Das RaaS-Geschäfts­mo­dell erklärt #

Drei Rol­len: Ent­wick­ler, Affi­lia­tes, Bro­ker #

Ent­wick­ler schrei­ben die Ran­som­wa­re-Soft­ware. Sie küm­mern sich um Ver­schlüs­se­lung, C2-Kom­mu­ni­ka­ti­on (Com­mand & Con­trol) und Dekryp­ti­ons-Dienst­leis­tun­gen. Das ist hoch­spe­zia­li­sier­te Arbeit.

Affi­lia­tes (auch: Anfän­ger oder Geschäfts­part­ner) sind die Angrei­fer. Sie kau­fen oder mie­ten die Ran­som­wa­re und füh­ren die eigent­li­chen Ope­ra­tio­nen durch — Initi­al Access Bro­ker (IAB) pene­trie­ren Netz­wer­ke über Phis­hing, RDP-Exploits oder Schwach­stel­len. Die Affi­lia­tes zah­len die Ran­som­wa­re nicht auf ein­mal; statt­des­sen läuft ein Pro­vi­si­ons­mo­dell:

Bro­ker (optio­nal, aber häu­fig) fun­gie­ren als Ver­mitt­ler. Sie bie­ten bereits Zugriff auf kom­pro­mit­tier­te Netz­wer­ke an. Ein Affi­lia­te kauft sich qua­si ein Ein­stiegs­loch” und star­tet den Angriff von dort.

Das Pro­vi­si­ons­mo­dell #

Ein Affi­lia­te zahlt kei­ne fes­te Lizenz für Ran­som­wa­re. Statt­des­sen erhal­ten die Ent­wick­ler einen Anteil am Lösegeld:

  • Typisch 70 – 80% des Löse­gelds gehen an die Affi­lia­te (der­je­ni­ge, der den Angriff durch­ge­führt hat).
  • 20 – 30% gehen an den Ent­wick­ler (Betrei­ber der -Plattform).
  • Zah­lun­gen erfol­gen in Bit­co­in oder Mone­ro, anonym und nicht nachverfolgbar.

Bei­spiel: Ein Affi­lia­te erpresst ein Unter­neh­men für 500.000 EUR. Der Affi­lia­te behält ca. 350.000 – 400.000 EUR und zahlt 100.000 – 150.000 EUR an den Ent­wick­ler. Das Modell belohnt Ska­lie­rung — je mehr Angrif­fe, des­to mehr Gewinn für bei­de Seiten.

Der Ser­vice-Cha­rak­ter #

-Betrei­ber bie­ten tat­säch­lich Kun­den­ser­vice:

  • Dekryp­ti­ons-Tools: Wenn das Löse­geld gezahlt wird, stel­len die Ent­wick­ler ein Dekryp­ti­ons-Tool bereit (das häu­fig bug­gy ist, aber funktioniert).
  • Leak-Sei­ten: Vie­le -Grup­pen betrei­ben Dark-Web-Sei­ten, auf denen gestoh­le­ne Daten zur Ver­hand­lung oder zum Ver­kauf ste­hen. Das ist eine Druck­aus­übung auf Unter­neh­men, die nicht zah­len möchten.
  • Sup­port-Forum: Es gibt inof­fi­zi­el­le Foren, auf denen Affi­lia­tes Pro­ble­me mel­den und Ent­wick­ler Sup­port bieten.
  • Ver­si­ons­up­grades: Bekann­te Grup­pen ver­öf­fent­li­chen regel­mä­ßig neue Ver­sio­nen ihrer Ran­som­wa­re mit Ver­bes­se­run­gen (z. B. bes­se­re Netz­werk-Ver­brei­tung, Umge­hung neu­er E-Tools).

Bekann­te RaaS-Grup­pen und ihre Merk­ma­le #

Lock­Bit #

Die wahr­schein­lich größ­te akti­ve -Fami­lie (Vari­an­ten: Lock­Bit 2.0, Lock­Bit 3.0). Lock­Bit betreibt aggres­siv Dou­ble-Extor­ti­on-Leaks und hat ein gro­ßes Affi­lia­te-Netz­werk. Durch­schnitt­li­che For­de­rung: Hun­der­tau­sen­de bis Mil­lio­nen EUR.

Merk­ma­le: Schnel­le Ver­schlüs­se­lung, pro­fes­sio­nel­le Leak-Sei­te, hohe öffent­li­che Sicht­bar­keit (bewuss­te PR-Taktik).

Black­Cat / ALPHV #

Eine neue­re, aggres­si­ve­re Grup­pe, die 2021 auf­tauch­te. Black­Cat nutzt Rust (statt C++ oder C) für ihre Mal­wa­re, was fort­ge­schrit­te­ner ist. Sie bie­ten eine umfang­rei­che -Platt­form mit fes­ten monat­li­chen Gebüh­ren für Top-Affiliates.

Merk­ma­le: Pro­fes­sio­nel­le Bran­ding, Leak-Sei­te auf ToR und Clear­net, Dou­ble Extor­ti­on, Fokus auf gro­ße Unter­neh­men und Kri­ti­sche Infrastruktur.

Cl0p (Clop) #

Bekannt für Schwach­stel­len in File-Trans­fer-Anwen­dun­gen (z. B. Pro­gress Software’s MOVEit). Cl0p ope­riert nicht als klas­si­sches , son­dern eher als spe­zia­li­sier­te Grup­pe, die ihre Exploits direkt ver­kauft oder lizenziert.

Merk­ma­le: Exploit-basiert, Fokus auf Sup­p­ly-Chain-Angrif­fe, sehr selek­tiv in ihren Zielen.

Alphon­so / Alpha­key­board (und ande­re) #

Eine Viel­zahl klei­ne­rer -Fami­li­en exis­tie­ren. Man­che sind Able­ger eta­blier­ter Grup­pen, ande­re sind ganz neue Einsteiger.

War­um RaaS Angrif­fe ska­lier­bar macht #

Gerin­ge­re Ein­stiegs­bar­rie­ren #

Jeder mit Geld (nicht nur tech­ni­sche Fähig­kei­ten) kann einen Ran­som­wa­re-Angriff durch­füh­ren. Ein Initi­al Access Bro­ker ver­kauft Netz­werk-Zugriff für 1.000 – 50.000 EUR. Ein Affi­lia­te muss dann nur noch” den Angriff durch­füh­ren — die Infra­struk­tur, Mal­wa­re und Dekryp­ti­on sind bereits vorhanden.

Glo­ba­le Res­sour­cen­pools #

Affi­lia­tes rekru­tie­ren sich welt­weit. Ein Angrei­fer in Ost­eu­ro­pa kann Netz­wer­ke in Deutsch­land oder den USA ins Visier neh­men. Das Geschäfts­mo­dell funk­tio­niert länderübergreifend.

Stan­dar­di­sie­rung #

Mit jeder neu­en Ver­si­on wird die Ran­som­wa­re bes­ser, schnel­ler, schwe­rer zu erken­nen. Die Ent­wick­ler-Teams ver­bes­sern kon­ti­nu­ier­lich ihre Tech­ni­ken. Das ist das­sel­be wie legi­ti­me Soft­ware­ent­wick­lung — nur für ille­ga­le Zwecke.

Pro­fit-Moti­va­ti­on #

Mit Pro­vi­si­ons­mo­del­len ver­die­nen bei­de Sei­ten viel Geld schnell. Ein ein­zel­ner gro­ßer Angriff kann Mil­lio­nen ein­brin­gen. Das finan­ziert wei­te­re Ent­wick­lung und Mar­ke­ting der -Plattform.

Aus­wir­kun­gen auf Ihre Ver­tei­di­gungs­stra­te­gie #

bedeu­tet, dass Sie nicht nur gegen eine Mal­wa­re kämp­fen, son­dern gegen ein orga­ni­sier­tes, finan­zier­tes Öko­sys­tem. Das erfordert:

  1. Prä­ven­ti­on reicht nicht. Die Gefahr ist zu pro­fes­sio­na­li­siert und zu gut finanziert.
  2. Wie­der­her­stell­bar­keit ist zen­tral. Mit auto­ma­ti­sier­ten, getes­te­ten, off­line Back­ups kön­nen Sie sich inner­halb von Stun­den erho­len — unab­hän­gig vom Angreifer.
  3. Inci­dent Respon­se ist not­wen­dig. Wenn Sie getrof­fen wer­den, brau­chen Sie ein Team, das schnell han­deln kann.
  4. Reco­very-Tests regel­mä­ßig. Ein Back­up ist sinn­los, wenn Sie nicht wis­sen, ob es funktioniert.

Häu­fi­ge Fra­gen #

Soll­te man Löse­geld zahlen? Recht­lich: teil­wei­se ver­bo­ten (Sank­ti­ons­ge­set­ze kön­nen das ver­bie­ten). Prak­tisch: zah­len bedeu­tet, dass Sie den Angrei­fer finan­zie­ren und zukünf­ti­ge Angrif­fe begüns­ti­gen. Mit funk­tio­nie­ren­den Back­ups soll­te Zah­lung nicht not­wen­dig sein.

Kön­nen Sicher­heits­lö­sun­gen -Mal­wa­re stoppen? Modern -Mal­wa­re ist oft poly­mor­phisch (ändert ihre Signa­tur) und nutzt Exploits, bevor Patches ver­füg­bar sind. E-Tools hel­fen, aber sind nicht 100% wirk­sam. Prä­ven­ti­on + Detek­ti­on + Reco­very ist der Schlüssel.

Ist mein Unter­neh­men zu klein für -Angriffe? Nein. Vie­le klei­ne­re Unter­neh­men sind Zie­le, weil sie schwä­cher ver­tei­digt sind. Ein durch­schnitt­li­cher Angriff auf ein KMU kann 10.000 – 500.000 EUR Scha­den anrich­ten — genug für Affiliates.

Disclaimer

Dieser Beitrag wurde redaktionell erstellt und mit KI-Unterstützung aufbereitet. Er gibt einen allgemeinen Überblick und stellt keine Rechtsberatung dar – für Ihre konkrete Situation empfehlen wir professionellen Rat.