Ransomware as-a-Service (RaaS)

Ransomware ist eine der größten Bedrohungen für die Cybersicherheit von Unternehmen und nimmt weiter zu. Allein im dritten Quartal 2020 stiegen Ransomware-Angriffe weltweit um 50 % im Vergleich zum Vorquartal. Einer der größten Treiber für den anhaltenden Erfolg von Ransomwareist die Einführung von Ransomware as a Service (RaaS), einem Ransomware Verteilungsmodell, das Cloud„as a Service“-Angeboten ähnelt, bei denen ein Anbieter Infrastruktur oder Dienste verwaltet und den Zugriff darauf verkauft zu Kunden.

Sprechen Sie mit einem Experten Mehr erfahren

The Ransomware as-a-Service (RaaS) Economy

In the RaaS economy, the service provided is the infrastructure required to perform a ransomware attack. RaaS operators maintain the ransomware malware, offer a payment portal for victims, and may provide the “customer service” that victims might need (since many ransoms are demanded in Bitcoin or other cryptocurrencies). Their affiliates are responsible for spreading the ransomware, and any ransoms paid are split between the operators and the affiliate (typically with the operator receiving 30-40%).

Diese Vereinbarung bietet Vorteile für beide Vertragsparteien. Der Betreiber erhält eine Größenordnung, die er intern wahrscheinlich nicht erreichen kann, und kann sich auf die Wartung der Backend-Infrastruktur konzentrieren. Der Affiliate hingegen erhält Zugriff auf die Ransomware und ihre Back-End-Infrastruktur und kann sich darauf konzentrieren, das Netzwerk zu infiltrieren und Computer zu infizieren.

Diese Fähigkeit, sich zu spezialisieren, ist ein großer Vorteil für Cyberkriminelle, da nur wenige sowohl in der Entwicklung von Malware als auch in der Netzwerkdurchdringung kompetent sind. Das RaaS-Modell ist einer der Hauptgründe dafür, dass Ransomware-Angriffe in den letzten Jahren stetig zunehmen konnten.

Top Known Ransomware as-a-Service Variants

Viele der größten Namen im Bereich Ransomware sind auch die führenden RaaS-Betreiber. Zu den produktivsten und gefährlichsten RaaS-Varianten gehören:

Ryuk: Ryuk-Ransomware ist eine der verbreitetsten und teuersten Ransomware-Varianten, die es gibt. Schätzungen zufolge ist Ryuk im letzten Jahr für etwa ein Drittel der Ransomware-Infektionen verantwortlich. Die Ransomware ist auch effektiv darin, Opfer davon zu überzeugen, ihre Lösegeldforderungen zu bezahlen, und hat bisher schätzungsweise 150 Millionen US-Dollar eingebracht.
Lockbit: Lockbit has been around since September 2019, but it has only recently entered the RaaS space. It focuses on rapidly encrypting the systems of large organizations, minimizing the defenders’ opportunity to detect and eliminate the malware before the damage is done.
REvil/Sodinokibi: REvil competes with Ryuk as the greediest ransomware variant. This malware is spread in various ways, and REvil affiliates have been known to exploit unpatched Citrix and Pulse Secure VPNs to infect systems.
Egregor/Maze: The Maze ransomware variant made history as the first to introduce “double extortion”, which involves stealing data as part of a ransomware attack and threatening to breach it if a ransom is not paid. While Maze has since ceased operations, related ransomware variants – like Egregor – are still operational and run under the RaaS affiliate model.

Dies sind nur einige der Ransomware-Varianten, die das RaaS-Modell nutzen. Viele andere Ransomware-Gruppen arbeiten ebenfalls mit Partnern zusammen. Die Größe und der Erfolg dieser Ransomware-Gruppen bedeuten jedoch, dass sie die Anziehungskraft haben, Spezialisten für die Verbreitung ihrer Malware anzuziehen.

Schutz vor RaaS-Angriffen

Der Ransomware-Angriff nimmt weiter zu und RaaS bedeutet, dass sich Cyberkriminelle entweder als Malware-Autor oder als Netzwerk-Penetrationsspezialist spezialisieren können. Unternehmen müssen Endgerätesicherheitslösungen bereitstellen, die in der Lage sind, Ransomware-Infektionen zu erkennen und zu beheben, bevor kritische Dateien verschlüsselt werden.

Check Point SandBlast Agent provides comprehensive endpoint security protections. It incorporates a wide range of anti-ransomware functionality, including:

Complete Attack Vector Coverage: Ransomware can be delivered in a number of ways, including via phishing emails, drive-by downloads, compromised user accounts, and more. SandBlast Agent provides complete protection against all potential ransomware delivery vectors.
Behavioral Guard: Ransomware kann anhand einiger ihrer Kernverhaltensweisen identifiziert werden, darunter Dateiverschlüsselung und das Löschen von OS Backups. SandBlast Agent überwacht diese ungewöhnlichen Verhaltensweisen und ermöglicht es ihm, eine Infektion zu beenden, bevor die Malware wertvolle Daten verschlüsseln kann.
Automatisierte Behebung: SandBlast Agent bietet Laufzeitschutz vor Ransomware, sogar im Laufzeitmodus. Dazu gehört die vollständige Behebung der gesamten Ransomware-Angriffskette und die Beseitigung aller Spuren der Malware.
Secure Backup and Restore: Ransomware commonly deletes OS backups such as shadow copies of files. SandBlast Agent stores backups in memory accessible only to Check Point programs, enabling it to restore files even if OS backups are deleted.
Unterstützung für die Bedrohungssuche: Mithilfe der Bedrohungssuche können Sicherheitsteams proaktiv nach Hinweisen auf Malware-Infektionen auf ihren Systemen suchen . SandBlast Agent sammelt, organisiert und analysiert kritische Daten und macht die Bedrohungssuche effizienter und effektiver.

Ransomware protection should be part of any organization’s security strategy, and SandBlast Agent provides peace of mind in the face of the ransomware threat. To learn more about SandBlast Agent and its capabilities, check out this solution brief. You’re also welcome to request a personalized demo to discuss how Check Point can help to improve your organization’s ransomware defenses.