RaaS
15.06.2021, 15:42 Uhr
REvil: Einblicke in Ransomware-as-a-Service
Wer mit cyberkriminellen Absichten Firmen oder Private hacken möchte, um etwa mit Hilfe von Ransomware Geld zu erpressen, muss kein technisches Know-how mehr haben. Denn Ransomware lässt sich auch als Service beziehen.
Ransomware kann mittlerweile als Service gemietet werden, wie das Beispiel REvil zeigt
(Quelle: Pete Linforth, Thedigitalartist/Pixabay)
Attacken mit Verschlüsselungstrojanern, so genannter Ransomware, gehören schon länger zum Cybercrime-Alltag. Sie zählen auch zu den Vorfällen mit dem grössten Schadenspotential, da die Cyberkriminellen verschlüsselte Daten selbst gegen Zahlung von Lösegeld (wovor Behörden und IT-Security-Spezialisten abraten) nicht dechiffrieren.
Betroffen sind oft kleine und mittlere Unternehmen (KMU), wie das nationalen Zentrum für Cybersicherheit (NCSC) im neusten Halbjahresbericht betont (Computerworld berichtete). So sind in der zweiten Jahreshälfte 2020 beim NCSC 34 Meldungen zu Ransomware aus verschiedenen Wirtschaftssektoren in der Schweiz eingegangen. Rund 80 Prozent der Meldungen betrafen KMU.
Die Anzahl Attacken könnte zunehmen, denn mittlerweile bieten Cyberkriminelle Ransomware auch als Dienstleistung an. Jüngstes Beispiel ist die Ransomware-as-a-Service (RaaS) REvil, welche auch in der Schweiz virulent ist. Immerhin kommt REvil in der Malware-Top-ten von Check Point im Mai auf Platz neun.
Sophos-Forscher analysieren REvil
Die Forscher des Cybersecurity-Spezialisten Sophos haben sich eingehend mit den Taktiken, Techniken und Verfahren von REvil-Angreifern beschäftigt und dies im Bericht «Relentless REvil, Revealed: RaaS As Variable As the Criminals Who Use It» dargelegt. Sie gewähren dabei einen Blick unter die Haube der REvil-Ransomware, von ihrer Zusammensetzung bis hin zu ihrem Verhalten bei der Ausführung.
REvil, auch bekannt als Sodinokibi, ist demnach ein ausgereiftes und weit verbreitetes RaaS-Angebot. Kriminelle «Kunden» können die Ransomware von den Entwicklern leasen und mit eigenen Parametern versehen auf den Computern ihrer Opfer platzieren. Der jeweilige Ansatz und die Auswirkungen eines Angriffs mit REvil-Ransomware sind somit sehr variabel und hängen von den Tools, Verhaltensweisen, Ressourcen und Fähigkeiten des Angreifers ab, der die Malware mietet.
«Für eine gewöhnliche, alltägliche Ransomware, die es erst seit ein paar Jahren gibt, schafft es REvil/Sodinokibi bereits, beträchtlichen Schaden anzurichten und Lösegeldzahlungen in Höhe von mehreren Millionen Dollar zu fordern», berichtet Andrew Brandt, Principal Researcher bei Sophos. «Der Erfolg von REvil/Sodinokibi könnte zum Teil auf die Tatsache zurückzuführen sein, dass als Ransomware-as-a-Service-Angebot jeder Angriff anders ist. Das kann es Verteidigern schwer machen, die Warnzeichen zu erkennen, auf die sie achten müssen», führt er weiter aus.