Neue Ransomware-as-a-Service (RaaS)-Gruppe vereinfacht Cyber-Erpressung

Sicherheit (Pexels, allgemeine Nutzung)[English]Ransomware-Gruppen entwickeln ihre Geschäftsmodelle kontinuierlich weiter und verdingen sich auch als Dienstleister, die ihre Tools gegen Erfolgsbeteiligung anbieten. Eine neue Ransomware-as-a-Service (RaaS)-Gruppe versucht das Geschäft mit Cyber-Erpressung nochmals ein Stückchen zu vereinfachen. Kunden können die Leistungen für einen festen Preis buchen.


Anzeige

Die letzten 12 Monate waren durch erfolgreiche Ransomware-Infektionen in großen Organisationen geprägt. Aus einem aktuellen IBM-Bericht geht hervor, dass ein erfolgreicher Cyber-Angriff die Opfer im Durchschnitt 4,24 Millionen Dollar pro Vorfall kostet – der höchste Wert der letzten 17 Jahre. Obwohl Ransomware Berichten zufolge bereits 69 % der Angriffe auf Unternehmen ausmacht, könnte diese Zahl noch weiter ansteigen. Sicherheitsforscher von CyberNews sind im Darknet auf eine neue RaaS-Gruppe gestoßen, die eine Leuten, die an Erpressung durch Ransomware interessiert sind, den Zugang erleichtern.

Große Ransomware-Gruppen wie REvil, Conti oder DarkSide verlangen von ihren Kunden  normalerweise Beteiligung von 30 % pro Lösegeldzahlung. Diese Akteure stellen die Malware zur Verfügung, während die Bedrohungsakteure die Angriffe durchführen.

  • Die neue RaaS-Gruppe nennt sich Ranion und verlangt nur eine einmalige Vorauszahlung für ihre Malware, ohne dass zusätzliche Servicegebühren anfallen. Verschiedene Ranion-Malware-Pakete werden zwischen 150 und 1.900 US-Dollar angeboten – ein erschreckend niedriger Preis im Vergleich zu den Verlusten, die Unternehmen durch Ransomware in Höhe von mehreren Millionen Dollar pro Angriff erleiden. Die teureren Angebote garantieren angeblich den Status der völligen Unauffindbarkeit (fully undetectable, FUD).
  • Die Ranion-Malware verwendet eine AES-256-Verschlüsselung und ist nahezu unentdeckbar. Denn die Kunden erhalten angeblich einen eindeutigen Stub, so dass jede Malware-Datei anders und somit schwer zu erkennen ist. Der Stub ist ausführbar und ein Krypto-Packer, der der Malware ihre unangreifbaren Eigenschaften verleiht. Zur Zeit ist nur eine einzige Antivirenlösung für Unternehmen in der Lage, diese Ransomware zu erkennen.

Um Bedrohungsakteuren eine größere Bandbreite an Schadensmöglichkeiten zu bieten, fügte Ranion der Malware eine Funktion hinzu, die eine Verzögerung zwischen der Infektion und der Ausführung des Verschlüsselungsprogramms bewirkt. Zudem bieten die Cyberkriminellen ihren Kunden auch einen Echtzeit-Support an. Die Malware funktioniert jedoch nur unter Windows, was Nutzern anderer Betriebssysteme eine gewisse Atempause verschafft.

Die von der Ranion-Gruppe angebotenen Einrichtungen sind relativ kostengünstig und voraussichtlich schwer zu entdeckten. Daher könnte ihr Ransomware-as-a-Service (RaaS)-Angebot opportunistischen Bedrohungsakteuren den Einstieg in die Erpressung mit Ransomware-Spiel ermöglichen. Fälle wie der Angriff auf den US-Agrardienstleister New Cooperative Inc. mit einer Lösegeldforderung in Höhe von 5,9 Millionen Dollar dürften jedenfalls Begehrlichkeiten wecken. CyberNews hat die Details in diesem Blog-Beitrag veröffentlicht.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Neue Ransomware-as-a-Service (RaaS)-Gruppe vereinfacht Cyber-Erpressung

  1. Singlethreaded sagt:

    Den Luxus unter Windows einfach alles ausführen zu können kann man sich einfach nicht mehr leisten. Normale Antivirenprogramme laufen mit ihren Signaturen und Regeln immer der Entwicklung hinterher. Daran haben auch neue Ansätze wie Heuristik oder Verhaltensanalyse wenig geändert.

    Aus meiner Sicht ist die einzige Option den Filter umzudrehen. Alles was bekanntermaßen eine gutartige Anwendung ist kann gestartet werden. Unbekannte Anwendungen werden geblockt, analysiert und nach Prüfung entweder als gutartige Anwendung eingestuft oder als Malware in die Signaturen aufgenommen. Anders bekommt man das glaube ich nicht mehr in den Griff.

    Gruß Singlethreaded

  2. Brauni sagt:

    Welche Antivirenlösung ist denn gemeint die das als einzigste erkennt? Sophos Intercept X?

  3. Dietmar sagt:

    @Singlethreaded:
    Hast Du da eine günstige Alternative zu z.B. Ivanti?
    Ich mein, die zugekaufte Software ist schon der Hammer – echt genial! Aber der Preis bzw. die Voraussetzungen sind für uns (25 Mann-Betrieb) einfach zu hoch.

  4. Bernd sagt:

    Defender ATP kann das auch. Ist als 365 Option zu erwerben.

  5. Frank Z ツ sagt:

    Whitelisting ist das neue Blacklisting :-)

  6. 1ST1 sagt:

    Als Antivirus-Hersteller würde ich bei Ranion einfach mal regelmäßig auf Einkaufstour gehen, um neueste Exemplare einzukaufen und damit die den Lernalgorythmus der eigenen Engine füttern. Es war offensichtlich noch nie so billig um an Schadcode zu kommen!

  7. Carsten sagt:

    OT: Ich finde es reichlich zynisch, das Erpressen von Lösegeld als "Geschäftsmodell" zu bezeichnen – als würden Reansomware-Gruppen auch nur einen Hauch von Seriosität verkörpern.

Schreibe einen Kommentar zu Brauni Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.