Am 9. November gelang einer Europol-Gruppe ein wichtiger Schlag gegen die Cyberkriminalität. Bei einer internationalen Polizeiaktion in 17 Ländern wurden mehrere Hintermänner einer Hackerbande festgenommen, die mit der Erpressersoftware REvil rund 7.000 Ziele angegriffen hatten. Nach der Einschleusung auf 175.000 Computern weltweit kassierten sie mindestens 200 Millionen Dollar Lösegeld.

Zumindestens alle Verschlüsselungsopfer vor dem 13. Juli 2021 können nun ihre Daten wieder entschlüsseln, nachdem bei www.Bitdefender.de  seit September 2021 ein kostenloser Decryptor veröffentlicht wurde. Einen Monat später gelang es internationalen Ermittlern, die Infrastruktur von REvil zu hacken und deren Websites abzuschalten.

Beim Geschäftsmodell Ransomware-as-a-Service (RaaS) vermieten die Entwickler ihre Software an Erpressergruppen. KKC-Expertin Dr. Christina Czeschik schreibt dazu in ihrem Serapion-Blog: „RaaS funktioniert analog zu anderer Software-as-a-Service wie Zoom oder Microsoft Office 365: Die Entwickler sind für Programmierung und Support zuständig, der Kunde für den Einsatz der Software. Für Ransomware heißt das: der Kunde kauft die Lizenz, eine bestimmte Ransomware benutzen zu dürfen. Wie er sie unter die Leute bringt, ist dann seine Sache – die Entwickler geben aber hilfreiche Tipps oder stellen sogar Community-Foren zum Erfahrungsaustausch zur Verfügung.

Diese Professionalisierung führt auch zu mehr „Kundenfreundlichkeit“ in Richtung der Angriffsziele: Hier gibt es Handbücher, Support-Webseiten und sogar Hotlines, in denen unbedarfte Ransomware-Opfer sich erklären lassen können, wie sie eine Überweisung in einer Kryptowährung tätigen oder wo auf der Benutzeroberfläche sie schließlich den erkauften Schlüssel eingeben können. So viel Aufwand kostet natürlich. Dabei sind die Preismodelle so unterschiedlich wie bei legaler Software-as-a-Service: Die Entwickler bieten verschiedene Leistungsumfänge zu verschiedenen Festpreisen an oder verlangen eine prozentuale Beteiligung am Gewinn (also den Lösegeldern).

Das kriminelle Businessmodell entwickelt sich weiter, wie Dr. Czeschik beobachtet:

„Als es sich herumgesprochen hatte, dass die Wiederherstellung der eigenen Daten aus Sicherheitskopien ein sicherer Ausweg aus dem Ransomware-Dilemma ist, drohten die ersten Angreifer mit Veröffentlichung der erbeuteten Daten.“

Einige Angreifer verzichten schon auf die Verschlüsselung der Daten und versprechen als Gegenleistung für die Ransom-Zahlung Immunität gegenüber zukünftigen Angriffen, jedenfalls von der eigenen Bande. Also Schutzgeld statt Lösegeld – wenden sich die Cyberhacker bald der Kleinkriminalität zu, indem sie auf spektakuläre Angriffe verzichten und nur kleine Summen von Schutzgeld von vielen Opfern erpressen?  (siehe www.serapion.de )