Ransomware-Akteure mit Partnerprogramm

Ransomware-Akteure mit Partnerprogramm
Anzeige

Beitrag teilen

Ransomware-Angriffe bestehen aus einem Ökosystem an Akteuren. Es gibt Werbung für und Bereitstellung von Dienstleistungen und Partnerschaften auf spezialisierten Dark-Web-Marktplätzen und -Foren. Ransomware-Betreiber erhält Gewinnanteil zwischen 20 und 40 Prozent, Rest verbleibt beim Partner. . Zugänge zu Unternehmen schon ab 50 US-Dollar erhältlich.

Ransomware-Angriffe, bei denen Daten verschlüsselt und Lösegeld erpresst werden, treffen Unternehmen jeder Größe und Branche. Es kann dabei leicht der Eindruck entstehen, dass die Akteure beliebig agieren. Tatsächlich steckt dahinter jedoch ein komplexes Ökosystem mit vielen unterschiedlichen Akteuren, die jeweils individuelle Rollen übernehmen. Anlässlich des Anti-Ransomware-Tags informiert Kaspersky in einem neuen Report [1] über das komplexe Ökosystem hinter Ransomware.

Anzeige

Ransomware-Ökosystem sucht Partner

Ein Beispiel eines Angebots: hier wird der Remote-Desktop-Zugang eines Nutzers zu einem Unternehmen angeboten (Bild: Kaspersky).

Entwickler, Bot Master, Verkäufer von Zugangsdaten oder Ransomware-Betreiber: das Ransomware-Ökosystem besteht aus einer Vielzahl an Akteuren. Sie alle bieten im Darknet unterschiedliche Dienstleistungen via Anzeigen an [2]. Selbständig agierende, prominente Profigruppen besuchen solche Websites eigentlich nicht, aber REvil, beispielsweise, die in den vergangenen Quartalen zunehmend Organisationen im Visier hatten, veröffentlichen ihre Angebote und Neuigkeiten nun regelmäßig über Affiliate-Programme. Dabei entsteht eine Partnerschaft zwischen dem Ransomware-Betreiber und dem Kunden, wobei der Ransomware-Betreiber als Verkäufer eine Gewinnbeteiligung zwischen 20 und 40 Prozent erhält, während die verbleibenden 60 bis 80 Prozent beim „Affiliate-Partner“ verbleiben. Die Auswahl der Partner folgt einem ausgefeilten Prozess mit Regeln, die von den Ransomware-Betreibern festgelegt wurden – einschließlich geografischer Beschränkungen oder politischer Ausrichtungen, gleichzeitig werden Ransomware-Opfer nutzenmaximierend ausgewählt.

Gemeinsames Streben nach Profit

Verkäufer und Kunde beziehungsweise Partner vereint das gemeinsame Streben nach Profit, weswegen es sich bei den am meisten infizierten Organisationen häufig um einfachere Ziele handelt, zu denen der Zugang besonders einfach war. Solche Zugänge werden auf Auktionsplattformen versteigert oder zu Fixpreisen ab 50 US-Dollar in Darknet-Foren angeboten. Bei den Angreifern handelt es sich meistens um Botnet-Besitzer, die an massiven und breit angelegten Kampagnen mitwirken und den Zugang auf die Geräte ihrer Opfer in großen Mengen verkaufen. Verkäufer von Zugangsdaten sind dagegen stets auf der Suche nach öffentlich bekannt gewordenen Schwachstellen in mit dem Internet verbundener Software, wie beispielsweise VPN-Applikationen oder E-Mail-Gateways, mit denen sie Organisationen infiltrieren können.

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

Ransomware-Betreiber verkaufen Malware-Samples und Ransomware-Builder in der Regel für 300 bis 4.000 US-Dollar. Ein weiteres Geschäftsmodell ist Ransomware-as-a-Service, bei dem Ransomware mit kontinuierlicher Unterstützung durch ihre Entwickler für 120 US-Dollar pro Monat oder 1.900 US-Dollar pro Jahr angeboten wird.

Gemeinsam über Risiken aufklären und Gegenmaßnahmen ergreifen

Im Dark-Web bietet man Ransomware im Abo an als verschiedene Pakete mit 1, 6 und 12 Monaten Laufzeit mit Produktinfos und Preisen (Bild: Kaspersky).

„In den vergangenen zwei Jahren haben wir gesehen, dass Cyberkriminelle im Umgang mit Ransomware mutiger geworden sind“, erklärt Craig Jones, Director of Cybercrime bei INTERPOL. „Solche Angriffe beschränken sich nicht mehr nur auf große Unternehmen und Regierungsorganisationen. Ransomware-Betreiber sind bereit, praktisch jedes Unternehmen unabhängig von seiner Größe zu attackieren. Die Ransomware-Branche ist eine komplexe Branche, an der viele verschiedene Akteure mit unterschiedlichen Rollen beteiligt sind. Um etwas gegen sie zu unternehmen, müssen wir uns darüber informieren, wie sie funktioniert, und sie als eine Einheit bekämpfen. Der Anti-Ransomware-Day ist eine gute Gelegenheit, darauf aufmerksam zu machen und die Öffentlichkeit daran zu erinnern, wie wichtig es ist, wirksame Sicherheitspraktiken anzuwenden. Das Global Cybercrime Programme von INTERPOL und unsere Partner sind fest entschlossen, die weltweiten Auswirkungen von Ransomware zu reduzieren und die Gesellschaft vor den Schäden zu schützen, die durch diese wachsende Bedrohung verursacht werden.“

Vielschichtiges Ransomware-Ökosystem

„Das Ransomware-Ökosystem ist vielschichtig und es stehen viele Interessen auf dem Spiel“, ergänzt Dmitry Galov, Sicherheitsforscher im Globalen Forschungs- und Analyseteam (GReAT) von Kaspersky. „Es ist ein sich stets ändernder Markt mit vielen Spielern, einige recht opportunistisch, andere sehr professionell und gewieft. Sie wählen keine spezifischen Ziele aus, sondern attackieren möglicherweise jede Organisation unabhängig von deren Größe, wenn sie Zugriff auf ein System erhalten. Ihr Geschäft floriert und wird dementsprechend nicht so schnell verschwinden. Zum Glück können recht einfache Sicherheitsmaßnahmen die Angreifer stoppen. Dabei helfen schon Standardverfahren wie regelmäßige Software-Updates und Backups.“

„Wirksame Maßnahmen gegen das Ransomware-Ökosystem können erst getroffen werden, wenn dessen Grundlagen wirklich verstanden werden“, so Ivan hinzu Kwiatkowski, leitender Sicherheitsforscher im Globalen Forschungs- und Analyseteam (GReAT) von Kaspersky. „Durch unseren Report möchten wir zum Verständnis beitragen, wie Ransomware-Angriffe genau organisiert sind, damit die IT-Sicherheits-Community angemessene Gegenmaßnahmen ergreifen kann.“

Mehr SecureList bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Quantencomputing: drei zentrale Cybersicherheitsrisiken

Die zunehmende Relevanz von Quantencomputern hat starke Auswirkungen auf die digitale Sicherheit. Als drängendste Cybersicherheitsrisiken sieht der Cybersicherheitsexperte bereits heute ➡ Weiterlesen

Sicherheitsrisiko Solaranlage: Europa stark gefährdet

Auf der ganzen Welt gibt es viele Solaranlagen, die über das Internet erreichbar und somit ein lohnendes Ziel für Cyberangriffe ➡ Weiterlesen

Cyberangriff auf Klinikverbund mit 100 Kliniken

Die AMEOS Gruppe, einer der größten privaten Klinikverbunde in Deutschland mit über 100 Einrichtungen und rund 18.000 Mitarbeitenden, wurde am ➡ Weiterlesen

TransferLoader: neue Malware verbreitet Morpheus-Ransomware

Seit einigen Monaten ist eine neue Malware mit Namen TransferLoader aktiv, die aus Downloader, Backdoor und einem Loader für die ➡ Weiterlesen

Aktive Malware Erkennung schützt Nutanix Backups

Die traditionellen Tools zur Erkennung von Malware schützen Unternehmen vor heutigen Bedrohungen nicht mehr ausreichend. Denn Cyberkriminelle attackieren mit Ransomware ➡ Weiterlesen

Schwachstellendatenbank EUVD ist ein wichtiger Schritt

Die Einführung der Europäischen Schwachstellendatenbank (EUVD) durch die Agentur der Europäischen Union für Cybersicherheit (ENISA European Network and Information Security ➡ Weiterlesen

DragonForce: Wie sich ein Ransomware-Kartell seine Stellung sichert

Ransomware ist nicht nur ein Geschäft, es ist eine Szene. Hier kommt es nicht nur auf Kompetenz und Ressourcen an, ➡ Weiterlesen

FunkSec: Analyse der KI-gestützten Ransomware

Kaspersky stellt seine aktuelle Forschung zur Ransomware-Gruppe FunkSec vor. Sie ist ein Beispiel dessen, wie die Zukunft der auf Masse ➡ Weiterlesen