Denken wir an Cyberkriminelle haben wir sofort das Bild von jungen Menschen vor Bildschirmen im Kopf, die hektisch tippen während wahlweise grün oder blau erleuchtete Zahlenreihen auf ihren Bildschirmen durchlaufen. Dass dieses aus Filmen und Serien etablierte Bild des Hackers nicht ganz die Realität abbildet, ist nicht neu. Neu ist jedoch, wie banal die Welt der Cyberkriminellen eigentlich ist. Der Cyber Signals-Report von Microsoft bringt Licht in die Schattenwirtschaft.

Die Erpresser zum Mieten

"Cyber-Kriminelle versuchen, den Eindruck zu erwecken, dass sich die gesamte Ransomware-Szene aus hochkompetenten und äußerst innovativen Akteuren zusammensetzt. Die Wahrheit jedoch ist, dass es bei Ransomware zunehmend – wie wir es auch von anderen Wirtschaftszweigen kennen – um Geschäftspartnerschaften und bequeme Transaktionen geht, die der Gig-Economy ähnlich sind", sagt Vasu Jakkal, Corporate Vice President Compliance und Identity bei Microsoft.

Einen digitalen Erpresser zu engagieren ist also genau der gleiche Vorgang wie einen Fotografen für eine Hochzeit zu beauftragen oder einen Installateur für die Wartung der Heizung zu bezahlen. Der Report spricht sogar von einem "Ransomware-as-a-Service-Modell".

Ranglisten von potentiellen Zielen

Das funktioniert so: Der Anbieter entwickelt und betreibt die für Erpressungen benötige Malware sowie die entsprechende Angriffsinfrastruktur, die Kundschaft bezahlt um diese Ransomware gegen bestimmte Ziele einzusetzen. Informationen über die Zielperson stellen sogenannten Initial Access Broker zu Verfügung. Es kursieren sogar Ranglisten mit gefährdeten Organisationen. Dazu gehören zum Beispiel solche mit ungeschützten Anmeldedaten oder mit Malware in ihren Netzwerken.

Das Problem mit diesem Modell der "Miet-Erpressung" ist die sinkende Einstiegshürde in die Cyberkriminalität, da im Grunde jeder mit dem nötigen Kleingeld Hacker beauftragen kann. "Die Anbietenden verkaufen ihr Fachwissen an jeden, der bereit ist, dafür zu zahlen", erklärt Jakkal. Angehende Cyberkriminelle, die selbst nicht über die technischen Fähigkeiten verfügen, die es bräuchte, um Backdoors zu nutzen oder Tools zu entwickeln, können sich so einen einfachen Zugang zu ihren Opfern verschaffen, indem sie einsatzbereite Penetrationstests und System-Administrator-Anwendungen lizenzieren, um die Angriffe durchzuführen.

Zehn Terabyte Daten werde pro Monat gestohlen

Einem Bericht des Federal Bureau of Investigation (FBI) aus dem Jahr 2021 zufolge belaufen sich die Kosten der Cyberkriminalität allein in den USA auf mehr als 6,9 Milliarden US-Dollar. Die Agentur der Europäischen Union für Cybersicherheit (ENISA) wiederum berichtet, dass zwischen Mai 2021 und Juni 2022 jeden Monat etwa zehn Terabyte an Daten durch Akteure aus dem Ransomware-Umfeld gestohlen worden sind. 58,2 Prozent dieser gestohlenen Dateien enthielten persönliche Daten von Mitarbeitenden.

Da die Ransomware-Schattenwirtschaft also ein ganz "gewöhnlicher" Wirtschaftszweig wurde, ist sie auch nicht von ganz normalen Hoppalas gefeit: Cyberkriminelle versuchten in Großbritannien Wasserversorger zu erpressen – und haben sich bei ihrem Opfer vertan und die falsche Firma erpresst.