld verdienen, wenn Sie sich als Partner anmelden. Daher verlangen einige der etablierteren Anbieter einen Nachweis über die bisherige Zusammenarbeit mit anderen RaaS-Anbietern. Mit anderen Worten, der Anbieter möchte überprüfen, ob Sie mit anderen Anbietern gearbeitet haben und wie viel Geld Sie verdient haben, bevor er Sie in sein Programm aufnimmt.

    Natürlich gibt es ein paar Anbieter, denen das egal ist und die viele Leute zu einem viel niedrigeren Preis für ihre Dienste anmelden lassen. Die Qualität des Dienstes und der Software sowie ihre Effizienz können zwischen diesen Optionen variieren.

    Eine kurze Ransomware-Geschichte

    Ein frühes und erfolgreiches Malware-Paket, Zeus, kam 2007 auf den Markt und geriet zwischen 2013 und 2014 in die Schlagzeilen, als es zur Installation der Ransomware CryptoLocker verwendet wurde. Der CryptoLocker-Ransomware-Angriff wurde durch infizierte E-Mail-Anhänge und über das Gameover-Zeus-Botnet verbreitet.

    Kurz danach tauchten auch CryptoWall, Locky und andere groß angelegte Angriffe auf. Viele dieser Bedrohungen fallen nun in die Kategorie der fortschrittlichen, anhaltenden Bedrohungen (Advanced Persistent Threats, APT), d. h. sie sind auf Heimlichkeit und Langlebigkeit ausgelegt, wodurch sie besonders schwer zu erkennen und zu entfernen sind. Im Jahr 2017 wurden Ransomware-Angriffe immer umfangreicher und griffen Computer auf der ganzen Welt auf einmal an. Zu den größten und bekanntesten gehören der WannaCry-Angriff im Mai 2017 (dieses Jahr jährt sich dieser Angriff zum fünften Mal) und NotPetya im Juni 2017.

    Heute agieren viele Cyberkriminelle innerhalb eines großen, verteilten Geschäftsmodells, komplett mit Call-Centern zur Abwicklung von Lösegeldzahlungen. Viele Organisationen dieser Art haben es auf große Unternehmen und Branchen oder hochrangige Einzelpersonen abgesehen, um die höchsten Auszahlungen zu erhalten – eine Strategie, die als “Big-Game-Hunting” bekannt ist.

    Sodinokibi (auch bekannt als REvil) ist eines von vielen Beispielen für große und profitable cyberkriminelle Operationen, die ein RaaS-Geschäftsmodell verwenden und Partner rekrutieren, um ihre Ransomware zu verbreiten. Zu ihren Exploits gehört der Diebstahl von fast einem Terabyte an Daten einer großen Anwaltskanzlei und die Forderung nach einem Lösegeld, um diese nicht zu veröffentlichen. Und wie wir bei DarkSide gesehen haben, steht immer mehr auf dem Spiel: Die Bedrohung kritischer Infrastrukturen betrifft weitaus mehr Menschen als die innerhalb der anvisierten Organisation und könnte Menschen in Gefahr bringen.

    RaaS-Bekämpfung durch Kollaboration

    Bei all dem hat man leicht das Gefühl, dass die RaaS-Betreiber gewinnen. Aber es gibt Optionen für eine effektive Verteidigung, einschließlich – und das ist entscheidend – des Austauschs von Bedrohungsdaten.

    Neben technologischen Lösungen ist die Zusammenarbeit mit allen internen und externen Stakeholdern, einschließlich der Strafverfolgungsbehörden, ein notwendiges Element beim Aufbau einer starken Cybersicherheitsgrundlage. Mehr Daten helfen, effektivere Reaktionen zu ermöglichen. Aus diesem Grund müssen Cybersicherheitsexperten offen mit globalen oder regionalen Strafverfolgungsbehörden, wie dem US-CERT, zusammenarbeiten. Der Austausch von Informationen mit den Strafverfolgungsbehörden und anderen globalen Sicherheitsorganisationen ist der einzige Weg, um Cyberkriminelle effektiv auszuschalten. Die Bekämpfung eines einzelnen Ransomware-Vorfalls in einem Unternehmen verringert nicht die Gesamtauswirkungen innerhalb einer Branche oder einer Vergleichsgruppe.

    Es ist eine gängige Praxis, dass Angreifer mehrere Branchen, Systeme, Unternehmen, Netzwerke und Software ins Visier nehmen. Um Angriffe für Cyberkriminelle schwieriger und ressourcenintensiver zu machen, müssen öffentliche und private Einrichtungen zusammenarbeiten, indem sie Bedrohungsinformationen und Angriffsdaten austauschen. Privat-öffentliche Partnerschaften helfen Opfern auch bei der Wiederherstellung ihrer verschlüsselten Daten, was letztlich die mit dem Angriff verbundenen Risiken und Kosten reduziert.

    Die Sichtbarkeit erhöht sich, wenn sich öffentliche und private Einrichtungen zusammenschließen. Beispielsweise kann ein Finanzinstitut von einem Ransomware-Angriff betroffen sein, die Informationen dann aber nicht verantwortungsvoll mit den Strafverfolgungsbehörden teilen. Die Strafverfolgungsbehörden, die mit einem Kreditkartenunternehmen zusammenarbeiten, das von der gleichen Cybercrime-Gruppe betroffen ist, benötigen diese Informationen jedoch, um die Gruppe und ihr gesamtes Ausmaß besser zu verstehen. Handlungsfähige Bedrohungsdaten mit globaler Sichtbarkeit helfen sowohl dem privaten als auch dem öffentlichen Sektor, vom reaktiven zum proaktiven Handeln überzugehen.

    Ein kollaborativer Ansatz

    RaaS bleibt dank DarkSide im Rampenlicht. Solange Unternehmen keine Cybersecurity aufbauen, die Ransomware effektiv bekämpft, wird die Zahl von Vorfällen wie dem Angriff auf Colonial Pipeline weiter zunehmen. Fernarbeit hat die Bedrohungslandschaft erweitert, ebenso wie RaaS, indem es fast jedem ermöglicht, ein Cyberkrimineller zu werden. RaaS-Gruppen operieren wie Unternehmen und erbeuten Millionen von Dollar aus legitimen Geschäften.

    Technologie-Tools sind nur die eine Hälfte der Gleichung zur Bekämpfung von Cyberkriminalität; Unternehmen müssen ihre Bedrohungsdaten auch mit Strafverfolgungsbehörden und anderen Sicherheitsgruppen teilen. So entsteht ein globales Informationsnetzwerk, das gemeinsam hilft, Ransomware und ihre Urheber zu bekämpfen. Das ist das Element der Sicherheit, das wirklich helfen wird, das Blatt zu wenden.

    Aamir Lakhani ist Cybersecurity-Forscher und Praktiker, FortiGuard Labs.

    Weitere Erkenntnisse der InfoSec-Insider-Community von Threatpost finden Sie auf unserer Microsite.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com