RaaS: Drei kriminelle Verschlüsselungs-Dienste unter der Lupe

Jim Walter nimmt Stellung zur Ransomware-as-a-Service

[datensicherheit.de, 07.01.2020] Laut einer aktuellen Stellungnahme von Jim Walter, SentinelOne, ist Ransomware-as-a-Service (RaaS) „ein lukratives Geschäftsmodell und erfreut sich in Hackerkreisen zunehmend großer Beliebtheit“. Egal ob „TOX“, „SATAN“ oder „Petya“ – Dienste, bei denen man mit wenigen Mausklicks seinen eigenen maßgeschneiderten Krypto-Trojaner generieren könne – boomten. Der Vorteil solcher Services liegt laut Walter auf der Hand: Angreifer brauchten keine tiefere Programmier- und Entwicklungserfahrung mehr, um eigene Ransomware-Angriffe durchzuführen. Walter: „So werben die drei neuen RaaS-Dienste ,Recoil‘, ,Cryptonite‘ und ,Ghostly Locker‘ auch explizit mit Benutzerfreundlichkeit und höchster Effektivität.“ Dies sei Grund genug, diese einmal nachfolgend genauer unter die Lupe zu nehmen.

Recoil: Auch Offline-Verschlüsselung möglich

Erste Werbeanzeigen für „Recoil“ sind demnach Anfang November 2019 in verschiedenen Foren erschienen. Der Funktionsumfang von „Recoil“ sei typisch für einen modernen RaaS-Service und nicht weiter ungewöhnlich. Auch wenn die Entwickler behaupteten, ihre Ransomware sei „Fully Undetectable“ (FUD), d.h. für Sicherheitslösungen nicht identifizierbar und damit ein sicheres Tool für eine erfolgreiche Verschlüsselung, sei dies nur die halbe Wahrheit.
Zwar könnten die Entwickler dem Käufer einen einzigartig kompilierten „Stub“ [lokaler Anknüpfungspunkt für Software] zur Verfügung stellen, der noch nicht von öffentlichen Teststellen wie „VirusTotal“ analysiert worden sei, „was bedeutet, dass ältere signaturbasierte AV-Lösungen in der Tat leicht umgangen werden können“. Dies mache ihre Ransomware jedoch noch lange nicht einer zu FUD-Malware. Vielmehr seien „Sicherheitslösungen, die eine erweiterte verhaltensbasierte Erkennung anwenden, durchaus in der Lage, auch diese Schadsoftware zu identifizieren“.
Das Außergewöhnliche an „Recoil“ ist laut Walter, „dass es die Möglichkeit bietet, auch offline zu verschlüsseln, was den Service für Kriminelle sehr attraktiv macht“: Einerseits sorge die Offline-Funktion dafür, dass die Payload weniger „laut“ agiere. „Wenn es jedoch keinen anomalen Traffic gibt, der mit offensichtlich verdächtigen ,.onion‘-Sites Kontakt aufnimmt, werden einfache Sicherheitskontrollen, die genau auf solche Anomalitäten ansprechen (man denke etwa an IPS, IDS oder Firewalls), auch keine Warnungen erzeugen“. Andererseits optimiere das „Offline-Bleiben“ die Geschwindigkeit, weil Netzwerkstatusprüfungen oder andere Verzögerungen, die bei der Kontaktaufnahme mit dem Server des Angreifers entstünden, hier wegfielen.
Problematisch sei zudem, dass „Recoil“ in der Lage sei, „Shadow Copies“, d.h. Schattenkopien, zu löschen. „Konnten die Systeme des Opfers die Ransomware nicht frühzeitig identifizieren und die Verschlüsselung stoppen bzw. sind keine anderen Backups vorhanden, dürften dies größere Ausfälle und Schäden für das Opfer nach sich ziehen“, warnt Walter.
Untersuchungen zeigten, dass „Recoil“ sowohl „Windows“ (x86 / x64) als auch „Android“ unterstütze. Die Kosten lägen bei 500 US-Dollar pro Bestellung und für beide Plattformen.

Cryptonite speziell für Laien und Personen ohne jegliche Programmierkenntnisse

„Cryptonite“ sei erstmals Anfang Dezember 2019 in einschlägigen Foren aufgetaucht. Auch dieser Service zeichne sich durch solide RaaS-Funktionen aus und biete darüber hinaus eine umfangreiche Vorschau auf das System und einzelne Funktionen, „bevor man ein zahlungspflichtiges Abonnement abschließt“. Zudem werben die Entwickler laut Walter mit speziellen Sonderangeboten und Rabatten für die ersten eintausend Kunden.
„Cryptonite“ fokussiere gezielt Laien und Personen ohne jegliche Programmierkenntnisse. „Dies heben die Verantwortlichen des Services immer wieder hervor.“ Die Eintrittsbarriere in die Welt der Cyber-Kriminalität sei bei „Cryptonite“ fast null, „was bedeutet, dass jeder, der in der Lage ist, Dateien herunterzuladen und so den ,infektiösen Ball‘ ins Rollen bringt, in kürzester Zeit (teils wenigen Minuten) großen Schaden anrichten kann“. Dies mache „Cryptonite“ besonders gefährlich.
Das Kostenmodell von „Cryptonite“ unterscheide sich von dem vieler anderer RaaS-Dienste. Anstatt von jedem erhaltenen Lösegeld einen Anteil zu verlangen oder eine „Eintrittsgebühr“ zu erheben, verkauften die Macher Pakete mit so genannten „Infektionskrediten“. Jedes infizierte Opfer entspreche demnach einem Kredit.
Die Preise für „Cryptonit“ lägen derzeit zwischen 195 und 895 US-Dollar und setzten eine Grenze für die Höhe des Lösegeldes pro Opfer von 150 bis 250 US-Dollar. Dafür könnten potenzielle Kriminelle zwischen 50 und 200 Opfer infizieren und entsprechend zwischen 7.500 und 50.000 Dollar insgesamt verdienen. Unterstützt werde ausschließlich „Windows“ (x86/x64).

Ghostly Locker bietet vollwertiges RaaS-Angebot

Die „Ghostly Locker“-Ransomware sei erstmals Mitte November 2019 als Service angeboten worden und biete den Kunden ein vollwertiges RaaS-Angebot. Dazu zählten unter anderem eine „leise“ Multi-Thread-Verschlüsselung, eine Automatisierung von Kundenzahlungen und eine „TOR“-Portal-basierte Infektionsverfolgung.
Die Kunden des RaaS-Dienstes könnten zwischen einer vollständigen (Full Disk Encryption) oder teilweisen (Partial Enryption) Festplattenverschlüsselung wählen. Die vollständige Verschlüsselung sei dabei langsamer und sollte nach Angaben der Entwickler dann verwendet werden, „wenn man sicherstellen will, dass die betroffenen Dateien nie wiederhergestellt werden können“. Dabei brauche „Ghostly Locker“ für die „Full Disk Encryption“ im Durchschnitt nur eine Minute.
Dies macht laut Walter deutlich, „wie wenig Zeit Sicherheitstechnologien heute haben, um Infektionen abzuwehren“. Habe das Opfer etwa eine auf Cloud-Lookups basierende EDR-Lösung im Einsatz, um schlechtes Verhalten zu beurteilen, könne das sehr schnell zu einem großen Problem werden.
„Ghostly Locker“ unterstütze lediglich „Windows“ (x86/x64). Das Kostenmodell sei traditionell und umfasse eine Vorauszahlung sowie zusätzliche Kosten für jede weitere Funktion, die der Käufer wünscht.

Fast ein Kinderspiel, Malware-Dateien zu erstellen und Lösegeld-Prozesse zu initiieren

Dank RaaS-Diensten wie „Recoil“, „Cryptonite“ oder „Ghostly Locker“ könnten auch Laien ohne tiefe IT-Kenntnisse ihren Anteil am Milliardengeschäft Cyber-Erpressung abbekommen.
Die nutzerfreundlichen und teils selbsterklärenden Services machten es fast für jedermann zum Kinderspiel, Malware-Dateien zu erstellen und Lösegeld-Prozesse zu initiieren.
„Umso wichtiger ist es, dass sich vor allem Unternehmen stets über die neuesten Arten von Malware und Ransomware-Diensten sowie deren Wirksamkeit und Vorgehensweise auf dem Laufenden halten und die entsprechenden Schutzmaßnahmen zu ergreifen“, betont Walter.

Weitere Informationen zum Thema:

datensicherheit.de, 11.08.2019
Unternehmen: Ransomware-Angriffe um 365 Prozent angestiegen