Diese Stellenprofile schreiben Ransomware-Banden aus

22. Juli 2021, 13:21
image

Ransomware-as-a-Service ist ein riesiges Business, die Kriminellen sind wie Firmen organisiert. Eine neue Untersuchung zeigt Details.

Professionelle Cyberkriminelle agieren wie Firmen, die verschiedene Abteilungen unterhalten und Aufträge an externe Profis vergeben. Entsprechend suchen die Banden Informatiker mit unterschiedlichen Profilen. Forscher der Security-Firma Kela haben über ein Jahr beobachtet, welche Profile im Darkweb besonders gefragt sind. Ihr Befund: Erpresser-Know-how und Verhandlungsgeschick sind gesucht.
Laut den Forschern sind die entsprechenden Experten nicht notwendig mit komplexer Technologie vertraut, sondern werden als Verhandlungsführer angeworben. Sie sollen mit Hilfe von extrahierten Informationen und Drohungen die Zahlung des Lösegelds erzwingen.
Die Verhandlungsprofis seien so gesucht, weil etwa Ransomware-Opfer heute vermehrt mit Verhandlungsspezialisten und Versicherungen zusammenarbeiten würden, heisst es von Kela. "Auch Ransomware-Akteure mussten sich weiterentwickeln, um gute Margen zu erzielen", schreibt die Security-Forscherin Vicorita Kivilevich in einem Blogbeitrag. Grundanforderung innerhalb der oftmals nicht im englischsprachigen Raum beheimateten Ransomware-Banden sei verhandlungssicheres Englisch, was auch bei Phishing-Kampagnen benötigt werde.

Die Supply-Chain des Ransomware-Service-Geschäfts

Die Verhandlungsspezialisten kommen relativ spät ins Spiel, wie eine fiktive Ransomware-Kampagne zeigt. Zuerst wird ein breiter Angriff durchgeführt, der auf bekannte Schwachstellen zielt oder auf einer Phishing-Kampagne beruht. Diese können von den Initianten selbst ausgeführt werden, die als Initial Access Broker die gewonnen Zugangsdaten auf Marktplätzen im Darkweb verkaufen.
Das ist quasi die Quelle der Supply-Chain im Ransomware-as-a-Service-Modell. Danach übernehmen Spezialisten, die die Infektion vertiefen und einen nachhaltigen Zugangskanal für weitere Cyberkriminelle schaffen. Sie verkaufen diesen an Ransomware-Partner, die weitere Malware nachladen und den eigentlichen Ransomware-Angriff starten – also Systeme verschlüsseln und meist Daten absaugen.
Die Ransomware-Partner müssen aber oftmals, wenn nur ein User-Zugang besteht, die Privilegien auf Admin-Ebene heben, damit der Angriff erfolgreich ist. Dafür bringen sie entweder eigenes Know-how mit oder sie heuern wiederum Spezialisten dafür an.
Das gesamte Partner-System wird über Gewinnbeteiligung an die Operation angegliedert, an der auch die Entwickler und Beschaffer der Malware einen Anteil erhalten. Allerdings läuft dies nicht immer reibungslos, wie Kela im Blogbeitrag zeigt: So gibt es immer wieder Streit über Vorgehen und Lösegeld.
Die Security-Forscher zeigen dies anhand eines Streits zwischen der bekannten Bande Conti und einem Verhandlungspartner. Letzterer wollte offenbar von einer öffentlichen US-Schule 40 Millionen Dollar erpressen (Screenshot), was diese bei weitem nicht zahlen konnte. Conti warf dem Partner Unprofessionalität vor, was von der Bande REvil bestätigt wurde, die dasselbe Verhandlungsteam des Betrugs bezichtigte.
image
Screenshot von Kela

Loading

Mehr zum Thema

image

Ti&m holt Avaloq-Mann als Sales-Chef

Peter Knapp wird im März 2023 die Sales-Leitung beim IT-Dienst­leister übernehmen. Als langjähriger Avaloq-Manager kennt er die Schweizer Finanz- und Bankenbranche.

publiziert am 1.12.2022
image

Avaloq-Partner Confinale schafft neue Leitungspositionen

Pascal Inauen und Birol Izel werden künftig die Geschäftsentwicklung und den Verkauf beim Schweizer Unternehmen verantworten.

publiziert am 1.12.2022
image

Co-CEO verlässt Salesforce

Bret Taylor geht nach einem Jahr an der Spitze. Marc Benioff bleibt alleine zurück.

publiziert am 1.12.2022
image

Mutmasslicher Cyberangriff auf den Vatikan

Russische Hacker sollen verschiedene Websites des Zwergstaates angegriffen haben, weil der Papst den Angriffskrieg in der Ukraine als "grausam" bezeichnete.

publiziert am 1.12.2022