Eine Untersuchung im Darknet zu beobachtender Malware-Trends, die beginnend im 2015 und bis Ende 2022 insgesamt knapp 100 Malware-Familien in den Blick genommen hat, konnte nun das illegale Geschäftsmodell offengelegt, mit dem Cyber-Kriminelle insbesondere aus Ransomware-Kampagnen illegale Gewinne abschöpfen. Der Cyber-Security-Anbieter Kaspersky konnte zeigen, wie Cyber-Kriminelle vorgehen, wenn sie Malware-as-a-Service (MaaS), sprich Schadsoftware-Dienstleistungen im großen Stil anbieten. Die benötigte Schadsoftware, um Cyber-Angriffe durchzuführen, wird vermietet und die MaaS-„Dienstleister“ bieten cyber-kriminellen Akteuren neben der eigentlichen Schadsoftware auch technischen Support und ein persönliches Nutzerkonto an, über das die Akteure ihren geplanten Angriff steuern können.
So können Cyber-Kriminelle nach Erkenntnissen der Kaspersky-Sicherheitsexperten Ransomware zunächst „kostenlos“ abonnieren und zahlen für den MaaS-Dienst erst, wenn der Angriff erfolgreich war – indem sie den MaaS-Anbieter am gezahlten Lösegeld beteiligen. Bei rund einem Viertel der angebotenen Maas-Software handelt es sich um Infostealer, also Malware, die Daten wie Passwörter, Anmeldeinformationen, Bankkartennummern und -kontoinformationen, Zugänge zu Krypto-Wallets und Browserverläufe stehlen kann. Das Kaspersky-Team hat dazu herausgefunden, das Infostealer-Services meist über eine Art Abonnementmodell bezahlt werden: Die monatliche Gebühr liegt meist zwischen 100 und 300 US-Dollar. Botnets, Loader und Backdoors bilden mit 18 Prozent ebenfalls einen wesentlichen Teil der als Service angebotenen Malware-Familien. Oft werden solche Schadprogramme auch gebündelt, da sie das gemeinsame Ziel haben, Malware auf die Endgeräte potenzieller Opfer zu laden und auszuführen. „Schadprogramme wie beispielsweise der Matanbuchus-Loader“, kommentiert Alexander Zabrovsky, Digital Footprint Analyst bei Kaspersky, die Entwicklung, sind „teurer als Infostealer, da der Schadcode selbst komplexer ist. Gleichzeitig stellt der Operator die gesamte Infrastruktur zur Verfügung, so dass die Partner bei der Nutzung von Matanbuchus nicht extra für ein sicheres Hosting zahlen müssen.“
Cyber-Kriminelle, die als Betreiber von MaaS-Plattformen auftreten, werden üblicherweise „Operator“ genannt, während diejenigen, die diese Dienste buchen, als „Affiliates“ (Partnerunternehmer) bezeichnet werden. Nach Vertragsabschluss mit einem „Operator“ erhalten die „Affiliates“ Zugang zu den MaaS-Komponenten, wie etwa den Command-and-Control-Panels, den Buildern (Programme zur schnellen Erstellung einzigartiger Malware-Muster), zu Malware- und Schnittstellen-Upgrades, Best-Practice-Anleitungen, technischem Support und dem Hosting. Insbesondere die Panels sind eine entscheidende Komponente, da sie den Angreifern ermöglichen, die Aktivitäten der infizierten Rechner zu kontrollieren und zu koordinieren. Außerdem können Cyber-Kriminelle über die Panels den Support kontaktieren, einzigartige Malware-Muster erstellen und letztlich sogar mit ihren Opfern verhandeln.
Bei einigen dieser Dienstleistungszusammenhänge tritt unterhalb der Ebene der „Affiliates“ noch eine weitere, dritte Gruppe auf: die „Traffers“. Im Auftrag der „Affiliates“ sorgen meist gleich mehrere „Traffers“ für die Verbreitung der Malware. Die „Traffers“ bekommen dafür keinen Zugang zu den C2-Panels oder anderen Tools zur Verfügung gestellt, sondern verbreiten die Schadsoftware, indem sie Samples als Cracks oder auch nur die Anleitungen zum Hacken verschiedenster legitimer Programme auf YouTube und anderen Websites einstellen und die Malware dort einschleusen; dafür bekommen sie von den „Affiliates“ Prämien gezahlt. Kaspersky-Analyst Zabrovsky warnt davor, dass Cyber-Kriminelle in den Schattenbereichen des Internets aktiv mit illegalen Softwareapplikationen und Dienstleistungen, einschließlich Malware und gestohlenen Daten, handeln. Die Erkenntnisse über diesen Markt müssten nun in wirksame Strategien zum Schutz vor Cyberangriffen umgemünzt werden, um sich gegen neue Bedrohungen und aktuelle Trends zu wappnen.
