Ransomware-as-a-Service (RaaS): Der Full Service für Kriminelle
Heute schon einen Erpressungsversuch gestartet? Falls nein, bietet Ihnen Ransomware-as-a-Service die Möglichkeit, sich ohne Programmierkenntnisse Ihre eigene Ransomware-Attacke zu gönnen. Wie das (theoretisch) geht und was sie gegen solche Angriffe tun können, erfahren Sie in unserem Blogartikel.
Was ist Ransomware?
Als Ransomware wird Schadsoftware bezeichnet, die dazu eingesetzt wird, um Zugriff auf den Computer des Opfers zu ermöglichen. Das Ziel solcher Angriffe ist es, Daten zu verschlüsseln oder die komplette Nutzung des Computers zu sperren, um eine Lösegeldforderung (Lösegeld = ransom) zu stellen. Erst nach Zahlung des Lösegeldes werden die jeweiligen Daten dann wieder entschlüsselt oder der Computer entsperrt – vielleicht: Generell raten wir grundsätzlich davon ab, Lösegeld zu zahlen.
Technische Universität Berlin, Berliner Kammergericht und Landkreisverwaltung Anhalt-Bitterfeld
Zahlreiche Beispiele zeigen, dass die Folgen eines Ransomware-Angriffs massiv sein können: Der Angriff auf die Systeme der Technischen Universität Berlin legte die zentralen IT-Systeme wochenlang lahm. Selbst, wenn eine Lösegeldforderung ausbleibt, kann der Schaden durch Datenabfluss immens sein – so wie beim Angriff auf das Berliner Kammergericht oder der ersten Cyberkatastrophe Deutschlands beim Landkreis Anhalt-Bitterfeld.
Phishing-as-a-Service war nur der Anfang
Bei den genannten Beispielen handelt es sich allerdings um manuell erstellte und vorbereitete Attacken. Wie bereits an anderer Stelle beschrieben, wird es immer schwieriger, Phishing zu erkennen: Künstliche Intelligenz macht Phishing skalierbar. Das künstliche Erzeugen von Glaubwürdigkeit mit Hilfe von KI-basierten Tools ist inzwischen zum Standard geworden. KI-generierte Phishing-E-Mails sind stimmig und überzeugend.
War das KI-basierte Erstellen von Phishing-E-Mails im genannten Artikel noch der Fokus einer wissenschaftlichen Untersuchung, so ist es heute ein umso aktuelleres, alarmierendes und vor allem lebensnäheres Thema: Mit Software wie WormGPT ist das Generieren von Phishing- und anderen Betrugs-E-Mails nun als Service buchbar. So kann jeder Kriminelle überzeugende und strategisch durchdachte Phishing-E-Mails erzeugen – in Sekundenschnelle und in zahlreichen Sprachen.
Chatbots ohne Gewissen
Jede technische Entwicklung hat ihre Schattenseiten. Einzelne Stimmen behaupten sogar, das Internet wäre ein Fehler gewesen. Wie wir bereits gezeigt haben, lässt sich sogar ChatGPT dafür einsetzen, Phishing-E-Mails zu erzeugen, um beispielsweise die Methode des Business Email Compromise (BEC) zu nutzen.
OpenAI (die Firma hinter ChatGPT) bemüht sich, die missbräuchliche Verwendung ihres KI-Chatbots zu verhindern. Doch diese Mühen scheinen umsonst: WormGPT basiert auf dem Sprachmodell GPT-J, das vor zwei Jahren als offene Alternative zu dem damals aktuellen GPT-3 von OpenAI entwickelt wurde.
Laut David Kelley von der IT-Sicherheitsfirma Slashnext wird WormGPT derzeit in den entsprechenden Foren diskutiert und ausdrücklich für Betrugsversuche empfohlen. WormGPT soll dabei mit „Malware-bezogenen Daten“ trainiert worden sein. Interessant beziehungsweise erschreckend ist dann die Aussage, dass es keine „moralische Einschränkungen“ aufweise.
Ist WormGPT also ein ChatGPT ohne Gewissen oder Grenzen? Vielleicht – zumindest aber senken Tools wie WormGPT die Einstiegsschwelle für Kriminelle, und sie vergrößern die Flut an Phishing-Angriffen.
Was ist Ransomware-as-a-Service?
Bei Ransomware-as-a-Service (RaaS) handelt sich um ein Geschäftsmodell, bei dem IT-Dienstleistungen vermietet werden. Ähnlich wie bei Software-as-a-Service (SaaS) – beispielsweise Microsoft Office oder anderen mietbaren Software-Diensten – werden diese Dienstleistungen gegen eine monatliche Gebühr vermietet.
Full Service für Kriminelle
Bei den RaaS-Modellen gibt es unterschiedliche Varianten: Die jeweiligen Anbieter können eine monatliche Gebühr verlangen (Abo-Modell) oder einen Prozentsatz der Gewinne ihrer Kunden einziehen (Affiliate-Programme). Ebenso sind Mischungen der Modelle oder die Zahlung einer einmaligen Gebühr möglich. Finanzielle Transaktionen nutzen meist Kryptowährungen wie Bitcoin.
Es wird deutlich, dass die Nutzer von RaaS-Angeboten über keinerlei technische Expertise verfügen müssen: Sie nutzen einfach die Infrastruktur des jeweiligen Anbieters, der auch die komplette Durchführung der Angriffe inklusive der Abwicklung von Lösegeldzahlungen übernimmt. Aber auch weitere Leistungen wie technischer Support, Nutzerforen oder Unterstützung bei Lösegeldverhandlungen werden häufig angeboten.
Um Schadsoftware auf die Computer der Opfer zu bringen, können beispielsweise verseuchte Anhänge von E-Mails zum Einsatz kommen. Sobald die Malware erfolgreich einen Computer infiziert hat und Daten verschlüsselt oder der Computer gesperrt wurde, kann der Erpressungsversuch starten.
Mit Ransomware-as-a-Service kann sich also jeder Mensch mit ausreichend krimineller Energie seinen eigenen Cyberangriff leisten – einfach den gewünschten Dienst im Darknet mieten.
Wie können Sie sich vor Ransomware schützen?
Prüfen Sie die Absenderreputation
Das Auswerten der Absenderreputation von E-Mails bietet eine wirkungsvolle Möglichkeit, Phishing-Angriffe zu verhindern und so Erpressungsversuche abzuwehren. Schadcode kann so gar nicht erst auf Ihren Computer gelangen.
Anhänge und URLs analysieren
NoSpamProxy ermöglicht es, Anhänge im Word-, Excel- oder PDF-Format regelbasiert und automatisch in ungefährliche PDF-Dateien umzuwandeln. Dabei wird möglicherweise vorhandener Schadcode eliminiert und dem Empfänger so ein ungefährlicher Anhang zugestellt. Viele weitere Formate wie ausführbare Dateien können erkannt werden, so dass der Anhang blockiert oder die komplette E-Mail abgewiesen wird.
Der URL Safeguard schreibt URLs in eingehenden E-Mails um, damit zum Zeitpunkt des Anklickens durch den Nutzer erneut geprüft wird, ob für diese URL negative Einschätzungen vorliegen. Das erhöht die Sicherheit, denn manche Angreifer verändern das Ziel von URLs einige Stunden nach dem Versand. Der URL Safeguard kann individuell konfiguriert und beispielsweise nur für unbekannte Kommunikationspartner aktiviert werden.
Nutzen Sie 32Guards
32Guards in NoSpamProxy sammelt und analysiert Metadaten zu E-Mails und Anhängen. Die Daten der zahlreichen verteilten NoSpamProxy-Instanzen werden zentral gebündelt und erkennen so verdächtige Trends frühzeitig.
Da 32Guards nicht die ganze E-Mail, sondern nur die Metadaten betrachtet, ist er gegen KI-basiertes Phishing wirksam: Phishing-Links und die zu Grunde liegenden Muster sowie gefährliche Anhänge erkennt er zielsicher.
Sie haben NoSpamProxy noch nicht im Einsatz?
Mit NoSpamProxy schützen Sie Ihr Unternehmen zuverlässig vor Cyberangriffen. Fordern Sie jetzt Ihre kostenfreie Testversion an!
