IT-Sicherheit

Hinter den Kulissen von Ransomware-as-a-Service

14. Dezember 2023
Verfasst von Anna Sucher

Bild von der Außenfassade des BSI

Bild: © Bundesamt für Sicherheit in der Informationstechnik, Eingang Dienstgebäude des BSI in Bonn

Einmal im Jahr veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen Lagebericht zur IT-Sicherheit. Für das Jahr 2023 bleibt Ransomware die größte Bedrohung für Unternehmen. Besonders besorgniserregend ist die zunehmende Verbreitung von Ransomware-as-a-Service (RaaS). Dieser Blogbeitrag geht auf die Strukturen hinter Ransomware-as-a-Service ein und welche Rolle sogenannte Affiliates spielen. Dies sind Cyberkriminelle, die Ransomware-Dienste von den Anbietern kaufen oder mieten.

Die Dominanz von Ransomware as a Service (RaaS)

Ransomware as a Service (RaaS) spielt eine entscheidende Rolle bei der Verbreitung von Ransomware, indem es eine breitere Gruppe von Cyberkriminellen befähigt, aktiv zu werden. Dieses „demokratische“ Modell erleichtert auch weniger erfahrenen Angreifern den Zugang zu Schadsoftware, was zu einer besorgniserregenden Zunahme von Ransomware-Angriffen führt. Zugleich  macht es RaaS für Strafverfolgungsbehörden schwieriger, die Urheber von Angriffen zu identifizieren und zur Rechenschaft zu ziehen. Im Fokus dieser Entwicklung stehen dem BSI zufolge zwei besonders gefährliche RaaS-Akteure, nämlich LockBit 3.0 und Alphv.

Entwicklung exklusiver Dienstleistungen für Affiliates

LockBit 3.0 und Alphv gehen nicht nur besonders aggressiv vor, sie bieten zusätzlich zu RaaS weitere exklusive Dienstleistungen für ihre Partner – sogenannte Affiliates – an, wie beispielsweise DDoS-Angriffe, Verhandlungsunterstützung und Kontakt zu für sie exklusiven Access Brokern. Access Broker stellen gestohlene Zugangsdaten zur Verfügung und ermöglichen anderen Cyberkriminellen den späteren Identitätsdiebstahl und Zugriff zur Infrastruktur ihrer Opfer.

Wettbewerb und Rivalität in der RaaS-Szene

Die Rivalität zwischen cyberkriminellen Gruppen um Affiliates ist laut BSI ein entscheidender Aspekt, wenn es um die Verbreitung von Raas geht . Reputation spielt dabei eine ausschlaggebende Rolle. Der daraus resultierende Wettbewerb zwischen den Gruppen verschärft die Bedrohungslage für die Opfer. Affiliates wählen ihre Partner neben deren Reputation auch basierend darauf aus, wie viel Druck auf ein Opfer ausgeübt werden kann. Aber auch der Anteil am Lösegeld, die Qualität der Ransomware oder die Art und Umfang der oben skizzierten Zusatz-Services für erfolgreiche Affiliates sind entscheidende Kriterien für oder gegen eine engere Zusammenarbeit zwischen Cyberkriminellen. Diese Unterschiede sollen nicht nur langfristig erfolgreiche Affiliates binden, sondern auch neue Akteure anziehen.

Professionalisierung durch finanzielle Anreize

Die Cyberkriminellen hinter LockBit 3.0 entlohnen seit Sommer 2022 andere Angreifer für das Auffinden von Schwachstellen, ähnlich zu legitimen Bug-Bounty-Programmen. Dies unterstreicht die Professionalisierung und den raffinierten Ansatz der Angreifer zur Optimierung ihrer Dienstleistungen.

Die Entwicklung von RaaS verdeutlicht dem Lagebericht des BSI zufolge die Notwendigkeit für Organisationen und Sicherheitsexperten, nicht nur ihre Abwehrmaßnahmen zu verstärken, sondern auch die Dynamik und Taktiken der RaaS-Anbieter genau zu verstehen. In dieser ständig verändernden Ransomware-Landschaft ist es entscheidend, dass Unternehmen und Organisationen ihre Sicherheitsstrategien anpassen, um den sich entwickelnden Taktiken der Angreifer einen Schritt voraus zu sein.