[English]Ransomware-Gruppen entwickeln ihre Geschäftsmodelle kontinuierlich weiter und verdingen sich auch als Dienstleister, die ihre Tools gegen Erfolgsbeteiligung anbieten. Eine neue Ransomware-as-a-Service (RaaS)-Gruppe versucht das Geschäft mit Cyber-Erpressung nochmals ein Stückchen zu vereinfachen. Kunden können die Leistungen für einen festen Preis buchen.
Anzeige
Die letzten 12 Monate waren durch erfolgreiche Ransomware-Infektionen in großen Organisationen geprägt. Aus einem aktuellen IBM-Bericht geht hervor, dass ein erfolgreicher Cyber-Angriff die Opfer im Durchschnitt 4,24 Millionen Dollar pro Vorfall kostet – der höchste Wert der letzten 17 Jahre. Obwohl Ransomware Berichten zufolge bereits 69 % der Angriffe auf Unternehmen ausmacht, könnte diese Zahl noch weiter ansteigen. Sicherheitsforscher von CyberNews sind im Darknet auf eine neue RaaS-Gruppe gestoßen, die eine Leuten, die an Erpressung durch Ransomware interessiert sind, den Zugang erleichtern.
Große Ransomware-Gruppen wie REvil, Conti oder DarkSide verlangen von ihren Kunden normalerweise Beteiligung von 30 % pro Lösegeldzahlung. Diese Akteure stellen die Malware zur Verfügung, während die Bedrohungsakteure die Angriffe durchführen.
- Die neue RaaS-Gruppe nennt sich Ranion und verlangt nur eine einmalige Vorauszahlung für ihre Malware, ohne dass zusätzliche Servicegebühren anfallen. Verschiedene Ranion-Malware-Pakete werden zwischen 150 und 1.900 US-Dollar angeboten – ein erschreckend niedriger Preis im Vergleich zu den Verlusten, die Unternehmen durch Ransomware in Höhe von mehreren Millionen Dollar pro Angriff erleiden. Die teureren Angebote garantieren angeblich den Status der völligen Unauffindbarkeit (fully undetectable, FUD).
- Die Ranion-Malware verwendet eine AES-256-Verschlüsselung und ist nahezu unentdeckbar. Denn die Kunden erhalten angeblich einen eindeutigen Stub, so dass jede Malware-Datei anders und somit schwer zu erkennen ist. Der Stub ist ausführbar und ein Krypto-Packer, der der Malware ihre unangreifbaren Eigenschaften verleiht. Zur Zeit ist nur eine einzige Antivirenlösung für Unternehmen in der Lage, diese Ransomware zu erkennen.
Um Bedrohungsakteuren eine größere Bandbreite an Schadensmöglichkeiten zu bieten, fügte Ranion der Malware eine Funktion hinzu, die eine Verzögerung zwischen der Infektion und der Ausführung des Verschlüsselungsprogramms bewirkt. Zudem bieten die Cyberkriminellen ihren Kunden auch einen Echtzeit-Support an. Die Malware funktioniert jedoch nur unter Windows, was Nutzern anderer Betriebssysteme eine gewisse Atempause verschafft.
Die von der Ranion-Gruppe angebotenen Einrichtungen sind relativ kostengünstig und voraussichtlich schwer zu entdeckten. Daher könnte ihr Ransomware-as-a-Service (RaaS)-Angebot opportunistischen Bedrohungsakteuren den Einstieg in die Erpressung mit Ransomware-Spiel ermöglichen. Fälle wie der Angriff auf den US-Agrardienstleister New Cooperative Inc. mit einer Lösegeldforderung in Höhe von 5,9 Millionen Dollar dürften jedenfalls Begehrlichkeiten wecken. CyberNews hat die Details in diesem Blog-Beitrag veröffentlicht.
Anzeige
Anzeige
Den Luxus unter Windows einfach alles ausführen zu können kann man sich einfach nicht mehr leisten. Normale Antivirenprogramme laufen mit ihren Signaturen und Regeln immer der Entwicklung hinterher. Daran haben auch neue Ansätze wie Heuristik oder Verhaltensanalyse wenig geändert.
Aus meiner Sicht ist die einzige Option den Filter umzudrehen. Alles was bekanntermaßen eine gutartige Anwendung ist kann gestartet werden. Unbekannte Anwendungen werden geblockt, analysiert und nach Prüfung entweder als gutartige Anwendung eingestuft oder als Malware in die Signaturen aufgenommen. Anders bekommt man das glaube ich nicht mehr in den Griff.
Gruß Singlethreaded
Genau das macht die Applocker-Funktion in Windows Enterprise Lizenzen. Muss man nur aktivieren, ist nicht schwer.
Welche Antivirenlösung ist denn gemeint die das als einzigste erkennt? Sophos Intercept X?
@Singlethreaded:
Hast Du da eine günstige Alternative zu z.B. Ivanti?
Ich mein, die zugekaufte Software ist schon der Hammer – echt genial! Aber der Preis bzw. die Voraussetzungen sind für uns (25 Mann-Betrieb) einfach zu hoch.
ManageEngine DesktopCentral – bis 25 Geräte kostenlos nutzbar
Defender ATP kann das auch. Ist als 365 Option zu erwerben.
Whitelisting ist das neue Blacklisting :-)
Als Antivirus-Hersteller würde ich bei Ranion einfach mal regelmäßig auf Einkaufstour gehen, um neueste Exemplare einzukaufen und damit die den Lernalgorythmus der eigenen Engine füttern. Es war offensichtlich noch nie so billig um an Schadcode zu kommen!
OT: Ich finde es reichlich zynisch, das Erpressen von Lösegeld als "Geschäftsmodell" zu bezeichnen – als würden Reansomware-Gruppen auch nur einen Hauch von Seriosität verkörpern.