Was ist Ransomware-as-a-Service (RaaS)?
Was ist Ransomware-as-a-Service (RaaS)?
Ransomware-as-a-Service (RaaS) ist ein cyberkriminelles Geschäftsmodell. Dabei stellen Bedrohungsakteure Ransomware-Tools und -Infrastruktur für andere Personen oder Gruppen, die sogenannten Affiliates, bereit. Diese „Partner“ verwenden dann den Code, um ihre eigenen Ransomware-Angriffe zu starten. In der Regel wird RaaS über einen Subscription-basierten Service angeboten, ähnlich wie eine legitime SaaS-Plattform (Software-as-a-Service). RaaS ermöglicht es Angreifern mit begrenztem technischen Fachwissen, Ransomware-Kampagnen schnell und einfach zu starten, um so Gewinne zu erzielen.
Wie unterscheidet sich RaaS von herkömmlicher Ransomware?
Im Gegensatz zu herkömmlicher Ransomware umfasst RaaS vorkonfigurierte Softwarepakete, über die ein Ransomware-Angriff initiiert werden kann. Diese Pakete werden in Form von Subscriptions angeboten. Darüber erhalten die Programmpartner auch aktualisierte Versionen der Ransomware. Der Übergang zu einem Service-Modell hat Ransomware transformiert: Ransomware-Entwickler konzentrieren sich auf Funktionen. Ihre Kunden, d. h. die Affiliates, übernehmen den schwierigeren Part: Sie verschaffen sich Zugriff und stellen die Malware bereit. Diese Bedrohungsakteure verfügen über umfangreiche Fachkenntnisse und können eine Vielzahl von Angriffsarten und Software einsetzen.
Während die Durchführung eines RaaS-Angriffs nur wenig technisches Know-how seitens der Affiliates erfordert, sind die heute verfügbaren Ransomware-Tools zunehmend komplex. Viele Tools werden von Initial Access Brokers (IABs), die ihre Methoden und Techniken jahrelang optimiert haben, entwickelt und eingesetzt. Im Dark Web kann mittlerweile jeder, der über eine Kreditkarte verfügt, Ransomware erwerben.
RaaS unterscheidet sich unter anderem in folgenden Aspekten von herkömmlicher Ransomware:
1. Tätermodell
Bei herkömmlichen Ransomware-Angriffen entwickeln und nutzen die Angreifer selbst Ransomware, um Systeme zu infizieren und Lösegelder zu verlangen. Das RaaS-Modell hingegen ermöglicht es hochqualifizierten Cyberkriminellen, ihre Tools an weniger qualifizierte, finanzkräftige Akteure zu verteilen, sodass diese Partner Ransomware-Angriffe durchführen können, ohne die Malware selbst zu entwickeln. Heutzutage ist es für Bedrohungsakteure einfacher und günstiger denn je, Ransomware-Pakete von RaaS-Anbietern zu beziehen und Angriffe zu initiieren. Affiliates tragen lediglich die Kosten zur Durchführung eines erfolgreichen Ransomware-Programms.
2. Zugang
Die Entwicklung, Wartung und Verteilung von Ransomware erfordern technisches Know-how. RaaS erleichtert jedoch den Einstieg in die Cyberkriminalität, da bei diesem Modell vordefinierte, benutzerfreundliche Ransomware-Pakete angeboten werden. Ganz wie bei einem legitimen SaaS-Betrieb stellen einige Anbieter sogar Kundensupport für ihre Affiliates bereit.
3. Verteilung und Reichweite
Die Cyberkriminellen stoßen bei herkömmlichen Ransomware-Angriffen zur Infizierung von Systemen an ihre Grenzen. Durch das RaaS-Modell können sie jedoch mithilfe mehrerer Affiliates ihre Ransomware weiter verbreiten. Dieses verteilte Modell ermöglicht umfassende Angriffskampagnen mit großer Reichweite.
4. Geschäftsmodell mit Umsatzbeteiligung
RaaS-Anbieter werden in der Regel am Umsatz der Affiliates beteiligt und erhalten einen Prozentsatz der Lösegeldzahlungen, die ihre Partner erzielen. Diese Gewinnbeteiligung animiert RaaS-Anbieter, effektivere und perfekt getarnte Ransomware zu entwickeln, um die gemeinsamen Gewinne zu maximieren. Sie können sich voll und ganz der Entwicklung widmen, da ihre Partner die Kampagnen durchführen.
5. Innovation und Varianten
Durch das Affiliate-Konzept steigt die Zahl der Angreifer, die die von den RaaS-Anbietern entwickelte Ransomware nutzen. Und so erhalten die Anbieter auch vermehrt Feedback zur Wirksamkeit der Malware und zu etwaigen Schwachstellen oder Erkennungsproblemen. Genau wie bei einem legitimen Softwareunternehmen führen diese Rückmeldungen zu schnelleren Innovationen und zur Entwicklung neuer, besserer Ransomware-Varianten.
6. Anonymität
RaaS bietet den eigentlichen Ransomware-Anbietern ein gewisses Maß an Anonymität. Denn es sind die Affiliates, die die Malware verbreiten und direkt mit den Opfern interagieren. Dadurch laufen sie als Akteure eher Gefahr, entdeckt zu werden.
Es ist wichtig, über die neuesten Entwicklungen bei RaaS-Varianten auf dem Laufenden zu bleiben und sicherzustellen, dass Ihr Unternehmen über moderne Cybersecurity-Lösungen zur Abwehr dieser Bedrohungen verfügt.
Wie funktioniert Ransomware-as-a-Service?
RaaS-Betreiber entwickeln und warten die Ransomware-Software, verwalten deren Bereitstellungs-Infrastruktur, Verschlüsselungsmechanismen und Zahlungsabwicklung. Affiliates registrieren sich für den Software-Service und erhalten damit Zugang zum Ransomware-Toolkit und dem Control Panel. Im Gegenzug müssen Sie einen Anteil Ihres Gewinns an den Anbieter abtreten. Diese Affiliates verbreiten dann die Ransomware über verschiedene Angriffsmethoden wie Phishing-E-Mails oder Exploit-Kits. Manchmal arbeiten Affiliates auch mit einem Initial Access Broker (IAB) zusammen, um sich unautorisierten Zugriff auf kompromittierte Systeme zu verschaffen. Im Grunde genommen werden alle wichtigen Aspekte eines Ransomware-Angriffs ausgelagert. Die Affiliates müssen den Angriff nur ausführen.
Was ist ein Initial Access Broker (IAB)?
Initial Access Broker (IABs) sind Cyberkriminelle, die Zugriff auf kompromittierte Unternehmensnetzwerke und -daten erlangen und die Zugangsrechte an andere Angreifer verkaufen. IABs sind technisch hochversierte Cyberkriminelle. Häufig haben sie ihre Kompetenzen durch jahrelanges Black-Hat-Hacking erworben. Mit dieser Expertise können sich IABs unbefugten Zugang zu sicheren Netzwerken verschaffen.
Zu den häufigsten Angriffsmethoden eines IAB zählen unter anderem Social Engineering, Phishing-Angriffe, Schwachstellen und Exploits sowie Kontoübernahmen. Sobald die IABs Zugriff haben, besteht der nächste Schritt darin, die erlangten Zugangsrechte im Dark Web anderen Kriminellen anzubieten. Ihre Käufer: Ransomware-Gruppen, die auf kompromittierte Netzwerke und Systeme zugreifen möchten, um ihre Ransomware-Kampagnen auszuführen.
Welche Gruppen stehen bei RAAS-Angriffen hauptsächlich im Visier?
RAAS-Angriffe richten sich in der Regel gegen eine Vielzahl von Opfern, darunter Einzelpersonen, kleine und große Unternehmen, Regierungsorganisationen und andere Einrichtungen mit wertvollen Daten. Cyberkriminelle versuchen, ihre Gewinne zu maximieren, indem sie so viele anfällige Systeme wie möglich infizieren.
So wählen diese Angreifer in der Regel ihre Opfer aus:
- Gezielte Angriffe auf bestimmte Branchen: RaaS-Angreifer konzentrieren sich häufig auf Branchen, in denen die Wahrscheinlichkeit höher ist, dass Opfer Lösegeld zahlen, um wieder auf wichtige Daten oder Systeme zugreifen zu können. Bereiche wie das Gesundheitswesen, Finanzwesen, Behörden und globale Großkonzerne werden häufig ins Visier genommen, da sie höhere Zahlungen leisten können und ihre Daten sensibel sind. RaaS-Affiliates haben möglicherweise Einblicke in bestimmte Branchen oder Zugang zu kompromittierten Netzwerken und richten ihre Angriffe entsprechend aus.
- Geografie: Mitunter konzentrieren sich Angreifer auf der Grundlage verschiedener Faktoren auf bestimmte geographische Regionen. So ist die Konzentration anfälliger Systeme oder wertvoller Daten in bestimmten Regionen möglicherweise höher. In anderen Regionen ist die Cybersecurity-Awareness dagegen vielleicht niedriger und Unternehmen sind weniger auf Angriffe vorbereitet.
- Schwachstellen-Scans: Cyberkriminelle nutzen automatisierte Tools, um das Internet nach Systemen mit Schwachstellen in der Software, ungepatchten Anwendungen oder Fehlkonfigurationen zu durchsuchen. Sie nutzen diese Schwachstellen aus, um Zugriff zu erhalten und Ransomware bereitzustellen.
- Daten von IABs: Auf dem Schwarzmarkt können Cyberkriminelle beispielsweise bei IABs Informationen über potenzielle Opfer erwerben. Diese Daten umfassen etwa E-Mail-Listen, Angaben zu Mitarbeitern oder Informationen über die Schwachstellen der betroffenen Unternehmen.
- Gewinnpotenzial: Angreifer analysieren die Erfolgsaussichten eines Angriffs sowie mit welcher Wahrscheinlichkeit das Opfer das Lösegeld zahlt. Lukrative Ziele mit einer höheren Zahlungsfähigkeit sind für RaaS-Akteure attraktiver.
- Sozioökonomische und politische Faktoren: Mitunter sind Angreifer wirtschaftlich oder politisch motiviert. Diese Angreifer zielen etwa auf Einrichtungen oder Institutionen ab, die wiederum Regierungen oder Unternehmen erheblich treffen könnten. So wurden diese RaaS-Varianten bereits von staatlichen Akteuren genutzt, um Instabilität und Panik zu erzeugen. Beispielsweise wurde die Darkside RaaS-Variante mit einem massiven Cyberangriff auf die Colonial Pipeline in Georgien in Verbindung gebracht. Dieser führte dazu, dass die Versorgung mit Gas und Öl an der Ostküste der USA unterbrochen wurde.
- Vorgeschichte: Unternehmung oder Organisationen, die in der Vergangenheit das Lösegeld gezahlt haben, werden manchmal erneut von den RaaS-Betreibern ins Visier genommen, weil sie davon ausgehen, dass die Opfer auch ein zweites Mal zahlen, um eine Offenlegung des früheren Angriffs zu verhindern.
Was sind die beliebtesten RaaS-Varianten?
Da sich die Bedrohungslandschaft ständig weiterentwickelt, kommen auch immer wieder neue RaaS-Varianten auf. Einige bekannte RaaS-Beispiele sind REvil (Sodinokibi), Darkside, Ryuk und GandCrab. Und die neuen RaaS-Varianten werden häufig noch weiter modifiziert., wie beispielsweise Dharma oder CrySis, von der es viele Varianten gibt, da der Quellcode fortlaufend an mehrere Malware-Entwickler verkauft und von diesen angepasst wird. Im März 2020 wurde eine Quellcode-Sammlung einer Dharma-Variante in russischsprachigen kriminellen Foren für 2.000 US-Dollar über einen Broker zum Verkauf angeboten.
Wie kann Managed Detection and Response dazu beitragen, mein Unternehmen vor RaaS-Angriffen zu schützen?
Da sich die Taktiken und Techniken von Cyberkriminellen ständig weiterentwickeln, ist ein Cybersecurity-as-a-Service-Modell dringend zu empfehlen. So stellen Sie sicher, dass Ihr Unternehmen die neueste Technologie zum Schutz vor Ransomware-Angriffen nutzt. Denn Angreifer setzen auf dasselbe Service-Modell, um Malware zu verteilen. Sollte sich Ihr Unternehmen daher nicht mit derselben Methode vor diesen Angriffen schützen?
Managed Detection and Response (MDR) ist die effektivste Strategie zum Schutz vor Ransomware-as-a-Service-Angriffen. Sie erhalten sofortigen Zugriff auf ein hochkarätiges Security Operations Center (SOC) mit erfahrenen Cybersecurity-Analysten, Datenwissenschaftlern und Threat-Intelligence-Experten. MDR ist ein umfassender Cybersecurity-Service, der von einem Drittanbieter bereitgestellt wird und Unternehmen bei der Abwehr von Ransomware unterstützt.
So kann MDR Sie vor RaaS-Angriffen schützen:
1. Threat Monitoring in Echtzeit
MDR überwacht Ihr Netzwerk und Ihre Endpoints kontinuierlich in Echtzeit auf verdächtige Aktivitäten und potenzielle Hinweise auf Ransomware-Angriffe. Im SOC werden modernste Bedrohungserkennungs-Tools und -Techniken eingesetzt, um ungewöhnliche Muster oder Verhaltensweisen zu identifizieren, die auf Ransomware-Aktivitäten hinweisen.
2. Threat Hunting durch Experten
MDR-Teams bieten umfassende Expertise in der proaktiven Bedrohungssuche. Sie suchen nach Hinweisen zu Ransomware-Aktivitäten, die herkömmliche Sicherheitsmaßnahmen umgangen haben könnten. Hierzu zählt die Analyse von Protokollen, Netzwerkverkehr und anderen Daten, um versteckte Bedrohungen aufzuspüren, bevor sie erhebliche Schäden verursachen.
3. Blitzschnelle Reaktion auf Vorfälle
Im Falle eines Ransomware-Angriffs ist die Reaktionszeit entscheidend. MDR-Anbieter verfügen über erfahrene Incident Response-Teams, die die Situation schnell erfassen, die Verbreitung von Ransomware eindämmen und eine Strategie zur effektiven Beseitigung der Bedrohung von Ihren Systemen erarbeiten können.
4. Analyse des Benutzerverhaltens
RaaS-Angriffe nutzen häufig ausgeklügelte Techniken, um der Erkennung zu entgehen. MDR erkennt schädliches Verhalten mit Hilfe von Verhaltensanalysen und Anomalie-Erkennung, auch wenn die Ransomware neu oder bisher unbekannt ist.
5. Endpoint Security
MDR umfasst modernsten Endpoint-Schutz, der über herkömmliche Virenschutzsoftware hinausgeht. Mit Endpoint-Security-Tools der nächsten Generation erkennen MDR-Services Ransomware und stoppen sie, bevor sie auf Endpoints ausgeführt wird.
6. Austausch von Threat Intelligence
MDR-Anbieter haben Zugriff auf umfangreiche Threat-Intelligence-Quellen und bleiben so auf dem Laufenden über die neuesten Ransomware-Trends und -Taktiken. Damit sind sie in der Lage, neue Bedrohungen proaktiv zu bekämpfen.
7. Patch Management
Mit MDR stellen Sie sicher, dass Ihre Systeme mit den neuesten Sicherheits-Patches und -Updates aktualisiert werden. Veraltete Software kann anfällig für Ransomware-Angriffe sein. Ein ordnungsgemäßes Patch-Management minimiert diese Risiken.
8. Benutzer-Awareness und Training
MDR-Services umfassen häufig Mitarbeiter-Schulungen zu Ransomware-Risiken und Best Practices, damit Mitarbeiter nicht Phishing und anderen Social-Engineering-Techniken zum Opfer fallen, die häufig in Ransomware-Kampagnen zum Einsatz kommen. MDR-Anbieter bieten beispielsweise Phishing-Simulationen an, um so das schwächste Glied bei RaaS-Angriffen zu stärken: Ihre Endbenutzer.
9. Datensicherung und -wiederherstellung
MDR-Anbieter weisen auf regelmäßige Datensicherungen hin und helfen bei der Einrichtung robuster Sicherungs- und Wiederherstellungsprozesse. Im Falle eines erfolgreichen Ransomware-Angriffs können zuverlässige Backups die Auswirkungen minimieren und Lösegeldzahlungen verhindern.
10. Analyse nach einem Vorfall
MDR-Anbieter führen nach einem Ransomware-Angriff gründliche Analysen durch, um Schwachstellen in Ihrer Sicherheitsinfrastruktur zu ermitteln. So verbessern Sie kontinuierlich Ihre Resilienz gegen ähnliche Angriffe in der Zukunft.
Durch die Kombination dieser Elemente verstärkt Managed Detection and Response die Abwehr von RaaS-Angriffen und minimiert erheblich potenzielle Schäden. Managed Detection and Response bietet proaktive und umfassende Cybersecurity und ergänzt herkömmliche Sicherheitsmaßnahmen, sodass Unternehmen Cyberangreifern stets einen Schritt voraus sind.
Sophos über Ransomware-as-a-Service
Bei heutigen Ransomware-as-a-Service-Angriffen werden häufig mehrere komplexe Techniken mit Echtzeit-Hacking kombiniert. Um Ihr Angriffsrisiko zu minimieren, benötigen Sie moderne Cybersecurity-Maßnahmen, mit denen Sie Ihre gesamte Angriffsfläche schützen können. Die Experten von Sophos Managed Detection and Response (MDR) überwachen Kundenumgebungen und erkennen und beseitigen RaaS-Bedrohungen schneller als jeder andere. Unser Team ist im Laufe der Jahre bereits mehreren RaaS-Varianten auf die Spur gekommen. Erfahren Sie mehr darüber in unserem Ransomware Intelligence Center. Natürlich können Sie sich auch jederzeit gerne direkt an unsere Sophos MDR-Experten wenden.
Sophos Ransomware-Report 2024
Wie wahrscheinlich ist es, dass Sie Opfer von Ransomware werden? Wie viele Ihrer Computer wären betroffen? Diese und viele weitere Antworten finden Sie im Sophos Ransomware-Report 2024.

Verwandtes Sicherheitsthema: Was ist Business Email Compromise (BEC)?