Kriminelles Geschäftsmodell: Malware-as-a-Service

In schwierigen, turbulenten Zeiten zeigt sich immer wieder ein ganz besonderer Unternehmergeist, indem Kriminelle die Lage für ihren eigenen Profit ausnutzen. Das vergangene Jahr stellt wie auch schon 2020 ein Rekordjahr im Bereich der Angriffe durch Hacker dar. Es zeigen sich mittlerweile unternehmensartige Strukturen.

2021 war das Jahr mit den meisten Ransomware-Attacken bisher. Schon in der ersten Phase der Pandemie zeigte sich ein deutlicher Anstieg krimineller Online-Aktivitäten. Der SonicWall Cyber Threat Report 2021 zeigt einen Anstieg der Angriffe von 232 % gegenüber 2019. Allein von 2020 auf 2021 hat sich die Anzahl etwas mehr als verdoppelt. Malware-Angriffe sind gegenüber 2020 zwar ganz leicht zurückgegangen, allerdings steigt die Anzahl der Varianten von Malware. Täglich werden durchschnittlich 1.211 neue Versionen in Umlauf gebracht bzw. erfasst. Eine Entspannung der Lage ist nicht absehbar. Eher im Gegenteil, ist davon auszugehen, dass das Internet auch 2022 nicht zur Ruhe kommen wird. Für Unternehmen bedeutet das nicht nur ein Risiko für die Erreichbarkeit und die Datensicherheit, sondern auch ein finanzielles Risiko. Zum einen müssen die eigenen Systeme besser abgesichert werden, was mit höheren IT-Kosten einhergeht. Zum anderen kann es in Folge eines Ransomware-Angriffs auch zu hohen Lösegeldforderungen kommen.

Lange Zeit haben Hacker-Gruppierungen für sich allein gearbeitet. Doch es gibt hier eindeutige Hinweise auf eine zunehmende Professionalisierung der Branche. Die Cyber-Kriminellen investieren viel Arbeit in ihre teils sehr anspruchsvollen Programme. Wie bei offizieller Software auch, braucht es viel Zeit, Tests und Rechenkapazität, um das perfekte Angriffssystem zu erstellen. Wenn das Programm dann im Einsatz ist und die Kriminellen damit hohe Gewinne einstreichen, nimmt die Aufmerksamkeit zu. Andere Hacker-Gruppen versuchen, den Code zu bekommen oder nachzubauen. Und hier beginnen nun unternehmensartige Strukturen zu wachsen. Die kriminellen Gruppen stellen ihren eigenen Code als Dienstleistung zur Verfügung, so wie Office 365, SAP oder andere Tech-Giganten. Personen mit kriminellen Absichten, die bisher keine ausreichenden IT-Kenntnisse hatten, um eigene Attacken zu starten, können sich dank einfacher Baukastensysteme inzwischen selbst auf die Jagd nach lukrativen Lösegeldern machen.

Ein bekanntes Beispiel ist der Infostealer Xloader, der seine Anfänge in Formbook hatte, das seit 2016 verkauft wurde. Nachdem allerdings der Code von Formbook geklaut werden konnte, machten sich die Macher daran, ihre Idee als ein Malware-as-a-Service-Geschäftsmodell aufzubauen. Den Klienten von Xloader steht eine umfangreiche Plattform zur Verfügung, die sie auch ganz ohne Programmierkenntnisse dazu befähigt, auf Raubzug durch das Internet zu gehen. Neben einer Servicegebühr, die die Anbieter solcher Malware- oder Ransomware-as-a-Service einstreichen, erhalten sie auch einen Teil der Beute. Ein lukratives Geschäftsmodell, das auf langfristige Gewinnerzielung ausgerichtet ist. Die Servicebandbreite umfasst die folgenden Aktionen:

• Stehlen von Anmeldedaten aus Webbrowsern und anderen Anwendungen.
• Erfassen von Tastenanschlägen.
• Erstellen von Bildschirmfotos.
• Stehlen von Passwörtern.
• Herunterladen und Ausführen zusätzlicher Binärdateien.
• Ausführen von Befehlen.

Die Malware ist dabei besonders ausgeklügelt und u. a. vielfältige Techniken der Verschlüsselung verschleiern den wahren Ursprung und erschweren so die Ermittlungen, die oft ins Leere laufen.

So erschreckend die aktuellen Entwicklungen in der Hacker-Szene sind, so sind sie absolut nichts Neues! Bereits 2009 warnt Cisco in seinem Midyear Security Report vor einer zunehmenden Professionalisierung von Cyber-Kriminellen, die mehr und mehr wie Unternehmen wirtschafteten. Schon vor dreizehn Jahren sah man etwa Angebote von Malware in Form von Software-as-a-Service-Angeboten.

Es zeigen sich auch weitere Parallelen zu der aktuellen Situation: 2009 grassierte die Schweinegrippe und prompt gab es groß angelegte Spam-Kampagnen, die entsprechende Medizin anpriesen. Auch Social Engineering war zu diesem Zeitpunkt bereits ein Begriff und die Experten warnten vor entsprechenden Angriffen über E-Mails, Instant-Messenger und Social Media. Immer noch gibt es gehackte oder geklonte Accounts, die Freunde, Kollegen oder Geschäftspartner imitieren und sich so Daten erschleichen wollen.

Auf absehbare Zeit gibt es kaum Möglichkeiten, sich der steigenden Anzahl der Attacken aus dem Internet zu entziehen. Allerdings können und sollten unbedingt entsprechende Vorkehrungen getroffen werden – egal, ob Unternehmen oder Privatpersonen. Daten sind eine unserer wichtigsten Ressourcen, seien es die zahlreichen Urlaubsfotos oder Bilder der aufwachsenden Kinder, aber auch Steuerunterlagen, Zertifikate oder Abrechnungen. Viele Daten sind heute nur noch digital verfügbar und daher auch besonders schützenswert. Umso mehr betrifft das Unternehmensdaten und Firmeninterna. Einmal verloren, sind die meisten Daten nicht mehr wiederherzustellen. Außerdem darf die Komponente Mensch nie außer Acht gelassen werden, ob gewollt oder nur ausgenutzt, persönliche Informationen und Zugänge erleichtern die Arbeit jedes Angreifers enorm. Schulungen und regelmäßige Awareness können hierbei den entscheidenden Unterschied machen.

Mit einer Backup-Strategie und einem umfassenden Disaster-Recovery-Konzept sind Sie für den Ernstfall gerüstet. Gerne beraten wir Sie individuell hinsichtlich Ihrer Vorstellungen und Ziele. Mehr Informationen finden Sie u.a. auf unserer Disaster-Recovery-Seite oder kontaktieren Sie uns hier direkt.

Quellen
SonicWall Cyber Threat Report 2021
Der Siegeszug von Malware-as-a-Service
Die Evolution einer Malware hin zu Malware-as-a-Service am Beispiel von Xloader
Malware-as-a-Service als IT-Geschäftsmodell