Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Cyberkriminalität Glossar

Ransomware-as-a-Service (RaaS)

Kriminelles Geschäftsmodell bei dem Ransomware-Entwickler ihre Malware als Dienst an 'Affiliates' vermieten, die Angriffe durchführen und den Lösegelderlös teilen. RaaS hat Ransomware-Angriffe massiv skalierbar gemacht - kein Programmierwissen nötig.

Ransomware-as-a-Service (RaaS) hat Cyberkriminalität demokratisiert. Statt monatelanger Malware-Entwicklung kaufen oder mieten Kriminelle heute ein komplettes “Ransomware Business Kit” - inklusive C2-Panel, Verhandlungs-Chatinterface, Zahlungsabwicklung und technischem Support. Das Ergebnis: deutlich mehr Angreifer, deutlich mehr Angriffe.

Das RaaS-Ökosystem

Die Akteure

Ransomware-Entwickler (Core Team):

  • Schreiben und pflegen die Ransomware-Software
  • Betreiben Backend-Infrastruktur (C2, Leak-Site, Zahlungsabwicklung)
  • Rekrutieren und managen Affiliates
  • Nehmen 20-30% des Lösegelds

Affiliates (Angreifer):

  • Führen die eigentlichen Angriffe durch
  • Kaufen Initial Access oder nutzen eigene Phishing-Fähigkeiten
  • Erhalten 70-80% des Lösegelds
  • Kein technisches Coding-Know-how nötig - alles als Service

Initial Access Brokers (IABs):

  • Verkaufen kompromittierten Zugang zu Unternehmensnetzwerken
  • Typische Produkte: VPN-Zugangsdaten, kompromittierte RDP-Accounts
  • Preise: 200-5.000$ je nach Unternehmensgröße und Zugriffstiefe

Negotiators:

  • Spezialisierte Kriminelle die Lösegeldforderungen aushandeln
  • Kennen Psychologie, wissen welche Unternehmen zahlen
  • Oft eigene Infrastruktur (verschlüsselte Chats)

Das Lean-Startup der Cyberkriminalität

  1. Affiliate sieht IAB-Angebot: “Zugang zu deutschen Pharmaunternehmen, 500 Mitarbeiter, Jahresumsatz 80M€, Domain Admin, VPN-Zugang - 1.200$”
  2. Affiliate kauft Zugang
  3. Affiliate deployed RaaS (z.B. LockBit Payload, via RaaS-Panel)
  4. Lateral Movement, Daten-Exfiltration, dann Ransomware-Deployment
  5. Opfer: Alle Server verschlüsselt + “Ihre Daten wurden exfiltriert - zahlen Sie 800.000€ oder wir veröffentlichen alles”
  6. Verhandlung über RaaS-Chat-Interface
  7. Zahlung in Monero/Bitcoin
  8. Aufteilung: 70% Affiliate, 30% RaaS-Entwickler

Bekannte RaaS-Gruppen

GruppeStatusBesonderheit
LockBit 3.0Teilweise zerschlagen (FBI 2024)Größte RaaS-Gruppe, Bug-Bounty-Programm!
ALPHV/BlackCatInaktiv nach FBI-Aktion 2024Rust-basiert, sehr fortschrittlich
Cl0pAktivMOVEit-Massenangriff (2023, 2.500+ Opfer)
RansomHubAktiv (2024 neu)Viele Ex-ALPHV-Affiliates
Play RansomwareAktivOft Managed Service Provider als Ziel
AkiraAktivLinux + VMware ESXi Fokus
8BaseAktivMittelstand-Fokus, viele deutsche Opfer

Double Extortion: Die Eskalation

Klassisches Ransomware: Verschlüsseln, Lösegeld fordern, entschlüsseln.

Double Extortion (seit ~2020): Verschlüsseln UND Daten exfiltrieren.

Phase 1: Exfiltration (still, über Wochen)

  • Dateien, E-Mails, Datenbank-Dumps auf Angreifer-Server

Phase 2: Verschlüsselung (lärmend, alle Systeme gleichzeitig)

Lösegeld-Drohung:

“Zahlt ihr nicht, veröffentlichen wir eure Daten auf unserer Leak-Site im Darknet. Kunden, Partner, Mitbewerber, Journalisten sehen alles.”

Druck: Auch mit perfektem Backup ist das Unternehmen erpressbar!

Triple Extortion: Zusätzlich DDoS auf Unternehmens-Website und direkte Kontaktaufnahme mit Kunden.

Warum “niemals zahlen” richtig ist

  1. Zahlung finanziert weitere Angriffe - direkt auf andere Opfer
  2. Keine Garantie für Schlüssel - 20-30% der Zahlenden erhalten keinen funktionierenden Schlüssel
  3. Keine Garantie keine Veröffentlichung - Daten könnten trotzdem geleakt werden
  4. Compliance-Risiko - OFAC-Sanktionen bei Zahlung an bestimmte Gruppen (US-Recht)
  5. Gezahlte Opfer werden erneut angegriffen - Angreifer wissen: “Die zahlen”
  6. Markiert als zahlungswillig - IABs und Affiliates teilen diese Information

Schutz gegen RaaS

Die meisten Ransomware-Angriffe beginnen mit einem dieser Vektoren:

  1. Phishing (47% laut IBM)
  2. Ungepatchte öffentliche Dienste (VPN, RDP, Exchange, Fortinet, Citrix)
  3. Schwache Credentials (Credential Stuffing, Brute Force)
  4. Insider/Kompromittierter Lieferant

Prioritäre Schutzmaßnahmen

Sofort:

  • MFA für alle Remote-Zugänge (VPN, RDP, M365)
  • Kritische Patches innerhalb 48h (Fortinet, Citrix, Exchange CVEs!)
  • RDP nicht direkt aus Internet erreichbar

Kurzfristig:

  • Immutable Backups einrichten (Ransomware kann Backups nicht löschen)
  • EDR auf allen Endgeräten (verhindert oft Ransomware-Deployment)
  • Netzwerksegmentierung (begrenzt Ausbreitung)

Mittelfristig:

  • Security Awareness Training (Phishing-Erkennung)
  • PAM für Admin-Accounts (verhindert Privilege Escalation)
  • Penetrationstest mit Ransomware-Simulation

AWARE7 Leistungen zum Thema

Penetrationstest ISO 27001 Beratung

Ausführlicher Wiki-Artikel

Backup und Disaster Recovery: Ransomware-sichere Datensicherung

11 min Lesezeit

Incident Response

9 Min. Lesezeit

Ransomware

8 Min. Lesezeit

Supply Chain Angriffe: SolarWinds, Log4Shell und die unsichtbare Bedrohung

12 min Lesezeit

Verwandte Begriffe

APT (Advanced Persistent Threat) Botnet Dark Web Lateral Movement - Wie Angreifer sich im Netz ausbreiten Ransomware
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung