Wer verdient Geld mit Ransomware?

September 30, 2021
Kaseya
Ransomware

Ransomware ist die Art von Cyberangriff, die am ehesten in den Nachrichten auftaucht, da sie dramatische und verheerende Folgen hat. Ein Cyberangriff wie Ransomware reicht aus, um den meisten Unternehmen einen fatalen Schlag zu versetzen – 60 % der Unternehmen, die von einem Cyberangriff betroffen sind, gehen innerhalb von 6 Monaten in Konkurs. Der Schutz von Unternehmen vor Ransomware ist für den Fortbestand eines Unternehmens von entscheidender Bedeutung. Ein Ransomware-Vorfall kann das Budget eines Unternehmens ruinieren, ist aber für Kriminelle eine Goldgrube. Jeder Ransomware-Angriff erfordert viele Akteure, die alle aus dem gleichen Grund dabei sind: Geld. Unabhängig davon, ob ein Unternehmen nach einem Ransomware-Angriff das Lösegeld zahlt oder nicht, wird die Cyberkriminalitätswirtschaft im Dark Web gestärkt.  

Wie funktionieren die Ransomware-Operationen? 

Wenn ein Unternehmen Lösegeld zahlt, fließt dieses Geld weit und breit durch das Dark Web. Lösegeld geht nicht nur an eine Person oder Organisation – selbst ein Nebenteilnehmer an einem Ransomware-Angriff profitiert davon. Die Ransomware-Branche ist ein eigenständiges Ökosystem und trägt maßgeblich zur Wirtschaft des Dark Web bei. Sie ist auch Teil des Sektors „Cybercrime-as-a-Service“. Das ist ein wichtiger Grund, warum Cyberkriminelle aller Couleur schnell auf Ransomware-Operationen aufspringen. Diese Kriminellen haben eine hohe Chance, mit beträchtlichen Geldsummen davonzukommen, und jeder wird bezahlt. 

Die großen, mächtigen Ransomware-Banden führen selten selbst Kampagnen durch. Stattdessen betreiben sie Cybercrime-as-a-Service-Plattformen, die Cyberkriminelle nutzen können, um Operationen durchzuführen, Talente anzuwerben, sich mit Freiberuflern zu vernetzen und Zahlungen zu erhalten. Die Bandenchefs verdienen ihr Geld mit ihrem Anteil am Gewinn, wenn ein erfolgreicher Ransomware-Angriff unter ihrer Schirmherrschaft erfolgt. Diese Angriffe werden von verbündeten unabhängigen Auftragnehmern, den sogenannten Affiliates, durchgeführt. Die Affiliates sind diejenigen, die die tägliche Arbeit zur Durchführung eines erfolgreichen Ransomware-Angriffs erledigen.  

Der Partner ist für die Durchführung eines Ransomware-Angriffs auf das von ihm ausgewählte Ziel verantwortlich - von der Planung über die Ausführung bis hin zur Bezahlung. Bei dem Partner kann es sich um eine kleinere Bande oder um eine Gruppe von Freiberuflern handeln, die sich für einen Auftrag zusammenschließen. Es ist üblich, dass Affiliates Spezialisten und Freiberufler für Operationen anheuern, z. B. erfahrene Spear-Phishing-Autoren oder erfahrene Hacker. Manchmal stellt der Chef der Bande die Malware zur Verfügung, oder der Partner zieht es vor, seine eigene zu verwenden. Wie auch immer ein Partner den Job erledigt, wenn sein Angriff erfolgreich ist, ist er verpflichtet, dem Boss - der Bande, die die Plattform betreibt - einen Teil der Einnahmen zukommen zu lassen, in der Regel 10 bis 20 %, und auch alle Subunternehmer zu bezahlen, die er engagiert hat. Der Rest des Geldes steht ihnen zur freien Verfügung. 

Wir stellen jetzt ein: Eine Ransomware-Organisation 

Jeder ist auf der Suche nach großartigen Mitarbeitern, denn die richtigen Mitarbeiter sind ein wichtiger Faktor für den Erfolg eines Unternehmens – sogar Cyberkriminelle. Nachdem zwei bekannte russische Foren Ransomware-Betreiber gesperrt hatten, begannen zwei große Ransomware-Banden, bekannt als Himalaya und LockBit,ihre eigenen Websites zu nutzen, um für ihre Verschlüsselungstools zu werben und neue Partner zu rekrutieren. LockBit hatte gerade eine neue Version seiner charakteristischen Ransomware veröffentlicht und versuchte, die verbesserte Software-Leistung als Mittel zur Gewinnung von Talenten zu nutzen. Himalaya ging direkt auf den Geldbeutel zu undwarbauf seiner Websitemit großzügigen Zahlungenfür Mitarbeiter, genau wie jedes andere Unternehmen, das nach Mitarbeitern sucht. 

Aber nicht jede Bande stellt Leute auf der Straße ein. Einige der größten Ransomware-Betreiber rekrutieren überhaupt nicht öffentlich. Stattdessen müssen Sie jemanden in der Organisation kennen, um einen Fuß in die Tür zu bekommen, genau wie bei einer traditionellen kriminellen Operation. Sie werden keine Stellenausschreibungen von einer Organisation wie REvil sehen. Experten weisen darauf hin, dass die REvil-Bande es vorzieht, diskret zu operieren und sich bei Bedarf auf ihr Netzwerk von Partnerorganisationen und Verbindungen zu verlassen, um frisches Blut zu bekommen. Einige andere Akteure der Cyberkriminalität ziehen es ebenfalls vor, still zu bleiben und im Verborgenen zu arbeiten, und Gruppen, die im Rahmen ihrer Ransomware-Operationen auch Operationen wie die Kompromittierung von Geschäfts-E-Mails durchführen, wollen besonders unsichtbar bleiben. Im Zuge der internationalen Jagd nach den Hackern, die in den DarkSide-Angriff auf Colonial Pipeline verwickelt waren, sind viele Gangs, Hacker und Datenbroker noch weiter in den Untergrund gegangen. Auch nationalstaatliche Gruppen heuern nie an, sondern verlassen sich bei ihrer Arbeit auf ein vertrauenswürdiges Netzwerk von verbündeten Bedrohungsakteuren.  

Geldströme im Dark Web 

Die Nachfrage nach allen Arten von qualifizierten Cyberkriminalitätsdienstleistungen ist hoch – Experten schätzen, dass 90 % der Beiträge in beliebten Dark-Web-Foren von Käufern stammen, die jemanden für Hacking-Dienstleistungen beauftragen möchten. Schätzungsweise 69 % dieser Stellenanzeigen in Dark-Web-Foren suchten nach Cyberkriminellen, die Websites hacken sollten, während weitere 21 % nach Kriminellen suchten, die gezielt bestimmteuser Kundendatenbanken beschaffen konnten. Nicht alle „Hacker” sind tatsächlich Hacker. Einige verfügen über spezialisiertes Fachwissen in hochspezialisierten Bereichen wie Social Engineering oder Spear-Phishing-Operationen. Mutmaßliche Cyberkriminelle können auch vom Verkauf ihrer eigenen Technologie profitieren. Etwas mehr als 2 % der von den Forschern gemessenen Forenbeiträge stammten von cyberkriminellen Entwicklern, die die Werkzeuge ihres Handwerks wie Passwort-Cracker, Zahlungsskimmer, Malware, Ransomware und andere Hacking-Programme verkauften. Hacker nutzen diese Foren auch, um Leute zu treffen, die an der Planung oder Teilnahme an Cyberangriffen interessiert sind – etwa 1 % der untersuchten Beiträge in Dark-Web-Foren stammten von Hackern, die Hacker für eine Zusammenarbeit suchten.    

Auch Organisationen der Cyberkriminalität sind bereit, viel Geld für den Zugang zu zahlen. Beliebte Dark-Web-Foren sind die Version von LinkedIn für Cyberkriminelle. Etwa 40 % der Angebote, die Forscher in einer Studie aus dem Jahr 2020 sichteten, wurden von Akteuren aus dem Bereich Ransomware-as-a-Service (RaaS) erstellt. Die Banden boten bis zu 100 000 US-Dollar für den Erstzugang an, wobei die meisten Akteure ihren Höchstpreis auf etwas mehr als die Hälfte davon, nämlich 56 250 US-Dollar, festlegten. In anderen Anzeigen, die in einem beliebten Forum veröffentlicht wurden, suchten Bedrohungsakteure speziell nach Zielen in den USA, Kanada, Australien und Großbritannien mit einem Umsatz von 100 Millionen Dollar oder mehr. Für diesen Zugang waren sie bereit, 3.000 bis 100.000 Dollar zu zahlen - und das ist genug, um Angestellte in Versuchung zu führen, besonders in einer schwierigen wirtschaftlichen Situation.   

Einblick in den Colonial Pipeline Ransomware-Angriff 

Bei den meisten Ransomware-Angriffen handelt es sich um komplexe, undurchsichtige Operationen, bei denen die genauen Details nur selten ans Licht kommen. Der Ransomware-Vorfall bei Colonial Pipeline wurde jedoch umfassend untersucht, recherchiert und berichtet, so dass jeder einen seltenen Einblick in die genauen Abläufe eines Ransomware-Angriffs erhält, der die Infrastruktur schädigt. Dieser Vorfall hat Ransomware noch mehr ins Rampenlicht gerückt und Regierungen auf der ganzen Welt, darunter auch die US-Regierung, zu Maßnahmen veranlasst, um Infrastrukturen vor Ransomware zu schützen und Cyberkriminelle zu bestrafen. Die US-Regierung hat kürzlich eine zentrale Anlaufstelle für Ransomware eingerichtet, um US-Unternehmen bei der Bekämpfung des Problems zu unterstützen. 

Die Ransomware-BandeDarkSidewurde bekannt durch einen erfolgreichen Angriff auf Colonial Pipeline, bei dem sie eine Lösegeldsumme von schätzungsweise etwas mehr als 4 Millionen Dollar erbeutete. Diese Operation wurde jedoch nicht direkt von den Entwicklern und Betreibern von DarkSide durchgeführt. Stattdessen wurde der Hackerangriff auf Colonial Pipeline von einem Partnerunternehmen der größeren Operation unter Verwendung der proprietären Malware von DarkSide durchgeführt. Dieses Partnerunternehmen beauftragte über Dark-Web-Foren eigene Subunternehmer und sammelteresources Dark-Web-Datenmärkten und -Dumps, um die Tat auszuführen. 

Dann schlug die Satellitenbande zu und legte Colonial Pipeline mit einem verheerenden Angriff lahm, der die größte Kraftstoffpipeline der USA stilllegte. Der Einstiegspunkt für die Bande war ein einziges kompromittiertes Mitarbeiterpasswort, das ihnen die Schlüssel zum Königreich verschaffte und wahrscheinlich durch Spear-Phishing erlangt wurde. Die DarkSide-Tochtergesellschaft konnte sich dann leicht in die zugegebenermaßen laxen Sicherheitsvorkehrungen von Colonial Pipeline einschleichen und ihre giftige Fracht abliefern: die proprietäre Ransomware von DarkSide, um die Systeme und Daten von Colonial Pipeline zu verschlüsseln. Danach kam der einfache Teil: Die Partnerorganisation stellte einen Timer für die Bereitstellung der Malware ein, stellte ihre Lösegeldforderung und lehnte sich zurück, um auf ihr Geld zu warten.  

Etwas mehr als eine Woche nach dem ersten Eindringen begann die Infektion mit der Ransomware und leitete das Endspiel für die Tochtergesellschaft ein. Ein Mitarbeiter, der seinen Arbeitstag im zentralen Kontrollraum von Colonial Pipeline begann, sah eine Lösegeldforderung in Kryptowährung auf seinem Computer auftauchen und rief seinen Vorgesetzten an. Daraufhin begann für Colonial Pipeline ein Wettlauf mit der Zeit, um die Infektion abzuwehren und ihre Systeme und Daten zu retten. Nachdem die Pipeline heruntergefahren worden war, um den Schaden zu begrenzen und ein weiteres Eindringen der Hacker zu verhindern, hatte Colonial keine andere Wahl, als Experten zur Hilfe zu holen - die Situation überstieg bei weitem die eigenen Möglichkeiten, damit umzugehen.  

Die Angreifer legten die Colonial Pipeline mit verheerender Wirkung lahm. Außerdem stahlen sie fast 100 Gigabyte an Daten. Letztendlich war der Angriff der DarkSide-Tochter ein durchschlagender Erfolg. Colonial Pipeline zahlte den Angreifern in kürzester Zeit ein Lösegeld in Höhe von 4,4 Millionen Dollar. Nach Angaben der FireEye-Forscher müssen DarkSide-Mitglieder bis zu 25 % der Lösegeldzahlungen unter 500.000 US-Dollar und 10 % aller erfolgreichen Lösegeldzahlungen über 5 Millionen US-Dollar an den Chef der Gruppe zahlen. 

Ransomware ist sehr lukrativ, insbesondere die doppelt verschlüsselte Variante, die DarkSide bevorzugte. Bevor die Bande nach dem Colonial Pipeline-Vorfall untertauchte, hatte DarkSide laut den Blockchain-Analysten von Elliptic im Laufe seines kurzen Bestehens 90 Millionen Dollar an Bitcoin-Lösegeldzahlungen erhalten. Sie schätzten außerdem, dass die durchschnittliche Ransomware-Zahlung bei einer DarkSide-Operation bei etwa 1,9 Millionen Dollar lag. Die Experten schätzen, dass 15,5 Millionen Dollar an den DarkSide-Entwickler und 74,7 Millionen Dollar an seine Partner gingen. 

Stoppen Sie Ransomware, indem Sie Phishing stoppen 

Eine der besten Möglichkeiten, ein Unternehmen vor Ransomware zu schützen, besteht darin, es vor Phishing zu schützen. Schätzungsweise 94 % aller Ransomware gelangt über E-Mails in Unternehmen. Diese Nachrichten verwenden oft ausgeklügelte Social-Engineering-Techniken, um Mitarbeiter dazu zu verleiten, einen Anhang herunterzuladen, eine bösartige Website zu besuchen oder ihre Anmeldedaten an Cyberkriminelle weiterzugeben. Um Ransomware zu stoppen, muss zunächst verhindert werden, dass Phishing-Nachrichten in die Posteingänge der Mitarbeiter gelangen. 

Ihr Unternehmen benötigt leistungsstarke, automatisierte E-Mail-Sicherheit, die Ihnen einen fortschrittlichen Schutz vor bösartigen Nachrichten bietet, die Bedrohungen wie Ransomware enthalten, ohne dass dafür hohe Kosten anfallen.Graphus diese Anforderungen.  

  • Ausgefeilte E-Mail-Sicherheitsautomatisierung schützt Ihr Unternehmen mit drei Schutzebenen vor Phishing-Nachrichten. 
  • Automatisierte E-Mail-Lösungen wieGraphus 40 % mehr bösartige NachrichtenGraphus als herkömmliche Lösungen oder ein SEG. 
  • Smart AI benötigt keine Bedrohungsberichte, sondern nutzt über 50 Vergleichspunkte, um gezieltes Spear-Phishing, Ransomware, Zero-Day-Angriffe und andere komplexe Bedrohungen zu erkennen. 

Warten Sie nicht, bis Sie die Rechnungen für einen Ransomware-Angriff bezahlen müssen, um Ihre E-Mail-Sicherheit zu verbessern – 60 % der Unternehmen, die von einem Cyberangriff betroffen sind, gehen in Konkurs. Stoppen Sie Phishing sofort mitGraphus der einfachsten, automatisiertesten und kostengünstigsten Phishing-Abwehr, die derzeit verfügbar ist. Kontaktieren Sie noch heute einen unserer Lösungsspezialisten und sichern Sie Ihr Unternehmen mit einem Schutz, der niemals einen Tag frei nimmt. 

Eine umfassende Plattform für IT- und Security

Kaseya ist die Komplettlösung für die Verwaltung, Sicherung und Automatisierung Ihrer IT. Durch die nahtlose Integration aller wichtigen IT-Funktionen vereinfacht es den Betrieb, erhöht die Sicherheit und steigert die Effizienz.

Eine Demo erhalten Entdecken Sie Kaseya

Eine Plattform. Alles IT.

Kaseya -Kunden profitieren von den Vorteilen der besten IT-Management- und Sicherheitstools in einer einzigen Lösung.

Entdecken Sie Kaseya

Ihr Erfolg ist unsere Priorität Nr. 1

Partner First ist eine Verpflichtung zu flexiblen Konditionen, geteiltem Risiko und engagierter support Ihr Unternehmen.

Entdecken Sie Partner First Pledge

Globaler MSP -Bericht 2025

Der Global MSP Report 2025 von Kaseya ist Ihre erste Anlaufstelle, um zu verstehen, wohin sich die Branche entwickelt.

Jetzt herunterladen

Kategorien entdecken

Von Phishing bis Ransomware: Wie Kaseya User Ihre SaaS-Anwendungen User

SaaS-Anwendungen wie Microsoft 365 und Google Workspace unterstützen nahezu jeden Aspekt der heutigen digitalen Abläufe. Allerdings, da UnternehmenMehr lesen

Blogbeitrag lesen

Was ist Ransomware-as-a-Service (RaaS)?

Ransomware-as-a-Service ist ein Geschäftsmodell, bei dem Cyberkriminelle Ransomware entwickeln und sie an Partner verkaufen oder vermieten. Erfahren Sie, wie es funktioniert und wie Sie es stoppen können.

Blogbeitrag lesen

Vermeiden Sie IT-Bruch am Valentinstag mit Ransomware-Erkennung

An diesem Valentinstag wollen Cyberkriminelle aus aller Welt Ihnen das Herz brechen. Ihr Ziel ist es, sich inMehr lesen

Blogbeitrag lesen