Malware-as-a-Service schon ab 100 Dollar im Darknet zu kaufen

Malware-as-a-Service (MaaS) beschreibt ein illegales Geschäftsmodell, bei dem Software vermietet wird, um Cyberangriffe durchzuführen. In der Regel wird den cyberkriminellen Nutzern solcher Dienste – neben technischem Support – ein persönliches Konto angeboten, über das sie den Angriff steuern können.

Eine Analyse durch Kaspersky-Experten zeigt nun, dass vor allem Ransomware im Rahmen von MaaS genutzt wird. Sie machte 58 Prozent aller Malware aus, die zwischen 2015 und 2022 im Rahmen der Dienste verbreitet wurde. Grundlage für die Analyse war die Untersuchung von 97 Malware-Familien, die über das Darknet und andere Internetquellen verbreitet wurden.

Cyberkriminelle können Ransomware-as-a-Service (RaaS) kostenlos „abonnieren“. Als Mitglied eines solchen Programms zahlen sie für den Dienst erst, nachdem der Angriff erfolgt ist. Die Zahlungssumme hängt dabei vom Anteil des vom Opfer gezahlten Lösegelds ab und liegt in der Regel zwischen 10 und 40 Prozent je Transaktion.

Auch Infostealer sind weiterhin beliebt: Sie erreichen einen Anteil von 24 Prozent im untersuchten Zeitraum. Hierbei handelt es sich um Malware, die Daten wie Anmeldeinformationen, Passwörter, Bankkarten und -konten, Browserverläufe oder Krypto-Wallets stehlen kann. Infostealer-Services werden über ein Abonnementmodell bezahlt; der Preis liegt meist zwischen 100 und 300 Dollar pro Monat. Der Anfang Februar 2023 eingestellte Raccoon-Stealer konnte beispielsweise für 275 Dollar pro Monat oder 150 US-Dollar pro Woche erworben werden. Die Konkurrenzsoftware Redline kostet monatlich 150 Dollar, wobei laut den von den Betreibern im Darknet veröffentlichten Informationen auch eine lebenslange Lizenz für 900 Dollar erworben werden kann. Darüber hinaus bieten die Angreifer weitere kostenpflichtige Dienste an.

Neben Infostealern bilden Botnets, Loader und Backdoors 18 Prozent der Malware-Familien, die als Service verkauft werden. Oft werden solche Schadprogramme in einer Gruppe zusammengefasst, da sie ein gemeinsames Ziel haben: andere Malware auf das Gerät des Opfers zu laden und auszuführen.

Cyberkriminelle, die MaaS-Plattformen betreiben, werden in der Regel als Operators bezeichnet, während diejenigen, die diese Dienste kaufen, als Affiliates bekannt sind. Nach Vertragsabschluss mit den Operators erhalten die Affiliates Zugang zu allen notwendigen Komponenten von MaaS, wie Command-and-Control-Panels (C2), Builders (Programme zur schnellen Erstellung einzigartiger Malware-Muster), Malware- und Schnittstellen-Upgrades, Support, Anleitungen und Hosting. Die Panels sind eine entscheidende Komponente, die es den Angreifern ermöglicht, Aktivitäten der infizierten Rechner zu kontrollieren und zu koordinieren. So können Cyberkriminelle beispielsweise Daten exfiltrieren, mit Betroffenen verhandeln, den Support kontaktieren, einzigartige Malware-Muster erstellen und vieles mehr.

Bestimmte Arten von MaaS, wie Infostealer, ermöglichen es Affiliates, ihr eigenes Team zu bilden. Die Mitglieder eines solchen Teams werden Traffers genannt. Diese verbreiten Malware, um ihre Gewinne zu steigern und Zinsen, Boni und andere Zahlungen von den Affiliates zu erhalten. Traffers haben keinen Zugang zum C2-Panel oder anderen Tools. Ihr einziges Ziel ist es, die Verbreitung der Malware zu steigern. Dies gelingt ihnen meist, indem sie Samples als Cracks und Anleitungen zum Hacken legitimer Programme auf YouTube und anderen Websites tarnen.

„Schadprogramme wie beispielsweise der Matanbuchus-Loader zeigen im Laufe der Zeit Preisschwankungen – im Juni lag der Preis bei 4.900 Dollar pro Monat“, kommentiert Alexander Zabrovsky, Digital Footprint Analyst bei Kaspersky. „Diese Art von Malware ist teurer als Infostealer, da der Schadcode selbst komplexer ist. Gleichzeitig stellt der Operator die gesamte Infrastruktur zur Verfügung, so dass die Partner bei der Nutzung von Matanbuchus nicht extra für ein sicheres Hosting zahlen müssen. Die Anzahl der Abonnenten von Matanbuchus ist sehr begrenzt, was es den Angreifern ermöglicht, für längere Zeit unentdeckt zu bleiben.

Cyberkriminelle handeln aktiv mit illegalen Waren und Dienstleistungen, einschließlich Malware und gestohlenen Daten, in den Schattenbereichen des Internets. Je besser die Unternehmen verstehen, wie dieser Markt strukturiert ist, desto mehr können sie über die Methoden und Motivationen potenzieller Angreifer erfahren. Ausgestattet mit diesen Informationen können wir Unternehmen verstärkt darin unterstützen, wirksame Strategien zum Schutz vor Cyberangriffen zu entwickeln, da wir Aktivitäten von Cyberkriminellen erkennen und überwachen, den Informationsfluss verfolgen und uns über neue Bedrohungen und Trends auf dem Laufenden halten können.“