Ransomware gibts seit den 80-Jahren, aber seitdem hat sich das Businessmodell massiv verändert. Ein Überblick, wie die Cyberkriminellen ihr Geld verdienen.
Ransomware ist zu einem sehr lukrativen Geschäftszweig von Cyberkriminellen geworden. Seit die erste einfache Ransomware bereits in den 80ern aufgetaucht ist, hat sich das Businessmodell stetig weiterentwickelt, ebenso wie die dafür eingesetzte Schadsoftware. Für die Cyberkriminellen ist der Geschäftszweig der Ransomware zu einem wichtigen Standbein geworden. Wirft man einen Blick auf aktuelle Ransomware-Attacken und die meist damit verbundenen Erpressungsgelder, könnte man meinen, dass dies das erträglichste Geschäftsmodell sei. Doch ist dem wirklich so? Und wenn es ein noch lukrativeres Geschäftsmodell gibt, welches ist es und bestehen Parallelen zum Businessmodell „Ransomware“?
Statistik Cybercrime Schweiz und Cybercrime Weltweit:
Das nach wie vor erfolgreichste Geschäftsmodell für Cyberkriminelle
Unbestritten: Ransomware ist lukrativ für Cyberkriminelle und hat sich seit vielen Jahren bewährt. Doch im Verhältnis zum Ertrag gibt es tatsächlich noch lukrativere und sogar noch ältere Machenschaften.
Weltweit und auch in der Schweiz (siehe Statistiken oben) führend ist der sogenannte „Business E-Mail Compromise“ (BEC), im deutschsprachigen Raum auch bekannt als „CEO-Fraud“. Laut Zahlen des FBI für das Jahr 2020 verursachten BEC-Angriffe alleine in den USA einen Schaden von insgesamt fast zwei Milliarden US-Dollar. Zum Vergleich: Im selben Jahr waren es durch Ransomware „nur“ knapp dreissig Millionen Dollar. Die Zahlen sind über die letzten fünf Jahre exponentiell in die Höhe geschnellt – für sämtliche Betrugsarten.
Wie funktioniert eine BEC-Attacke?
Typischerweise versuchen die Angreifer, sich als echte, zu einem Unternehmen gehörende Person (oft der CEO, daher der auch verwendete Name CEO-Fraud) auszugeben. Somit ist eine BEC-Attacke einfach gesagt ein Teil von Social Engineering. Mit dieser Täuschung wird versucht, unter Vorgabe oft falscher Tatsachen beim Opfer das Gefühl auszulösen, mit der echten Person zu sprechen. Auf diesem Weg wird das Opfer dann dazu verleitet, eine kleinere oder grössere Zahlung auszulösen. Der Betrug findet in den meisten Fällen per E-Mail, seltener auch per Telefon oder Video-Telefonanruf, statt. Oft werden E-Mail-Konten verwendet, welche im Darknet gekauft und einer fixen Person in einem Unternehmen zugeordnet werden können.
Parallelen und Unterschiede von Business E-Mail Compromise (BEC, CEO-Fraud) und Ransomware
BEC-Angriffe fokussieren sich primär auf Unternehmen, in denen die Schlüsselpersonen präsent und identifizierbar sind. Durch sog. „Open Sourcen Intelligence (OSINT)“-Recherchen werden bspw. Dokumente, Partnerschaften, Abwesenheiten (Urlaub der zu imitierenden Person) und weitere Informationen im Internet identifiziert und dann bei Bedarf ausgenutzt. Die Unternehmen sind oft ausreichend gross, sodass ein Anruf oder eine Nachfrage zu einer bestimmten Person kein unnötiges Aufsehen erregt.
Der Fokus von Ransomware-Angriffen verschiebt sich leicht in Richtung kritische Infrastruktur und Unternehmen, welche für die Supply Chain zuständig oder mitverantwortlich sind. Die Täterschaft erhofft sich daraus eine bessere Erpressbarkeit (=hohe Chancen, dass das Opfer zahlungswillig ist) sowie eine höhere Ransom (=Lösegeld), da das Unternehmen es sich nicht leisten kann, einen langen Betriebsunterbruch in Kauf zu nehmen, oder den Image-Schaden fürchtet. Weiterhin im Fokus sind aber sogenannte „Low Hanging Fruit“, d. h. Unternehmen, welche offensichtliche Schwachstellen im IT-System haben, die sehr einfach ausnutzbar sind. Solche „Einladungen“ werden stets angenommen.
Komplexität des Angriffes
Trotz des grossen Schadens, den beide Angriffsarten für sich und insbesondere gemeinsam anrichten, ist die Ausführung eines solchen Angriffes nicht sonderlich komplex. Dies hat unterschiedliche Gründe:
BEC:
- Die für den Angriff notwendigen Informationen sowie die genauen Angaben des potenziellen Opfers sind im Darknet – und häufig öffentlich z. B. auf Firmenwebseiten – einfach zu beschaffen bzw. zum Kauf verfügbar.
- Es gab in den letzten Jahren viele Daten-Leaks, die E-Mail-Adressen, Telefonnummern, Passwörter und weitere persönliche Daten beinhalten. Die Täterschaft muss sich nur die Mühe machen, diese nach den notwendigen Informationen zu durchsuchen.
- Das Vortäuschen falscher Tatsachen (Deep Voice, Deep Fake, Imitieren von Rechnungen etc.) ist mit heutigen Mitteln (Software und Hardware) kostengünstig und einfach möglich. Das Know-how kann genauso online angeeignet werden, beispielsweise in YouTube-Videos.
- Die Dienstleistungen können „as a Service“ bezogen werden. Sprich hat ein Angreifer nicht die Zeit und Möglichkeit, sich selbst darum zu kümmern, kann er bekannte Akteure/Anbieter dafür bezahlen. Oft gibt es dazu verschiedene Modelle, damit nicht immer in finanzielle Vorleistung gegangen werden muss (Revenue Sharing).
- Gelder werden via Betrugs-Bankkonto gewaschen und landen so in den Taschen der Hintermänner. Dank modernem Banking (Neobanken, Digital Banking) wird es immer einfacher, (auch online) Konten zu eröffnen.
Ransomware:
- Schwachstellenscans können weltweit kostengünstig (z.B. durch Zuhilfenahme von Open-Source-Software) durchgeführt werden – rund um die Uhr und über Landesgrenzen hinweg. Wird dies regelmässig gemacht, werden bekannte Schwachstellen oft schneller entdeckt, als es für die Systemadministratoren möglich ist, die Schwachstellen zu beheben.
- Phishing kann kostengünstig auf eine grosse Anzahl mögliche Opfer durchgeführt werden. Die Chance, dass ein Teil der Empfänger der Nachricht auf die Phishing-E-Mail hereinfällt, ist hoch. Auch hat eine Tätergruppe keinen Zeitdruck, d. h. sie können Phishing-Welle an Phishing-Welle reihen, bis eine davon ausreichend erfolgreich ist.
- Zudem gilt ebenso: Die Dienstleistungen können „as a Service“ bezogen werden. Hat ein Angreifer also nicht die Zeit und Möglichkeit, sich selbst darum zu kümmern, kann er bekannte Akteure/Anbieter dafür bezahlen. Oft gibt es auch hier verschiedene Modelle, damit nicht immer in finanzielle Vorleistung gegangen werden muss (Revenue Sharing).
Kosten für die Durchführung eines Angriffes
Bei beiden Angriffen halten sich die Kosten in Grenzen. Insbesondere dank des „As-a-Service“-Geschäftsmodells kombiniert mit dem Revenue Sharing muss nicht besonders viel Startkapital vorhanden sein. Je erfolgreicher eine Täterschaft (=Gruppe) ist, desto mehr Möglichkeiten hat sie, die „Services“ zu verbessern und den Ertrag zu steigern. Dazu gehört u.a. der Kauf von Zero-Day-Schwachstellen, welche es wiederum erlauben, unbemerkt in Unternehmen einzudringen und so entweder Daten zu stehlen, welche für weitere Angriffe verwendet werden können, oder aber Schadsoftware zu platzieren. Selbstverständlich kann das eine auch mit dem anderen kombiniert und so der Ertrag entweder direkt (durch direktes Ausnutzen) oder indirekt (durch Verkaufen der Daten im Darknet) zu Geld gemacht werden.
Eingesetzte Mittel der Täterschaften
- Täuschung
- Zeitdruck
- Drohung
- Erpressung (Veröffentlichung der Daten, Informieren von Kunden und Geschäftspartnern, Lösegeld, Manipulation oder Stören des Geschäftsbetriebes, …)
Weiterentwicklung
- Beide Geschäftsmodelle werden dann weiterentwickelt, wenn sie nicht mehr ausreichend „Return on Investment“ generieren.
- In Anbetracht der beim Cyber Incident Hub (CIH) gemeldeten Fälle und einer detaillierten Analyse besteht nach wie vor „Luft nach oben“, was die Feinheit der Angriffe angeht. Sprich das Ende der Fahnenstange ist noch lange nicht erreicht und die Angriffe können noch besser gestaltet werden, wenn die meisten Firmen ihre grundlegenden Probleme in den Griff bekommen haben. Für die Zukunft verheisst das leider nichts Gutes.
Bezahlung
- Ein Grossteil der Zahlungen erfolgt in Fiat-Geld – zumal dies nach wie vor die Nr. 1 Zahlungsart im Geschäftsleben ist.
- Kryptowährungen erleben einen zunehmenden Aufschwung und werden „massentauglich“. Damit sehen wir bereits heute einen starken Anstieg der bisherigen Methoden auf neue Gegebenheiten mit zahlreichen BEC – und anderen Betrugsarten (wie Investmentbetrug), welche Kryptowährungen involvieren.
Weshalb funktionieren so „einfache“ Tricks noch immer?
Die Antwort auf diese Frage ist relativ einfach: Weil es funktioniert. Bestimmt haben Sie sich auch schon gefragt, weshalb immer noch Leute auf den Enkeltrick hereinfallen? Eben. Eigentlich ist BEC-Betrug nur die logische Weiterentwicklung des Enkeltricks im Zuge der Digitalisierung. Ähnliche Parallelen gibt es auch für Ransomware. Die Täterschaften nutzen für beide Arten von Cyberkriminalität simple Zugänge zu Unternehmen oder Unternehmensdaten. Solange diese nicht besser geschützt werden, sind diese Geschäftsmodelle erfolgreich. Und wenn wir über die Landesgrenzen hinausschauen, gibt es noch viele Hausaufgaben zu erledigen.
Doch was sind die drei wichtigsten Hausaufgaben, die es zu erledigen gilt?
BEC-Attacken
- Im Zweifelsfall nachfragen – am besten durch einen Telefonanruf (bekannte Nummer, nicht Nummer aus möglicherweise betrügerischer E-Mail) an den „Auftraggeber“ der Zahlung – und sich nicht unter Druck setzen lassen. Kommt Ihnen eine Zahlungsaufforderung, eine Investmentoption oder ein M&A-Angebot komisch vor? Klingt eine Person „nicht so wie sonst“ oder haben Sie nur ein „schlechtes Bauchgefühl“? Hören Sie auf sich und gehen Sie der Sache nach. Sie sind ein Vorbild, wenn Sie sich erkundigen, ob die Rechnung wirklich von dem Absender stammt, der sie Ihnen zugestellt hat. Verwenden Sie dazu aber nicht einfach den „Reply“-Button innerhalb der möglicherweise betrügerischen E-Mail, sondern verwenden Sie einen alternativen Kommunikationskanal aus einer alternativen Quelle. Suchen Sie z. B. die Telefonnummer des Ansprechpartners in Ihrem IT-System oder im digitalen Telefonbuch. Macht der Absender „Druck“ bezüglich der Zeit, dass es möglichst schnell gehen muss? Dies ist ein erster Indikator für einen möglichen Betrug. Nehmen Sie sich die Zeit, die Sie brauchen, um alle notwendigen Abklärungen zu treffen, damit Sie sich sicher sind, dass es sich um eine berechtigte Person / Anfrage handelt.
- Bei grösseren Summen (nach Unternehmen zu definieren) 4-Augen-Prinzip einführen bzw. umsetzen, um Zahlungen auszulösen. Auch wenn es bestimmt einfacher ist, bei vielen Zahlungen pro Tag auf ein 4-Augen-Prinzip zu verzichten, und dies von Finanzinstituten auch akzeptiert wird, ist dies genau einer der „Weak Points“, welcher von Täterschaften ausgenutzt wird. Sie beobachten so lange die Verhaltensweise, bis sie merken, wo es am einfachsten ist, z. B. durch das Vorgaukeln des CFOs und einer gefälschten Mail von seiner Adresse, das „einfache“ Verfahren für sich auszunutzen. Hier lohnt es sich trotz des Mehraufwandes, konsequent auf ein 4-Augen-Prinzip zu setzen. Besonders achtgegeben werden sollte dabei auf sich immer wieder wiederholende Zahlungen. Es bietet sich zwar an, diese „schnell“ durchzuwinken, da diese oft vorkommen, genauso attraktiv sind diese vielfach vorkommenden Zahlungen aber auch für Angreifer, da diese genau wissen, dass dort häufiger eine Zahlung „einfach“ durchgewunken wird.
- Notfallplan definieren, falls festgestellt wird, dass es sich um eine betrügerische Zahlung handelt (Was ist zu tun? Beispielsweise schnell reagieren, Bank kontaktieren, Strafanzeige erstatten.) Genauso wie bei anderen Arten von Cyberangriffen sollte auch für BEC-Szenarien ein Notfallplan definiert werden, in welchem genau festgelegt ist, wie jeder einzelne zu reagieren hat und wo bspw. Anzeige erstattet wird und eine Meldung erfolgt, um die Vermögenswerte schnellstmöglich zu blockieren. Ist dies nicht der Fall, geht wertvolle Zeit verloren, was der Täterschaft in die Karten spielt.
Ransomware
- Ihre Systeme und Anwendungen regelmässig aktualisieren. Bei einer Ransomware-Attacke sind in den meisten Fällen nicht aktualisierte Systeme anzutreffen – entweder beim erstmaligen Zugriff (gegenüber dem Internet exponierte Systeme) oder dann beim sogenannten Weiterverbreiten innerhalb des Netzwerkes (Lateral Movement). Dies macht den Angreifern das Verschlüsseln von möglichst vielen Systemen leider oft zu einfach. Mit einem guten Patch-Management-Prozess kann hier der Aufwand für die Täterschaft mit relativ einfachen Mitteln schnell erhöht werden, wodurch das Unternehmen selbst weniger attraktiv wird. Ein weiterer guter Nebeneffekt bleibt: Sind die Systeme aktualisiert und allfällige Schwachstellen nicht sofort ersichtlich, ist die Täterschaft gezwungen, detaillierter danach zu suchen. Dies ermöglicht einem Unternehmen, den Angriff frühzeitig zu entdecken und darauf zu reagieren. Diese Chance – auch bekannt als Heimvorteil – sollte sich ein Unternehmen nicht entgehen lassen.
- Ihre Systeme und Anwendungen regelmässig auf Sicherheitslücken überprüfen. Ist ein Unternehmen Opfer einer Ransomware-Attacke geworden, gilt es festzustellen, wie die Täterschaft in die Systeme eingedrungen ist. Oft gibt es dabei nicht nur einen möglichen Weg, sondern mehrere. Daher ist eine aktuelle Übersicht über die Verwundbarkeit des eigenen Unternehmens von aussen und von innen unabdingbar. Sprich: ein kontinuierliches Vulnerability Management. Dies hilft nicht nur dem Unternehmen, sondern auch den Partnern, die dem Unternehmen im Fall der Fälle helfen, möglichst rasch wieder zum Normalzustand zu gelangen. So kann z. B. einfacher und nachhaltiger entschieden werden, welche Massnahmen zu treffen sind und ob bspw. das Internet komplett für das ganze Unternehmen oder nur für einen Teil des Unternehmens abgeschaltet wird. Auch bei der Wiederherstellung ist eine Übersicht des Zustandes der Systeme unerlässlich, damit nicht plötzlich wieder verwundbare Systeme gegenüber dem Internet exponiert werden.
- Regelmässig trainieren und üben und Notfallplan bereithalten. Übung macht den Meister. Gilt im Sport, aber auch für ihre Reaktionsfähigkeit bezüglich Ransomware-Angriffen und weiteren Cyberattacken. Das Üben im Ernstfall ist eine schlechte Idee und gilt es zu vermeiden. Und: mit einer Übung im Jahr ist es nicht getan. Zugegeben ist das zwar besser als gar nicht, aber die Technologien, Szenarien und Vorgehensweisen ändern sich so schnell, dass mehrere Übungen pro Jahr stattfinden sollten. Diese sollten nicht nur technische Aspekte und Prozesse berücksichtigen, sondern auch juristische und kommunikative. Jeder Teilbereich, welcher potenziell tangiert ist, sollte in die Übungen einbezogen und getestet werden. Oder kennen Sie ein sportlich erfolgreiches Team einer Teamsportart, beim welchem nur ein Teil des Teams regelmässig trainiert (im Fussball z. B. nur die Verteidiger und im Sturm werden die Tore dann schon fallen)? Eben. Gehen Sie genauso wie ein erfolgreiches Sportteam vor. Denn Cybersicherheit ist Teamwork.
Was wäre eine mögliche Lösung, um die erfolgreichen Geschäftsmodelle zu mindern oder verhindern?
Es gibt einige mögliche Lösungsansätze, welche dazu beitragen können, die Cyberkriminalität zu verhindern. Den meisten ist gemeinsam, dass Daten, Informationen und Know-how auf sicherem Weg ausgetauscht werden müssen, und dies nicht nur national oder innerhalb bestimmter Branchen, sondern international über Landesgrenzen und Branchen hinweg. Dazu sind Know-how-Hubs (Kompetenzbündelungen) wie der Cyber Incident Hub mit seinen Partnern unabdingbar und gefragt. Zu unterscheiden sind weiter:
Präventive Massnahmen (Top 3)
- Schulung aller Mitarbeitenden
- Schliessen von offensichtlichen Lücken
- Üben von Szenarien (bspw. BEC, Ransomware etc.)
Reaktive Massnahmen
- Schnelles Melden des Vorfalles (z. B. bei BEC www.cybera.io – „Anzeige erstatte“) oder bei Ihrem Partner für Cyberattacken (z. B. der Cyber Incident Hub) erhöht die Chance, Gelder zu blockieren
- Sammeln aller relevanten Daten (Was ist wann, wie und wo passiert?)
- Festlegen der Strategie gemeinsam mit Experten und Agieren nach Plan, um möglichst rasch die Kontrolle wieder zu erlangen.
Beide Massnahmen – Prävention und Reaktion – sind unabdingbar, müssen geplant, geübt und im Voraus festgelegt werden. Im Fall der Fälle (= eine Attacke wurde erfolgreich durchgeführt) ist es zu spät, Vertrauen und Partnerschaften aufzubauen. Wertvolle Zeit und auch Geld gehen so verloren.
Fazit
Ransomware ist zwar global gesehen und auch in der Schweiz nicht das lukrativste Geschäftsfeld für Cyberkriminelle, aber ein ausreichend lukratives, um entsprechende Geschäftsmodelle anzubieten. Die typischen Gruppen sind aber nicht nur in diesem Umfeld aktiv. Dementsprechend haben sie die Geschäftsmodelle diversifiziert und bei Bedarf professionalisiert. Analysieren wir das heutige Vorgehen, stellen wir fest, dass bei den Opfern meist noch kein ausreichendes Bewusstsein („Awareness“) für die verschiedenen Betrugsmaschen vorhanden ist. Hier gilt es schnell aufzuholen.
Des Weiteren haben beide Geschäftsmodelle (Business E-Mail Compromise und Ransomware) mehrere Gemeinsamkeiten. Eine davon ist, dass die „Bemühungen“ schlussendlich in Geld umgewandelt werden, sei es in traditionelle „harte“ Währungen oder aber Kryptowährungen. Lassen sich die Geldflüsse verhindern, entzieht das den Täterschaften die Grundlage für ihre Geschäftsmodelle. Voraussetzung dafür sind neben dem geschulten Menschen die globale und lokale Zusammenarbeit sowie eine schnelle und effektive Reaktionsfähigkeit. Dazu bilden neue Technologien zusammen mit gut ausgebildeten Menschen eine tolle Grundlage, die unbedingt genutzt und nicht durch Partikularinteressen verhindert werden sollte.