Ransomware as a Service: Verhandlungsführer sind mittlerweile sehr gefragt

  • Sep 04, 2023

RaaS-Gruppen stellen Verhandlungsführer ein, deren Hauptaufgabe darin besteht, die Opfer zur Zahlung zu zwingen.

Das Ransomware-as-a-Service (RaaS)-Ökosystem entwickelt sich zu einer Art Unternehmensstruktur. Forscher sagen, dass es neue Möglichkeiten für „Verhandlungsführer“ gibt – eine Rolle, die sich darauf konzentriert, Opfer zur Zahlung einer Gebühr zu erpressen Lösegeld.

Sicherheit

  • 8 Gewohnheiten hochsicherer Remote-Mitarbeiter
  • So finden und entfernen Sie Spyware von Ihrem Telefon
  • Die besten VPN-Dienste: Wie schneiden die Top 5 im Vergleich ab?
  • So finden Sie heraus, ob Sie in einen Datenverstoß verwickelt sind – und was als nächstes zu tun ist

Am Donnerstag veröffentlichte die KELA-Bedrohungsanalytikerin Victoria Kivilevich die Ergebnisse einer Studie zu RaaS-Trends, dass Ein-Mann-Band-Operationen aufgrund der lukrativen Natur des kriminellen Ransomware-Geschäfts fast „völlig aufgelöst“ seien.

Die potenziellen finanziellen Gewinne, die den Unternehmen entzogen werden, die verzweifelt versuchen, ihre Systeme freizuschalten, haben Spezialisten in diesem Bereich hervorgebracht Cyberkriminalität und Erpressung und haben auch zu einer hohen Nachfrage nach Einzelpersonen geführt, die den Verhandlungsteil eines Angriffs übernehmen Kette.

Ransomware kann nicht nur für den Betrieb eines Unternehmens, sondern auch für seinen Ruf und seine Bilanz verheerende Folgen haben. Wenn es Angreifern gelingt, einen Kerndienstanbieter anzugreifen, der von anderen Unternehmen genutzt wird, können sie ihre Angriffsfläche möglicherweise auch schnell auf andere Unternehmen ausdehnen.

In einem aktuellen Fall wurden am Feiertagswochenende in den USA Zero-Day-Schwachstellen in der von Kaseya bereitgestellten VSA-Software ausgenutzt, um Endpunkte zu gefährden und Unternehmen zu gefährden einer Ransomware-Infektion. Schätzungen zufolge sind derzeit bis zu 1.500 Unternehmen betroffen, zumindest aufgrund der Notwendigkeit, VSA-Bereitstellungen einzustellen, bis ein Patch verfügbar ist.

Laut KELA umfasst ein typischer Ransomware-Angriff vier Phasen: Malware-/Code-Erfassung, Verbreitung und die Infektion von Zielen, Extraktion von Daten und/oder Aufrechterhaltung der Persistenz auf betroffenen Systemen und Monetarisierung.

In jedem „Bereich“ gibt es Akteure, und in letzter Zeit ist die Nachfrage nach Extraktions- und Monetarisierungsspezialisten in der Ransomware-Lieferkette gestiegen.

Insbesondere das Aufkommen sogenannter Verhandlungsführer im Bereich der Monetarisierung ist mittlerweile ein Trend im RaaS-Bereich. KELA-Forscher sagen, dass insbesondere mehr Bedrohungsakteure auftauchen, die den Verhandlungsaspekt kontrollieren und den Druck erhöhen – etwa wenn auch nicht Anrufe, DDoS-Angriffe (Distributed Denial of Service) und Drohungen, einschließlich der Weitergabe gestohlener Informationen während eines Ransomware-Angriffs, sofern das Opfer nicht zahlt hoch.

KELA geht davon aus, dass diese Rolle aufgrund zweier potenzieller Faktoren entstanden ist: Die Notwendigkeit für Ransomware-Betreiber, sich zurückzuziehen mit einer angemessenen Gewinnspanne und einem Bedarf an Personen, die in der Lage sind, Konversationsenglisch zu beherrschen, um Verhandlungen zu führen effektiv.

„Auch dieser Teil des Angriffs scheint eine ausgelagerte Aktivität zu sein – zumindest für einige Partner und/oder Entwickler“, sagt Kivilevich. „Das Ransomware-Ökosystem ähnelt daher immer mehr einem Konzern mit vielfältigen Rollen innerhalb des Unternehmens und mehreren Outsourcing-Aktivitäten.“

Auch Erstzugangsvermittler sind gefragt. Nachdem die Forscher über ein Jahr lang Dark-Web- und Forenaktivitäten beobachtet hatten, kamen sie zu dem Schluss, dass der Preis für den privilegierten Zugang zu kompromittierten Netzwerken stark gestiegen ist. Einige Einträge sind jetzt 25 % bis 115 % höher als zuvor, insbesondere wenn der Zugriff auf Domain-Administratorebene erreicht wurde.

KELA

Diese Einbruchsspezialisten können zwischen 10 % und 30 % einer Lösegeldzahlung erhalten. Es sollte jedoch auch beachtet werden, dass einige dieser Broker überhaupt nicht mit Ransomware-Bereitstellungen zusammenarbeiten und dies nur tun „Melden Sie sich an“ für einen Angriff, der gegen andere Ziele genutzt wird, beispielsweise solche, die zur Erlangung von Kreditkartendaten führen.

„In den letzten Jahren haben sich Ransomware-Banden zu Cyberkriminalitätskonzernen mit Mitgliedern oder „Angestellten“ entwickelt. spezialisiert auf verschiedene Teile von Ransomware-Angriffen und verschiedene begleitende Dienstleistungen“, KELA kommentiert. „Das jüngste Verbot von Ransomware in zwei großen russischsprachigen Foren scheint dieses Ökosystem nicht zu beeinträchtigen, da nur die Werbung für Partnerprogramme in den Foren verboten wurde.“

Bisherige und verwandte Berichterstattung

  • Das Dark Web wird Sie nicht mehr verbergen, warnt die Polizei Betrüger.
  • Dark-Web-Administrator von DeepDotWeb bekennt sich schuldig, Schmiergelder beim Kauf von Waffen und Drogen erhalten zu haben.
  • Laut AFP sind Polizisten die einzigen, die sich im Darknet rechtmäßig bewegen.

Haben Sie einen Tipp? Sicher über WhatsApp in Kontakt treten | Signal unter +447713 025 499 oder über Keybase: charlie0