S
sicherheit.ai
KI-Sicherheit & Cybersecurity
_
← Blog/Ransomware
Ransomware

Ransomware-as-a-Service: Wie kriminelle Plattformen Cyberangriffe industrialisieren

s
sicherheit.ai Redaktion
Basierend auf: Sophos State of Ransomware 2023, Europol IOCTA 2023, FBI Cybercrime Report 2023
05. Mai 2026·12 min Lesezeit
#Ransomware#RaaS#LockBit#BlackCat#Cl0p#Cybercrime#Backup

Ransomware-as-a-Service (RaaS) hat Cyberangriffe demokratisiert. LockBit, BlackCat/ALPHV und Cl0p betreiben Affiliate-Modelle wie SaaS-Unternehmen. Die durchschnittliche Lösegeldzahlung lag 2023 bei 1,54 Millionen US-Dollar laut Sophos.

Was ist Ransomware-as-a-Service?

Ransomware-as-a-Service (RaaS) ist ein Geschäftsmodell aus der Cyberkriminalität, bei dem spezialisierte Entwickler vollständige Ransomware-Plattformen inklusive Schadsoftware, Command-and-Control-Infrastruktur und Zahlungsabwicklung entwickeln und diese als Service an Partnerangreifer (Affiliates) vermieten.

Das Grundprinzip: Affiliates erhalten Zugang zur RaaS-Plattform und führen eigenständig Angriffe durch. Nach einer erfolgreichen Zahlung behalten die Core Developers typischerweise 15 bis 30%, der Rest geht an den Affiliate.

Die großen RaaS-Plattformen: LockBit, BlackCat und Cl0p

LockBit

LockBit war bis zu einer koordinierten Behördenoperation im Februar 2024 die produktivste RaaS-Gruppe weltweit. Das System bietet Affiliates ein Dashboard mit Angriffsverwaltung, Lösegeldforderungs-Templates und Verhandlungsportal. LockBit entwickelte das "triple extortion"-Modell: Verschlüsselung, Datendiebstahl und DDoS-Angriffe als dreifacher Druckmechanismus.

BlackCat (ALPHV)

ALPHV war eine der technisch fortschrittlichsten RaaS-Gruppen. Die Ransomware war in Rust programmiert und ermöglichte plattformübergreifende Angriffe auf Windows, Linux und VMware ESXi. Im Dezember 2023 wurde die Infrastruktur durch das FBI beschlagnahmt.

Cl0p

Cl0p unterscheidet sich durch einen Fokus auf Massenkampagnen via Zero-Day-Exploits. 2023 nutzte die Gruppe eine Schwachstelle in MOVEit-Software aus und stahl Daten von über 2.500 Organisationen weltweit.

Warum RaaS gefährlicher ist als traditionelle Ransomware

  • Skalierung: Hunderte von Affiliates können gleichzeitig auf unterschiedliche Ziele angesetzt werden
  • Spezialisierung: Core Developers konzentrieren sich auf Softwareentwicklung, Affiliates auf Initial Access
  • Professionalisierung: RaaS-Gruppen bieten Opfern tatsächlich funktionierenden Entschlüsselungs-Support, um ihre "Reputation" zu wahren
  • Resilienz: Selbst wenn Core Developers verhaftet werden, können Affiliates zu einer anderen Plattform wechseln

Laut Sophos State of Ransomware 2023 betrug die durchschnittliche Lösegeldzahlung 1,54 Millionen US-Dollar, ein Anstieg von fast 100% gegenüber 2022.

Schutzmaßnahmen gegen RaaS-Angriffe

Technische Maßnahmen

  • Offline-Backups nach der 3-2-1-Regel: 3 Kopien, 2 verschiedene Medien, 1 Kopie offline oder air-gapped
  • Patch-Management: Konsequente Aktualisierung aller Systeme, besonders VPN-Gateways und RDP-Zugänge
  • Multi-Faktor-Authentifizierung: MFA auf allen extern erreichbaren Diensten
  • Netzwerksegmentierung: Lateral Movement nach einem initialen Einbruch verhindern
  • EDR-Lösung: Verhaltensbasierte Erkennung von Verschlüsselungsaktivitäten

Organisatorische Maßnahmen

  • Incident Response Plan: Klarer, schriftlich fixierter Plan für den Ernstfall
  • Darknet-Monitoring: Überwachung von Unternehmensanmeldedaten auf Darknet-Marktplätzen
  • Lösegeldzahlung als letztes Mittel: Das BSI empfiehlt, vor einer Zahlung immer Kontakt mit Strafverfolgungsbehörden aufzunehmen

"Ransomware-Gruppen sind keine chaotischen Hacker mehr. Sie sind strukturierte Unternehmen mit HR-Abteilungen, Kundensupport und Qualitätssicherung. Die Verteidigung muss genauso professionell sein." – Sophos Threat Intelligence, 2023

#Ransomware#RaaS#LockBit#BlackCat#Cl0p#Cybercrime#Backup
// FAQ

Häufige Fragen

Q01

Sollte man Lösegeld zahlen?

Das BSI und Strafverfolgungsbehörden raten grundsätzlich von Lösegeldzahlungen ab, da sie kriminelle Infrastruktur finanzieren und keine Garantie für vollständige Datenwiederherstellung bieten. Laut Sophos erhält nur 8% der Unternehmen, die zahlen, alle Daten vollständig zurück.

Q02

Wie gelangen Ransomware-Gruppen initial in Unternehmensnetzwerke?

Die häufigsten Initial-Access-Vektoren laut Sophos 2023: kompromittierte Zugangsdaten für VPN oder RDP (33%), ausgenutzte Softwareschwachstellen (36%), Phishing-Mails (18%). Initial Access Broker kaufen oder stehlen Zugangsdaten und verkaufen sie im Darknet an RaaS-Affiliates.

Q03

Was ist "Double Extortion" bei Ransomware?

Double Extortion ist eine Taktik, bei der Angreifer vor der Verschlüsselung Daten stehlen und mit deren Veröffentlichung drohen. Unternehmen mit guten Backups können so trotzdem zur Zahlung genötigt werden, da die Veröffentlichung sensitiver Kundendaten zu DSGVO-Bußgeldern führen würde.

Q04

Sind kleine Unternehmen auch Ziele von RaaS-Gruppen?

Ja, explizit. Mittelständische Unternehmen mit 50 bis 500 Mitarbeitern sind bevorzugte Ziele: Sie haben oft weniger ausgereifte Sicherheitsstrukturen als Großkonzerne, aber ausreichend Umsatz für Lösegelder im sechs- bis siebenstelligen Bereich.

Q05

Was ist zu tun, unmittelbar nachdem ein Ransomware-Angriff entdeckt wurde?

Sofortige Isolation betroffener Systeme vom Netzwerk (Netzwerkkabel trennen). Keine Systeme ausschalten, da forensische Spuren im RAM verloren gehen. IT-Sicherheitsteam alarmieren, BSI und Polizei kontaktieren, Backup-Integrität prüfen.

s
sicherheit.ai Redaktion
Basierend auf: Sophos State of Ransomware 2023, Europol IOCTA 2023, FBI Cybercrime Report 2023
Experte für KI-Sicherheit und Cybersecurity bei sicherheit.ai