Startseite > Security > Das müssen Unternehmen über RaaS wissen

Ransomware as a Service

Das müssen Unternehmen über RaaS wissen

6. Juli 2022, 12:00 Uhr | Dr. Sebastian Schmerl/wg

Arbeitsteilung und Professionalisierung sind erfolgreiche Konzepte, die sich auch Cyberkriminelle zunutze machen: Angreifergruppen liefern Bestandteile eines Ransomware-Services. Diese Service-Blöcke stehen in verschiedenen Qualitätsstufen zum Verkauf. Ransomware as a Service (RaaS) hat sich in den letzten Jahren zu einem echten Geschäftsmodell mit hochprofessionalisierten Akteuren entwickelt: Nach Schätzungen erfolgten im Jahr 2020 64 Prozent aller Ransomware-Angriffe mit dem RaaS-Ansatz – nicht zuletzt, weil sich die mögliche Angriffsfläche für Cyberkriminelle deutlich vergrößert hat.

Mit dem Boom von Remote Work und Home-Office stieg auch die Zahl der Geräte, die außerhalb der geschützten Unternehmensperimeter zum Einsatz kommen. Zudem werden aufgrund des Wechsels zu Cloud-basierten Diensten und Infrastrukturen die IT-Landschaften komplexer und sind damit schwieriger abzusichern. Angreifer brauchen nur eine einzige Schwachstelle zu finden; Unternehmen müssen alle Eventualitäten absichern und mit den neuesten Angriffsstrategien Schritt halten.

Das RaaS-Business hat sich in den letzten Jahren extrem professionalisiert: Die kriminellen Anbieter liefern unterschiedlichste Angriffs-Tools und einzelne Angriffschritte als Services und legen dabei großen Wert auf Service. Die Tools werden zusammen mit Anleitungen für die Durchführung von Angriffen, bewährten Verfahren, Lösegeldstrategien und sogar einem IT-Helpdesk angeboten. RaaS liefert nicht selten genau die Art von Dokumentation und Architektur, die man auch von gängigen SaaS-Angeboten erwarten würde, und ist weit entfernt von der popkulturellen Darstellung des stereotypen, kapuzenpullitragenden Einzelgängers.

Wie in der SaaS-Branche gibt es auch bei RaaS unterschiedliche Preisstrategien: Einige bieten ihre Angriffsdienste als einmaligen Kauf an, andere im Rahmen von Abonnements, wieder andere nutzen eine Kombination aus Abonnement und einem Anteil an der Lösegeldgebühr, die nach einem erfolgreichen Angriff an den Entwickler gezahlt wird. Im letzteren Fall sind die Anbieter durchaus wählerisch und arbeiten nur mit Kunden zusammen, die eine gewisse Erfolgsbilanz vorweisen können. Es erfolgt also eine initiale Rentabilitätsprüfung.

Erfolgsfaktoren für Ransomware as a Service

Kryprowährungen sind ein entscheidender Faktor für den Erfolg von RaaS. Weil Währungen wie Bitcoin und Monero schwer zurückzuverfolgen sind, eignen sie sich für RaaS-Zahlungen und Lösegeldforderungen. Zudem lassen sich die Kryptowährungen vergleichsweise einfach in „sauberes Geld“ umwandeln, was sie für bösartige Akteure, die auf schnellen Profit aus sind, attraktiv macht.

Einfach ausgedrückt: RaaS ist so erfolgreich, weil Ransomware ein mächtiges Druckmittel darstellt – Stichwort „Double Extortion“ (doppelte Erpressung): Verschlüsselung der IT verbunden mit der Drohung der Datenveröffentlichung. Hinzu kommt, dass Unternehmen im Fall gestohlener oder gesperrter Daten häufig nicht wissen, was in der Situation zu tun ist. Oft halten sie die Zahlung des Lösegelds für die einzige Option, obwohl LKA, BKA und BSI den Unternehmen dringend davon abraten.
Der Einsatz von Ransomware ist nicht nur eine effektive Angriffsstrategie, RaaS-Dienste sind auch vergleichsweise leicht zugänglich, einsetzbar und anpassungsfähig.

Häufig nutzen Angreifer eine Ransomware-Plattform zur Verwaltung der Opfer und der zugehörigen Status und entwickeln diese Plattform und die einzelnen Angriffsmodule kontinuierlich weiter. So können sie leicht neue Funktionen einbauen, die die Plattform noch „skalierbarer“ und „produktiver“ machen. Einige Angreifergruppen kooperieren zudem bei der Bearbeitung der Opfer und teilen Code für Angriffsmodule.