RaaS:Ransomware-Angriffe auf die Lieferkette leicht gemacht

Da die Cloud zum wichtigsten Mittel für den Zugriff auf eine wachsende Zahl von Softwareangeboten wird, scheint es, als ob heutzutage jede Anwendung zu einem „as-a-Service“-Bereitstellungsmodell migriert. Kein Wunder also, dass Ransomware auf den Cloud-Zug aufgesprungen ist.

Lernen Sie Ransomware-as-a-Service (RaaS) kennen, ein vorgefertigtes, einfach zu implementierendes Mittel, um Datennetzwerke zu sperren und dann ihre Besitzer zur Zahlung – normalerweise in Form von Bitcoin oder einer anderen Art von Kryptowährung – zu erpressen, um sie zu entsperren .

Wie die gängigsten Formen von Managed Services kann RaaS rund um die Uhr technischen Support und Benutzerforen umfassen, die darauf ausgerichtet sind, das Beste aus der Anwendung herauszuholen. Käufer können die „Lösung“ auf verschiedene Weise erwerben, unter anderem durch ein monatliches Abonnement, einmalige Lizenzgebühren oder eine Gewinnbeteiligung beim Softwareanbieter. Wie auch immer es bereitgestellt werden mag, RaaS hat ein gemeinsames Ziel:digitales Chaos anzurichten und dabei enorme Gewinne einzustreichen. Laut Cybersecurity Ventures ist dies einer der Hauptgründe dafür, dass die Ransomware-Umsätze in den USA im letzten Jahr auf geschätzte 20 Milliarden US-Dollar gestiegen sind.

Berichten zufolge seit etwa 2016 im Dark Web verfügbar, hat sich RaaS seitdem schnell als Mittel zur Verbreitung von Ransomware entwickelt. Die globale Lieferkette, die aus mehreren unabhängigen Partnern aller Größen und technologischen Ausprägungen besteht, ist besonders anfällig für Angriffe. Große Hersteller, Distributoren und Einzelhändler mögen sich sicher fühlen, nachdem sie Millionen für strenge Sicherheitsmaßnahmen in ihren eigenen Häusern ausgegeben haben, aber der kleinste und belangloseste Lieferant kann als Zugang zu einer Fülle sensibler Kunden- und Betriebsdaten dienen. Schätzungen zufolge laufen derzeit zwei Drittel aller Cyberangriffe über die Lieferkette.

Mobile Geräte, deren Zahl und Anwendung in den letzten zehn Jahren explodiert sind, sind beliebte Vektoren für Infektionen. „Angenommen, ein Subunternehmer eines Entwicklers kommt, um eine API-basierte Softwareerweiterung für einen Kunden zu entwickeln“, sagt Padmini Ranganathan, Global Vice President of Product Strategy bei SAP Procurement. „Woher wissen Sie, dass ihr Code sicher ist? Oder dass sie die von ihnen verwendeten Geräte schützen?“

Netzwerke müssen beim Schutz eingebetteter Systeme in der Cloud gleichermaßen wachsam sein, sagt Ranganathan. Und obwohl die Cloud-Technologie keine automatische Sicherheitsbedrohung darstellt, erhöht sie das Risikoniveau mit der Verbreitung von Geräten, die mit dem Internet der Dinge verbunden sind. Unternehmen müssen darauf reagieren, indem sie sowohl extern als auch intern strenge Audits aller Geräte und Systeme durchführen, die Zugriff auf ihre Daten haben, sagt er.

Da RaaS es Cyberkriminellen erleichtert, Netzwerke für Lösegeld zu halten, sollte man meinen, dass private Unternehmen und Regierungsbehörden besonders darauf achten würden, ihre Daten zu schützen. Die Flut von Ransomware-Angriffen in den letzten Jahren deutet darauf hin, dass dies nicht der Fall ist. Allein im Jahr 2021 waren eine Ölpipeline, ein Fleischverpacker, ein Chemiehändler, ein Autohersteller und sogar ein Fährdienst auf Martha's Vineyard Opfer geworden. Es scheint kein Muster in Bezug auf das getroffene Wesen zu geben – nur dass sie sich alle als anfällig für eine Form von Angriff erwiesen, die erschreckend einfach zu inszenieren ist.

Kleinere Anbieter – oder auch große – könnten argumentieren, dass ihnen die Ressourcen fehlen, um in Cybersicherheit zu investieren. Ranganathan schlägt vor, dass sie das Problem nicht mit der richtigen Einstellung sehen. Sicherlich können geeignete Sicherheitsmaßnahmen teuer in der Anschaffung sein und die Bilanz vorübergehend belasten. Aber wie hoch sind die Kosten für die Wiederherstellung nach einem Cyberangriff – insbesondere einer Lösegeldforderung, die sich in Millionenhöhe belaufen könnte? Oder die Folgen des Verlusts von Kunden, die wütend sind, dass ihre sensiblen persönlichen Daten durch Vernachlässigung durch einen Einzelhändler oder Dienstleister kompromittiert wurden? „Wir unterschätzen das Konzept des Value-at-Risk“, sagt Ranganathan.

Ein wichtiger Aspekt der Cybersicherheit kostet nicht unbedingt mehr. Es ist das Bewusstsein und die Sorgfalt der Mitarbeiter für die Bedrohung durch Sicherheitsverletzungen durch eine Vielzahl von Systemen und Geräten. Nichts sollte von Anfang an vertraut werden; oft kann ein erfolgreicher Angriff auf menschliche Nachlässigkeit zurückgeführt werden, nicht auf Schwachstellen in der Technologie.

Die Techniken der Hacker entwickeln sich natürlich ständig weiter. Der heutige Ransomware-Angriff wird in den kommenden Jahren wahrscheinlich eine ganz neue Form annehmen. Die Technologie wird sich bemühen, mit der sich ständig ändernden Bedrohung Schritt zu halten, aber ständige Wachsamkeit seitens der Systemdesigner und selbst der Gelegenheitsbenutzer ist der Schlüssel.

Unternehmen müssen der Systemsicherheit die gleiche Aufmerksamkeit schenken wie der schillernden Welt des Vertriebs, des Marketings und der Entwicklung neuer Produkte. Ranganathan sagt:„Im Namen schneller Innovation können wir unsere Augen nicht von der architektonischen Hygiene lassen.“