Wie der Mietmarkt für Ransomware funktioniert

12. Februar 2021, 12:28
image

Ein neuer Report analysiert unter anderem Ransomware-as-a-Service. Die Angebote kommen nicht nur aus Russland oder China.

"Ransomware-Bedrohungen haben exponentiell zugenommen." Mit dieser Feststellung beginnt der "Spotlight 2021 Report" der beiden Cybersecurity-Firmen Risksense (USA) und Cyber Security Works (Indien). Das ist keine neue Erkenntnis, doch der Report gibt einige vertiefte Einblicke in die aktuelle Bedrohungslage. Die Untersuchungen hätten 223 Schwachstellen aufgedeckt, die mit Ransomware in Verbindung stehen. Die Zahl habe sich innerhalb eines Jahres fast vervierfacht.
"Eines der grössten neuen Ziele, das wir beobachtet haben, ist der Bereich, auf den sich jedes Unternehmen im Falle eines Ransomware-Angriffs verlässt: seine Backup-Lösungen", schreiben die Autoren. Man habe 12 Backup-Speichergeräte mit 22 Schwachstellen gefunden, die mit Ransomware-Angriffen verbunden sind. "Dazu gehören beliebte Produkte wie Apples iCloud, Citrix' Xenserver, Microsofts Sharepoint, Netapps Cloud Backup und Redhats JBoss Data Grid." Weitere Angriffsvektoren neben Backup & Storage seien "VPN/Gateway/Collaboration", "Application Vulnerabilities", "SaaS Applications" und "Open Source Vulnerabilities" von Tomcat über Elasticsearch, MySQL bis Jenkins.
image
Grafik: Spotlight Report

Aus Nigeria kommt Silver Terrier

Die Security-Spezialisten haben auch die Herkunftsländer der verschiedenen Ransomware-Gangs untersucht. Man habe 33 APT-Gruppen (Advanced Persistent Threats) gefunden, die 65 Ransomware-Varianten als Arsenal nutzen würden. An der Spitze stehen Russland und China. Doch Gruppen lassen sich auch in Deutschland (TA2101), den USA (Equation Group) und Nigeria (Silver Terrier) finden.
Ein eigenes Kapitel widmet der Report dem Phänomen von Ransomware-as-a-Service. RaaS sei mittlerweile fast zum Mainstream geworden und würde Cyberkriminellen immer mehr Angriffsmöglichkeiten bieten, ohne dass diese über Code-Wissen oder Security-Kenntnisse verfügen müssten.

Im Darknet gibt es alles – und günstig

Ransomware als Service funktioniert ziemlich genau so wie jedes andere SaaS-Modell. Im Darknet könnten Kriminelle Ransomware-Builder und Malware-Stämme beschaffen, einen Weg mieten, um beliebte Social-Media-Seiten zu hacken, oder benutzerdefinierte Ransomware-Stämme erstellen lassen.
image
Ein gängiges Ransomware-Packet.
"Wir haben festgestellt, dass diese Dienste dreist beschreiben, wie ihr Paket genutzt werden kann, und einige geben sogar einige der grössten Cyberangriffe wie Petya oder Wannacry als Beispiele an, um ihre Waren zu verkaufen", so die Autoren. Man könne auf diesen Seiten ein Konto erstellen, die Abonnements für bereits gekaufte Pakete überprüfen und sie einfach verlängern. Jeder Kauf werde mit einer detaillierten Anleitung zur Bereitstellung der Nutzlast geliefert, so dass ein Angriff extrem einfach gestartet werden könne.
"Ein typisches Ransomware-Paket wird mit vielen kostenlosen Add-Ons und Anpassungsfunktionen geliefert, ganz zu schweigen von ausgefallenen Namen und Hashtags für Produkte." Weiter würden Anpassungen wie das Ändern von Lösegeldbeträgen in Abhängigkeit vom Verlauf einer Attacke sowie der Zugriff auf eine komplette Kommandozentrale zur Überwachung der Angriffe angeboten. Als Beispiel listet der Report das gängige "PACKET #Elite"mit einer Mietdauer von 12 Monaten auf. Kosten: 1900 US-Dollar. Nicht viel Geld, wenn mögliche Lösegelder von einigen Zehntausend bis Millionen Dollar winken.
Der "Spotlight 2021 Report" mit weiteren Details zu Malware-Stämmen, Exploit Kits und bekannten Schwachstellen kann kostenlos auf der Risksense-Website heruntergeladen werden.

Loading

Mehr zum Thema

image

APIs bei Twitter werden kostenpflichtig

Schon in weniger als einer Woche werden Entwicklerinnen und Entwickler zur Kasse gebeten. Ein Preismodell gibts noch nicht.

publiziert am 3.2.2023
image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

DXC hofft auf Turnaround im kommenden Jahr

Der Umsatz des IT-Dienstleisters ist im abgelaufenen Quartal erheblich geschrumpft. Im nächsten Geschäftsjahr soll es aber wieder aufwärts gehen, sagt der CEO.

publiziert am 2.2.2023