Das Ransomware-Geschäft befindet sich schon länger im Umbruch. Einige bekannte Namen sind in den letzten zwei Jahren verschwunden, während neue Banden wie Akira oder Qilin aufgetaucht sind. Der Threat Intelligence Analyst und Security-Forscher Carlos Ishimaru beschäftigt sich damit, wie Ransomware-as-a-Service-Operationen (RaaS) aus der Perspektive eines Affiliates funktionieren. Er tritt als Keynote Speaker an der diesjährigen Konferenz Swiss Cyber Storm in Bern auf und gibt dort Einblicke in den Cybercrime-Untergrund. In Wahrheit heisst er nicht Carlos Ishimaru.

Wieso führen wir dieses Interview unter einem Pseudonym? Wer sagt, dass das ein Pseudonym ist? Ich bin nur zurückhaltend…

Sie beschäftigen sich speziell mit der Organisation von Ransomware-Gruppen und deren Partnern, den Affiliates im RaaS-Modell. Wie kommen Sie an Informationen dazu? Ich möchte dazu ironisch Sun Tzu zitieren: "Studieren Sie Ihren Feind. Sprechen Sie wie Ihr Feind. Seien Sie wie Ihr Feind." Vielleicht hat er das auch nie so gesagt. Haben Sie einfach ein bisschen Dunkelheit in Ihrem Herzen und bleiben Sie kreativ.

Wir sprechen schon lange davon, dass Ransomware-Gruppen wie Unternehmen strukturiert und organisiert sind. Hat sich diese Organisation in letzter Zeit verändert? In gewisser Weise. Das RaaS-Modell und sein Ökosystem sind wie ein Fluss. Seit 2020 haben wir viele Veränderungen gesehen. Einige Gruppen haben ihre Struktur geändert, während andere die Verwendung von Ransomware für Datenverschlüsselung komplett eingestellt haben und sich nun ausschliesslich auf Datendiebstahl und Erpressung konzentrieren. Aber gerade die grossen Banden sind definitiv besser organisiert als manche Unternehmen, mit denen ich zusammengearbeitet habe.

Wie erfolgt die Anwerbung von Affiliates? Welchen Bewerbungsprozess müssen diese durchlaufen? Das verläuft unterschiedlich. Im Allgemeinen suchen Nutzer in Untergrundforen nach Partnerschaftsprogrammen von Gruppen, um Partner zu werden, und werden möglicherweise zu Interviews mit den Betreibern eingeladen. Die Gruppen unterscheiden sich in der Art und Weise, wie sie diese Interviews durchführen, und es können zusätzliche Anforderungen gestellt werden. Einige verlangen Geld für die Teilnahme, andere eine Einladung von bestehenden Partnern der Gruppe und wieder andere einen Nachweis über den ersten Zugriff.

Welche Fähigkeiten müssen sie mitbringen, welche sind besonders gefragt? Grössere Gruppen sind bei der Rekrutierung von Partnern tendenziell selektiver, während weniger ausgereifte Gruppen in der Regel so viele Personen wie möglich aufnehmen. Mehr Mitglieder bedeuten mehr Angriffe und mehr Geld – so denken kleinere und unreife Ransomware-Gruppen. Es ist aber nicht so, dass man mehr Geld bekommt, wenn man mehr Partner hat. Reifere Gruppen bevorzugen es, nur mit wenigen, aber technisch versierten Partnern zusammenzuarbeiten, weil sie wissen, dass diese Leute das Geld einbringen, und nicht irgendjemand, der über Foren eine Nachricht geschickt hat und bekundet, dass er Interesse an einer Mitarbeit hat.

Können Sie kurz skizzieren, wie ein solcher Rekrutierungsprozess abläuft? Sie scheinen ziemlich interessiert zu sein, Herr Anz. Tut mir leid, Ihnen schlechte Nachrichten überbringen zu müssen, aber die Bezahlung für Ransomware ist nicht mehr so hoch wie früher. Nach einem ersten Kontakt folgen bei der Rekrutierung ein halbtechnisches Bewerbungsgespräch, danach zusätzliche Nachfragen. Dann wird der Panel-Zugang erteilt oder es gibt eine Absage.

Wie werden Affiliates durch die RaaS-Betreiber kontrolliert? Das werden sie nicht. Es gibt vielleicht ein gewisses Mass an Überwachung, aber definitiv keine Kontrolle. Wenn ein Partner zu lange braucht, um Opfer zu finden, kann ihm der Zugang zum Panel der Gruppe gesperrt werden. Aber was die Kontrolle angeht: Wie viele Fälle haben wir wirklich schon gesehen, in denen Partner gegen die Regeln verstossen und beispielsweise Organisationen in GUS-Ländern angegriffen haben?

Wie erfolgt die Bezahlung nach erfolgreichen Angriffen? Die Gruppen legen den Anteil ihrer Partner an Lösegeldern im Partnerschaftsprogramm fest. In der Regel im Verhältnis 70 zu 30, manchmal 80 zu 20 zugunsten der Partner nach erfolgreichen Angriffen. Alles in Kryptowährung. Alles basiert auf Vertrauen, natürlich abhängig von der Gruppe.

Gibt es einen Konkurrenzkampf um die An- oder Abwerbung von Affiliates? Nein. Viele Affiliates bleiben nicht nur einer Gruppe treu. Tatsächlich sind es die Partner, die darum kämpfen, einer Gruppe beizutreten oder Teil einer Gruppe zu bleiben.

Wie schwierig ist es für ein Mitglied, eine Gruppe zu verlassen? Überhaupt nicht, man kann jederzeit austreten. Das ist keine Mafia oder ein mexikanisches Drogenkartell, es ist "nur ein Geschäft", wie sie gerne sagen.

Verändert sich aktuell die technische Durchführung von Ransomware-Angriffen? Was ist ein typisches Ablaufmodell? Die Abläufe verändern sich nicht so sehr, das klassische Spielbuch bleibt bestehen. Erstzugang, dann Umgehung der Abwehr, Ausführung der Ransomware, Erpressung, möglicher Gewinn. Affiliates kaufen gerne Netzwerkzugang zu kompromittierten Organisationen von Initial Access Brokers (IABs). Wenn sie Abwehrmassnahmen umgehen müssen, stellen die RaaS-Betreiber möglicherweise sogenannte, meist minderwertige Killer zur Verfügung, die fehlerhafte Treiber ausnutzen. Die Ausführung erfordert einen spezifischen Universally Unique Identifier (UUID), der für jede Kompilierung der Ransomware einzigartig ist. Wenn sich ein Affiliate unwohl dabei fühlt, seine Opfer zu erpressen, kann die Gruppe einen sogenannten Ringer zur Verfügung stellen, der bei diesem Schritt hilft.

Was ist der beste Schutz gegen einen Ransomware-Angriff? Auf menschlicher Ebene finden viele Angriffe immer noch aufgrund von Social Engineering statt. Von Stealer-Malware, die ausgeführt wird, um gültige Zugangsdaten zu sammeln, bis hin zu Voice-Phishing, bei dem jemand gebeten wird, das "neue obligatorische Unternehmensupdate" auszuführen. Der beste Schutz dagegen? Aufklärung, Sensibilisierungskampagnen und Phishing-Schulungen. Denken Sie immer daran, dass der schwächste Teil eines jeden Systems immer der menschliche Verstand sein wird. Auf technischer Ebene gibt es ein bestimmtes EDR-System (Endpoint Detection and Response), das Affiliates in der Regel sehr ablehnen und vor dem sie Respekt haben, aber ich werde hier für kein Security-Unternehmen kostenlose Werbung machen.

Wenn Sie Informationen sammeln, bewegen Sie sich nahe an diesen Gruppen, die im lukrativen Cybercrime-Geschäft operieren. Haben Sie keine Angst vor Vergeltungsmassnahmen? Immer, aber Angst ist ein Mind-Killer. Wenn wir es nicht tun, wer dann? Die Polizei? Die Regierung? Wenn nicht Sie, wer dann? Wenn nicht jetzt, wann dann?

Waren Sie schon mal neidisch auf die Summen, die als Lösegeld gezahlt wurden? Nein. Ich werde nicht lügen, wenn ich sage, dass mein Gehalt vielleicht nicht das beste ist, aber ich stehe zu meinen Prinzipien. Es gibt einen Satz von Smelly (@vxunderground), den ich immer im Hinterkopf behalten werde: "Selbst die hungrigsten Hacker vermeiden es, Kinder anzugreifen." Warum sollte ich neidisch auf das Geld sein, das durch einen Angriff auf ein Kinderkrankenhaus oder eine NGO erzielt wird? Einige RaaS-Gruppen bewerben sich als "Hacker gegen ein problematisches System", lassen aber ihre Partner gegen schmutziges Geld alles angreifen. Sie haben weder Prinzipien noch einen tatsächlichen Einfluss auf dieses "System", gegen das sie angeblich kämpfen. Das ist kein Hacking.

Ich respektiere echte Hacker wie Phineas Phisher oder Guacamaya, die nicht nur echte technische Kenntnisse im Bereich Hacking unter Beweis stellen, sondern auch einen tatsächlichen Grund dafür haben und einen echten Einfluss auf autoritäre und missbräuchliche Organisationen ausüben. Nicht dieser Schwachsinn, den Affiliates machen, indem sie zuvor erworbene Netzwerkzugänge kaufen, die wahrscheinlich durch Social Engineering oder Stealer-Logs erworben wurden, und versuchen, eine beschissene ausführbare Datei einzusetzen, die in diesem System vielleicht funktioniert oder auch nicht, nur um zum nächsten Opfer überzugehen. Ich würde lieber hungern, als Geld aus diesem Schwachsinn zu erhalten.