11.07.2022 – Kategorie: IT-Sicherheit

Ransomware-as-a-Service: 5 Maßnahmen zur effektiven Abwehr von Cyberangriffen

In der IT werden Produkte mittlerweile vor allem als Services angeboten, wie Platform-as-a-Service oder Infrastructure-as-a-Service. Diese bestehen aus einer Vielzahl von untergeordneten Services, die für die Arbeitsteilung bereitgestellt werden. Cyberkriminelle nutzen dieses Konzept als Ransomware-as-a-Service.

Bei dem neuartigen Konzept des Ransomware-as-a-Service liefern unterschiedliche Angreifer die einzelnen Teile des gesamten End-to-End-Ransomware-Services. Diese Ransomware-Service-Blöcke sind gut beschrieben und können leicht in verschiedenen Qualitätsstufen erworben werden. Ransomware-as-a-Service hat sich in den letzten Jahren zu einem echten Geschäftsmodell mit hochprofessionalisierten Akteuren entwickelt. Und das nicht zuletzt, weil sich die mögliche Angriffsfläche für Cyberkriminelle deutlich vergrößert hat. Nach Schätzungen sind im Jahr 2020 64 Prozent aller Ransomware-Angriffe mit dem RaaS-Ansatz durchgeführt worden.

Mit der vermehrten Einführung von Remote Work und Homeoffice in der Pandemie stieg auch die Zahl der Geräte, die außerhalb der geschützten Unternehmensperimeter zum Einsatz kommt. Zudem werden aufgrund des Wechsels zu cloudbasierten Diensten und Infrastrukturen die IT-Landschaften komplexer und sind damit schwieriger abzusichern. Angreifer brauchen nur eine einzige Schwachstelle finden; Unternehmen müssen alle Eventualitäten absichern und mit den neuesten Angriffsstrategien schritthalten.

Ransomware-as-a-Service ist ein professioneller Ansatz

„Das Business mit Ransomware-as-a-Service hat sich in den letzten Jahren extrem professionalisiert. Die kriminellen Anbieter liefern unterschiedlichste Angriffs-Tools und einzelne Schritte eines Angriffs als Services und legen dabei großen Wert auf Service. Die Tools werden zusammen mit Anleitungen für die Durchführung von Angriffen, bewährten Verfahren, Lösegeldstrategien und sogar einem IT-Helpdesk angeboten“, erklärt Dr. Sebastian Schmerl, Director Security Services EMEA bei Arctic Wolf. „RaaS bietet nicht selten genau die Art von Dokumentation und Architektur, die man auch von gängigen SaaS-Angeboten erwarten würde, und ist weit entfernt von der popkulturellen Darstellung des stereotypen Einzelgängers mit Kapuzenpulli.“

Wie in der SaaS-Branche gibt es auch bei Ransomware-as-a-Service unterschiedliche Preisstrategien der Anbieter. Einige bieten ihre Angriffsdienste als einmaligen Kauf an, andere im Rahmen von Abonnements, wieder andere nutzen eine Kombination aus Abonnement und einem Anteil an der Lösegeldgebühr, die nach einem erfolgreichen Angriff an den Entwickler gezahlt wird. Im letzteren Fall sind die Anbieter durchaus wählerisch und arbeiten nur mit Kunden zusammen, die eine gewisse Erfolgsbilanz vorweisen können. Es erfolgt also eine initiale Rentabilitätsprüfung.

Gründe für den Erfolg von Ransomware-as-a-Service

Kryprowährungen sind ein entscheidender Faktor für den Erfolg von Ransomware-as-a-Service. Weil Währungen wie Bitcoin und Monero schwer zurückzuverfolgen sind, eignen sie sich für RaaS-Zahlungen und Lösegeldforderungen. Zudem lassen sich Kryptowährungen vergleichsweise einfach in „sauberes Geld“ umwandeln, was sie für bösartige Akteure, die auf schnellen Profit aus sind, attraktiv macht. Ransomware-as-a-Service ist also so erfolgreich, weil Ransomware ein mächtiges Druckmittel darstellt – Stichwort „Double extortion“: Verschlüsselung der IT verbunden mit der Drohung der Datenveröffentlichung.

Hinzu kommt, dass Unternehmen im Fall von gestohlenen oder gesperrten Daten häufig nicht wissen, was in der Situation zu tun ist. Oft halten sie die Zahlung des Lösegelds für die einzige Option, obwohl LKA, BKA und BSI den Unternehmen dringend davon abraten. Der Einsatz von Ransomware ist nicht nur eine effektive Angriffsstrategie, RaaS-Dienste sind auch vergleichsweise leicht zugänglich, nutzbar und anpassungsfähig. Häufig nutzen Angreifer eine Ransomware-Plattform zur Verwaltung der Opfer und der zugehörigen Stati und entwickeln diese Plattform und die einzelnen Angriffsmodule kontinuierlich weiter. So können sie leicht neue Funktionen einbauen, die die Plattform noch „skalierbarer und produktiver“ machen. Einige Angreifer-Gruppen kooperieren zudem bei der Bearbeitung der Opfer und teilen Code für Angriffsmodule.

Präventive Maßnahmen zur Abwehr von Cyberangriffen

Obwohl die Angreifer organisiert und hochprofessionell vorgehen, können Unternehmen sich vor Ransomware-Angriffen schützen. Der wichtigste Faktor bei der Abwehr von Cyber-Bedrohungen ist ein proaktiver Ansatz mit folgenden präventiven Maßnahmen:

  1. Etablierung eines Security-Mindsets oder einer sicherheitsbewussten Unternehmenskultur. Dies beginnt mit der Aufklärung über Cyber-Hygiene und der Erkenntnis, dass Sicherheit kein Zustand, sondern ein kontinuierlicher Prozess ist. Wenn sich die Bedrohungen ändern, sollten die Bedrohungsdaten genutzt werden, um die Verteidigungsstrategien und die Sicherheitsinformationsressourcen anzupassen.
  2. Mitarbeiterschulungen, um ein Bewusstsein für die Bedrohungen zu schaffen und zu erklären, wie sie Phishing-Betrügereien und andere Warnsignale erkennen können. Das ist besonders wichtig, da sich Social-Engineering-Angriffe direkt gegen Mitarbeitende richten.
  3. Ausschöpfen aller Möglichkeiten, um die Datensicherheit zu erhöhen, beispielsweise durch häufigere Backups. Dabei sollten Backups in separaten Verwaltungsbereichen gespeichert werden, damit sie nicht zusammen mit den aktiv genutzten Daten gefährdet werden (Air-Gapped-Lösung).
  4. Regelmäßiges Patchen der Systeme, da RaaS-Angreifer häufig bekannte Schwachstellen und Konfigurationsfehler ausnutzen.
  5. Umfangreiches Security-Monitoring, um Cyberattacken schnell zu erkennen und entsprechende Maßnahmen zu ergreifen. Detection and Response wird von Anbietern wie Arctic Wolf auch als Service angeboten Managed Detection and Response (MDR).

Arctic Wolf ist ein Anbieter von Security-Operations-as-a-Service. Arctic Wolf hilft Unternehmen mit seiner Cloud-nativen Plattform dabei, Cyber-Risiken effektiv zu begegnen und präventive Sicherheitsmaßnahmen zu ergreifen. Zu den Lösungen gehören Managed Detection and Response (MDR), Managed Risk und Managed Security Awareness. Kürzlich hat das Unternehmen die Einführung von Data Exploration angekündigt. Das zur Arctic Wolf Security Operations Cloud gehörende Modul erweitert die Möglichkeiten von Log Search und ermöglicht es Kunden, eigenständig Log-Daten, IT-Vorgänge und Asset-Informationen abzurufen. Anwender erhalten so volle Transparenz über alle sicherheitsrelevanten Vorgänge in der eigenen IT-Infrastruktur und Zugriff auf Datenkorrelationen und -anreicherungen sowie Datensuchfunktionen. Dadurch lassen sich kritische Sicherheitsfragen, zum Beispiel bezüglich IT-Operations, IT-Security-Risiken und Patch-Status, schnell beantworten. (sg)

Lesen Sie auch: IT-Sicherheit: Unternehmen wollen bis 2024 aufrüsten

Aufmacherbild: Rawf8 – Adobe Stock


Teilen Sie die Meldung „Ransomware-as-a-Service: 5 Maßnahmen zur effektiven Abwehr von Cyberangriffen“ mit Ihren Kontakten:


Scroll to Top