Ransomware-ROI aus krimineller Sicht

Druckfreundlich, PDF & E-Mail

„Werden wir bezahlen?“

So beginnen viele Gespräche über Ransomware – hoffentlich, bevor das Unternehmen zum Opfer eines Angriffs wird.  Bei dieser Entscheidung bewerten Unternehmen, was in ein Ransomware-Verteidigungsprogramm einfließt, welches Risikoniveau sie akzeptieren und wie gut das Prinzip, kein Lösegeld zu zahlen, den Geschäftsverlusten durch Ausfallzeiten oder eine fehlgeschlagene Wiederherstellung standhält.

Geschäftsführer und Sicherheitsexperten sind nicht die Einzigen, die das durchkalkulieren.  Auch die Ransomware-Kriminellen rechnen nach, damit sie ein Lösegeld fordern können, das für sie profitabel ist. Trotzdem wird der Betrag in einer Höhe sein, die das Unternehmen zahlen wird.  Dieser Grundsatz gilt nicht für alle Ransomware-Kriminellen. Einige sind staatliche Akteure, die ein höheres Motiv als eine Lösegeldzahlung haben, und andere verwenden einfach Spam-Kits, um ein hohes Volumen an Angriffen mit niedrigen Lösegeldsummen zu verbreiten.  Aber organisierte Ransomware-Verbreiter haben andere Ziele. Sie sind sich ihrer Kosten bewusst und investieren in Technologien, um das „Geschäft“ auszubauen.  Sie achten ganz ähnlich wie ein legitimes Unternehmen auf ihre Bilanz.

Organisierte Ransomware-Betreiber sind sich ihrer Kosten bewusst und investieren in Technologien, um das „Geschäft“ auszubauen.  Sie achten ganz ähnlich wie ein legitimes Unternehmen auf ihre Bilanz.Zum Tweeten hier klicken

Ransomware als Geschäft

Hier sind einige der wichtigsten Investitionen, die Ransomware-Kriminelle in ihre Aktivitäten tätigen:

Infrastruktur:  Auch kriminelle professionelle Betriebe müssen Kosten für physische, softwarebezogene und menschliche Infrastruktur in Betracht ziehen.  Einige Firmen beschäftigen Übersetzer und viele bieten rund um die Uhr technische Unterstützung an, um den Opfern durch den Prozess zu helfen.  Einige haben ihre eigenen Entwickler, die neue Arten von Ransomware entwickeln, um Abwehrmaßnahmen zu vereiteln.  Das kann teuer werden, aber Verbreiter von Ransomware nutzen oft andere Netzwerke für die Verteilung oder andere Codierungen.  Auch wenn das für einen Außenstehenden schwer zu beziffern ist, enthält der Bericht von 2018 zum Schwarzmarkt-Ökosystem die folgenden Schätzwerte zu den monatlichen Kosten pro Kampagne:

  • Durchschnittliche geschätzte Betriebskosten: 1044 $
  • Hohe geschätzte Betriebskosten: 2625 $
  • Niedrige geschätzte Betriebskosten: 391 $
  • Komponenten: Ransomware-Payload + Downloader + Verschlüsselungstool + Fast-Flux-BPH+ Verbreitungsmethode (Spam/TDS/„Ladungs“-Dienst für Malware/BruteForce)

Forschung und Entwicklung.  Damit Ransomware profitabel bleibt, muss der Angriff genug Schaden anrichten, um die Wahrscheinlichkeit einer schnellen Wiederherstellung zu verringern.  Das bedeutet, dass die Kriminellen ihre Methoden und Software ständig verbessern müssen, um der Ransomware-Abwehr immer einen Schritt voraus zu sein.  Einige Beispiele für diese Arbeit:

Fortlaufende Verbesserungen des Codes:  polymorpher Code, verbesserte Verschlüsselung, randomisierte Angriffe.  Ransomware wäre heute keine ernstzunehmende Bedrohung, wäre sie nicht weiterentwickelt worden.  Polymorpher Code ermöglicht es der Ransomware, ihre Signatur bei jeder Infektion leicht zu verändern, wodurch die Erkennung erschwert wird.  Verbesserte Verschlüsselung erschwert es Forschern, Entschlüsselungsschlüssel für Ransomware für die Öffentlichkeit zu entwickeln.  Die laufenden Entwicklungsbemühungen können auch Exploit-Kits und andere Arten von Malware umfassen.

Subscription Services:  Dies erfordert eine zusätzliche Art von Infrastruktur und Support.  Organisierte Betreiber ermöglichen es anderen, ihre eigenen kleineren Betriebe ins Leben zu rufen, indem sie Ransomware-as-a-Service (RaaS) anbieten.  Wie alle anderen ''as-a-Service'-Verfahren ermöglicht dies Einsteigern den Zugang zu großer Rechenleistung und aktueller Software und erweitert gleichzeitig den Wirkungsbereich des Ransomware-Angriffs.  RaaS-Anbieter verlangen in der Regel einen Anteil von 10 bis 40 % des Lösegelds und wie bei vielen legitimen Partnerprogrammen gibt es Leistungsanreize für die Teilnehmer.

Social-Engineering-Recherche.  Obwohl Kriminelle nach wie vor groß angelegte „Spray and Pray“-Strategien verfolgen, wird Ransomware häufig durch Spear-Phishing-E-Mails übermittelt.  Diese Angriffe stützen sich auf Social-Engineering-Recherche, die dem Kriminellen ermöglicht, hochwertige Ziele zu identifizieren und dann einen Angriff zu entwerfen.  Die Zeit und der Aufwand für die Recherche sind unterschiedlich, aber gute Recherche kann sich in hohem Maße auszahlen.

Der Weg über den PC hinaus.  Die Entwickler von Ransomware konnten ungepatchte Windows-Systeme als leichte Ziele ausmachen, aber sie beließen es nicht dabei.  Die Beliebtheit anderer Geräte und Plattformen hat die Entwicklung neuer Arten von Angriffen vorangetrieben.  MacRansom RaaS war die erste weit verbreitete Ransomware, die gegen Macs gerichtet war, und der Verizon Mobile Security Index von 2019 berichtet, dass es mindestens eine Art von Ransomware gibt, die iOS-Geräte zum Ziel hat.  Ransomware gegen Android wird seit 2014 eingesetzt und ist auf Grund der Art und Weise, wie Android mit Apps von Drittanbietern umgeht, weiter verbreitet.  IoT-Ransomware stellt ebenfalls eine wachsende Bedrohung dar, da Kriminelle nach Möglichkeiten suchen, Eigentümer von industriellen Steuerungssystemen und anderen unternehmenskritischen, vernetzten Geräten auszusperren.

Brand-Management.  Wir sprechen hier zwar nicht von großen Programmen für das Brand-Management, aber professionelle Ransomware-Unternehmen pflegen ihren Ruf.  Sie möchten, dass ihre Opfer und die Cybersicherheitsbranche wissen, dass sie ihren Teil der Abmachung einhalten werden. Deshalb reagieren sie in der Regel sofort mit einem Entschlüsselungsschlüssel und greifen den Kunden nicht mehr an, nachdem das Lösegeld bezahlt wurde.  Mark Rasch, ein Anwalt für Cybersicherheit, erklärt: „Sie möchten als vertrauenswürdige Diebe bekannt sein.“  Zu diesem Zweck verfügen sie über Systeme, mit denen sie verfolgen können, welche Zahlungen an welche Computer gebunden sind.  Ohne diesen Prozess kann sich der Kriminelle nicht sicher sein, wer das Lösegeld bezahlt hat.

Professionelle Ransomware-Kriminelle möchten, dass Sie ihnen genug vertrauen, um das Lösegeld zu bezahlen. Manche bieten sogar technischen Support und kostenlose Testversionen ihrer Decodierer. Zum Tweeten hier klicken

 

 

Return on Investment (ROI)

Ein organisiertes Unternehmen begreift das Geschäft und die Risiken gut genug, um zu wissen, wie viel Geld verdient werden muss.  Das gibt ihnen die Flexibilität zu verhandeln, eine Transaktion abzubrechen oder Preisstufen für verschiedene Arten von Opfern zu entwickeln.

Außenstehende können möglicherweise nicht genau wissen, wie viel diese Unternehmen verdienen, aber diese Daten vermitteln uns ein Bild davon, womit wir es zu tun haben:

Es ist unbestritten, dass Ransomware nicht so bald verschwinden wird.  Sie wird eher zu einer noch größeren Bedrohung werden, wenn Kriminelle künstliche Intelligenz einsetzen, um intelligentere Deepfake-Angriffe durchzuführen.

Es gibt verschiedene Technologien, um Ihr Unternehmen vor diesen Ransomware-Unternehmen zu schützen. Dazu gehören auch Systeme, die Ihre Mitarbeiter darin schulen, derartige Angriffe zu erkennen und zu unterbinden.  Besuchen Sie unsere Ransomware-Seite, um zu erfahren, wie Barracuda zum Schutz Ihres Unternehmens und Ihres Rufs vor Ransomware-Angriffen beitragen kann.

 

Nach oben scrollen
Twittern
Teilen
Teilen