[datensicherheit.de, 22.02.2024] Zur Zerschlagung der „LockBit“-Ransomware-Gruppierung betont Christian Have, „CTO“ bei Logpoint, in seiner Stellungnahme, dass diese Bedrohungsakteure im Gegensatz zu vielen anderen Cyber-Kriminellen sogar Angriffe auf Krankenhäuser bzw. Kritische Infrastrukturen (KRITIS) gerichtet hatten. Mit der nun erfolgten Verhaftung laufenden Ermittlungen senden die Strafverfolgungsbehörden demnach eine klare Botschaft an andere Malware-Betreiber – nämlich dass Cyber-Kriminalität erhebliche Konsequenzen nach sich ziehe.

Foto: Logpoint

Christian Have: Ausschaltung der beiden größten Ransomware-Banden – LockBit und BlackCat – hat das Potenzial, die Bedrohungslandschaft nachhaltig zu verändern…

Schlag gegen diese Ransomware-Gruppe LockBit bedeutender Fortschritt im Kampf gegen organisierte Cyber-Kriminalität

„Wie Anfang dieser Woche bekannt gegeben wurde, ist es den europäischen und amerikanischern Strafverfolgungsbehörden gelungen, zwei Mitglieder der berüchtigten ,LockBit’-Gruppierung festzunehmen“, berichtet Have. Dieser wichtige Schlag gegen diese Ransomware-Gruppe stelle einen bedeutenden Fortschritt im Kampf gegen organisierte Cyber-Kriminalität dar.

„LockBit“ sei einer der bekanntesten Bedrohungsakteure gewesen, welcher im Gegensatz zu vielen seiner Konkurrenten dreist selbst Krankenhäuser und andere KRITIS angegriffen habe. „Mit der Verhaftung von zwei Personen und den nun laufenden Ermittlungen gegen die Entwickler und Partner der Gruppe senden die Strafverfolgungsbehörden eine klare Botschaft an andere Malware-Betreiber“, so Have und er betont: „Cyber-Kriminalität zieht erhebliche Konsequenzen nach sich!“

Cybercrime-Gruppen zunehmend entlarvt: Vor LockBit wurde BlackCat aus dem Spiel genommen

Die aktuelle Festnahme sei nur eine von vielen in den letzten Monaten – sie verdeutliche die positive Entwicklung im Bereich der strafrechtlichen Verfolgung Cyber-Krimineller. Have führt aus: „Erst im Dezember beschlagnahmte das FBI gemeinsam mit internationalen Strafverfolgungsbehörden die Server und die Leak-Site von ,BlackCat’. Letzte Woche fing das FBI die ,Mooboot’-Malware ab, die von ,Fancy Bear’ auf ,Ubiquiti’-Routern eingesetzt wurde. Die Firewall der Router wurde neu konfiguriert, damit die Angreifer keinen erneuten Zugriff erhielten.“ Die Einbeziehung des FBI in die Bemühungen, „LockBit“ auszuschalten, zeige, wie proaktiv das FBI und andere Strafverfolgungsbehörden gegen Cyber-Bedrohungen vorgingen.

Have unterstreicht abschließend: „Die Ausschaltung der beiden größten Ransomware-Banden – ,LockBit’ und ,BlackCat’ – hat das Potenzial, die Bedrohungslandschaft nachhaltig zu verändern, indem sie die Fragmentierung und Dezentralisierung von Cybercrime-Gruppen weiter vorantreibt.“ Dies verdeutliche die Notwendigkeit für Sicherheitsteams, sich von traditionellen Methoden zur Erkennung von Sicherheitsverstößen auf der Grundlage bekannter Kompromissindikatoren (Indicators Of Compromise / IOC) zu lösen. Ein Ansatz, der sich auf die Erkennung von Taktiken, Techniken und Verfahren (TTPs) konzentriere, sei nachhaltiger, da er die dynamischen Methoden der Bedrohungsakteure und neu auftretende Bedrohungen mit einbeziehe.

Weitere Informationen zum Thema:

datensicherheit.de, 22.02.2024
LockBit versuchte durch Innovation die Oberhand zu behalten / Reihe von logistischen, technischen und rufschädigenden Problemen forderte LockBit-Ransomware-Gruppierung heraus

datensicherheit.de, 21.02.2024
LockBit zerschlagen – Phönix aus der Asche als Ransomware-Bedrohungsszenario / Richard Cassidy kommentiert Ransomware-Gruppen im Zyklus von Zerschlagung und Auferstehung

heise online, Dr. Christopher Kunz, 20.02.2024
Ransomware: Lockbit durch Ermittler zerschlagen – zwei Festnahmen / Operation Cronos: Je eine Verhaftung in Polen und der Ukraine…

[datensicherheit.de, 06.12.2023] „Jüngste Ereignisse aus der Cybercrime-Welt zeigen, dass die Übeltäter nicht nur über technisches Know-how verfügen, sondern auch über ein grundlegendes Verständnis für die Regulierung von Cyber-Verbrechen. Sie wissen, an welche Unternehmen sie sich halten müssen und nutzen dieses Wissen auch, um noch raffiniertere Cyber-Angriffe zu starten“, so Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme.

Foto: KnowBe4

Dr. Martin J. Krämer: Die SEC verlangt von Unternehmen die Offenlegung von Art, Umfang und Zeitpunkt eines Cyber-Angriffs sowie dessen mögliche Auswirkungen!

Zusätzlicher Druck auf Ransomware-Opfer: Lösegeldforderung mit 24-Stunden-Ultimatum

Seit dem 26. Juli 2023 schreibe die US-amerikanische Börsenaufsicht SEC vor, dass börsennotierte Unternehmen bedeutende Cyber-Vorfälle innerhalb von vier Tagen melden müssten. Dr. Krämer erläutert: „Diese Vorschrift der SEC verlangt von Unternehmen die Offenlegung von Art, Umfang und Zeitpunkt eines Cyber-Angriffs sowie dessen mögliche Auswirkungen.“

Und genau dies machten sich nun Cybercrime-Gruppierungen wie „BlackCat („ALPHV“) zunutze, wie sich in einem kürzlichen Angriff dieser Ransomware-Gruppe gezeigt habe. „Am 7. November behaupteten sie, sensible Daten entwendet zu haben, was gemäß den SEC-Vorschriften eine Meldung bis zum 11. November erforderlich machte. Um zusätzlichen Druck auf die Opfer auszuüben, gab es für die Lösegeldzahlung ein 24-Stunden-Ultimatum“, berichtet Dr. Krämer,

Ransomware-Gruppe BlackCat berüchtigt für ihre dreifache Erpressung

In Deutschland seien vor allem Betreiber Kritischer Infrastrukturen (Kritis) dazu angehalten, den Vorfall innerhalb einer Frist an das BSI zu melden. Zudem erfordere die DSGVO die Meldung des Verlustes von personenbezogenen Daten innerhalb von 72 Stunden. Die Behörden hätten dazu eine Vielzahl an Dokumenten und Handreichungen erstellt, damit sich betroffene Organisationen grundlegend informieren könnten, welche Informationen bis zu welchem Zeitpunkt übermittelt werden müssen.

Bereits bekannt sei die Gruppe „BlackCat“ vor allem für ihre dreifachen Erpressungsmethoden, welche von Verschlüsselungs- und DoS-Angriffen bis hin zu Datendiebstahl und der Androhung öffentlicher Bloßstellung reichten. Die neu erdachte Methode, im Namen ihrer Opfer Berichte bei der SEC einzureichen, zeige eine ganz neue Raffinesse in ihrem Repertoire der Erpressungstaktiken.

Ransomware-Gruppen werden weiterhin Bemühungen anstellen, um an das Geld ihrer Opfer zu kommen

Dr. Krämer unterstreicht abschließend: „Diese Information unterstreicht die dringende Notwendigkeit für Unternehmen, bei ihren Cyber-Sicherheitsmaßnahmen wachsam und proaktiv zu handeln, denn Ransomware-Gruppen werden weiterhin Bemühungen anstellen, um an das Geld ihrer Opfer zu kommen.“

Eine „Unze Prävention“ sei hierbei also mehr wert als ein „Pfund Heilung“. Daher sollten Unternehmen ihre Mitarbeiter entsprechend schulen und ihre Sicherheitsvorkehrungen verstärken.

Weitere Informationen zum Thema:

U.S. SECURITIES AND EXCHANGE COMMISSION, 26.07.2023
SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies

[datensicherheit.de, 26.11.2023] Es kann als Sicheres Ereignis angenommen werden, dass auch 2024 Ransomware zu den größten Gefahren für deutsche Unternehmen zählen wird. In einer aktuellen Stellungnahme führt Trend Micro aus, dass insbesondere das Aufkommen von „Ransomware-as-a-Service“ (RaaS) Bedrohungsakteure weltweit beflügelt, denn nun könnten auch Kriminelle ohne detailliertes technisches Verständnis modernste Technologie für Cyber-Angriffe nutzen. Laut Trend Micro werden es insbesondere vier Ransomware-Familien sein, welche anhand aktueller Bedrohungsanalysen 2024 eine herausragende Gefahr darstellen werden.

Abbildung: Trend Micro

Trend Micro: Verteilung erfolgreicher Angriffe von „LockBit“, „BlackCat“ und „Clop“ nach Unternehmensgröße der Opfer (I u. II/2023) – Datenquelle: Leak-Seiten der drei Gruppen sowie eigene OSINT-Forschung

Ransomware-Welt im stetigen Wandel

Die Welt der Ransomware sei im stetigen Wandel. Untersuchungen durch Trend Micro zeigten etwa, dass es viele Ransomware-as-a-Service-Gruppen nicht mehr nur auf „große Ziele“ abgesehen hätten. Stattdessen konzentrierten sie sich auf kleinere Unternehmen – „die weniger gut geschützt sind“. Dieser besorgniserregende Trend zu kleineren und „weicheren“ Zielen werde sich wohl auch ins nächste Jahr ziehen. Die aktuelle Bedrohungsanalyse lasse dabei den Schluss zu, dass insbesondere die bekannten Ransomware-Familien „LockBit“, „BlackCat“ und „Clop“ auch 2024 weiterhin sehr umtriebig sein werden. Zudem seien Newcomer wie die Gruppe „Akira“ auf dem Vormarsch. Letztere habe es erst kürzlich geschafft, mit einem Ransomware-Angriff auf die Südwestfalen-IT viele Kommunen in Nordrhein-Westfalen (NRW) lahmzulegen und sei so ins Rampenlicht getreten.

In der ersten Jahreshälfte 2023 entfiel demnach über ein Viertel aller von Trend Micro erfassten RaaS-Angriffe auf „LockBit“, während „BlackCat“ und „Clop“ jeweils für rund zehn Prozent aller Attacken verantwortlich waren. Damit Unternehmen in Zukunft vermeiden können, Opfer dieser höchst aktiven Cyber-Kriminellen zu werden, „braucht es ein besseres Verständnis des Modus Operandi der Bedrohungsakteure“.

Steckbrief der vier Ransomware-Gruppen LockBit, BlackCat, Clop und Akira

Trend Micro benennt in einem Steckbrief vier Ransomware-Gruppen, welche Unternehmen im nächsten Jahr, 2024, besonders im Auge behalten sollten:

1. LockBit
„LockBit“ sei bereits seit 2019 aktiv und nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik „aktuell die größte Ransomware-Bedrohung in Deutschland wie auch weltweit“.
Trend Micro meldete nach eigenen Angaben ganze 1.844 „LockBit“-Erkennungen in der ersten Hälfte des Jahres 2023, was sie zur am häufigsten erfassten Ransomware mache. „Eine Vielzahl von unterschiedlichen Malware-Versionen und Affiliates, die diese einsetzen, erschwert es Unternehmen, sich zu schützen.“ Die aktuellste, seit Januar 2023 im Umlauf befindliche Version, werde als „Lockbit Green“ bezeichnet.
Im April 2023 habe Trend Micro aufgedeckt, wie böswillige Akteure „LockBit“ als Schad-Payload bei der Ausnutzung von zwei Schwachstellen in der weit verbreiteten Druckverwaltungslösung „PaperCut“ eingesetzt hätten. Im Juni 2023 habe die „LockBit“-Bande einen Lieferanten des weltweit größten Auftrags-Chipherstellers TSMC ins Visier genommen und auf die Daten des Unternehmens zugegriffen. Die „LockBit“-Akteure hätten von TSMC ein Lösegeld in Höhe von 70 Millionen US-Dollar verlangt – „andernfalls drohten sie mit der Veröffentlichung der gestohlenen Daten“. Zuletzt habe die Gruppe mit dem erfolgreichen Angriff auf den US-Flugzeughersteller Boeing Schlagzeilen gemacht, infolgedessen sie viele Gigabyte mutmaßlich gestohlener Daten veröffentlicht habe.

2. BlackCat
„BlackCat“ (auch „ALPHV“) sei zunächst dadurch bekanntgeworden, „weil es die erste professionelle Ransomware-Familie war, die in der Programmiersprache ,Rust’ entwickelt wurde“. Diese Sprache gelte als besonders sicher und beherrsche die parallele Verarbeitung.
Besonders berüchtigt sei die „BlackCat“-Gruppe für ihre dreifache Erpressungstechnik. „Ransomware-Akteure, die die dreifache Erpressungstechnik anwenden, drohen nicht nur mit der Offenlegung exfiltrierter Daten, sondern kombinieren Datendiebstahl zudem mit Distributed-Denial-of-Service-Angriffen (DDos) auf die Infrastruktur ihrer Opfer.“ Dies erhöhe immens den Druck zur Zahlung des Lösegelds.
Mitte November 2023 hätten diese Cyber-Kriminellen erstmals einen neuen Weg beschritten, um ein Opfer zur Zahlung zu bewegen: „Sie reichten gegen den von ihnen angegriffenen Finanztechnologie-Anbieter MeridianLink Beschwerde bei der US-Finanzaufsicht SEC ein, da das Unternehmen seiner Meldepflicht für den Angriff nicht nachgekommen sei.“ Zwar seien für MeridianLink keine rechtlichen Konsequenzen zu erwarten, da die besagte Meldepflicht erst am 15. Dezember 2023 in Kraft trete. „Leider steht jedoch zu erwarten, dass dieses Vorgehen Schule macht und künftig häufiger zu beobachten sein wird, um angegriffene Unternehmen noch stärker unter Druck zu setzen.“ Zu weiteren prominenten Opfern von „BlackCat“ zählten neben den Hotelketten MotelOne und MGM Resorts auch die Kärntner Landesregierung sowie die Online-Plattform „Reddit“.

3. Clop
„Clop“, manchmal auch als „Cl0p“ bezeichnet, habe zuerst Berühmtheit erlangt, „weil die Gruppe mit mehrstufigen Erpressungstechniken hochrangige Organisationen in verschiedenen Branchen kompromittierte“. In jüngerer Zeit habe sie sich verstärkt auf den Diebstahl von Daten und damit verbundene Erpressungsmodelle konzentriert.
„Die Bedrohungsakteure hinter der Ransomware behaupten, 130 Organisationen unter Ausnutzung einer Sicherheitslücke in der ,GoAnywhere’-Dateiübertragungssoftware von Fortra kompromittiert zu haben. Zu den Opfern des Massenangriffs soll unter anderem die Stadt Toronto zählen.“
Die „Clop“-Gruppe sei auch für einen weit verbreiteten Datendiebstahl-Angriff verantwortlich, bei dem eine Zero-Day-Schwachstelle in „MOVEit Transfer“, einer Plattform für die sichere Datenübertragung, ausgenutzt worden sei. Dieser Angriff habe über 2.000 Unternehmen und mehr als 62 Millionen Kunden betroffen. „Berichten vom Juli zufolge sollen die Kriminellen im Rahmen dieser Angriffs-Serie mittlerweile über 100 Millionen Dollar erbeutet haben.“

4. Akira
„Mit dem verheerenden Angriff auf den Dienstleister Südwestfalen-IT, der seit Ende Oktober über 70 Kommunen in NRW lahmlegt, trat ,Akira’ ins Rampenlicht der Cybersecurity-Branche.“ Diese Cyber-Attacke habe die Verwaltung betroffener Behörden zum Stillstand gebracht, manche Bürgerbüros hätten komplett geschlossen werden müssen. Die Arbeiten zum Wiederaufbau liefen zwar, gingen aber nur langsam voran, weshalb in den betroffenen Kommunen noch immer zahlreiche staatliche Dienstleistungen eingeschränkt seien.
Die Bedrohungsakteure hinter diesem neuen Namen scheinen laut Trend Micro hingegen Altbekannte aus der Szene zu sein: „So lassen Prozess-Analysen des seit März 2023 zirkulierenden Schadcodes auf die früheren Strippenzieher von ,Conti’ schließen.“ Zu den Ähnlichkeiten mit „Conti“ gehörten etwa die Verschleierung von Strings, die Verschlüsselungsweise von Daten und das Vermeiden bestimmter Dateiendungen.
„Akira“ habe es bisher zumeist auf Ziele in Frankreich (53 Prozent) oder in den USA abgesehen, wobei vor allem kleine und mittlere Unternehmen (KMU) im Fokus stünden. Mit 508 Erkennungen im Monat sei die Angriffsrate im Juni 2023 deutlich angestiegen. Wie die meisten anderen Gruppen setze „Akira“ auf doppelte Erpressungstaktiken – „die Lösegeldforderungen liegen dabei zwischen 200.000 und mehreren Millionen Dollar“.

Prognose für 2024: Mehr Ransomware-Angriffe auf weichere Ziele

Cyber-Kriminellen weltweit professionalisierten sich und böten ihre Dienste als RaaS auch Bedrohungsakteuren mit weniger technischem Sachverstand an. Dies in Kombination mit einer Konzentrationsverschiebung auf „weiche“ Ziele führe dazu, dass Ransomware auch 2024 zu den größten wirtschaftlichen Bedrohungen für den deutschen Mittelstand zählen werde.

„Gerade altbekannte Akteure wie ,LockBit’ und Co. haben mittlerweile eine hochvernetzte und professionelle Infrastruktur, deren Zerschlagung noch in den Sternen steht. Und auch wenn Ransomware-Gruppen ausgeschaltet werden, so können sie sich einige Zeit später einfach neuformieren, wie etwa die ,Conti’-Ähnlichkeiten im ,Akira’-Code nahelegen.“ Unternehmen sollten sich dementsprechend gut vorbereiten und ihre derzeit bestehende Sicherheitsarchitektur dringend auf Schwachstellen überprüfen und nachbessern – „wo es noch geht“. Denn die Bedrohungsakteure planten sicherlich schon ihre nächsten Coups.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 14.06.2023
Analyse: Internationale Cyber-Sicherheitsbehörden nehmen Ransomware LockBit unter die Lupe

datensicherheit.de, 25.11.2023
Untersuchung zeigt: Neue Ransomware-Gruppen als Schrittmacher der Cyber-Angriffe / Die Anzahl neuer Ransomware-Gruppen in den ersten drei Quartalen 2023 ist laut WithSecure drastisch gestiegen

[datensicherheit.de, 22.03.2023] „Unit 42“, die Forschungsabteilung von Palo Alto Networks, warnt nach eigenen Angaben vor der „Trigona“-Ransomware – „einem relativ neuen Ransomware-Stamm, den Sicherheitsforscher erstmals Ende Oktober 2022 entdeckten“. So habe die „Unit 42“ festgestellt, „dass ,Trigona’ im Dezember 2022 sehr aktiv war und mindestens 15 potenzielle Opfer kompromittiert hat“. Die betroffenen Unternehmen stammen demnach aus den Bereichen Fertigung, Finanzen, Bauwesen, Landwirtschaft, Marketing und Hochtechnologie. Die Forscher hätten zudem zwei neue „Trigona“-Erpresserbriefe im Januar 2023 identifiziert und zwei im Februar 2023. Eine außergewöhnliche Taktik von „Trigona“ bestehe darin, passwortgeschützte ausführbare Dateien zur Verschleierung von Malware zu verwenden.

BleepingComputer veröffentlichte am 29. November 2022 Blogpost über diese Ransomware

Die erste Erwähnung von „Trigona“ (offenbar benannt nach einer Familie stachelloser Bienen) stamme aus einem Tweet von Sicherheitsforschern Ende Oktober 2022. Malware-Samples seien an „BleepingComputer“ weitergeleitet worden, wo am 29. November 2022 ein Blogpost über diese Ransomware veröffentlicht worden sei. Die Berater und Forscher der „Unit 42“ hätten die Aktivitäten von „Trigona“ im Rahmen der Reaktion auf Vorfälle ebenfalls direkt verfolgt.

Die „Unit 42“ habe beobachtet, wie der Ransomware-Betreiber sich zunächst Zugang zur Umgebung eines Ziels verschafft habe, um Erkundungen durchzuführen. „Anschließend kommt ein RMM-Tool (Remote Access and Management) namens ,Splashtop’ zum Einsatz, um Malware in die Zielumgebung zu übertragen, gefolgt von der Erstellung neuer Benutzerkonten und schließlich dem Einsatz der Ransomware.“

Unit 42 hat Beweise für kriminelle Aktivitäten im Zusammenhang mit Trigona

Bedrohungsforscher der „Unit 42“ vermuten, „dass es sich bei der Surface-Web-Leak-Seite um eine Entwicklungsumgebung handelte, in der Funktionen getestet wurden, bevor eine mögliche Verlagerung ins DarkWeb erfolgte“. Mehrere Beiträge schienen Duplikate der „BlackCat“-Leak-Seite zu sein. Einige der Countdown-Timer seien deutlich länger. Die Leak-Site sei im „Surface Web“ nicht mehr verfügbar.

Die „Unit 42“ habe ebenso Beweise für kriminelle Aktivitäten im Zusammenhang mit „Trigona“ gesehen, welche von einem kompromittierten „Windows 2003“-Server ausgegangen seien, gefolgt von der Ausführung von „NetScan“ zur internen Erkundung. Angreifer missbrauchten oft legitime Produkte für böswillige Zwecke, nutzten sie aus oder unterwanderten sie. „Dies bedeutet nicht zwangsläufig, dass ein Fehler oder eine bösartige Eigenschaft des legitimen Produkts vorliegt, das missbraucht wird.“

Trigona derzeit offenbar noch unter dem Radar aktiv

„Trigona“ scheine derzeit „unter dem Radar“ aktiv zu sein. „Dieser Mangel an Bewusstsein in der Sicherheitscommunity ermöglicht es, die Opfer unauffällig anzugreifen, während andere Ransomware-Operationen mit größerem Bekanntheitsgrad die Schlagzeilen beherrschen.“ Palo Alto Networks hofft, „dass die Aufklärung über ,Trigona’ und seine ungewöhnliche Technik, passwortgeschützte ausführbare Dateien zur Verschleierung von Malware zu verwenden, den Verteidigern hilft, ihre Umgebungen besser vor dieser Bedrohung zu schützen“.

Aufgrund der zahlreichen, von der „Unit 42“ identifizierten Opfer und der sich derzeit entwickelnden Leak-Site von „Trigona“ würden der Betreiber und/oder die Partner hinter der Ransomware ihre kriminellen Aktivitäten wahrscheinlich fortsetzen – „und möglicherweise sogar noch verstärken“.

Weitere Informationen zu Thema:

UNIT 42, Frank Lee & Scott Roland, 16.03.2023
Bee-Ware of Trigona, An Emerging Ransomware Strain

MalwareHunterTeam auf Twitter
Some ransomware gang…

BLEEPING COMPUTER, Lawrence Abrams, 29.11.2022
Trigona ransomware spotted in increasing attacks worldwide

Von unserer Gastautorin Camellia Chan, CEO und Gründerin von X-PHY, einer Marke von Flexxon

[datensicherheit.de, 14.10.2022] Der jüngst verzeichnete Anstieg bei der Nutzung des Ransomware-as-a-Service (RaaS)-Angebots von BlackCat löst zunehmend Besorgnis aus. Forscher von Microsoft haben in einem Fachartikel die ausgefeilten Möglichkeiten der Software bereits ausführlich dargelegt. Daraus ergibt sich ein erhebliches Risiko für Unternehmen, weil es zu immer komplexeren Angriffen kommt, die vor allem Organisationen ohne robuste Cybersicherheitsstrategie gefährden. Im Folgenden werden Gründe für die Zunahme der Risiken eines Angriffes, die Vorgehensweise der Ransomware-Emtwickler und Gegenmaßnahmen diskutiert.

Gründe für den drastischen Anstieg des RaaS-Risikos

Einer der Hauptgründe für die immer häufigeren Angriffe mit RaaS-Tools wie BlackCat ist deren Vielseitigkeit in Bezug auf die Angriffsmethoden. Wo früher vor allem Remote-Desktop-Anwendungen und gestohlene Anmeldedaten genutzt wurden, geraten laut Microsoft jetzt verstärkt Schwachstellen bei Exchange-Servern ins Fadenkreuz. Die BlackCat-Variante ist wegen ihrer Verwendung der unkonventionellen Programmiersprache Rust und der zahlreichen unterstützten Angriffsvektoren ein bedeutendes Beispiel.

Camellia Chan, CEO und Gründerin von X-PHY, Bild: Flexxon

Je nach Angreifer können RaaS-Attacken zudem deutliche Unterschiede aufweisen, was ihre Erkennung und Abwehr für das anvisierte Unternehmen zusätzlich erschwert. Die Tatsache, dass jede BlackCat-Bereitstellung anders ist, lässt erkennen, wie viele unterschiedliche Strategien und Verfahren bei der Entwicklung zum Einsatz kommen. Darüber hinaus werden RaaS-Varianten allgemein ständig weiterentwickelt und in ihrer Effizienz optimiert, weshalb sie sich immer besser verkaufen.

Vorgehensweise der Ransomware-Entwickler

An der Entwicklung von Ransomware und der Verbreitung von RaaS-Angriffen sind verschiedene Interessengruppen beteiligt. RaaS-Betreiber arbeiten an der Entwicklung der erforderlichen Tools, während sogenannte „Access Broker“ sich auf das Eindringen in die Netzwerke der Opfer konzentrieren. Dem RaaS-Kunden selbst obliegt das Abgreifen der zu verschlüsselnden Daten und die eigentliche Bereitstellung der Ransomware.

Der Schadcode wird in der Regel gegen eine feste Gebühr oder gegen einen Anteil am erzielten Lösegeld über Schwarzmärkte, wie etwa das Dark Web, angeboten. Bei Angriffen wird das Opfer häufig auf eine Website gelenkt, auf der die Ransomware gehostet ist, oder der Schadcode wird in einem Anhang gesendet, um den Zielrechner zu infizieren. Bei der Koordination der Angriffe und den Verhandlungen mit den Opfern spielen die Entwickler häufig eine wichtige Rolle, sodass seitens der Kunden kaum entsprechendes Know-how und auch keine Erfahrung mit Cyberangriffen erforderlich ist.

Eingesetzte Strategien

Ein prominentes Beispiel dafür, wie folgenschwer und gut durchdacht RaaS-Strategien sein können, ist die Ransomware-Variante Cerber aus dem Jahr 2021. Ihre Entwickler lizenzierten die Ransomware gegen einen Anteil des Erlöses aus Angriffen an andere Cyberkriminelle, was sich als lukratives Geschäftsmodell erwies. Dieses Beispiel wird häufig als der bisher größte RaaS-Ring bezeichnet, der zu Spitzenzeiten für acht neue Angriffe pro Tag verantwortlich war.

In einigen Fällen sind RaaS-Kits mit Support rund um die Uhr erhältlich oder auch als Bestandteil von Paketangeboten. Nicht selten gibt es Rezensionen und Benutzerforen, ähnlich wie dies bei seriösen SaaS-Anbietern der Fall ist. Auch die Umsatzmodelle unterscheiden sich: Möglich sind monatliche Abonnements, Einmalzahlungen, Partnerprogramme und Gewinnbeteiligungen. Preise können von 40 € bis zu mehreren tausend Euro variieren.

Dies belegt einmal mehr, wie sehr sich dieser Markt industrialisiert hat und in manchen Punkten schon als „Gig Economy“ gelten kann. Für potenzielle Opfer bedeutet dies, dass immer ausgefeiltere Attacken von mehr Angreifern als je zuvor zu erwarten sind – und sie dringend Maßnahmen zum Schutz vor dieser wachsenden Bedrohung ergreifen müssen.

Die Lösung: Zero Trust und künstliche Intelligenz

Angesichts der zunehmenden Anzahl, Professionalität und Komplexität von RaaS-Angriffen müssen heute mehr Unternehmen denn je davon ausgehen, dass böswillige Akteure schon längst in ihre Netzwerke eingedrungen sind. Deshalb ist ein Zero-Trust-Framework für eine robuste Sicherheit unverzichtbar, wobei sowohl interne wie auch externe Benutzer und Aktivitäten kontinuierlich authentifiziert und validiert werden müssen. Die Einstufung sämtlicher Benutzer, Geräte, Anwendungen, Datenflüsse und Workloads als zunächst nicht vertrauenswürdig ist eine effektive Maßnahme zum Schutz vor Datenschutzverletzungen, und zwar unabhängig vom verwendeten Angriffsvektor.

Dieser Ansatz kann mithilfe von Künstlicher Intelligenz (KI) noch untermauert werden. Dabei lernen IT-Systeme selbstständig, bekannte und unbekannte Bedrohungen schnell zu identifizieren und abzuwehren. KI trägt zudem durch die Automatisierung der Überprüfung sämtlicher Benutzer und Aktivitäten dazu bei, die Reaktionen auf Bedrohungsszenarien zu beschleunigen. Dadurch wird nicht nur das Risiko durch menschliches Versagen und böswillige interne Manipulationen deutlich verringert, sondern Firmen werden auch in die Lage versetzt, den enormen Datenverkehr in ihrem Netzwerk zu analysieren und zu validieren. Durch die Kombination von Zero Trust und KI in einer einzigen Lösung kann ein Unternehmen über sämtliche Kontaktpunkte hinweg in Echtzeit Abweichungen erkennen und Datenzugriffsmuster überprüfen. So entsteht ein wirksames Verteidigungssystem, das von menschlichen Eingriffen unabhängig ist – und letztendlich auch gegen RaaS-Angriffe hilft.

Weitere Informationen zum Thema:

datensicherheit.de, 10.08.2022
Ransomware-as-a-Service missbraucht Windows Defender