Geschäftsmodell Erpressung

Microsoft schildert die Weiterentwicklung des Geschäftsmodells Erpressung: So wie viele Branchen aus Effizienzgründen auf Gigworker umgestiegen sind, vermieten oder verkaufen Cyberkriminelle ihre Ransomware-Tools gegen einen Teil des Gewinns, anstatt die Angriffe selbst auszuführen.

Die Ransomware-as-a-Service-Wirtschaft ermöglicht es Cyberkriminellen, den Zugang zu Ransomware-Nutzlasten und Datenlecks sowie die Zahlungsinfrastruktur zu erwerben. Ransomware-Banden sind in Wirklichkeit RaaS-Programme wie Conti oder REvil, die von vielen verschiedenen Akteuren genutzt werden, die zwischen RaaS-Programmen und Nutzlasten wechseln.

RaaS senkt die Einstiegshürde und verschleiert die Identität der Angreifer, die hinter den Lösegeldforderungen stehen. Einige Programme haben mehr als 50 „Partner“, wie sie die Nutzer ihres Dienstes bezeichnen, mit unterschiedlichen Tools, Techniken und Zielen. So wie jeder, der ein Auto hat, für einen Fahrdienst wie Lyft oder Uber fahren kann, kann auch jeder, der über einen Laptop und eine Kreditkarte verfügt und bereit ist, im Dark Web nach Penetrationstest-Tools oder gebrauchsfertiger Malware zu suchen, an dieser Wirtschaft teilnehmen.

Diese Industrialisierung der Internetkriminalität hat spezialisierte Rollen hervorgebracht, wie z. B. Zugangsvermittler, die den Zugang zu Netzwerken verkaufen. An einer einzigen Kompromittierung sind oft mehrere Cyberkriminelle in verschiedenen Stadien des Eindringens beteiligt. RaaS-Kits sind im Dark Web leicht zu finden und werden auf die gleiche Weise beworben wie Waren im Internet.

Ein RaaS-Kit kann Kundendienstunterstützung, gebündelte Angebote, Nutzerbewertungen, Foren und andere Funktionen umfassen. Cyberkriminelle können einen festen Preis für ein RaaS-Kit zahlen, während andere Gruppen, die RaaS im Rahmen des Partnerschaftsmodells verkaufen, einen Prozentsatz des Gewinns erhalten.

Bei Ransomware-Angriffen werden Entscheidungen auf der Grundlage von Netzwerkkonfigurationen getroffen, die sich bei jedem Opfer unterscheiden, auch wenn die Ransomware-Nutzlast dieselbe ist. Ransomware bildet den Höhepunkt eines Angriffs, der auch die Exfiltration von Daten und andere Auswirkungen haben kann. Da die Wirtschaft der Cyberkriminellen eng miteinander verbunden ist, können scheinbar unzusammenhängende Angriffe aufeinander aufbauen. Infostealer-Malware, die Passwörter und Cookies stiehlt, wird mit weniger Strenge behandelt, aber Cyberkriminelle verkaufen diese Passwörter, um andere Angriffe zu ermöglichen.

Diese Angriffe folgen einem Schema, bei dem der erste Zugriff über eine Malware-Infektion oder das Ausnutzen einer Schwachstelle erfolgt und anschließend Anmeldedaten gestohlen werden, um die Privilegien zu erhöhen und sich weiterzuentwickeln. Durch die Industrialisierung können Ransomware-Angriffe auch von Angreifern durchgeführt werden, die über keine ausgefeilten oder fortgeschrittenen Kenntnisse verfügen. Seit der Abschaltung von Conti haben wir Verschiebungen in der Ransomware-Landschaft beobachtet. Einige Partner, die Conti einsetzten, wechselten zu Payloads aus etablierten RaaS-Ökosystemen wie LockBit und Hive, während andere gleichzeitig Payloads aus mehreren RaaS-Ökosystemen einsetzen.

Neue RaaS wie QuantumLocker und Black Basta füllen das Vakuum, das durch Contis Stilllegung entstanden ist. Da sich die meisten Berichte über Ransomware auf die Nutzlast und nicht auf die Akteure konzentrieren, wird dieser Wechsel der Nutzlast wahrscheinlich Regierungen, Strafverfolgungsbehörden, Medien, Sicherheitsforscher und Verteidiger verwirren, wer hinter den Angriffen steckt.

Die Berichterstattung über Ransomware mag wie ein endloses Skalierungsproblem erscheinen; in Wirklichkeit gibt es jedoch nur eine begrenzte Anzahl von Akteuren, die eine Reihe von Techniken einsetzen.

Empfehlungen:

Erstellen Sie eine Anmeldeinformations-Hygiene: Entwickeln Sie eine logische Netzwerksegmentierung auf der Grundlage von Berechtigungen, die zusammen mit der Netzwerksegmentierung implementiert werden kann, um laterale Bewegungen einzuschränken.

Überprüfen Sie die Offenlegung von Anmeldeinformationen: Die Überprüfung der Offenlegung von Anmeldeinformationen ist entscheidend für die Verhinderung von Ransomware-Angriffen und Cyberkriminalität im Allgemeinen. IT-Sicherheitsteams und SOCs können zusammenarbeiten, um die administrativen Berechtigungen zu reduzieren und zu verstehen, in welchem Umfang ihre Anmeldeinformationen offengelegt werden.

Reduzieren Sie die Angriffsfläche: Legen Sie Regeln zur Reduzierung der Angriffsfläche fest, um gängige Angriffstechniken zu verhindern, die bei Ransomware-Angriffen verwendet werden. Bei der Beobachtung von Angriffen verschiedener mit Ransomware verbundener Aktivitätsgruppen waren Unternehmen mit klar definierten Regeln in der Lage, Angriffe in ihrem Anfangsstadium zu entschärfen und gleichzeitig Aktivitäten über die Tastatur zu verhindern.