Auf der IT-Sicherheitskonferenz Black Hat 2017 in Las Vegas hat Sophos einen Report zum Thema „Ransomware as a Service (RaaS): eine Analyse von Philadelphia“ veröffentlicht. Autorin ist Dorka Palotay, eine Entwicklern zur Gefahrenanalyse in den Sophos Labs in Budapest, Ungarn. Der Report beschreibt die Mechanismen des Ransomware-Bausystems, das jeder für 400 Dollar kaufen kann. Kriminelle können damit Computer kidnappen, Daten gegen Lösegeld zurückhalten – und die Software nach ihren Wünschen anpassen.

Die Erbauer des RaaS-Kits – The Rainmakers Labs – führen ihr Geschäft laut Sophos genauso wie ein legitimes Software-Unternehmen: Sie vertreiben Philadelphia auf Marktplätzen im Darknet und zeigen auf Youtube ein Einleitungsvideo zum Baukasten und zu den Anpassungsmöglichkeiten. Ein detaillierter Leitfaden, der den Kunden durch das Setup führt, ist ebenfalls auf einer .com-Webseite erhältlich. Auch wenn RaaS nicht neu ist, so Sophos: Neu sei das offen gezeigte Hochglanz-Marketing für „Do it yourself“-Erpresserangriffe.

Individuelle Anpassung
Philadelphia verfügt laut den Sophos Labs über zahlreiche Einstellungen, mit denen sich die Käufer ihre Ransomware maßschneidern können, darunter Optionen wie „Verfolge Opfer auf Google Maps“ und „Sei gnädig“. Ebenfalls verfügbar seien Tipps, wie man eine Kampagne entwickelt, einen C2-Server (Command and Control) einrichtet und das Geld einsammelt.

„Die Tatsache, dass Philadelphia 400 Dollar kostet und andere Bausätze zwischen 39 und 200 Dollar, ist bemerkenswert“, so Report-Autorin Dorka Palotay. „Für den Wert von 400 Dollar – ziemlich gut für das, was es den Käufern verspricht – bekommt man regelmäßige Updates und unbegrenzten Zugang zu grenzenlosen Bauarten. Es ist wie ein echter Software-Service, der die Kunden mit regulären Updates unterstützt.“

Ironischerweise sei die „Gnade-Einstellung“ nicht zwangsläufig dazu da, den Opfern zu helfen: „Die Gnade-Funktion bietet den Kriminellen eine Art Ausgang, wenn sie nach einer gezielten Attacke in einer prekären Position sind.“

Betrüger betrügen Betrüger
Der Report enthüllt außerdem, dass einige Kriminelle Philadelphia raubkopiert haben und ihre Version zu einem niedrigeren Preis verkaufen. Sophos erwartet, dass solche Vorfälle, bei denen sich die Betrüger untereinander betrügen, weiter zunehmen werden.

Weitere Informationen zu Sophos finden sich unter www.sophos.de.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.