Bericht: Ransomware-as-a-Service ist eine „selbsttragende Industrie“
Veröffentlicht: 2022-06-24Ein neuer Bericht hat die Feinheiten des Ransomware-Ökosystems des Internets aufgedeckt und kommt zu dem Schluss, dass Akteure, die mit Ransomware-Gruppen zusammenarbeiten, mehr Aufmerksamkeit benötigen, als sie derzeit erhalten.
Der Bericht beschreibt, wie Bedrohungsakteure eine Vielzahl von Erpressungstechniken – oft im Tandem – einsetzen, um Unternehmen zu Verhandlungen zu zwingen und letztendlich Gebühren zu zahlen, um ihre Daten zu schützen und/oder abzurufen.
Durch das Verständnis der Angriffsvektoren, die am häufigsten von Ransomware-Gruppen verwendet werden, können Unternehmen Maßnahmen ergreifen, um sich selbst zu schützen. Passwort-Manager sind beispielsweise eine Möglichkeit, um sicherzustellen, dass die Mitarbeiter Ihres Unternehmens mit schwachen Anmeldeinformationen keinen einfachen Einstieg bieten.
Ransomware-as-a-Service boomt
Tenables Bericht erklärt, dass ein Hauptgrund für den jüngsten Ransomware-Boom „das Aufkommen von Ransomware-as-a-Service (RaaS)“ ist.
RaaS ist im Wesentlichen ein Servicemodell, genau wie Software-as-a-Service. Ransomware-Gruppen stellen die Software her, aber am Ende brechen andere Akteure in Systeme ein und setzen sie ein.
Früher waren es die Ransomware-Gruppen selbst, die jede Aktion im Prozess durchführten, aber jetzt ist das System unendlich komplexer und es gibt verschiedene Phasen, in denen kleinere Akteure Geld verdienen können.
Das Ransomware-Ökosystem erklärt
Tenable erklärt, dass das Ransomware-Ökosystem nicht nur aus Ransomware-Gruppen besteht. Ransomware-Gruppen sind die Schöpfer und Eigentümer des „Produkts“ und erhalten ihrerseits viel Aufmerksamkeit, aber insgesamt identifiziert das Unternehmen drei Haupt-„Rollen“, die bei den meisten Ransomware-Angriffen eine Rolle spielen: IABs, Affiliates und Ransomware-Gruppen.
Initial Access Brokers (IABs) sind eine „spezialisierte Gruppe von Cyberkriminellen, die dafür verantwortlich sind, sich auf verschiedene Weise Zugang zu Organisationen zu verschaffen“.
Anstatt ihren ungerechtfertigten Zugriff zu nutzen, um ihren eigenen Ransomware-Angriff zu orchestrieren, erklären die IABs, „beharren in den Netzwerken der Opferorganisationen auf Beständigkeit und verkaufen sie an andere Personen oder Gruppen innerhalb des Ökosystems der Cyberkriminalität“.
Der Markt für IABs hatte 2019 einen Wert von 1,6 Millionen US-Dollar, wuchs aber bis 2021 auf 7,1 Millionen US-Dollar (Group-IB). Dies ist eine viel geringere Zahl als das Geld, das an anderer Stelle in der Ransomware-Kette verdient wird, einfach weil das Risiko viel geringer ist.
Der Markt für Initial Access Brokers (IABs) war 2019 1,6 Millionen US-Dollar wert, wuchs aber 2021 auf 7,1 Millionen US-Dollar – Group-IB
Nachdem IABs eingebrochen sind, werden Akteure, die als Affiliates bekannt sind, den Zugang, den sie geschürft haben, für irgendwo zwischen ein paar hundert und ein paar tausend Dollar kaufen. Alternativ verwenden sie Angriffsvektoren wie Brute-Forcing-Remote-Desktop-Protokollsysteme, Phishing, Systemschwachstellen oder gestohlene Anmeldeinformationen, um in Unternehmensserver einzudringen.
Dem Bericht zufolge arbeiten diese Akteure ähnlich wie Affiliate-Vermarkter, die Hinweise in normalen, legitimen Geschäftspraktiken finden – sie infizieren das System und lassen die Ransomware-Gruppe „das Geschäft abschließen“ und den Verhandlungsprozess in Gang bringen.
Die Affiliates werden oft selbst von Ransomware-Gruppen angeleitet und helfen dabei, ihre Kreationen zu testen und zu nutzen.
Wie „doppelte“, „dreifache“ und „vierfache“ Erpressung Unternehmen zahlen lässt
Herkömmlicherweise verschlüsselten Ransomware-Gruppen die Dateien eines Unternehmens und ließen sie dafür bezahlen, sie zu entschlüsseln. Heutzutage verfügen die meisten Unternehmen jedoch über sichere Dateisicherungen, sodass diese Methode zunehmend ineffektiv wurde.
In den letzten Jahren hat sich die „doppelte Erpressung“ jedoch für viele Ransomware-Gruppen zum Standard entwickelt. Dies besteht aus dem „Exfiltrieren von Daten von Opferorganisationen und dem Veröffentlichen von Teasern“ in Dark-Web-Foren und Leak-Websites. Unternehmen, die Angst haben, dass private und vertrauliche Informationen online durchgesickert sind, zahlen anschließend.
Im Jahr 2021 sicherte sich REvil eine Zahlung in Höhe von 11 Millionen US -Dollar von JBS, obwohl das System des Unternehmens zum Zeitpunkt der Zahlung „voll funktionsfähig“ war.
Diese Taktik ist jedoch mittlerweile mehrere Jahre alt, und laut Tenable werden bei „dreifachen“ oder sogar „vierfachen“ Erpressungsversuchen andere Techniken gemeinsam eingesetzt.
Zu den Methoden gehören die Kontaktaufnahme mit Kunden, auf die sich die gestohlenen Daten beziehen, die Drohung, die gestohlenen Daten an den Meistbietenden zu verkaufen, und die Warnung der Opfer, sich nicht an die Strafverfolgungsbehörden zu wenden.
Fokus über Ransomware-Gruppen hinaus
Der Bericht schlägt vor, dass der entscheidenden Rolle, die IABs und verbundene Unternehmen innerhalb des Ransomware-Ökosystems spielen, mehr Aufmerksamkeit geschenkt werden sollte.
Ransomware-Gruppen sind im Wesentlichen unbeständig. Je erfolgreicher sie sind, desto mehr Affiliates wollen sich ihnen zuwenden und ihre Software verwenden, aber dann wiederum versuchen auch die Strafverfolgungsbehörden, sie aufzuspüren.
Viele der „berüchtigten“ Ransomware-Gruppen, die heute Schlagzeilen machen, wie die Conti -Gruppe, sind Nachfolger anderer Ransomware-Gruppen. Wenn Sie eine Untersuchung gegen eine Gruppe eingeleitet haben, existiert sie in einem Jahr möglicherweise noch nicht einmal. IABs und verbundene Unternehmen werden dies jedoch tun.
Was können Unternehmen tun, um sich zu schützen?
Tenable bietet Unternehmen eine Reihe verschiedener Gegenmaßnahmen, um sicherzustellen, dass sie nicht das nächste Opfer eines erpresserischen Ransomware-Angriffs sind. Dazu gehören die Verwendung von Multi-Faktor-Authentifizierung, die kontinuierliche Überprüfung von Benutzerberechtigungen für Konten, das Patchen anfälliger Assets in Ihrem Netzwerk, das Härten von Remote-Desktop-Protokollen und die Verwendung geeigneter Antivirensoftware .
Die Liste enthält auch die Stärkung der Passwörter Ihrer Mitarbeiter und weist darauf hin, dass „Passwortanforderungen lange und nicht aus dem Wörterbuch stammende Wörter umfassen“. Eine Möglichkeit, um sicherzustellen, dass Passwörter lang genug sind, ohne sich daran erinnern zu müssen, ist die Verwendung eines Passwort-Managers , der es Ihren Mitarbeitern auch ermöglicht, eindeutige Passwörter für alle Konten zu erstellen, die sie besitzen, anstatt sie wiederzuverwenden.
Da der RaaS-Markt – und die daran beteiligten böswilligen Gruppen – keine Anzeichen einer Verlangsamung zeigen, war es noch nie so wichtig, die größtmöglichen Vorsichtsmaßnahmen im Umgang mit Ihren Daten zu treffen.