Ransomware-as-a-Service und Kryptotrojaner ohne Krypto

Ransomware ist eine Bedrohung für unsere persönlichen Daten, für das wirtschaftliche Überleben von Unternehmen, und nicht zuletzt auch für Menschenleben. Ransomware ist aber auch: eine Erfolgsgeschichte.

Von den ersten Berichten über Verschlüsselungstrojaner im Jahr 1989 bis heute hat die Ransomware-Branche eine erstaunliche Expansion und Differenzierung hingelegt:

  • In den 1990ern und 2000ern war Ransomware ein Nischenphänomen. Schon 1989 kursierte zwar ein Virus, das Festplatteninhalt verschlüsselte und den Nutzer aufforderte, sich den Schlüssel mit Geld zu erkaufen. Aber das Problem der Entwickler: wie sollte man auf sicherem, anonymen Weg ans Geld kommen? Die herkömmliche Post hat, was das angeht, offensichtliche Schwachstellen.
  • 2009 kam schließlich die fehlende Komponente für eine explosive Mischung: Bitcoin (und später andere Kryptowährungen). In den folgenden Jahren entdeckten Ransomware-Entwickler, dass sich mit etwas Vorsicht quasi anonyme Zahlungen mit Hilfe von Kryptowährungen realisieren ließen.
  • Das gab den Startschuss für den Siegeszug der Ransomware ab 2013. Einer der am meisten publizierten Fälle in Deutschland: die Attacke auf das Lukaskrankenhaus in Neuss, die zu einem mehrtägigen Betriebsausfall führte. Das Lukaskrankenhaus gab übrigens an, das Lösegeld nicht bezahlt, sondern auf Backups der Daten zurückgegriffen zu haben.
  • Viele andere Opfer scheinen aber nach dem Prinzip Hoffnung gehandelt und das Lösegeld gezahlt zu haben (gegen den Rat praktisch aller Infosec-Spezialisten und Behörden). Nur so lässt es sich erklären, dass Ransomware so lukrativ wurde, dass ihre Entwickler anfingen, Franchise-Systeme und Ransomware-as-a-Service (RaaS) aufzubauen.
  • RaaS funktioniert analog zu anderer Software-as-a-Service (wie Zoom oder Microsoft Office 365): Die Entwickler sind für Programmierung und Support zuständig, der Kunde für den Einsatz der Software. Für Ransomware heißt das: der Kunde kauft die Lizenz, eine bestimmte Ransomware benutzen zu dürfen. Wie er sie unter die Leute bringt, ist dann seine Sache – die Entwickler geben aber hilfreiche Tipps oder stellen sogar Community-Foren zum Erfahrungsaustausch zur Verfügung.
  • Diese Professionalisierung führt auch zu mehr „Kundenfreundlichkeit“ in Richtung der Angriffsziele: Hier gibt es Handbücher, Support-Webseiten und sogar Hotlines, in denen unbedarfte Ransomware-Opfer sich erklären lassen können, wie sie eine Überweisung in einer Kryptowährung tätigen oder wo auf der Benutzeroberfläche sie schließlich den erkauften Schlüssel eingeben können.
  • So viel Aufwand kostet natürlich. Dabei sind die Preismodelle so unterschiedlich wie bei legaler Software-as-a-Service: Die Entwickler bieten verschiedene Leistungsumfänge zu verschiedenen Festpreisen an oder verlangen eine prozentuale Beteiligung am Gewinn (also den Lösegeldern).

Auch die Drohungen der Angreifer gegenüber den Opfern variieren: Als es sich herumgesprochen hatte, dass die Wiederherstellung der eigenen Daten aus Sicherheitskopien ein sicherer Ausweg aus dem Ransomware-Dilemma ist, drohten die ersten Angreifer mit Veröffentlichung der erbeuteten Daten. Und auch Zuckerbrot kam zum Einsatz: einige versprachen als Gegenleistung für die Ransom-Zahlung Immunität gegenüber zukünftigen Angriffen (jedenfalls von der eigenen Bande).

Schutzgeld statt Lösegeld?

Da kluge Parasiten ihre Opfer nicht absichtlich umbringen (höchstens aus Versehen mal), arbeiten bestimmt schon viele in der Branche an der Frage: Wie werden die „nachhaltigen“ Geschäftsmodelle von Ransomware in der Zukunft aussehen?

Da man Ransomware jetzt überall kennt und fürchtet, werden vielleicht bald die ersten Angreifer ganz auf die Verschlüsselung der Daten des Opfers verzichten und nur mit der Drohung allein arbeiten: Schutzgeld statt Lösegeld.

Aus Gegenden der Welt, in denen staatliche Institutionen schwach sind oder nicht überall hinreichen, sind Schutzgelder seit Jahrzehnten oder Jahrhunderten Teil des täglichen Lebens und gewissermaßen der Preis der Infrastruktur. So gesehen hat Ransomware gute Chancen: sie lebt im Netz, in dem staatlicher Zugriff oft schon an der Frage der Zuständigkeit scheitert.

Aber auch die Behörden holen auf: so hat Anfang 2021 Europol einen großen Erfolg gegen das Malware-Netzwerk Emotet gefeiert, der nur durch internationale Kooperation möglich war. Prompt haben daraufhin übrigens auch einige Ransomware-Banden die Flinte ins Korn geworfen und die Schlüssel ihrer Opfer veröffentlicht.

Fazit: Damit solche aufwendigen Zugriffe der Strafverfolgung sich nicht mehr lohnen – ist das Geschäftsmodell der Zukunft für Ransomware-Banden die Kleinkriminalität? Kleine Summen von Schutzgeld von vielen Opfern erpressen, auf spektakuläre Angriffe verzichten?


Beitragsbild: Bermix Studio