Beiträge

Der weltweit führende Hersteller von Lösungen für Open-Source-Schwachstellenmanagement Greenbone hat ein Community-Portal für seine Anwender- und Entwicklergemeinschaft gestartet, das die umfangreichen Informationen für die Community-Editionen übersichtlicher und einfacher zugänglich macht.

Für wen ist das Portal?

Auf community.greenbone.net laden die Vulnerability-Management-Experten Anwender, Developer und alle IT-Profis, die sich professionell mit Sicherheit und Schutz vor Hackern beschäftigen ein, sich in Foren, Blogs, News und Dokumentation umzusehen und zu helfen, die Seiten zu gestalten.

Zentrale Anlaufstelle
„Unser neues Community Portal ist die zentrale Anlaufstelle, wo sich Anwender, Experten, Greenbone Mitarbeiter und alle anderen Interessierten treffen und sich stets aktuell über die Produkte, die Firma oder neue Features informieren können.“ erklärt Greenbones Community-Managerin DeeAnn Little: „Wir möchten mit dem Portal der großen, weltweiten Greenbone Community ein Zuhause geben, mit allen Links und Informationen, die jeder braucht, der mit unseren Schwachstellenmanagement arbeitet.“

Was bietet das neue Portal
Sowohl für Greenbone OpenVAS als auch die Greenbone Community Edition finden sich (unter „Getting started“) zahlreiche Anleitungen zur Installation und Konfiguration der Community-Versionen. Dazu gibt’s News und Updates, beispielsweise zu den jüngst veröffenlichten Docker-Container-Releases der Community Edition aber auch aktuelle Zahlen über Greenbone-Installationen auf auf einer Weltkarte und ein komplett überarbeitetes Forum mit neuen Kategorien und Blog.

Für die Community, mit der Community
„All das wäre ohne die zahlreichen Beiträge aus der Greenbone-Community nicht möglich, aber gleichzeitig ist das auch nur der erste Schritt“, erklärt Little:„Zukünftig werden wir hier auch technische Details von unseren Experten erklären lassen und neue Features vorstellen.

Greenbone wünscht sich dabei viel Input und Anregungen aus seiner großen Community, erklärt Little:

„Wir freuen uns über jeden Input und alle Anregungen, Ideen und Verbesserungsvorschläge, genau dafür ist das Portal da. Schicken Sie uns Ihre Fragen. Was haben wir übersehen? Was wünschen Sie sich? Wie können wir das Portal, das Forum und die neuen Seiten noch besser machen? Welche Themen wünschen Sie sich – worüber sollten wir berichten?“ Hier können Sie Ihre Meinung hinterlassen, wir freuen uns darauf.

Greenbone Community Forum im neuen Look

Auch das beliebte User Forum hat Greenbone ins Community Portal integriert. Im neuen Look soll es auch weiterhin den Anwendern von Greenbones Software – unabhängig von ihrem technischen Hintergrund – eine Plattform für Ideen, gegenseitige Hilfe aber auch Feedback geben.

„Im Forum können sich User auf Augenhöhe begegnen und gegenseitig helfen – es ist ein Ort des Austausches, wo auch wir immer wieder lernen können.“ erklärt Little. „Egal ob es sich um eine Anfängerfrage, tiefergehende Howtos oder Getting Started Guides handelt – im Forum findet so mancher Anwender Hilfe von erfahrenen Usern, selbst in exotischen Setups.“

Ein zweifelhafter Ruf haftet sowohl der Kryptowährung Bitcoin wie auch dem Darknet an. Medien schildern beide gerne als undurchsichtige, kriminelle Parallelwelten. Für Ransomware as a Service sind Bitcoin und Darknet willkommene Werkzeuge. Das organisierte Verbrechen hat sie sich längst zu Nutze gemacht, um seine Geschäfte zu verschleiern, auch wenn die Kriminellen damit keineswegs anonym und sicher vor Strafverfolgung sind.

Ransomware wurde 2021 zur weltweit größten Bedrohung von IT-Systemen. Wer sich erfolgreich davor schützen will, muss auch verstehen, wie die Beteiligten vorgehen. Im ersten Teil dieser Artikelserie ging es um das Geschäftsmodell von Ransomware as a Service. Teil zwei zeigte, warum diese „Professionalisierung“ auch zu einem veränderten Mindset bei den Angreifenden führt. Der dritte Teil erklärt nun, warum die IT-Werkzeuge, die die organisierte Kriminalität zur Bestellung und zur Geldübergabe nutzt, keineswegs sicher sind.

Ransomware as a Service: abstraktes Bild des Bitcoin-Logos

Anonym und sicher?

Bitcoin als Zahlungsmittel und das Darknet erweisen sich als praktisch, hilfreich und attraktiv für Angreifende. Unter dem Deckmantel der vermeintlichen Anonymität wähnen sie sich geschützt vor Strafverfolgung und abgeschirmt von Konsequenzen. Doch das ist ein verbreitetes Missverständnis: Weder Bitcoin noch Darknet sind in der Praxis anonym.

Während die Kryptowährung nie auf Anonymität ausgelegt war, sondern explizit auf Nachvollziehbarkeit von Transaktionen auch ohne zuverlässige zentrale Autorität, erweist sich das Darknet als nicht mal ansatzweise so anonym wie seine Macher es sich gewünscht hätten. Das zeigen auch Berichte wie die jüngsten über die „Deanonymisierungsangriffe“ von KAX17 auf das Tor-Netzwerk. Fast immer reicht der Strafverfolgung klassische Ermittlungsmethoden, um auch Ransomware-Agierende wie die REvil-Gruppe ausfindig zu machen. Die hatte laut Heise in mehr als 5.000 Infektionen eine halbe Million Euro an Lösegeldern eingetrieben.

Nie eine gute Idee: mit Kriminellen kooperieren

Egal, ob online oder offline, wer sich mit Erpressenden einlässt, ist verlassen. Als guter Rat gilt wie im richtigen Leben: niemals Lösegeld bezahlen. Ganz egal wie professionell die Hotline am anderen Ende auch scheint, Vertrauen ist nicht angebracht. Die Betreibenden von REvils Ransomware as a Service beispielsweise stahlen ihren Auftraggebenden sogar die erpressten Lösegelder über eine Backdoor in der Malware.

Dabei hatte alles so freundlich und idealistisch angefangen. Roger Dingledine und Nick Mathewson legten die Grundsteine für das Tor-Netzwerk Anfang der 2000er Jahre. Basierend auf der Idee der Zwiebelringe sollten zahlreiche kryptographisch gesicherte Schichten übereinander für zuverlässige Anonymität im Web sorgen – ihrer Meinung nach ein Grundrecht, analog zur Privacy-Definition von Eric Hughes „Cypherpunk’s Manifesto“. 2009 erblickte dann Bitcoin das Licht der Welt, erstmals beschrieben durch die fast schon mystische Figur des Satoshi Nakamoto.

Darknet und Bitcoin sind nicht „kriminell“

Weder Darknet noch Bitcoin wurden entworfen, um dunkle Machenschaften zu verschleiern oder zu ermöglichen. Ziel war das Schaffen freier, unabhängiger, vermeintlich unkontrollierbarer und weitgehend sicherer Strukturen für Informationsaustausch und Bezahlung. Wie ein Messer lassen sich die Dienste jedoch sowohl für Gutes als auch für Böses instrumentalisieren – und natürlich weiß die organisierte Kriminalität das für sich zu nutzen. Nicht immer liegt dabei der Schwerpunkt darauf, keine Spuren zu hinterlassen. Meist steht die Einfachheit und Verfügbarkeit der Mittel im Vordergrund. Bitcoin und das Darknet sind schlicht die Tools der Wahl, weil sie da sind.

Aber wie in der realen Welt schnappt man die Erpressenden am einfachsten bei der Geldübergabe: Eine Blockchain wie Bitcoin dokumentiert alle jemals getätigten Transaktionen inklusive der Wallet-Informationen (also den Bitcoin-Besitzenden) und macht sie jederzeit einsehbar. Gleiches gilt für das Darknet: Selbst, wenn technisch Anonymität möglich ist, scheitern Menschen regelmäßig an den einfachsten Anforderungen. Da finden sich dann GPS-Meta-Daten in Fotos oder UPS-Codes im illegalen Shop. Der legendäre Drogenshop Silkroad flog auf, weil Mitarbeitende Fehler machten und geständig waren.

Digitalisierte, organisierte Kriminalität

Das Darknet und die Kryptowährungen sind hilfreiche Werkzeuge für die organisierte Kriminalität und damit Brandbeschleuniger für die schnell wachsende Anzahl an gravierenden Ransomware-Attacken. Aber sie sind keineswegs essenziell, noch trifft sie eine Schuld. Derartige Cyber-Kriminalität ist nur die moderne IT-Variante dessen, was wir auch auf den Straßen beliebiger Großstädte erleben können. Ransomware ist sozusagen die moderne Schutzgelderpressung, Bitcoin der Abfalleimer für die Übergabe, das Darknet die dunkle Kneipe, in der Deals vereinbart werden.

Das Perfide steckt nicht in den Werkzeugen, sondern in den Methoden und der langen Erfahrung im „Business“. Trend Micro beschreibt beispielsweise den Ansatz der „Double Extortion Ransomware“. Dabei machen sich Angreifende erst ein Bild über die Daten und drohen, diese bei Nicht-Bezahlen (also bei Nicht-Entschlüsselung) zu veröffentlichen. Organisierte Kriminalität betreibt das Geschäft mit der Erpressung nicht erst seit es Bitcoin oder das Darknet gibt. Auch wenn die beiden Technologien es Cyber-Kriminellen heute ermöglichen, zunächst unerkannt große Geldsummen zu erpressen, reichen herkömmliche Methoden fast immer zur Aufklärung. Wichtigste Voraussetzung dabei ist, dass genug Personal für die Strafverfolgung zur Verfügung steht, nicht in erster Linie dessen technische Ausstattung.

Vorsorge treffen

Doch zu diesem Zeitpunkt ist das Kind im Unternehmen bereits in den Brunnen gefallen. Wer vor seinen verschlüsselten Daten steht und sich einer Lösegeldforderung gegenübersieht, dem sind das Darknet, Bitcoin und die Aufklärungsquote vermutlich erst mal zweitrangig. Viel wichtiger ist die Frage, wie man aus der misslichen Lage wieder herauskommt. Und das gelingt nur, wenn man vorbereitet war. Dazu gehören Backups, Restore-Tests und das sofortige Abtrennen aller betroffenen Maschinen (Network Split) – also proaktives Risikomanagement, Desaster Recovery Tests und stetige Pflege der eigenen Systeme. Ein weiterer wichtiger Baustein ist die Multi-Faktor-Authentifizierung, die verhindert, dass sich Angreifende allein durch erworbene Passwörter von einem System zum nächsten hangeln.

Am wichtigsten ist es jedoch, gar nicht erst in kritische Situationen zu gelangen und Schwachstellen in den eigenen Systemen zu erkennen und schnell zu schließen. Modernes Schwachstellenmanagement wie das von Greenbone leistet genau das: Es legt Angreifenden Steine in den Weg und macht das Firmennetzwerk unattraktiv, aufwändig und somit abschreckend für die professionellen Cyber-Kriminellen, nicht nur aus der Ransomware-as-a-Service-Welt.

Die Produkte von Greenbone überwachen das Unternehmensnetzwerk oder externe IT-Ressourcen auf potenzielle Schwachstellen, indem sie es fortlaufend und vollautomatisch untersuchen und garantieren als Greenbone Enterprise Appliances oder dem Greenbone Cloud Service (in deutschen Rechenzentren gehostete Software as a Service) Sicherheit durch stets aktuelle Scans und Tests.

Wie das funktioniert, beschreibt Elmar Geese, CIO/CMO bei Greenbone, ebenfalls hier im Blog anhand eines Posts rund um die log4j-Schwachstelle. Außerdem erklärt Geese, wie schnell und sicher die Administration und das Management auch bei den neuesten Schwachstellen informiert wird und wie genau der Scan nach Schwachstellen wie Log4Shell abläuft.


Der zweite Teil unserer Serie über die fortschreitende Professionalisierung der Angriffe auf IT-Systeme beschäftigt sich mit Veränderungen im Mindset der Angreifenden. Automatisierung, Kommerzialisierung und Cloudcomputing haben Ihre Spuren auch im typischen Profil von Cyber-Kriminellen hinterlassen, mit denen sich Admins und das Schwachstellenmanagement auseinandersetzen müssen. Entgegen gängiger Hollywoodklischees geht die Bedrohung durch Ransomware as a Service in der Regel nicht (mehr) von hochbegabten Script-Kiddies mit viel Zeit oder von anarchistischen Weltverbesserern im Hoodie aus. Auch nicht von hochqualifizierten und mit schier endlosen Ressourcen ausgestatteten Geheimdiensten.

Angriffe sind heute Auftragsarbeiten

Die gefährlichsten Angriffe heute arbeiten zunehmend „im Auftrag“, verfolgen also ein Geschäftsmodell und müssen sich dabei auch an Werten wie Effizienz oder Erfolgswahrscheinlichkeit orientieren. Genauso wie das Cloud-Computing fester Bestandteil der IT der meisten Unternehmen geworden ist, dient es mittlerweile auch Cyber-Kriminellen dazu, Angriffe zu automatisieren, zu organisieren und zu beschleunigen. Mit großem Erfolg: Ransomware ist zur größten Bedrohung erwachsen und bei Ransomware as a Service lassen sich Angriffe ganz einfach buchen.

Mehr und mehr Sicherheitsfachleute entwickeln gerade erst ein Verständnis für die Geschäftsmodelle der Angreifenden: Deren Logik unterscheidet sich kaum mehr von der anderer Unternehmen. Sie investieren die gleichen Ressourcen in die Entwicklung von Exploits und Tools und wollen den höchstmöglichen Return on Investment (ROI) erzielen. Deswegen achten sie häufig stark darauf, dass sich ihre Werkzeuge wiederverwenden lassen.

Angesichts begrenzter Ressourcen entwickeln Cyber-Kriminelle Exploits für weit verbreitete Technologien, die ein hohes Gewinnpotenzial für mehrere Ziele bieten.

Die Perspektive der Cyber-Kriminellen

Die Angreifenden haben sich organisiert, bestellt wird im Darknet, bezahlt via Bitcoin. Gewinnmaximiert, effizienzorientiert und professionell strukturiert: Die neue, wirtschaftlich orientierte Logik kann und muss aber auch ein Schlüssel zu besseren Abwehrmechanismen sein. Gerade wenn Security-Verantwortliche sich unter einer Lawine von Sicherheitswarnungen begraben sehen, ist es hilfreich, zu verstehen, wie Cyber-Kriminelle „ticken“.

Um die eigenen Systeme abzusichern, muss die Verteidigung jetzt umdenken und über den eigenen Tellerrand blicken. Die Logik der Cyber-Kriminellen hilft, die entscheidenden Signale zu entschlüsseln und Lücken zu schließen. David Wolpoff, CTO von Randori, hat in einem Blogbeitrag auf Threatpost sechs zentrale Fragen formuliert, die das Mindset der modernen Cyber-Kriminellen gut beschreiben:

  1. Welche nützlichen Informationen über ein Ziel lassen sich von außen erkennen?
  2. Wie wertvoll ist das Ziel für die Angreifenden?
  3. Ist das Ziel als leicht zu hacken bekannt?
  4. Welches Potenzial bieten Ziel und Umgebung?
  5. Wie lange wird es dauern, einen Exploit zu entwickeln?
  6. Gibt es einen wiederholbaren ROI für einen Exploit?

Je mehr Wissen Cyber-Kriminelle über eine Technologie oder eine Person in einem Unternehmen sammeln können, desto besser können sie die nächste Angriffsphase planen. Im ersten Schritt stellen sie so die Frage, wie detailliert sich das Ziel von außen beschreiben lässt. Je nach Konfiguration kann ein Webserver beispielsweise keine Serverkennung oder Servernamen und detaillierte Versionssnummern verraten. Ist die genaue Version eines verwendeten Dienstes und seine Konfiguration sichtbar, lassen sich präzise Exploits und Angriffe ausführen. Das maximiert die Erfolgschancen und minimiert zeitgleich die Entdeckungswahrscheinlichkeit und die Aufwände.

Nicht mehr wahllos

Das zunehmend wichtigere wirtschaftliche Interesse sorgt dafür, dass Cyber-Kriminelle Faktoren wie Aufwand, Zeit, Geld und Risiko stärker berücksichtigen müssen. Dementsprechend lohnt es sich nicht, wahllos Systeme anzugreifen oder auszuspähen. Angreifende klären heutzutage zuerst den potentiellen Wert, bevor sie handeln und konzentrieren sich auf vielversprechende Ziele wie VPNs und Firewalls, Anmeldedatenspeicher, Authentifizierungssysteme oder Remote-Support-Lösungen am Netzwerkrand. Die könnten sich als Generalschlüssel entpuppen und den Weg ins Netzwerk oder zu Anmeldeinformationen aufsperren.

Immer wieder tauchen Meldungen über kritische und brandgefährliche Schwachstellen auf, die offenbar niemand für Angriffe ausgenutzt hatte. Es klingt unglaublich, aber oft hat sich einfach niemand die Arbeit gemacht, für eine Schwachstelle einen Exploit zu programmieren. Moderne Cyber-Kriminelle folgen immer mehr dem Prinzip des Return on Investment und bedienen sich existierender Proof of Concepts (PoC).

Komplexität ist unerwünscht

So ergeben sich manchmal überraschende Erkenntnisse: Moderne Cyber-Kriminelle meiden wohldokumentierte Schwachstellen. Umfangreiche Untersuchungen und Analysen zu einer bestimmten Sicherheitslücke sind eher ein Indikator für unerwünschte Komplexität und Aufwand, den man möglichst gering halten möchte. RaaS-Hacker:innen fahnden nach verfügbaren Tools oder kaufen für ein bestimmtes Objekt bereits erstellte Exploits. Angreifende wollen sich unbemerkt in den von ihnen kompromittierten Systemen bewegen. Sie suchen sich also Ziele mit wenigen Abwehrmechanismen aus, wo Malware und Pivoting-Tools funktionieren, etwa Desktop-Telefone und VPN-Apps sowie andere ungeschützte Hardware. Viele Anwendungen dort sind mit oder für Linux erstellt, besitzen einen vollständigen Nutzungsbereich und verfügen über vertrauenswürdige, vorinstallierte Tools. Das verspricht, sie nach einem Exploit weiterhin nutzen zu können und macht sie umso attraktiver für Cyber-Kriminelle.

Überraschende Kosten-Nutzen-Rechnung

Ist das Ziel erst einmal anvisiert, gilt es für Angreifende Zeit, Kosten und Wiederverwendbarkeit einzuschätzen. Schwachstellenforschung (Vulnerabilty Research) geht hierbei auch über das bloße Aufdecken ungepatchter Geräte hinaus. Cyber-Kriminelle müssen beurteilen, ob die Kosten für die Recherche und Entwicklung der daraus resultierenden Tools im Verhältnis zum Gewinn nach einer Attacke stehen. Gut dokumentierte Software oder Open-Source-Tools, die leicht zu beschaffen und zu testen sind, bedeuten ein vergleichsweise leichtes Ziel.

Ebenfalls überraschend: Insgesamt spielt laut Wolpoff der Schweregrad einer Sicherheitslücke für Cyber-Kriminelle nicht die zentrale Rolle. Einen Angriff zu planen ist weit komplexer und erfordert wirtschaftliches Denken. Die Erkenntnis, dass auch die Gegenseite Kompromisse eingehen muss, hilft der Verteidigung von Cloud-Umgebungen, diese sinnvoll abzusichern. Alles, überall und jederzeit vor allen Angreifenden zu schützen ist illusorisch. Mehr wie sie zu denken, erleichtert aber die Priorisierung.

Im dritten Teil dieser Artikelserie dreht sich alles um die Frage, ob das Ransomware-as-a-Service-Modell auch ohne Bitcoin und Darknet möglich wäre und ob die beiden Technologien eigentlich in dem Kontext halten, was die Angreifenden versprechen.

Dieser Artikel ist der erste von drei Blogposts über die veränderte Bedrohungslage in professionellen Umgebungen. „Ransomware as a Service“ hat mächtige Auswirkungen auf Unternehmen, die aber keineswegs schutzlos dastehen. Auch modernes Schwachstellenmanagement, welches die Produkte von Greenbone ermöglichen, spielt in diesem Zusammenhang eine wichtige Rolle.

Zahlen 2020 – Anstieg, Umsatz, Kosten

Sie heißen DarkSide, REvil, Dharma, Egregor, Maze, LockBit oder Thanos. Selbst Emotet feiert gerade ein unerfreuliches Comeback: weltweit steigen die Ransomware-Angriffe, scheinbar ungebremst. Dabei nimmt auch ihre Intensität massiv zu: REvil und DarkSide legten die Bank of Scotland und eine wichtige Pipeline an der US-Ostküste lahm. In Deutschland leiden Behörden, Krankenhäuser und ganze Landkreise unter den Ransomware-Angriffen.

Ransomware ist Schadsoftware, die ein System verschlüsselt und den Zugriff auf die Daten nur dann wieder frei gibt, wenn das Opfer ein Lösegeld zahlt. Daher auch der Begriff „Ransom“, englisch für Lösegeld. Häufige Verbreitungswege für Ransomware sind Spam-Mails, Phishing und Drive-by-Exploits. Letztere nutzen Schwachstellen in Browsern, Browser-Plugins, Betriebssystemen und Netzwerkdiensten aus.

Fast alle erfolgreichen Angriffe auf IT-Infrastrukturen in den letzten Jahren gehen auf diesen Typen zurück, der so anders „tickt“ als die Cyber-Kriminellen der vergangenen Jahrzehnte. Das Bedrohungsszenario hat sich geändert, Ransomware wird heute von professionellen Infrastrukturen erstellt und betrieben, diese arbeiten gewinnorientiert und mindestens ebenso effizient wie die Unternehmen und Organisationen, die ihnen als Angriffsziele dienen. Angesichts der neuen Bedrohung müssen diese umdenken, wenn es um den Schutz ihrer Infrastrukturen geht.

Ein wichtiger Grund für den großen Erfolg von Ransomware ist Herstellern zufolge die zunehmende Verbreitung von Cloud-Infrastrukturen. Einerseits benutzen Angreifende selbst Cloud-Dienste, andererseits profitieren sie von der größeren Angriffsfläche, die Unternehmen erst recht in Zeiten von Homeoffice bieten. Ein anderer Grund ist auf fehlende Updates oder falsche Konfigurationen in der Unternehms-IT zurückzuführen. Beide Ursachen erhöhen die Erfolgswahrscheinlichkeit für Angreifende. Die Ressourcen sind jedoch sehr ungleich verteilt: In den letzten Jahren etablierte sich eine weltweit und höchstprofessionell arbeitende Industrie, die Cloud-Dienste für Cyber-Kriminelle anbietet – „Ransomware as a Service“ (RaaS).

Von „Software as a Service“ zu „Ransomware as a Service“

Das Konzept von „Software as a Service“ (SaaS), also IT-Dienste aus der Cloud ohne Software zu erwerben und diese nur nach Nutzung abzurechnen, hat sich seit mehreren Jahrzehnten bewährt. Bekannte SaaS-Anbieter sind Slack, Salesforce und WordPress. Auch große Software-Firmen wie Microsoft mit Microsoft 365 und Adobe mit der Adobe Creative Cloud bieten mittlerweile SaaS-Versionen Ihrer Produkte an. Auch Greenbones Cloud-Service funktioniert nach diesem Modell. Die Vorteile des Services liegen in der Skalierbarkeit, der Flexibilität, der hohen IT-Sicherheit und den strengen Regeln des europäischen Datenschutzes, insbesondere wenn das Hosting in deutschen Rechenzentren erfolgt, wie auch beim Greenbone Cloud Service.

Spätestens 2020 erreichte der Trend auch das Darknet und den Markt der Ransomware-Hacker:innen. Mit dem SaaS-Geschäftsmodell im Hintergrund infiltrieren Angreifende lokale Netze, verschlüsseln Daten und verlangen Lösegeld vom Opfer. RaaS nutzt nun das SaaS-Modell, um Malware effizienter und kostengünstiger unter die Leute zu bringen und Gelder zu erpressen.

Über 60 % aller bekannten Ransomware-Angriffe gingen 2020 bereits auf das Konto von RaaS-Modellen, einem hart umkämpften, aber wachsenden Markt. 15 neue RaaS-Anbieter sollen 2020 hinzugekommen sein. Das Geschäftsmodell ist klar: Die Kundschaft, also potenzielle Hacker:innen oder Angreifende, brauchen keinerlei technische Fähigkeiten mehr, es gibt Rabattaktionen und professionelle Services. All das macht RaaS für Cyber-Kriminelle zunehmend attraktiv und funktioniert offensichtlich, weil ihnen zahllose unzureichend geschützte Infrastrukturen offenstehen.

Die Anzahl der gesamten Ransomware-Angriffe stieg 2020 um fast 500 Prozent. Zwei Drittel davon gehen auf das Konto von RaaS-Angeboten, Tendenz auch 2021 steigend [1]. Mit Ransomware machten Angreifende im Jahr 2020 geschätzt 20 Milliarden US-Dollar Umsatz, nach gut 11 Milliarden in 2019 [2]. RaaS-Angebote gibt es für Hacker:innen ab 40 $/Monat. Wer mehr Service will, kann auch Tausende Dollar investieren [3].

Die durchschnittlichen Kosten für betroffene Firmen für das Aufräumen nach einem Ransomware-Angriff haben sich im Laufe des Jahres 2020 verdoppelt  und betragen in der Regel das Zehnfache der geforderten Lösegelder. Diese wiederum lagen im Jahr 2020 durchschnittlich zwischen 200.000 und 300.000 Dollar [4]. Ob Konzern oder kleines Unternehmen, meist sind die Forderungen gleich hoch, denn nicht jeder Angriff muss erfolgreich sein. Wie auch bei Spam ist die Masse entscheidend.

„Ransomware as a Service“ als Geschäftsmodell

Das Geschäftsmodell von „Ransomware as a Service“ erklären Websites wie die von AppKnox umfassend und anschaulich: RaaS-Organisationen vermieten Software und IT-Infrastrukturen, die von und bei einem externen IT-Dienstleistungsunternehmen betrieben werden. Cyber-Kriminelle mieten sie als Dienstleistung, um Unternehmen oder Privatpersonen anzugreifen und zu erpressen. RaaS-Entwickelnde und -Anbietende sind juristisch auf der sicheren Seite, sie stellen ja „nur“ die Infrastruktur bereit und sind so nicht für den Angriff verantwortlich. Heute kann jeder RaaS-Angriffe buchen, starten und Unternehmen, Behörden oder Privatpersonen erheblichen Schaden zufügen.

Dahinter stecken vier gängige RaaS-Geschäftsmodelle:

  • Monatliche Zahlung (Abo-Modell)
  • Partnerprogramme, zusätzlich zum Abo-Modell gibt es Gewinnbeteiligungen
  • Einmalige Lizenzgebühr
  • Ausschließlich Gewinnbeteiligung

Egal für welches Modell sich Anwendende entscheiden, einige RaaS-Firmen machen es Ihnen sehr einfach: ab ins Darknet, einloggen, Konto anlegen, Modell wählen, ggf. mit Bitcoin zahlen, Schadsoftware verteilen und warten, bis der Erfolg eintritt.

Für das investierte Geld gibt es Service auf Enterprise-Niveau. Ein typisches Produkt enthält nicht nur den Code der Ransomware sowie die Schlüssel zum Ver- und Entschlüsseln, sondern liefert auch gleich die passenden Phishing-E-Mails, um einen Angriff zu starten, eine gute Dokumentation und 24/7-Support. Auch um die Abrechnung, das Monitoring, Updates und Statusberichte, Kalkulation und Prognosen hinsichtlich einer Einnahmen-/Ausgaben-Rechnung wird sich gekümmert.

Potenzielle Opfer sind keineswegs hilflos

Trotz der Professionalität müssen Unternehmen und Behörden nicht tatenlos zusehen. Zwar sieht man sich jetzt anderen Angreifenden gegenüber, macht- und hilflos ist man keineswegs.

Teuer wird es dagegen auf jeden Fall, wenn das Kind schon in den Brunnen gefallen ist: Das FBI warnt regelmäßig davor, auf Forderungen von Erpressenden einzugehen, erst recht nicht bei organisierter Kriminalität und schon gar nicht bei Ransomware. Da hilft dann nur noch der teure, langwierige Neuaufbau oder der Versuch, die Verschlüsselung zu knacken. Günstiger ist es vielmehr, sich vorzubereiten.

Schützen können sich Unternehmen durch einige simple Maßnahmen und konsequentes Einhalten von Best Practices. Backups, an verschiedenen Orten und abgetrennt vom Tagesgeschäft, schützen die Daten. Zwei-Faktor-Authentifizierung behindert Angreifende, die an Passworte kommen konnten. Starke Passwörter sollten heute selbstverständlich sein, genauso wie eine smarte Netzwerksegmentierung. Planung, Incident-Response- und Recovery-Pläne müssen erstellt und regelmäßig getestet werden. Automatisierung, Monitoring und regelmäßige Schulungen der Mitarbeitenden hinsichtlich der IT-Sicherheit (z. B. Phishing-E-Mails) sind ein Muss. Der Automatisierung kommt dabei innerhalb der IT ein besonderer Stellenwert zu, weil die Angriffe bisweilen so schnell erfolgen, dass menschliche Reaktionen ins Leere laufen.

Die Basis für all diese Maßnahmen stellen Lösungen der Endpoint-Protection und des professionellen Schwachstellenmanagements dar. Das Wissen über Verwundbarkeiten und Schwachstellen in den Netzwerken ist hier Gold wert. Admins erkennen die Lücken Ihrer IT-Verteidigung und schließen diese, bevor Cyber-Kriminelle sie missbrauchen können – mit den Greenbone-Lösungen kontinuierlich und automatisch.

Die Produkte von Greenbone untersuchen fortlaufend das Unternehmensnetzwerk oder externe   IT-Ressourcen auf potenzielle Schwachstellen. Die speziell gehärteten Greenbone Enterprise Appliances oder der als Software as a Service verfügbare Greenbone Cloud Service, dessen Hosting in deutschen Rechenzentren erfolgt, garantieren täglich aktuelle Updates zu den neuesten Schwachstellen. Admins und IT-Management werden bei Bedarf sofort informiert, wenn sich bedrohliche Sicherheitslücken offenbaren. Auf diese Weise sind Unternehmen auch gut vorbereitet, wenn „Ransomware as a Service“ als Geschäftsmodell weiter zunimmt.

[1] https://www.unityit.com/ransomware-as-a-service/

[2] https://www.pcspezialist.de/blog/2021/06/14/raas-ransomware-as-a-service/

[3] https://www.crowdstrike.com/cybersecurity-101/ransomware/ransomware-as-a-service-raas/

[4] https://www.appknox.com/blog/ransomware-as-a-service