:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/4e/f54ebc11db3e6d8e876a96e96fef53c3/0111552259.jpeg "Florian Jörgens ist Chief Information Security Officer (CISO) der Vorwerk Gruppe und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Vorwerk)")
:quality(80)/p7i.vogel.de/wcms/c6/2a/c62ad7d4c50022b64fe4a5178545098f/0111500770.jpeg "Mit moderner Datensicherheit können Unternehmen auch nach einem Ransomware-Angriff die Geschäftskontinuität aufrechterhalten. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/76/e1/76e1334fe3b40ca0d4148a8eb166b4b0/0111183876.jpeg "Geeignet für geheime Botschaften mit 2x 40 Gbit/s IPsec und <20 μs Latenz: Die VPN-Appliance von der Genua GmbH (Bild: frei lizenziert: Tayeb MEZAHDIA )")
:quality(80)/p7i.vogel.de/wcms/ac/90/ac909e6e2800db299da86bd1add1f12b/0111445793.jpeg "Sophos ereweitert sein internationales Managed Detection and Response (MDR) Team um ein zusätzliches Team in Deutschland. (Bild: Sven - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/c3/46c3dd30da0f71d1dcbaaf2d8a8de7db/0111445470.jpeg "DevOps-Teams benötigen eine gewisse Flexibilität, um unabhängig von der jeweiligen Umgebung den passenden Schutz bereitzustellen. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>akitada31</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/8d/ec8d48043c61c55c45e1184eb47dc4ee/0111445864.jpeg "Lookout kündigt Mobile Endpoint Security für MSSPs an. (Bild: Wesley JvR/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8f/f6/8ff67f37275779fb9e5b52248146b4d0/0111493119.jpeg "Backups sind ein hoch komplexes Thema – angefangen bei der Auswahl der richtigen Backup-Lösung, über die pasende Methode, bis hin zur Planung und zum Test der Wiederhestellung der gesicherten Daten gibt es viel zu beachten. (Bild: momius - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/7a/297afbfbd472bbd68b909504b340d8d3/0110983938.jpeg "Ein Großteil der Verbraucher bevorzugt den Fingerabdruck-Scan zur Identifizierung. (Bild: Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/ba/d4ba7d9c80dd783f861f4fb50dcc91dd/0111554559.jpeg "Es ist an der Zeit, dass CFOs die traditionelle Einzelposten-Methode zur Festlegung der Ausgaben für IT-Security aufgeben. (Bild: rogerphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
(Zwischen-)Bilanz eines Ransomware-as-a-Service-Betriebs REvil analysiert
REvil war eine der produktivsten Ransomware-Schmieden im Dark Web. Ihre Partner nahmen weltweit Tausende Technologieunternehmen, Managed Service Provider und die verschiedensten Industriezweige ins Visier. Wie funktionierte diese Cybercrime-Gruppe und was wurde ihr zum Verhängnis?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/60/76/607696cf2c231/rubrik.png "rubrik.png (Rubrik)")
In den letzten Monaten feierten international kooperierende Cyber-Ermittler mehrere Erfolge gegen die Hintermänner der REvil-Ransomware-Attacken. Die erste Zwischenbilanz einer der größten Wellen erpresserischer Angriffe bietet Einblicke in das Geschäftsmodell und die Zusammenarbeit der kriminellen Partner, welche wirtschaftliche Erfolge die Ransomware-as-a-Service- (RaaS) Anbieter zunächst feierten, wie Ermittler die Urheber erkennen konnten, und welche Konflikte innerhalb der Angreifer entstanden.
Ein wichtiger Schlag gegen die REvil-Hintermänner erfolgte im November 2021: Im Zuge einer Razzia verhaftete das US-Justizministeriums mehrere sogenannte Partner (Affiliates) des REvil-Netzes und beschlagnahmte rund sechs Millionen Dollar an Lösegeldern. Zudem verhafteten rumänische Behörden im Rahmen der internationalen Operation GoldDust zwei weitere Partner. Laut der russischen Nachrichtenagentur Interfax haben dann der russische Inlandsgeheimdienst FSB und die russische Polizei im Januar 2022 vierzehn mutmaßliche REvil-Mitglieder festgenommen und dem eigenen Urteil nach die Organisation zerschlagen. Im Zuge der Aktion haben sie Finanzwerte in Form von mehreren Millionen US-Dollar sichergestellt: in Bar, in Kryptogeld oder auch als Sachwerte.
REvil (auch bekannt als Sodinokibi oder BlueCrab) ist - oder vielleicht: war - eine der produktivsten und profitabelsten Ransomware-Schmieden im Dark Web mit einem jährlichen Umsatz von 100 Millionen US-Dollar und einem Marktanteil von 16,5 Prozent. In Untergrundforen rühmten sich ihre Betreiber, keine Cashflow-Probleme zu haben. Kein Wunder, denn sie griffen gezielt Unternehmen an, die potent und genötigt waren, Lösegeld zu bezahlen (siehe Abbildung 1). Die Experten von Cyble Visions stellten im Juli 2021 fest, dass mit einem Anteil von 19 Prozent vor allem Fertigungsunternehmen angegriffen wurden. Hier sind Ausfallzeiten grundsätzlich kostspielig. Bei juristischen oder Finanzdienstleistern (15,5 bzw. 8,3 Prozent der Angriffe) ist mit einer sehr hohen Finanzkraft zu rechnen. Bau- (14.3 Prozent) und Gesundheitswesen (7,1 Prozent) verfügen vielleicht nicht über die beste Abwehr. Krankenhäuser können sich per se keinen Ausfall erlauben. Die Betrüger kalkulierten die Höhe des geforderten Lösegeldes entsprechend. Wenn dann das Lösegeld gezahlt wurde, floss es wieder in den Untergrund.
Wachstumsmodell Ransomware as a Service: Wie REvil so schnell wachsen konnte
REvil hat gezeigt: Auch im Untergrund werden „as-a-Service-Modelle“ immer beliebter. Ein RaaS-Anbieter (RaaS = Ransomware-as-a-Service) entwickelt Malware und stellt sie den kriminellen Affiliates bereit, die Penetrationstests ausführen, Unternehmen infiltrieren, Systeme infizieren und Lösegeld erpressen. Anders als bei einem Subskriptionsmodell mit einer festen Gebühr sind die Partner bei einem Dienst mit hohem Spezialisierungsgrad wie REvil am Gewinn beteiligt. Dabei unterhält der Betreiber die Krypto-Schadsoftware sowie die dazugehörige Infrastruktur – zu dem beispielsweise ein Portal gehört, über das die Betroffenen ihr Lösegeld zahlen können, oder auch einen regelrechten Support der zahlungswilligen Opfer, wie sie etwa Kryptogeld erwerben und übermitteln oder mit TOR-Browsern umgehen.
Bitdefender geht davon aus, dass etwa zehn Kernmitglieder und in Spitzenzeiten etwa 60 weitere Partner involviert waren; bei Letzteren lag die Gewinnbeteiligung bei 70 bis 80 Prozent. Angesichts solcher Margen ist es nicht verwunderlich, dass es zwischen den Ransomware-Banden zu einem Wettbewerb um die besten Fachkräfte kommt: Dass Mitglieder von einem Affiliate-Partner zum anderen wechseln, ist häufig. Ebenso lässt sich verfolgen, mit welchen Alleinstellungsmerkmalen die REvil-Betreiber für ihre Dienste warben: Sie prahlten mit ihrer Technologie vor allem in puncto Verschlüsselung.
Zum Leidwesen der Verteidiger auf Unternehmensseite entwickelt sich bei RaaS eine gefährliche Dynamik: Je besser der angebotene Malware-Code und die dazugehörigen Dienste wurden, desto professionellere Partner wurden angelockt. Diese haben dann Zugang zu lohnenderen Zielen gefunden, was höhere Lösegelder ermöglichte. Das gezahlte Geld wiederum investierten die Gruppen in den Ausbau des Dienstes oder in die Akquise noch besserer Affiliates. Kriminelle Kompetenz machte sich bezahlt und erwies sich als Wachstumsmotor.
Attribution: Wie man den Cyber-Kriminellen auf die Schliche kam
Grundsätzlich gilt: Die Attribution, also das Zuschreiben von Cyber-Angriffen an einen Täterkreis, ist ein schwieriges Unterfangen und ein hochkomplexer Prozess, der mit vielen Unwägbarkeiten verbunden ist. Bei REvil untersuchten die Bitdefender-Experten den Malware-Code ebenso wie die Methoden und Auftreten der Affiliates. Es zeigte sich, dass die REvil-Software nicht von Grund auf neu entwickelt wurde. Die Urheber des ebenfalls sehr erfolgreichen GandCrab-Codes entwickelten den Code weiter zum REvil-Angriff. Auch im Cyber-Untergrund ist Zeit Geld. Erstmals entdeckt wurde dann REvil im April 2019 – zwei Wochen, bevor GandCrab ankündigte, seine Aktivitäten einzustellen.
Die Angreifer holten das Lösegeld nach einem festgelegten Muster ein, mit minimalen Abweichungen bei dem Schlüssel und der URL. Die Korrespondenz enthielt neben Garantiezusagen auch Hinweise zur Kontaktaufnahme („Wir empfehlen den TOR-Browser“). Die Korrespondenz entwickelte sich zwischen 2019 und 2021: Ab Anfang 2020 war eine vermeintliche Garantiezusage enthalten, dass der REvil-Dekryptor besser arbeite als der einer anderen kriminellen Organisation. Versprochen wurde eine Wiederherstellungsrate von fast 100 im Vergleich zu lediglich 87 Prozent.
Zusätzlich zu dieser vergleichenden Werbung im kriminellen Milieu enthielten die Korrespondenzen der Erpresser in der letzten Phase neben einer direkten Anrede des betroffenen Unternehmens („Willkommen <Unternehmensname>“) auch den Hinweis auf die Europäische Datenschutz-Grundverordnung: Mit Verweis auf die bei einem Verstoß zwangsläufigen Strafen drohten die Kriminellen ihren Opfern, Geschäftsinformationen sowie persönliche Daten von Kunden und Geschäftspartnern zu veröffentlichen. Was für die Betroffenen zusätzliche Bußgelder (im Höchstfall 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes) nach sich gezogen hätte – vom Imageverlust ganz zu schweigen.
Mit dieser Keule in der Hinterhand erhöhten die Kriminellen systematisch den Druck: Falls Opfer im ersten Schritt nicht zahlten, veröffentlichten sie im zweiten Schritt geleakte Daten und forderten dann erneut Lösegeld, um das Vorgehen zu stoppen. Waren die Betroffenen immer noch nicht bereit zu zahlen, starteten die Gangster im dritten Schritt Distributed-Denial-of-Service-Angriffe auf deren Kunden und Geschäftspartner.
Vertrauen verspielt: Warum REvil zusammengebrochen ist
Es liegt auf der Hand, dass Reputation und gegenseitiges Vertrauen im Cyber-Untergrund entscheidend sind. Das gilt in besonderem Maße für einen arbeitsteiligen Prozess wie Ransomware as a Service, an dem mehrere Akteure beteiligt sind und - anders als bei einfachen Ransomware-Attacken - durchaus im intensiven Kontakt zueinanderstehen.
Das dafür notwendige Ansehen haben die Köpfe hinter REvil innerhalb der cyber-kriminellen Gemeinschaft zum Schluss verloren – weil sie mit ihrem provokanten und aufmerksamkeitsheischenden Verhalten gegen den Verhaltenskodex im cyberkriminellen Untergrund verstoßen und sich letztlich von den „Cyber-Kriminellen der alten Schule“ entfremdet haben.
Erschwerend kam hinzu, dass viele Partner in der Corona-Pandemie damit begannen, die Gesundheitsbranche und Pharmahersteller anzugreifen – auch solche, die zu diesem Zeitpunkt nach Medikamenten forschten. Andere Kriminelle fanden dies kontraproduktiv: Wäre die Pandemie dank der Medizin schneller vorüber, so die Logik der Kriminellen alter Schule, käme die Wirtschaft schneller wieder in Fahrt und es ließen sich wieder höhere Lösegelder einfordern.
Der Fall REvil zeigt: Um eine Gruppe von Cyber-Kriminellen nachverfolgen zu können, die – wie im vorliegenden Fall – den Betrieb vorübergehend einstellt und später unter anderem Namen wieder auftaucht, bedarf es des Zusammenspiels mehrerer Faktoren: einer Kombination aus Technologien und Diensten wie Managed-Detection-and-Response (MDR), heuristischer Analyse und maschinellem Lernen einerseits sowie Wissen, Expertise und Intuition der IT-Sicherheitsexperten andererseits.
Cyber-Sicherheit ist ein Mannschaftssport. Die Erfolge beim Kampf gegen REvil belegen eindrucksvoll, wie wichtig die enge Zusammenarbeit zwischen staatlichen und privatwirtschaftlichen Akteuren ist. Und das weltweit, denn auch Cyber-Kriminalität kennt keine Landesgrenzen.
Über den Autor: Bodgan Botezatu ist Director Threat Research and Reporting bei Bitdefender.
(ID:48030850)
:quality(80)/images.vogel.de/vogelonline/bdb/1923600/1923698/original.jpg "Berichte von IT-Sicherheitsbehörden wie ENISA liefern Beispiele für schwerwiegende Security-Vorfälle und Bedrohungen, die in Kundengesprächen den Security-Bedarf unterstreichen können. (Thomas - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1938000/1938014/original.jpg "Der neue Report der IBM X-Force zeigt: Die Fertigungsindustrie war 2021 aufgrund der Lieferketten-Problematik am stärksten von Cyberangriffen betroffen. (zapp2photo - stock.adobe.com)")