Ransomware-as-a-Service (RaaS) gehört zu den heimlichsten Cyberangriffen und ist bekannt dafür, einen guten Ruf unter „Crackern“ zu haben. Die Zahl der Ransomware-Angriffe steigt seit ein paar Jahren kontinuierlich an. In Anbetracht der Gelegenheit, die sich durch die Pandemie bietet, sind opportunistische Cyberkriminelle mehr als je zuvor vom leichten Geld angezogen. Aus diesem Grund ist die Zahl der Ransomware-Angriffe weltweit um 40 % gestiegen und erreichte im dritten Quartal 2020 199,7 Millionen Fälle. In den Vereinigten Staaten betrug der Anstieg verheerende 139 % und erreichte im gleichen Zeitraum 145,2 Millionen Fälle.

Was ist Ransomware-as-a-Service?

RaaS ist eine Verschiebung der Ransomware-Angriffe von linear zu multidimensional. Bei einem RaaS-Modell können kriminelle Partner die Dienste eines Ransomware-Kits abonnieren, indem sie einen bestimmten Prozentsatz jeder erfolgreichen Lösegeldzahlung an die Eigentümer des Kits zahlen.

Das Modell basiert auf dem Geschäftsmodell, das Softwareunternehmen häufig verwenden, wenn sie Software as a Service (SaaS) anbieten.

Warum ist RaaS eine größere Bedrohung?

RaaS stellt eine weitaus größere Bedrohung dar als ein linearer Ransomware-Angriff, da es auch von ungeschulten Kriminellen erfolgreich eingesetzt werden kann. In der Vergangenheit waren technische Kenntnisse erforderlich, um einen Cyberangriff zu starten, doch heute brauchen Cyberkriminelle nur ein Abonnement zu erwerben, fertige Tools zu verwenden und einen Geldbetrag zu zahlen, um bösartige Angriffe auszuführen. Wenn eine solch bedrohliche Einrichtung in die Hände von gierigen Kriminellen fällt, können sie ohne Erfahrung ausgeklügelte Angriffe durchführen.

Wie schädlich kann RaaS sein?

Cyberangriffe, an denen RaaS beteiligt sind, sind in der Regel sehr teuer. Die durchschnittliche Lösegeldforderung ist seit Q3 2019 um 33 % auf 111.605 US-Dollar gestiegen. Einige der RaaS-Anbieter verdienten zudem bis zu 80 % jeder Lösegeldzahlung, was bedeutet, dass die Angreifer hohe Lösegeldzahlungen verlangten, damit sich ihre 20 % lohnen.

Wie funktioniert RaaS?

Das RaaS-Modell erfordert einen geschickt ausgearbeiteten Ransomware-Code, der von vertrauenswürdigen Entwicklern entwickelt wurde, und eine Vielzahl von Partnern oder Händlern, die bereit sind, das Abonnement zu kaufen. Der Ransomware-Code muss vertrauenswürdig sein, damit er in die Zielumgebung eindringen kann. Er ist in der Regel für die Infrastruktur mehrerer Endbenutzer gut geeignet.

Eine Lizenz wird dann an mehrere Partner für die Verbreitung des bösartigen Codes ausgegeben. Das RaaS-Abonnement wird entweder mit einem einmaligen oder einem monatlichen Abonnement angeboten.
Ein durchschnittliches RaaS-Kit kann zwischen 40 Dollar/Monat und mehreren Tausend Dollar kosten, was zu lukrativeren Gewinnen führt, da die durchschnittliche Lösegeldforderung im dritten Quartal 2020 234.000 Dollar betrug. Diese durchschnittliche Ransomware-Zahlung stieg im Jahr 2021 um 82 % auf 570.000 US-Dollar.

RaaS stellt seinen Partnern auch unterstützende Dokumente zur Verfügung, die Anleitungen zur Durchführung von Ransomware-Angriffen enthalten. Fortgeschrittene RaaS-Modelle bieten auch Dashboards zur Überwachung des Angriffsstatus jeder Ransomware-Infektion.

Angriffsablauf bei RaaS-Infektionen

Die meisten Cyberangriffe nutzen den Vektor der Phishing-Angriffe. Diese Methode wird eingesetzt, um Opfer zur Weitergabe sensibler Informationen zu verleiten, indem sie sich z.B. als eine Behörde ausgeben. Dazu gehören gefälschte Anmeldeseiten, Phishing-E-Mails und Identitätsdiebstahl bei seriösen Organisationen wie Banken oder der Weltgesundheitsorganisation. Durch Phishing-Angriffe können Anmeldedaten und Bankinformationen gestohlen werden, und es kann auch Malware über bösartige Anhänge oder Links in scheinbar harmlosen E-Mails verbreitet werden.

Wenn ein RaaS-Opfer auf einen Link oder eine bösartige Datei im E-Mail-Anhang klickt, wird es entweder auf eine Exploit-Site umgeleitet oder es wird eine Ransomware heruntergeladen und auf seinem System ausgeführt. Die Phishing-E-Mails verwenden beliebte Themen wie Rechnungen, Kontosperrungen oder neuerdings COVID-19.

Sobald die Ransomware auf dem System ausgeführt wird, sucht sie nach sensiblen Dateien und beginnt sofort, diese zu verschlüsseln. Anschließend fügt sie eine Erweiterung an die Namen aller verschlüsselten Dateien an und löscht alle Schattenkopien und Backups vom System. Wenn die Dateien nicht mehr wiederhergestellt werden können, hinterlässt er eine Lösegeldforderung als Desktop-Hintergrund, die Zahlungs- und Kontaktinformationen für die Zahlung des Lösegelds enthält.

In den meisten Fällen drohen die Partner mit der Online-Veröffentlichung von Daten für den Fall, dass das Opfer den Lösegeldbetrag nicht zahlt.

Wie hilft X-PHY^® SSD beim Schutz vor RaaS

Die X-PHY^® SSD hat ein umfangreiches Profil, das Ransomware-Angriffe vereitelt. Sie wurde gegen viele bekannte Ransomware getestet und funktioniert garantiert sowohl gegen unbekannte Bedrohungen als auch gegen neue Varianten bekannter Bedrohungen. Die X-PHY^® SSD wurde sowohl gegen Hello Kitty Ransomware wie auch gegen die leistungsstarke und bekannte WannaCry-Ransomware getestet, die 2017 die Welt im Sturm eroberte. X-PHY^® SSD kann also Ransomware-Angriffe vereiteln, egal wie kompliziert ihr Code ist. In einem anderen Fall wurde X-PHY^® SSD erfolgreich gegen die Netwalker-Ransomware sowie die Lockbit-Ransomware-Variante getestet, die Accenture angegriffen hat.

X-PHY^® verfügt über ein eingebautes Erkennungssystem, wenn eine bösartige Datei auf einem System ausgeführt wird. Es verhindert die Verschlüsselung oder den Diebstahl von Daten um jeden Preis. Sobald eine Bedrohung erkannt wird, blockiert X-PHY^® SSD die Bedrohung sofort. Es verschlüsselt den Inhalt und sperrt das Gerät. Eine Benachrichtigung wird an den Benutzer gesendet, um ihn über den Angriff zu informieren.

Wie man den Ransomware-Schutz einrichtet

Um sich vor einem Ransomware-Angriff zu schützen, muss in der Konfiguration des X-PHY®-Tools die Ransomware-Schutzfunktion sowie die E-Mail-Benachrichtigung aktiviert werden.

Nach der Ausführung einer Ransomware-Datei wird die Ransomware erkannt und das X-PHY®-Laufwerk gesperrt, das Gerät wird sofort heruntergefahren, um die Ausführung der Ransomware zu stoppen.

Um X-PHY^® zu entsperren, muss der Benutzer die verbundene Zwei Faktoren-Authentifizierung verwenden, andernfalls bleibt die X-PHY^® SSD gesperrt. Nach der Entsperrung hat X-PHY^® alle Ereignisse im Ereignisprotokoll aufgezeichnet, und der Benutzer kann nun ganz normal auf Daten zugreifen.

Fazit

Mit der zunehmenden Entwicklung der Cyberkriminalität werden sich wahrscheinlich weitere lukrative Modelle wie RaaS entwickeln. Unternehmen müssen den Cyberkriminellen einen Schritt voraus sein, damit sie ihre Geschäfte führen können, ohne Opfer von Cyberangriffen zu werden. Es sind weitere technologische Fortschritte im Gange, und die vorhandenen wie die X-PHY^® SSD müssen zum Schutz von Unternehmen, ihren Daten, ihrer Vertraulichkeit und Integrität eingesetzt werden. Daher werden Tools wie X-PHY^® SSD schnell in die Sicherheitsmaßnahmen aller wichtigen Organisationen aufgenommen. X-PHY® SSD hat eine vielversprechende Zukunft als wichtiger Bestandteil von Organisationen, die sich für Cybersicherheit einsetzen.