Vielleicht gibt es noch jemanden, der glaubt, Ransomware-Angriffe würden von irgendwelchen Menschen ausgeführt. Jedenfalls wird der- oder diejenige enttäuscht. Und die Angriffe häufen sich wie der Fall
Swiss Cloud Computing oder
Griesser zeigen, um nur 2 Vorfälle in der Schweiz der letzten Zeit zu nennen. In den USA sind aktuell eine bedeutende Pipeline wegen Ransomware lahmgelegt und die Polizei von Washington D.C. wird erpresst.
So haben nun Interpol und die Security-Experten von Kaspersky anlässlich des diesjährigen Anti-Ransomware-Tags
in einem neuen Report festgehalten, dass die Erpresser in einem komplexen Ökosystem "mit vielen unterschiedlichen Akteuren, die jeweils individuelle Rollen übernehmen," bestens organisiert sind.
Die Rede ist von Entwicklern, Bot-Mastern, Verkäufern von Zugangsdaten oder Ransomware-Betreibern. Diese verschiedenen Cyberkriminellen bieten im Darknet unterschiedliche Dienstleistungen via Anzeigen an. Zwar würden selbständig agierende, prominente Profigruppen solche Websites eigentlich nicht besuchen. Dagegen aber beispielsweise "REvil", von '
Heise' vor 2 Jahren als neuer Shooting-Star der Ransomware-Szene vorgestellt.
Gewinnbeteiligungen und Ransomware-as-a-Service
Sie "veröffentlichen ihre Angebote und Neuigkeiten inzwischen regelmässig über Affiliate-Programme", schreibt Kaspersky. Dabei käme es zur Partnerschaft zwischen dem Ransomware-Betreiber und dem Kunden, wobei der Ransomware-Betreiber als Verkäufer eine Gewinnbeteiligung zwischen 20 und 40% erhält, während die verbleibenden 60 bis 80% beim "Affiliate-Partner" blieben.
Die Auswahl der Partner folge einem ausgefeilten Prozess mit Regeln, die von den Ransomware-Betreibern festgelegt würden und etwa geografische Beschränkungen oder politische Ausrichtungen umfassen, wie Kaspersky am
Beispiel eines russischsprachigen Ransomware-Ökosystems illustriert. Zudem würden gleichzeitig "Ransomware-Opfer nutzenmaximierend ausgewählt".
Da alle Beteiligten rasch reich werden wollen, handle es sich bei den am meisten infizierten Organisationen häufig um Ziele, zu denen der Zugang besonders einfach ist. Und: "Solche Zugänge werden auf Auktionsplattformen versteigert oder zu Fixpreisen ab 50 Dollar in Darknet-Foren angeboten".
Bei den Angreifern handele es sich meistens um Botnet-Besitzer, die an massiven und breit angelegten Kampagnen mitwirken und den Zugang auf die Geräte ihrer Opfer in grossen Mengen verkaufen.
Ransomware-Betreiber hingegen verkaufen Malware-Samples und Ransomware-Builder in der Regel für 300 bis 4000 Dollar, so Kaspersky. Ein weiteres Geschäftsmodell sei Ransomware-as-a-Service, bei dem Ransomware mit kontinuierlicher Unterstützung durch ihre Entwickler für 120 Dollar pro Monat oder 1900 Dollar pro Jahr angeboten werde, so die Security-Profis weiter.
Sie zitieren zudem Craig Jones, den Director of Cybercrime bei Interpol, der feststellt, dass Cyberkriminelle im Umgang mit Ransomware immer mutiger werden. Ihre Angriffe beschränken sich nicht mehr nur auf grosse Unternehmen und Regierungsorganisationen. Jones sagt: "Ransomware-Betreiber sind bereit, praktisch jedes Unternehmen unabhängig von seiner Grösse zu attackieren".
Bei Kaspersky ergänzt man, dass in dem vielschichtigen Ransomware-Ökosystem viele Interessen im Spiel seien. Es handle sich um einen stets ändernden Markt mit einige recht opportunistischen, anderen sehr professionellen und gewieften Playern: "Sie wählen keine spezifischen Ziele aus, sondern attackieren möglicherweise jede Organisation unabhängig von deren Grösse, wenn sie Zugriff auf ein System erhalten". Und da ihr Geschäft floriere, werde es auch nicht so schnell wieder verschwinden.
Tipps zum Schutz vor Ransomware-Angriffen
Laut Kaspersky kann man wirksam gegen das Ransomware-Ökosystem nur vorgehen, wenn man dessen Grundlagen verstanden habe. Dazu soll der Report beitragen und damit der IT-Sicherheits-Community helfen angemessene Gegenmassnahmen zu ergreifen.
Interessant ist, dass seit Jahren immer wieder die gleichen Tipps gegeben werden: Auf allen verwendeten Geräten die Software immer auf dem neuesten Stand halten oder Daten (für den Notfall) regelmässig über ein Backup sichern, sichere Passwörter für jeden Dienst verwenden und diese nicht mit Dritten teilen sowie. Nicht zuletzt sollte ein SOC-Team eines Unternehmens stets Zugriff auf aktuelle Bedrohungsinformationen haben.
Klar nutzt Kaspersky den Report auch um seine Tools anzupreisen. Aber der Hinweis, die "IT-Verteidigungsstrategie auf die Erkennung von lateralen Bewegungen und Datenexfiltration ins Internet zu fokussieren" gehört nicht dazu. Interessant auch, dass Kaspersky beim Ransomware-Schutz für alle Endpunkte betont, der müsse unbedingt eingeschaltet sein.