Ransomware as a Service

Florierender Schwarzmarkt: Ransomware als Geschäftsmodell

Im Kommentar beschreibt Christian Vogt, Senior Regional Director Germany bei dem Sicherheitsanbieter Fortinet, warum Ransomware as a Service inzwischen ein florierendes Geschäft auf dem Schwarzmarkt ist.

Christian Vogt, Senior Regional Director Germany bei Fortinet

Christian Vogt, Senior Regional Director Germany bei dem Sicherheitsanbieter Fortinet

Angesichts der Beliebtheit und des Erfolgs von Ransomware überrascht es nicht, dass mehr Ransomware als jemals zuvor entwickelt wird. Die im vergangenen Jahr durch Ransomware-Angriffe entstandenen Kosten haben die Milliarden-Dollar-Grenze erreicht. Der Vormarsch der Schadsoftware kann auch der wachsenden Verfügbarkeit von Ransomware as a Service (RaaS) zuzuschreiben sein. Es werden bereits benutzerfreundliche Frontends entwickelt und Anzeigen in Darknet-Foren für Ransomware-Produkte gepostet.

Dieser Service verspricht Neulingen in der Welt der Cyber-Kriminalität, dass sie Geld mit Cyber-Erpressung verdienen können, ohne ihre eigene Malware entwickeln zu müssen. Jedes Angebot umfasst auch irgendein Gimmick, um das Produkt attraktiver zu machen. Im Folgenden wird ein Einblick in das Ransomware-as-a-Service-Angebot in Hackerforen und im Darknet gegeben:

Hostman-Ransomware (Basispaket für 9,95 US-Dollar/Premiumpaket für 49,95 US-Dollar): Diese Anzeige behauptet, dass das RaaS-Angebot neben der Dateiverschlüsselung auch über eine Wurmfunktion verfügt. Ransomware mit solch einer Funktion ist gefährlicher, da sie mehr Benutzer infizieren kann. Desweiteren können das geforderte Lösegeld, die Bitcoin-Adresse und andere Funktionen personalisiert werden.

Flux-Ransomware (Build für 45 US-Dollar/Quellcode für 150 US-Dollar): Dieses Angebot bewirbt die Offline-Verschlüsselung, die keine Aktivität im Netzwerk generiert und so weniger verdächtig erscheint. Der Nachteil ist jedoch, dass die Opfer, die mit der Flux-Ransom­ware infiziert werden, sehr wahrscheinlich dasselbe Entschlüsselungsprogramm oder denselben privaten Entschlüsselungscode untereinander austauschen können, was wiederum den möglichen Profit verringert.

Ransomware-Mitgliedernetzwerk (kostenfrei): Profit: 25/75-Aufteilung, wobei 25 Prozent an den Entwickler und 75 Prozent an den Benutzer gehen. Für mehr als 100.000 Installationen pro Monat beträgt die Gewinnaufteilung 15/85, d. h. 15 Prozent des Lösegelds gehen an den Entwickler, 85 Prozent an den Benutzer. Die Entwickler suchen nach Partnern, die Erfahrung in der Verteilung von Malware haben.

Ransomware ähnlich wie Locky (kostenfrei): Profit: 20/80-Aufteilung, 20 Prozent des Lösegelds für den Entwickler, 80 Prozent für den Benutzer. Diese funktionstüchtige Ransomware verwendet eine ähnliche Verschlüsselung wie Locky. Sie nutzt sowohl RSA- als auch AES-Algorithmen und benötigt einen Internet-Anschluss, um den öffentlichen RSA-Schlüssel auf einem C&C-Server abzurufen. Bis jetzt kann diese Art der Verschlüsselung nicht kostenlos wieder entschlüsselt werden.

Es mag bereits äußerst lukrativ sein, eine Einmalzahlung für einen erfolgreichen Ransomware-Angriff zu erhalten, aber dieser neue Franchise-Ansatz ist auf die langfristige Gewinnmaximierung ausgelegt. Außerdem hilft die Nutzung von anonymer, nicht nachverfolgbarer Kryptowährung den Entwicklern von Ransomware: Sie verlangen keine Vorauszahlungen, kommen aber bestimmt gut weg, da sie Gewinnbeteiligung von einer Armee krimineller Unternehmer erhalten.

Dies ist ein Artikel aus unserer Print-Ausgabe 9/2017. Bestellen Sie ein kostenfreies Probe-Abo.

Mit der steigenden Zahl an Entwicklern, die Ransomware as a Service anbieten, stehen Cyber-Kriminellen mehr als genug Optionen zur Verfügung, Lösegeld zu erpressen. Um dieses Problem anzugehen und in der gesamten verteilten Umgebung effizient reagieren zu können, müssen Sicherheitslösungen Bedrohungsinformationen austauschen. Das gilt insbesondere für die schnell wachsenden Netzwerke. Unternehmen sollten daher mit Sicherheitsanbietern arbeiten, die die Entwicklungen von Ransomware stets beobachten und Informationen und Lösungen durch Updates und Berichte zur Verfügung stellen, sobald sie verfügbar sind.

Bildquelle: Fortinet

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok