Ransomware und Ransom DoS – Ähnlichkeiten und Unterschiede


This post is also available in: Englisch Französisch Italienisch Portugiesisch, Brasilien Spanisch Russisch

Seit 2020 gehören Ransomware und Ransom Denial-of-Service (RDoS) fest zu unserem Alltag – fast jede Woche sorgen Ransomware-Angriffe für Schlagzeilen. Obwohl Ransomware und Ransom DoS dasselbe Ziel verfolgen und teilweise dieselben Strategien nutzen, weisen ihre Methoden und Erfolgsraten doch deutliche Unterschiede auf, ebenso wie ihr Bedrohungspotenzial und ihre mögliche Auswirkung auf Unternehmen. Beide Bedrohungen haben sich im Laufe der Zeit weiterentwickelt und dabei gegenseitig von ihrem Ruf und ihren Vorgehensweisen profitiert.

Ransomware

Ransomware-Angriffe beruhen auf einer Verschlüsselungs-Malware, die Systeme zerstört und Daten unzugänglich macht. Diese Verschlüsselungs-Malware muss auf Servern innerhalb des Unternehmens ausgeführt werden. Angreifer müssen in das Netzwerk oder ein Gerät im Netzwerk eindringen und sich dann quer durch das Unternehmen bewegen, um möglichst viele Systeme mit einem Maximum an Daten zu sperren. Der Erstzugriff wird in der Regel von Initial Access Brokern bereitgestellt. Diese Mittelsmänner dringen mit ihren eigenen Methoden in Netzwerke ein und verkaufen diesen Zugang anschließend an andere Bedrohungsakteure, meist Ransomware-Banden oder deren Komplizen.

Durch Ransomware-Angriffe werden Systeme lahmgelegt und Daten unzugänglich gemacht. In vielen Fällen werden sensible Daten extrahiert, was zu Datenlecks führen kann.

Ransom DoS 

RDoS-Akteure erpressen ihre Opfer mithilfe von Denial-of-Service-Angriffen. Durch die Unterbrechung von Online-Diensten können sie die Geschäftsabläufe, die Produktivität und den Ruf eines Unternehmens schädigen. Angreifer haben es auf Online-Ressourcen wie Websites, Domain Name Services, Web-APIs, Gaming-Lobbys usw. abgesehen, damit Online-Dienste ausfallen und das Image eines Unternehmens leidet. Um die Produktivität von Unternehmen zu beeinträchtigen, stören sie den Sprach-, E-Mail- und Remote-Zugriff von Niederlassungen oder Remote-Mitarbeitern. Weitere Ziele sind die Internetkonnektivität für den Zugriff auf Cloud-Anwendungen, Produktionsanlagen mit Remote-Betrieb, die auf Konnektivität angewiesen sind, und die Cloud für den Austausch von Logistikdaten mit Ressourcenplanungsanwendungen und externen Organisationen.

Ein wichtiger Unterschied besteht darin, dass RDoS- und DDoS-Angriffe im Gegensatz zu Ransomware-Angriffen normalerweise nicht in Netzwerke oder Systeme eindringen. Bei den Angriffen werden keine Daten gestohlen oder kompromittiert.

Ein RDoS-Angriff beginnt damit, dass der Angreifer eine private Nachricht sendet, z. B. per E-Mail über einen E-Mail-Dienst mit gutem Datenschutz. Darin wird der Empfänger aufgefordert, ein bestimmtes Lösegeld zu zahlen, wenn er verhindern möchte, dass sein Unternehmen zum Ziel eines Angriffs wird. Sollte das Unternehmen innerhalb der festlegten Frist nicht zahlen, verüben die Erpresser einen DDoS-Angriff und setzen diesen so lange fort, bis sie das Lösegeld bekommen. In der Regel steigt die Lösegeldforderung mit jedem Tag, den sich das Opfer weigert zu zahlen.

In der Praxis werden DDoS-Angriffe tendenziell abgebrochen, sobald der Täter merkt, dass seine Versuche erfolgreich abgewehrt werden. Die Angriffe dauern mehrere Stunden, wobei durch wechselnde Vektoren versucht wird, die Erkennungs- und Abwehrsysteme zu umgehen. Manchmal flackern die Angriffe einige Tage später erneut auf, aber letztendlich sehen sich die Erpresser gezwungen, mit leeren Händen von dannen zu ziehen.

[Das könnte Sie auch interessieren: Warum es so wichtig ist, das Verhalten und die Tools von Cyberkriminellen zu verstehen]

(Statistik 2021, alle Angaben in USD) Ransomware Ransom DoS 
Ziel Profit Profit 
Strategie Erpressung Erpressung 
Hauptmethode Verschlüsselung DDoS 
Auswirkung Dauerhaft (bis zur Wiederherstellung) Vorübergehend (solange die Attacke dauert) 
Lösegeldwährung Bitcoin Bitcoin 
Durchschnittliche Lösegeldforderung 5,3 Mio. $ im Durchschnitt [1] 5.000 $ bis 1 Mio. $ [2] 
Durchschnittliche Lösegeldzahlung 570.000 $  ~ 0,0 $  
Höchste Zahlung 40 Mio. $ [3] 6.000 $ im Jahr 2015 [7] 
Erfolgsquote 70 % [4] Sehr niedrig 
Geschätzter Schaden 1,85 Mio. $ im Durchschnitt [5] 9 $ bis 12 Mio. $ [6] 
Abwehr Tiefenverteidigung, Segmentierung zur Begrenzung der Auswirkungen, aber kein Allheilmittel Geeigneter DDoS-Schutzservice  

Dreifache Erpressung mit Ransomware

Die von Ransomware-Akteuren verwendeten Methoden haben sich weiterentwickelt und sind vielfältiger geworden, um ihr Ziel häufiger zu erreichen. Aber auch die Opfer sind besser vorbereitet und legen Backups an, um ihre Daten nach der Verschlüsselung durch Malware wiederherzustellen. Deshalb haben Ransomware-Akteure begonnen, sensible Daten zu stehlen und ihre Opfer damit zu erpressen. Bleibt selbst das wirkungslos, wird mit DDoS-Angriffen gedroht, um die Opfer zu Verhandlungen zu zwingen.

Une image contenant texte, équipement électronique, CD, périphérique

Description générée automatiquement

Ransom DoS-Akteure, die sich als Ransomware-Banden ausgeben

Auf den Erfolg, den Einfluss und die Dramatik bekannter Ransomware-Banden sind auch andere Kriminelle aufmerksam geworden. Bei einer der jüngsten RDoS-Kampagnen, die auf VoIP-Anbieter in Großbritannien und Kanada abzielte, gaben sich die Akteure als „REvil“ aus, eine berüchtigte Ransomware-Bande, die für die verheerenden Angriffe auf JBS SA und Kaseya Ltd. verantwortlich war. Ähnlich wie Ransomware-Akteure, die neue Opfer in Untergrund-Blogs ankündigen, teilten die RDoS-Akteure unter dem Namen „REvil“ ihre Lösegeldforderung über Pastebin und erpressten eines ihrer Opfer, nämlich Voip.ms, öffentlich auf Twitter, um den Druck zu erhöhen.

Une image contenant texte

Description générée automatiquement

Abbildung 1: Ein Erpresser, der sich als „REvil“ ausgab, veröffentlichte seine Drohungen auf Twitter

[Das könnte Sie auch interessieren: How to Respond to a DDoS Ransom Note]

Une image contenant texte, capture d’écran, moniteur, écran

Description générée automatiquement

Abbildung 2: Screenshot der Lösegeldforderung, die von einem RDoS-Akteur namens „REvil“ auf Pastebin veröffentlicht wurde

Schutz vor Ransomware und Ransom DoS

Aus persönlicher Erfahrung kann ich sagen, dass es bisher keinem DDoS-Angriff gelungen ist, unsere Verteidigungsmaßnahmen zu durchbrechen. Allerdings gibt es immer ein kleines Zeitfenster, in dem schädlicher Datenverkehr durchsickern kann. Denn diese Zeit benötigen die Erkennungsalgorithmen, um automatische Signaturen zum Blockieren des schädlichen Datenverkehrs zu entwickeln und diese Signaturen so abzustimmen, dass Fehlalarme vermieden werden, die legitimen Datenverkehr blockieren würden. Im Allgemeinen besteht aber aus meiner Sicht kein Grund für eine Lösegeldzahlung, solange man von einem geeigneten DDoS-Service geschützt wird.

Ransomware hingegen ist eine Bedrohung, die sich nur schwer abwehren oder ausschalten lässt. Ransomware-Akteure verfügen über ein organisiertes Untergrundsystem und eine große Anhängerschaft aus gewieften Auftragshackern und Komplizen, die den Profit aus umfangreichen Erpressungskampagnen gerne teilen. Angesichts des Erfolgs von Ransomware-Kampagnen ist der Anreiz so groß geworden, dass die Nachfrage nach Hacking-Fähigkeiten und -Ressourcen im Untergrund steigt. Seit hochmotivierte Bedrohungsakteure ständig nach bezahlten Aufträgen von organisierten Cyberkriminellen suchen, sind Angriffe nicht mehr so stark automatisiert und werden häufiger von Menschen durchgeführt. Die Abwehr automatisierter Angriffe ist eine Sache, aber der Schutz gegen die Intelligenz und Beharrlichkeit von Menschen, die nach millionenschweren Gewinnen gieren, steht auf einem ganz anderen Blatt.

[Gefällt Ihnen dieser Artikel? Melden Sie sich jetzt an, um wöchentlich die neuesten Radware-Meldungen per E-Mail zu erhalten. Außerdem bekommen Sie Zugriff auf Radwares Premium-Inhalte.]

Fußnoten und Referenzen

  1. Extortion Payments Hit New Records as Ransomware Crisis Intensifies (paloaltonetworks.com) 
  2. Lösegeldforderungen schwanken stark; bei Kampagnen im Jahr 2020 wurden bis zu 20 BTC verlangt, während sich ein Akteur namens „The Cursed Partriarch“ in jüngeren Kampagnen mit nur 0,06 BTC zufriedengab 
  3. 81 Ransomware Statistics, Data, Trends and Facts for 2021 | Varonis 
  4. Study: 70 Percent of Businesses Hit with Ransomware Paid the Ransom | Healthcare Innovation (hcinnovationgroup.com) 
  5. The True Cost of Ransomware (backblaze.com) 
  6. Bandwidth.com expects to lose up to $12M following DDoS extortion attempt – The Record by Recorded Future 
  7. Update regarding the DDoS attack – ProtonMail Blog 

Pascal Geenens

As the Director, Threat Intelligence for Radware, Pascal helps execute the company's thought leadership on today’s security threat landscape. Pascal brings over two decades of experience in many aspects of Information Technology and holds a degree in Civil Engineering from the Free University of Brussels. As part of the Radware Security Research team Pascal develops and maintains the IoT honeypots and actively researches IoT malware. Pascal discovered and reported on BrickerBot, did extensive research on Hajime and follows closely new developments of threats in the IoT space and the applications of AI in cyber security and hacking. Prior to Radware, Pascal was a consulting engineer for Juniper working with the largest EMEA cloud and service providers on their SDN/NFV and data center automation strategies. As an independent consultant, Pascal got skilled in several programming languages and designed industrial sensor networks, automated and developed PLC systems, and lead security infrastructure and software auditing projects. At the start of his career, he was a support engineer for IBM's Parallel System Support Program on AIX and a regular teacher and presenter at global IBM conferences on the topics of AIX kernel development and Perl scripting.

Contact Radware Sales

Our experts will answer your questions, assess your needs, and help you understand which products are best for your business.

Already a Customer?

We’re ready to help, whether you need support, additional services, or answers to your questions about our products and solutions.

Locations
Get Answers Now from KnowledgeBase
Get Free Online Product Training
Engage with Radware Technical Support
Join the Radware Customer Program

CyberPedia

An Online Encyclopedia Of Cyberattack and Cybersecurity Terms

CyberPedia
What is WAF?
What is DDoS?
Bot Detection
ARP Spoofing

Get Social

Connect with experts and join the conversation about Radware technologies.

Blog
Security Research Center