Ransomware-ROI aus krimineller Sicht

„Bezahlen wir?“

So beginnen viele Gespräche über Ransomware – hoffentlich, bevor das Unternehmen Opfer eines Angriffs wird.  Bei dieser Entscheidung werten Unternehmen aus, was in ein Ransomware-Verteidigungsprogramm einfließt, welchen Risikograd sie akzeptieren und wie gut das Prinzip, kein Lösegeld zu zahlen, den Geschäftsverlusten durch Ausfallzeiten oder eine fehlgeschlagene Wiederherstellung standhält.Geschäftsführer und Security-Experten sind nicht die Einzigen, die das ausrechnen.  Die Ransomware-Kriminellen gehen auch die Zahlen durch, damit sie ein Lösegeld fordern können, das für sie profitabel ist, aber dennoch ein Betrag ist, den das Unternehmen zahlen wird.  Dieser Grundsatz gilt nicht für alle Ransomware-Kriminellen. Einige sind staatliche Akteure, die ein größeres Motiv als eine Lösegeldzahlung haben und andere verwenden einfach Spam-Kits, um ein hohes Volumen an Angriffen mit niedrigen Lösegeld-Summen zu verbreiten.  Aber organisierte Ransomware-Angriffe haben unterschiedliche Ziele. Sie verstehen ihre Kosten und investieren in Technologien, um das „Geschäft“" auszubauen.  Sie achten ähnlich wie ein legitimes Unternehmen auf die Bilanz.

Ransomware als Geschäft

Hier sind einige der wichtigsten Investitionen, die Ransomware-Kriminelle in ihrem Betrieb tätigen:

Infrastruktur:  Auch kriminelle professionelle Aktivitäten müssen physische Kosten, Software und menschliche Infrastruktur-Kosten berücksichtigen.  Einige Unternehmen beschäftigen Übersetzer und viele bieten 24/7 technischen Support an, um den Opfern während des Prozesses zu helfen.  Einige haben ihre eigenen Entwickler, die neue Ransomware-Stämme entwickeln, um Abwehrmaßnahmen zu verhindern.  Das kann teuer werden, aber Verbreiter von Ransomware nutzen häufig andere Netzwerke für die Verbreitung oder andere Codierung.  Auch wenn es für einen Außenstehenden schwer zu beziffern ist, enthält der Schwarzmarkt-Ökosystembericht 2018 die folgenden monatlichen Schätzungen pro Kampagne:

•  
• Durchschnittliche geschätzte Betriebskosten: 1.044 USD
•  
• Hohe geschätzte Betriebskosten: 2.625 USD
•  
• Niedrige geschätzte Betriebskosten: 391 USD
•  
• Komponenten: Ransomware-Payload + Downloader + Verschlüsselungstool + Fast-Flux-BPH+ Verbreitungsmethode (Spam/TDS/„Ladungs“-Dienst für Malware/BruteForce)
•  

Forschung und Entwicklung.  Damit Ransomware rentabel bleibt, muss der Angriff genug Schaden anrichten, um die Wahrscheinlichkeit einer schnellen Wiederherstellung zu verringern.  Das bedeutet, dass die Kriminellen ihre Methoden und Software ständig verbessern müssen, um der Abwehr von Ransomware immer einen Schritt voraus zu sein.  Einige Beispiele für diese Arbeit:

Fortlaufende Verbesserungen des Codes:  polymorpher Code, verbesserte Verschlüsselung, randomisierte Angriffe.  Ransomware wäre heute keine ernstzunehmende Bedrohung, wäre sie nicht weiterentwickelt worden.  Polymorpher Code ermöglicht es der Ransomware, ihre Signatur bei jeder Infektion leicht zu verändern, wodurch die Erkennung erschwert wird.  Verbesserte Verschlüsselung erschwert es Forschern, Entschlüsselungsschlüssel für Ransomware für die Öffentlichkeit zu entwickeln.  Die laufenden Entwicklungsbemühungen können auch Exploit-Kits und andere Arten von Malware umfassen.

 

Abonnement-Services:  Dies erfordert eine zusätzliche Art von Infrastruktur und Support.  Organisierte Betreiber ermöglichen es anderen, ihre eigenen kleineren Betriebe ins Leben zu rufen, indem sie Ransomware-as-a-Service (RaaS) anbieten.  Wie alle anderen „as-a-Service“-Vorgänge erhalten Neuankömmlinge auch hier Zugriff auf große Rechenleistung und aktuelle Software, während gleichzeitig der Wirkungsbereich des Ransomware-Angriffs erweitert wird.  RaaS-Anbieter verlangen in der Regel einen Anteil von 10–40 % des Lösegelds und wie bei vielen legitimen Partnerprogrammen gibt es Leistungsanreize für die Teilnehmer.

 

Social-Engineering-Recherche.  Obwohl Kriminelle nach wie vor groß angelegte „Spray and Pray“-Taktiken anwenden, wird Ransomware häufig über Spear-Phishing-E-Mails übermittelt.  Diese Angriffe basieren auf Social-Engineering-Forschung, die es dem Kriminellen ermöglicht, wertvolle Ziele zu identifizieren und dann einen Angriff zu planen.  Die Zeit und der Aufwand, die in die Forschung investiert werden, variieren, aber gute Forschung kann sich erheblich auszahlen.

 

Der Weg über den PC hinaus.  Die Entwickler von Ransomware konnten nicht gepatchte Windows-Systeme als leichte Ziele ausmachen, aber das war ihnen nicht genug.  Die Beliebtheit anderer Geräte und Plattformen hat die Entwicklung neuer Angriffsarten vorangetrieben.  MacRansom RaaS war die erste Ransomware, die gegen Macs gerichtet war, über die ausführlich berichtet wurde und der Verizon Mobile Security Index 2019 berichtet, dass es mindestens eine Art von Ransomware gibt, die iOS-Geräte zum Ziel hat.  Ransomware gegen Android wird seit 2014 eingesetzt und ist auf Grund der Art und Weise, wie Android mit Apps von Drittanbietern umgeht, weiter verbreitet.  IoT-Ransomware stellt ebenfalls eine wachsende Bedrohung dar, da Kriminelle nach Möglichkeiten suchen, Eigentümer von industriellen Steuerungssystemen und anderen unternehmenskritischen, vernetzten Geräten auszusperren.

Marken-Management.  Wir sprechen hier zwar nicht von großen Programmen für das Marken-Management, aber professionellen Ransomware-Organisationen legen Wert auf ihren Ruf.  Sie möchten, dass ihre Opfer und die Cybersecurity-Branche wissen, dass sie ihren Teil der Abmachung einhalten werden. Deshalb reagieren sie in der Regel sofort mit einem Entschlüsselung-Schlüssel und greifen den Kunden nicht mehr an, nachdem das Lösegeld bezahlt wurde.  Mark Rasch, ein Cybersecurity-Anwalt, sagt: „Sie möchten als vertrauenswürdige Diebe bekannt sein.“  Zu diesem Zweck verfügen sie über Systeme, mit denen sie verfolgen können, welche Zahlungen an welche Computer gebunden sind.  Ohne diesen diesen Prozess kann sich der Kriminelle nicht sicher sein, wer das Lösegeld bezahlt hat.

 

 

Return on Investment (ROI)

Ein organisiertes Unternehmen versteht das Geschäft und die Risiken gut genug, um zu wissen, wie viel Geld sie verdienen müssen.  Das gibt ihnen die Flexibilität zu verhandeln, eine Transaktion abzubrechen oder Preisstufen für verschiedene Arten von Opfern zu entwickeln.Außenstehende können möglicherweise nicht genau wissen, wie viel diese Organisationen verdienen, aber diese Daten vermitteln uns ein Bild davon, womit wir es zu tun haben:

• Das durchschnittliche Lösegeld das im ersten Quartal 2019 gezahlt wurde, betrug 12.762 USD, verglichen mit 6.733 USD im vierten Quartal 2018


• Das inzwischen nicht mehr existierende (oder transformierte) Partnerprogramm GandCrab verdiente über 2,8 Millionen USD im Februar 2019


• 2017 verdienten Ransomware-Entwickler durchschnittlich mehr als doppelt so viel wie ein Entwickler, der an legalen Projekten arbeitet


• Die weltweiten Kosten für Ransomware werden voraussichtlich 11,5 Milliarden USD im Jahr 2019 und 20 Milliarden USD bis 2021 erreichen


• Ransomware ist ein Bestseller in Untergrund-Malware-Foren

Es ist klar, dass Ransomware nicht so bald verschwinden wird.  Sie wird eher zu einer noch größeren Bedrohung werden, wenn Kriminelle künstliche Intelligenz nutzen, um intelligentere Deepfake-Angriffe durchzuführen.

Es gibt verschiedene Technologien, um Ihr Unternehmen vor diesen Ransomware-Unternehmen zu schützen. Dazu gehören auch Systeme, die Ihre Mitarbeitenden darin schulen, derartige Angriffe zu erkennen und zu stoppen.  Besuchen Sie unsere Ransomware-Seite, um zu erfahren, wie Barracuda zum Schutz Ihres Unternehmens und Ihres Rufs vor Ransomware-Angriffen beitragen kann.