Malware-as-a-Service: Wie gefährlich sind Ransomware-Kampagnen?

Malware-as-a-Service: Ein Großteil der modernen Angriffe von Erpressungstrojanern wird über Ransomware as a Service (RaaS) durchgeführt. Laut dem Ransomware Report 2022 von Zscaler nutzen acht der elf größten Ransomware-Familien des vergangenen Jahres RaaS-Ökosysteme.

Malware-as-a-Service: Wer steckt dahinter

Das Modell erfordert zwei Parteien: Betreiber der Ransomware-Familien und verbundene Sub-Unternehmen in der Cybercrime-Landschaft. Die Betreiber sind die Bedrohungsgruppen, welche die Ransomware entwickeln. Darüber hinaus rekrutieren sie Partner als Sub-Unternehmer und stellen ihnen die Ransomware und die für die Ausführung erforderlichen Tools, den Zugang zu einer Datenleak-Website, Verhandlungshilfe und weitere Unterstützung zur Verfügung. Im Gegenzug erhalten sie etwa 70 bis 80 Prozent des Gewinns aus dem erpressten Lösegeld. Die Partner suchen sich ihre Opfer aus, führen die Ransomware-Angriffe durch und stellen die Lösegeldforderung. Dieses Modell ist sowohl für erfahrene Hacker attraktiv, die Entwicklungszeit und -aufwand sparen wollen, als auch für weniger qualifizierte Akteure, die sonst nicht in der Lage wären, einen solchen Angriff durchzuführen. Die Betreiber von Ransomware wiederum können den Umfang ihrer Operationen und damit auch ihre Gewinne erhöhen, ohne selbst in Gefahr zu geraten, enttarnt zu werden.

Warum InfoStealer als Teil von RaaS so wichtig sind

InfoStealer sind eine Methode zur Monetarisierung von Cybercrime. Sie wird von Kriminellen genutzt, um an sensible Informationen zu gelangen. Die Malware-Kategorie kommt in modernen Ransomware-Szenarien zum Tragen, da die Angreifer einen doppelten Erpressungsmechanismus nutzen, um die Erfolgsquote ihrer Bemühungen zu erhöhen. Wenn die ursprüngliche Ransomware-Payload ihren Zweck verfehlt, weil ein Unternehmen beispielsweise über eine wirksame Offline-Backup-Strategie verfügt und Daten nach der Verschlüsselung wiederherstellen kann, erhöht eine doppelte Erpressungsstrategie den Druck auf ein Unternehmen.

Malware-Akteure stehlen mit Hilfe von InfoStealer-Remote-Access-Trojanern (RAT) vertrauliche Informationen aus einem Netzwerk und drohen damit, die geklauten Daten zu veröffentlichen. Damit geraten Unternehmen unter Zugzwang und sind eher bereit, Lösegeld zu zahlen.

Wie Xloader funktioniert und was ihn gefährlich macht

Xloader selbst stammt von dem Windows-Trojaner Formbook ab. Die Malware wurde 2016 von kriminellen Entwicklern geschaffen und damals über Hacker-Foren mit einem vergleichbar günstigen Lizenzierungsmodell angeboten. Vorrangig wurde klassisches E-Mail-Phishing zur Verbreitung der Malware-as-a-Service genutzt. Oft wurden Office-Dokumente mit Formaten wie .RTF, .DOC oder .XLS verwendet und die Windows-Schwachstelle CVE-2017-8570 ausgenutzt. Ein Leak des Quell-Codes der Software 2017 sorgte für eine Änderung des Geschäftsmodells. Seitdem wurde Formbook nur noch mit einer Command-&-Control-Infrastruktur vermietet. Zuletzt wurde das Schadprogramm 2020 eingesetzt und dann ab 2021 in Xloader umbenannt.

Xloader wird ebenfalls als Malware-as-a-Service mit einer C2-Infrastruktur zur Verfügung gestellt. Die Malware verfügt über zahlreiche Techniken, um Security-Analysten in die Irre zu führen und die Analyse zu erschweren. Sie kann inzwischen sowohl gegen Windows- als auch macOS-Systeme eingesetzt werden, was ihre Beliebtheit gesteigert hat. Der Infostealer enthält die folgenden Funktionen:

• Stehlen von Anmeldedaten aus Webbrowsern und anderen Anwendungen
• Erfassen von Tastenanschlägen
• Erstellen von Bildschirmfotos
• Stehlen von Passwörtern
• Herunterladen und Ausführen zusätzlicher Binärdateien
• Ausführen von Befehlen

Xloader verwendet HTTP zur Kommunikation mit dem C2-Server. Eine HTTP-GET-Anfrage wird als eine Registrierung gesendet. Anschließend stellt die Malware HTTP-POST-Anfragen an den C2-Server, um Informationen, wie Screenshots oder Daten, abzugreifen. In beiden Fällen haben die GET-Parameter und die POST-Daten ein ähnliches Format und werden verschlüsselt. Der Infostealer verwendet außerdem vielschichtige Block-Strukturen der Verschlüsselung von Daten und Code, um der manuellen Entdeckung zu entgehen. Das Umbenennen von Ransomware allgemein zugenommen. Sie ist in der Regel auf unerwünschte Aufmerksamkeit seitens der Strafverfolgungsbehörden und der Medien wie auch auf Sanktionen zurückzuführen, welche die Möglichkeiten der Gruppen, Lösegeld einzutreiben, einschränken. Weitere Beispiele dafür sind Grief (Doppelpaymer), BlackMatter (Darkside), Thanos oder Evil Corp.

Malware-as-a-Service: Gegenmaßnahmen

Unternehmen sollten ihre Möglichkeiten zur Prävention der häufigsten Arten von kriminellen Techniken, Taktiken und Prozessen (TTP) evaluieren, um sich in Erinnerung zu rufen, dass die Ransomware lediglich ein Teil einer ganzen Kampagne sein kann und durch Infostealer und Co. weitere Gefahren drohen. Sicherheitsfachleute können dann geeignete Maßnahmen, wie das Begrenzen von lateralen Bewegungen von Angreifern in einem Netzwerk oder Data Leakage Prevention, einleiten, um den unbemerkten Abfluss von Daten zu verhindern. Es empfiehlt sich die Implementierung einer granularen Segmentierung von Benutzer zu Anwendung und von Anwendung zu Anwendung. Der Zugriff sollte mit Hilfe dynamischer Zugriffskontrollen nach dem Prinzip des Least Privileged Access erfolgen, um seitliche Bewegungen zu verhindern. Die Anzahl der Daten, die verschlüsselt oder gestohlen werden können, lässt sich dadurch minimieren und der Radius eines Angriffs verringern.

Da Infostealer zumeist mit Phishing-E-Mails in Umlauf gebracht werden, müssen darüber hinaus die eigenen Mitarbeiter auf Security Awareness geschult und technische Maßnahmen zu ihrem Schutz getroffen werden. Es empfiehlt sich, regelmäßig die Passwörter zu ändern und nie das gleiche Passwort für verschiedene Anwendungen zu verwenden. Darüber hinaus sollte eine Multi-Faktor-Authentifizierung zum Standardschutz gehören und das Surfen auf unbekannten Web-Seiten vermieden werden. Das Ansteuern von potenziell gefährlichen Seiten lässt sich nämlich über einschlägig bekannte Firewall-Regeln verhindern. Mitarbeiter sollten zudem wissen, woran sie verdächtige E-Mails erkennen, unbekannte Dateien nicht öffnen oder verdächtige Links aufrufen. Zu guter Letzt sollten Unternehmen außerdem über einen Incident Response-Plan verfügen, um Business Continuity und Deaster Recovery gewährleisten zu können.

Der Autor Marc Lueck, CISO EMEA bei Zscaler.

Lesen Sie auch: Cyberangriffe auf Unternehmen abwehren: So hilft KI dabei