Geschäftsmodell: Ransomware as a Service

„RaaS“ und vorsätzlich handelnde Mitarbeiter als Sicherheitsherausforderung für Unternehmen

[datensicherheit.de, 30.04.2016] Im neuesten „Research Report“ folgt IMPERVA nach eigenen Angaben der Infektionskette und den Handlungsabläufen der „CryptoWall 3.0“-Erpressungssoftware im Hinblick auf Zahlungen von Opfern. Diese Lösegeld-Zahlungen häuften sich geradezu zu einer kleinen Anzahl von Bitcoin-Wallets an und gäben so einen Hinweis auf eine gut organisierte Handlung.

Maßgeschneiderte On-Demand-Versionen von Schadsoftware

Das Geschäftsmodell „Ransomware as a Service“ (RaaS) sei ist ein aufkommendes Konzept, mithilfe dessen Autoren von Erpressungssoftware dem Zwischenhändler maßgeschneiderte On-Demand-Versionen von Schadsoftware bereitstellten.
Die Autoren der Erpressungssoftware sammelten das Lösegeld ein und teilten es mit dem Zwischenhändler. Dadurch blieben die Autoren von Schadsoftware in ihrer „Komfortzone der Programmierung“ von Software, während Zwischenhändler, die auf Spam, Malvertisement oder „BlackHat SEO“ spezialisiert seien, eine neue Einkommensquelle erschaffen würden, die auf ihren existierenden Plattformen basiere. Im klassischen Geschäftspartner-Marketing bekomme der Besitzer des Produkts den größeren Anteil des Geldes, im RaaS hingegen erhalte der Autor der Erpressungssoftware einen kleinen Anteil (fünf bis 25 Prozent), während der Rest an den Geschäftspartner gehe.

Lösegeldzahlungen per Bitcoin

Der RaaS-Autor bekommt laut IMPERVA das Lösegeld des Opfers, indem er Bitcoins verwendet. Dem Distributor werde sein Anteil versprochen, wenn er seine anonyme Bitcoin-Adresse zur Anmeldung nutze. Dieses Modell, das auf „TOR“ und Bitcoins basiere, sei entwickelt worden, um die Identitäten des Autors und des Zwischenhändlers zu verbergen.
Im letzten Jahr seien einige RaaS-Schadsoftwares gesichtet worden. „RaaS Tox“, Mitte 2015 das erste Mal gesichtet, sei der Vorreiter. Nachdem die Daten von mindestens 1.000 Computern verschlüsselt worden seien, habe sich der „Tox“-Autor entschieden, aus dem Geschäft auszusteigen, und versucht, seine Erfindung zu verkaufen. „Tox“ habe es dem Zwischenhändler erlaubt, einen Lösegeldsatz festzulegen und seine Bitcoin-Wallet-Adresse zu verwenden, um die Gewinne einzusammeln.

Konfiguration der Erpressungssoftware-Parameter

„Encryptor RaaS“ sei eine weitere RaaS, die im Juli 2015 von „Jeiphoos“ veröffentlicht worden sei. Diese erlaube es dem Zwischenhändler, viele Erpressungssoftware-Parameter zu konfigurieren, beispielsweise den Lösegeldpreis, die Zeitbeschränkung für die Bezahlung, den Wert des neuen Lösegelds nach Ablauf der Zeitbeschränkung sowie die Anzahl der Dateien, die gratis entschlüsselt werden könnten. Außerdem ermögliche „Encryptor RaaS“ dem Zwischenhändler, die Datei mit der Erpressungssoftware zu unterschreiben, indem er ein Zertifikat verwende, das dem Opfer beziehungsweise seinem Betriebssystem vorgaukele, dass die Datenquelle vertrauenswürdig sei, während er viele Endpunkt-Schutzmechanismen komplett umgehe.
Im November 2015 sei eine RaaS mit dem Namen „Cryptolocker“ aufgetaucht. Ein „Cryptolocker“-Autor habe sich selbst als „Fakben“ zu erkennen gegeben und eine Gebühr von 50 US-Dollar vom Zwischenhändler gefordert, um die grundlegende Erpressungssoftware zu bekommen. Dies habe ihm erlaubt, den Lösegeldpreis, seine Wallet-Adresse und ein Passwort festzulegen.
Eine vierte RaaS, Anfang 2016 aufgekommen und nach wie vor aktiv, sei „Ransom32“ – die erste in „JavaScript“ geschriebene Erpressungssoftware, was es relativ einfach mache, sie an verschiedene Betriebssysteme anzupassen. „Ransom32“ ermögliche es dem Distributor, eine Vielzahl an Anpassungen zusätzlich zu den vorgestellten Basisoptionen vorzunehmen.
Einige Beispiele seien die vollständige Sperrung des Computers des Opfers bei der Infektion, die Verhinderung einer Entdeckung mithilfe des Gebrauchs von niedriger CPU-Leistung für die Verschlüsselung, die Entscheidung darüber, ob die Lösegeldnachricht vor oder nach der Verschlüsselung angezeigt werde, die Benutzung einer verdeckten Zeitbeschränkung, die dem Kunden ermögliche, die Dateien nur zur verschlüsseln, wenn die Zeitbeschränkung abgelaufen sei. Die massive Verbreitung von Spam und die effektive Erstellung von Malvertisement-Kampagnen erforderten spezielle Fähigkeiten und Infrastrukturmanagement. RaaS reduziere die Anzahl an Fähigkeiten, hauptsächlich technischer Art, die für das Betreiben einer erfolgreichen Erpressungssoftware-Kampagne notwendig seien.

Keine Rettung ohne zuverlässiges Backup

Vergangenen Februar habe das Hollywood Presbyterian Medical Center berichtet, dass seine EMR-Systemaufzeichnungen verschlüsselt worden seien, verbunden mit einer Lösegeldforderung. Das Krankenhaus habe 17.000 Dollar in Bitcoins bezahlt, um seine Daten freizubekommen und das Tagesgeschäft wieder aufzunehmen zu können. Die Abläufe des Krankenhauses seien eine Woche lang erheblich beeinträchtigt gewesen und einige Patienten hätten verlegt werden müssen.
Die IT der Kommune Lincolnshire County sei in der Lage gewesen, sich von einem solchen Angriff im Januar 2016 zu erholen, indem sie regelmäßige Backups durchgeführt hätten.

RaaS und „Interner Täter“ – ein verhängnisvolles Gespann

Vorsätzlich handelnde Mitarbeiter könnten ihre geheimen Informationen über unstrukturierte Daten von Unternehmen, ihr Wissen darüber, wo sich sensible Daten befinden und ihre Befugnisse ausnutzen, um die wertvollsten Daten zu verschlüsseln, warnt IMPERVA.
Darüber hinaus wüssten sie, „wie viel den Unternehmen diese Daten Wert sind und können daraus für sich ableiten, wie viel Lösegeld sie für die Entschlüsselung der Daten verlangen können“.
Vorsätzlich handelnde Mitarbeiter hätten vor allem finanzielle Interessen und die Nutzung von RaaS in Unternehmen sei einfach, sicher und profitabel. Zukünftige, anpassbare RaaS-Parameter könnten noch spezifischer sein und zudem geschäftsbezogene Informationen enthalten, beispielsweise interessante Netzwerkfreigaben sowie relevante Referenzen. Es sei denkbar, dass vorsätzlich handelnde Mitarbeiter RaaS verwenden könnten, um ihr Unternehmen zu erpressen.

Weitere Informationen zum Thema:

IMPERVA
HACKER INTELLIGENCE INITIATIVE / The Secret Behind CryptoWall’s Success