Vielleicht haben Sie schon von Ransomware-as-a-Service gehört, einer wirksamen Methode der Zusammenarbeit mit Hackern, die weltweit Schäden in Milliardenhöhe verursacht. Dies ist nur ein Beispiel für ein breiteres Spektrum cyberkrimineller Aktivitäten, die als Malware-as-a-Service (MaaS) bekannt sind. Malware ist jedes Programm, das zu böswilligen Zwecken auf einem Computersystem installiert wird.
Bei Malware-as-a-Service stellen Cyberkriminelle gegen eine Gebühr Zugriff auf solche Schadsoftware und die damit verbundene Infrastruktur zur Verfügung. Aus einer anderen Perspektive ist Malware-as-a-Service eine bösartige und/oder kriminelle Form von Software-as-a-Service (Bereitstellung von Fernzugriff auf eine Anwendung, die meist auf den Cloud-Ressourcen des Dienstanbieters gehostet wird). Dieser böswillige Trend ist den Strategien, die beim Big Game Hunting im Bereich der Cyberkriminalität zu beobachten sind, nicht unähnlich.
Teilnehmer
MaaS-Betreiber sind Cyberkriminelle, die die Malware-„Dienste“, die sie als Partnerprogramm bezeichnen, für einen Kunden bereitstellen, der als Partner bezeichnet wird. Diese Betreiber verwenden häufig ausgeklügelte Attack-Staging-Techniken , um die Wirkung ihrer Operationen zu maximieren.
Das Partnerprogramm besteht aus drei Phasen:
- Entwicklung der Malware, wobei häufig Exploits im Zusammenhang mit Ransomware für ein effektives Eindringen in das System genutzt werden.
- Aufdecken von Schwachstellen in Computersystemen.
- Verwaltung des Gesamtbetriebs und Erhebung von Gebühren.
Der Affiliate muss nicht über Programmier- oder technische Kenntnisse verfügen. Dies liegt in der Verantwortung des Betreibers. Der Betreiber stellt die Infrastruktur und den Support für eine technisch unqualifizierte Person zur Verfügung, um auf Malware zuzugreifen und diese einzusetzen. Auf diese Weise „demokratisiert“ MaaS Cyberkriminalität und Cyberangriffe für jede Bevölkerungsgruppe.
Ein aktuelles Beispiel ist der Banking-Trojaner Qakbot, der im August 2023 durch eine groß angelegte Strafverfolgungsaktion ausgerottet wurde. Die vom FBI geleitete Durchsetzungsaktion schaltete im August die Command-and-Control-Server von Qakbot ab. Dadurch wurde die Phishing-Struktur jedoch nicht beseitigt. So warnte die Talos-Forschungsgruppe bei Cisco am 5. Oktober desselben Jahres, dass die Menschen dahinter immer noch aktiv sind und eine Bedrohung für die Nutzer darstellen. Talos sagte, dass es unwahrscheinlich ist, dass die Qakbot-Akteure die Drahtzieher hinter dem Knight-Ransomware-Dienst selbst sind, sondern wahrscheinlich Kunden, d. h. Affiliates.
Zahlung
Die Maas-Betreiber berechnen dem Affiliate einen einmaligen Kauf von Malware oder ein Abonnement für einen bestimmten Zeitraum. Eine dritte Möglichkeit besteht darin, einen Prozentsatz eines Gewinns zu berechnen, den der MaaS generiert, wie das Lösegeld bei Ransomware-as-a-Service (RaaS).
Arten von Programmen
Zu den gängigsten Arten von MaaS gehören:
- Ransomware, bei der die Malware den Zugriff auf Daten blockiert und/oder stiehlt. Der Cyberangreifer verlangt dann ein Lösegeld, um den Zugriff wiederherzustellen.
- Die Infostealer-Malware sammelt Daten auf dem System des Benutzers und sendet sie an den Cyberangreifer.
- Loader-Malware lädt unerwünschte Software (einschließlich anderer Malware) auf das System des Opfers herunter.
- Backdoor-Malware ermöglicht Angreifern Fernzugriff auf das System des Opfers.
- MaaS-Betreiber können auch Botnets vermieten – Netzwerke von Geräten, die mit Malware infiziert sind. Das Botnet folgt den Anweisungen des Hackers, versendet Spam-E-Mails, speichert illegale Materialien und betreibt ein Nebengeschäft. Alarmierend ist, dass das Opfer trotz dieser Drohungen nicht einmal den Hackerangriff ahnt. Experten, die einige dieser Bots identifizieren können, finden möglicherweise nicht die tatsächlichen Kriminellen, die die gesamte Bot-Armee kontrollieren.
Umfang
Das Ausmaß der MaaS-Angriffe ist überwältigend. Jeden Tag gibt es 1,7 Millionen Ransomware-Angriffe, was 19 Ransomware-Angriffen pro Sekunde entspricht. Dies schließt andere Formen von Angriffen als Ransomware aus. Im ersten Halbjahr 2022 gab es weltweit fast 236,7 Millionen Ransomware-Angriffe. Es wird erwartet, dass Ransomware ihre Opfer bis 2031 jährlich rund 265 Milliarden US-Dollar (USD) kosten wird. Es wird auch prognostiziert, dass die Häufigkeit der Angriffe bis zu diesem Jahr auf einen Angriff alle zwei Sekunden ansteigen wird.
Selbst einzelne Angriffe können außerordentlich kostspielig sein. Ein Infostealer-Malware-Angriff aus dem Jahr 2011 kostete den E-Mail-Marketing-Moloch Epsilon fast 5 Millionen US-Dollar.
Weitere alarmierende Statistiken:
- Jeden Tag werden 560.000 neue Malware entdeckt.
- Mittlerweile gibt es über 1 Milliarde Malware-Programme.
- Jede Minute werden vier Unternehmen Opfer von Ransomware-Angriffen.
- Fast jeder zweite Computer in China ist mit irgendeiner Form von Malware infiziert.
- In den letzten zehn Jahren ist die Zahl der Malware-Infektionen um 87 % gestiegen.
Innovative Methoden
MaaS-Operationen sind nicht ausschließlich auf herkömmliche Computersysteme ausgerichtet. Angriffe sind innovativ, und auch neuere Technologien werden ins Visier genommen. Im Oktober 2023 kursierte ein Bericht über Malware-Backdoors, die auf Android-TV-Boxen installiert wurden.
Der Bericht von Forschern von Human Security beschreibt detailliert den Umfang der infizierten Medien-Streaming-Sticks und -Boxen. Sie fanden sieben Android-TV-Boxen und ein Tablet mit eingebauten Hintertüren, die dazu führen können, dass die Geräte mit Malware infiziert werden.
„Sie sind wie ein Schweizer Taschenmesser, wenn es darum geht, schlechte Dinge im Internet zu tun“, sagte Gavin Reid, Chief Information Security Officer bei Human Security. „Das ist eine wirklich verteilte Art, Betrug zu begehen.“
Das Team beobachtete mindestens 74.000 Android-basierte Mobiltelefone, Tablets und TV-Boxen, die Anzeichen einer Badbox-Infektion zeigten. Badbox-Infektionen beziehen sich ausschließlich auf kompromittierte Android-Geräte und wie sie mit Betrug und Cyberkriminalität in Verbindung gebracht werden.
In Bezug auf die Untersuchung des Teams zu Werbebetrug in mindestens 39 Android- und iOS-Apps sagt Google, dass es die 39 problematischen Apps aus dem Google Play Store entfernt hat, während Apple feststellt, dass es Probleme in mehreren Apps gefunden hat.
Fazit
MaaS kann schwerwiegende Auswirkungen auf jeden Technologienutzer haben, wenn er nicht angemessen geschützt ist, von Einzelpersonen bis hin zu großen Unternehmen. Schäden beschränken sich nicht nur auf finanzielle Zahlen, sondern können Zeit, Produktivität und persönliche Traumata umfassen. Innovativ ist MaaS sowohl bei den Programmen, die entwickelt werden, als auch beim Medium, auf das es abzielt.