S
sicherheit.ai
KI-Sicherheit & Cybersecurity
_
← Blog/Analyse
AnalyseANALYSE

Ransomware-as-a-Service 2024: Wie die Industrie des digitalen Erpressens funktioniert

s
sicherheit.ai Redaktion
Basierend auf: Sophos, IBM, Veeam, Europol, BSI
01. September 2024·13 min Lesezeit
#Ransomware#RaaS#Extortion#Cl0p#LockBit#ALPHV#Incident Response#Backup

Ransomware ist zur industrialisierten Kriminalität geworden. Laut Sophos State of Ransomware 2024 waren 59% der befragten Organisationen betroffen. Eine Analyse der RaaS-Ökonomie, aktueller Gruppen und wirksamer Gegenmaßnahmen.

Was ist Ransomware-as-a-Service?

Ransomware-as-a-Service (RaaS) ist ein Geschäftsmodell, bei dem Ransomware-Entwickler ihre Schadsoftware und Infrastruktur als Dienstleistung an Kriminelle vermieten — die sogenannten Affiliates. Der Affiliate führt den Angriff durch und teilt den Erlös mit den RaaS-Entwicklern, typischerweise 20–30%.

Dieses Modell hat Ransomware industrialisiert: Technisches Know-how ist nicht mehr notwendig. Ein Affiliate kauft Zugangsdaten (Credentials) zu Firmennetzwerken auf kriminellen Marktplätzen, lässt die RaaS-Plattform die Verschlüsselung durchführen und wartet auf Lösegeldzahlungen.

Zahlen und Fakten 2024

Folgende Zahlen entstammen veröffentlichten Berichten seriöser Quellen:

  • Sophos State of Ransomware 2024 (5.000 befragte IT-Entscheider in 14 Ländern): 59% der Organisationen wurden in den letzten 12 Monaten von Ransomware getroffen
  • Sophos 2024: Durchschnittliche Lösegeldforderung: 2 Millionen USD (Median)
  • Sophos 2024: Nur 44% der zahlenden Organisationen zahlten weniger als die ursprüngliche Forderung (nach Verhandlung)
  • IBM Cost of a Data Breach 2024: Durchschnittliche Gesamtkosten eines Datenvorfalls: 4,88 Millionen USD (globaler Durchschnitt, höchster Wert seit Beginn der Erhebung)
  • Veeam Ransomware Trends 2024: 75% der Unternehmen waren 2023/24 Opfer von mindestens einem Ransomware-Angriff

Aktive RaaS-Gruppen 2024

LockBit 3.0

LockBit war bis Anfang 2024 die produktivste Ransomware-Gruppe weltweit. Im Februar 2024 führte Operation Cronos — eine koordinierte Aktion von Europol, FBI, NCA (Großbritannien) und 10 weiteren Behörden — zur Abschaltung der LockBit-Infrastruktur und Verhaftung mehrerer Mitglieder. Zwei mutmaßliche LockBit-Affiliates wurden in Polen und der Ukraine festgenommen, ein russisches Mitglied wurde in den USA angeklagt.

LockBit versuchte sich neu zu formieren, verlor aber erheblich an Kapazität und Reputation in der kriminellen Gemeinschaft.

ALPHV/BlackCat

ALPHV (auch BlackCat) war 2023/24 eine der technisch fortschrittlichsten Ransomware-Gruppen. Im März 2024 übernahm das FBI die ALPHV-Leak-Seite. Kurz darauf führte ALPHV angeblich einen Exit Scam durch — verschwand mit ca. 22 Millionen USD Lösegeld, das ein Affiliate für den Angriff auf Change Healthcare (US-Gesundheitsversorgung) erpresst hatte.

Der Angriff auf Change Healthcare im Februar 2024 verursachte massive Störungen im US-amerikanischen Gesundheitssystem und gilt als einer der folgenschwersten Ransomware-Vorfälle in der Geschichte.

Cl0p

Cl0p ist bekannt für groß angelegte Angriffe auf Dateitransfer-Software (Accellion 2021, GoAnywhere 2023, MOVEit 2023). Die Gruppe setzt auf Datendiebstahl ohne Verschlüsselung — ein Trend der sich 2024 fortsetzt.

Anatomie eines modernen Ransomware-Angriffs

Moderne RaaS-Angriffe folgen typischerweise einer strukturierten Angriffskette:

  1. Initial Access: Phishing-E-Mails, kompromittierte VPN-Zugangsdaten (z.B. aus Datenpannen), öffentlich zugängliche Schwachstellen in RDP, VPN-Appliances
  2. Persistence: Installation von Remote-Access-Tools (Cobalt Strike, Metasploit), Erstellung von Backdoor-Accounts
  3. Lateral Movement: Ausbreitung im Netzwerk über Pass-the-Hash, RDP, WMI — Ziel sind Active-Directory-Admins und Backup-Systeme
  4. Data Exfiltration (Double Extortion): Systematischer Datendiebstahl vor der Verschlüsselung als Druckmittel
  5. Backup-Sabotage: Löschen oder Verschlüsseln von Backup-Systemen — kritischste Phase für die Wiederherstellbarkeit
  6. Deployment: Gleichzeitige Ausführung des Ransomware-Payloads auf allen identifizierten Systemen
# Typische Verweildauer vor Verschlüsselung (laut Mandiant M-Trends 2024):
# Medianer "Dwell Time": 10 Tage (globaler Durchschnitt)
# D.h.: Angreifer sind im Schnitt 10 Tage im Netzwerk BEVOR der Angriff sichtbar wird
# Ziel: Backup-Systeme identifizieren und kompromittieren

Wirkungsvolle Schutzmaßnahmen

Folgende Maßnahmen sind laut BSI, CISA und führenden Sicherheitsforschern am wirksamsten:

Backup nach 3-2-1-1-0

  • 3 Kopien der Daten
  • 2 verschiedene Speichermedien
  • 1 Off-Site Kopie
  • 1 Offline / Air-Gapped Kopie (nicht erreichbar über das Netzwerk)
  • 0 ungetestete Backups — regelmäßige Restore-Tests sind Pflicht

MFA + Privilegienverwaltung

  • MFA für alle externen Zugänge (VPN, E-Mail, RDP, Admin-Interfaces)
  • Privileged Access Management (PAM) für Admin-Accounts
  • Least-Privilege-Prinzip: Jeder Account hat nur die minimal notwendigen Rechte

Netzwerksegmentierung

  • Backup-Systeme in eigenem, isolierten VLAN ohne direkte Verbindung zu Produktionssystemen
  • Micro-Segmentierung verhindert laterale Bewegung
  • Zero-Trust-Architektur: Kein implizites Vertrauen innerhalb des Netzwerks

Strafverfolgung: Erfolge und Grenzen

Die internationale Strafverfolgung hat 2024 Fortschritte erzielt:

  • Operation Cronos (Februar 2024): Zerschlagung von LockBit, Verhaftung mehrerer Mitglieder
  • ALPHV-Disruption (Dezember 2023/März 2024): FBI übernimmt ALPHV-Infrastruktur
  • Hive-Ransomware (Januar 2023): FBI infiltrierte Hive für 6 Monate und stellte Entschlüsselungskeys bereit

Trotz dieser Erfolge: Die meisten RaaS-Entwickler operieren aus Ländern ohne Auslieferungsabkommen (Russland, Iran, Nordkorea) und sind damit praktisch unantastbar für westliche Strafverfolgungsbehörden.

#Ransomware#RaaS#Extortion#Cl0p#LockBit#ALPHV#Incident Response#Backup
// FAQ

Häufige Fragen

Q01

Soll man Lösegeld zahlen?

Das BSI und alle Strafverfolgungsbehörden raten ausdrücklich von Lösegeldzahlungen ab. Gründe: 1) Keine Garantie auf Entschlüsselung oder Datenlöschung. 2) Laut Sophos 2024: 56% der zahlenden Organisationen konnten nicht alle Daten wiederherstellen. 3) Lösegeldzahlungen finanzieren weitere Angriffe. 4) Rechtliche Risiken (Sanktionen wenn Angreifer auf Sanktionslisten stehen).

Q02

Was sind die wichtigsten ersten Schritte nach einem Ransomware-Angriff?

1) Betroffene Systeme sofort vom Netzwerk isolieren (nicht ausschalten — forensische Beweise erhalten). 2) IT-Notfallteam/externen Incident-Response-Dienstleister alarmieren. 3) BSI informieren (Pflicht für KRITIS-Betreiber, empfohlen für alle). 4) Staatsanwaltschaft/LKA benachrichtigen. 5) Datenschutzbehörde informieren wenn personenbezogene Daten betroffen (72-Stunden-Frist DSGVO). 6) Backup-Integrität prüfen.

Q03

Kann man Ransomware ohne Backup wiederherstellen?

In manchen Fällen ja: Das Projekt NoMoreRansom (nomoreransom.org) — eine Initiative von Europol, FBI, und Antivirusherstellern — bietet kostenlose Entschlüsselungstools für bekannte Ransomware-Familien. Allerdings haben aktuelle RaaS-Gruppen in der Regel keine bekannten Schwächen in der Verschlüsselung.

Q04

Was kostet ein Ransomware-Angriff wirklich?

Laut IBM Cost of a Data Breach 2024: durchschnittlich 4,88 Millionen USD Gesamtkosten (global). Darin enthalten sind Lösegeldzahlungen, Wiederherstellungskosten, Betriebsunterbrechung, Reputationsschäden und rechtliche Kosten. Laut Sophos 2024: Durchschnittliche Wiederherstellungskosten 2,73 Millionen USD — unabhängig davon ob Lösegeld gezahlt wurde.

s
sicherheit.ai Redaktion
Basierend auf: Sophos, IBM, Veeam, Europol, BSI
Experte für KI-Sicherheit und Cybersecurity bei sicherheit.ai
Teilen