Ransomware-Report: Vom Helpdesk bis zur PR-Abteilung der Cyberkriminellen
Von 18. Mai 2022 um 09:00Foto: Kenny Eliason / UnsplashIm 1. Teil unserer Artikelserie zeigen wir, wann der Ransomware-Trend entstand und wie die Banden organisiert sind. Die grossen Gruppen haben auch die kleine Schweiz verstärkt im Visier.
Ende März brach im italienischen Reiseverkehr Chaos aus: Fahrplanmonitore stellten den Betrieb ein, Automaten für Tickets gingen nicht mehr, Bahnschalter mussten schliessen. Es war die Folge des jüngsten Angriffs in einer Serie spektakulärer Ransomware-Attacken auf wichtige Infrastruktureinrichtungen. In der Schweiz traf es im selben Monat Neuenburger Arztpraxen, denen hoch sensible Daten entwendet und im Darkweb veröffentlicht wurden.
Angesichts der immensen Gewinne und des vielschichtigen kriminellen Gefüges muss mit einer Zunahme solcher Erpressungs-Kampagnen im Cyberspace gerechnet werden.
Was genau ist aber Ransomware? Der Begriff wird aus "Ransom", dem englischen Ausdruck für Lösegeld, und der zweiten Silbe von "Software" gebildet. Der Boom dieses Schadsoftware-Typus, mit dem Daten verschlüsselt und oftmals auch entwendet werden, ist noch nicht sehr alt: Zwar sollen erste "Prototypen" auf das Jahr 1989 zurückgehen, als der Verschlüsselungstrojaner "AIDS" auf Disketten an Forschungseinrichtungen verschickt wurde, aber erst ab den 2010er-Jahren wurden Kampagnen mit Ransomware im heutigen Sinne verzeichnet.
In der Schweiz vermerkte die Melde- und Analysestelle Informationssicherung (Melani) zu dieser Zeit die ersten Erpressungsversuche, bei denen Bildschirme verschlüsselt wurden. Laut Pascal Lamia, der Leiter der heute ins Nationale Zentrum für Cybersicherheit (NCSC) integrierten Organisation, ist 2013 hierzulande mit Cryptolocker die erste wirkliche Ransomware beobachtet worden. Seither steigen die Zahlen im hohen Takt der Monetarisierung.
Die Schweiz kennt (bisher) keine generelle Meldepflicht für Cybervorfälle, die Ransomware-Meldungen beim NCSC zeigen also nur die Spitze des Eisbergs: Waren es im Jahr 2020 noch 67 Meldungen, so wandten sich 2021 bereits 161 Opfer an das NCSC. Im letzten Oktober hatte ein Security-Spezialist das Darkweb nach IP-Bereichen gefiltert und laut eigenen Angaben Daten von fast 2700 betroffenen Schweizer Firmen gefunden. Weltweit lag die Zahl der Daten-Leaks in Folge von Ransomware-Angriffen 2021 um 82% höher als im Vorjahr, wie Security-Forscher von Crowdstrike berichten.
Eine Marktübersicht der Ransomware-Firmen
Rund 70% der weltweit gemeldeten Angriffe ging Ende 2021 auf eine Hand voll Banden zurück, wie kürzlich Security-Forscher von Intel 471 aufzeigten: Lockbit 2.0, Conti, Pysa und Hive, die alle auch in der Schweiz aktiv sind, führen die Liste an. Lockbit, Träger der fragwürdigen Goldmedaille, zielt vermehrt auf Gesundheitseinrichtungen in der Schweiz und soll auch hinter dem eingangs erwähnten Hack der Neuenburger Arztpraxen stecken.
Die Banden sind professionell organisiert und betreiben verschiedene Abteilungen. Dank eines Zerwürfnisses bei Conti weiss man mittlerweile aus internen Chat-Protokollen, dass rund 62 Personen im Hauptteam arbeiteten, das für die Durchführung der Angriffe und die Verhandlungen mit den Opfern verantwortlich war, 23 Personen arbeiteten an der Entwicklung, 6 weitere waren fürs Reverse Engineering zuständig und 4 für Open Source Intelligence. Wie bei legitimen Unternehmen gab es einen obersten Chef: einen CEO namens "Stern". Unter seiner Führung konnte die Bande 2021 rund 180 Millionen Dollar vom insgesamt rund 600 Millionen Dollar grossen Ransomware-Markt einstreichen.
Die hochprofessionellen Kriminellen entwickeln ihre Angriffe stetig weiter. So wurde nach der doppelten Erpressung - dabei werden nicht nur Daten verschlüsselt, sondern auch geklaut und mit deren Veröffentlichung gedroht - die Drohung bereits um einen dritten Faktor ergänzt. Mittlerweile werden auch Kunden von Opfern mit geklauten Daten erpresst. Ein besonders spektakulärer Fall ereignete sich im Herbst 2020, als in Finnland nach einem Angriff Patienten von Psychotherapeuten erpresst wurden.
Die Angriffspfade von Ransomware-Gruppen. Grafik: Cert NZ
Conti, aber auch andere Cyberkriminelle betreiben zudem ein Ransomware-as-a-Service-Geschäft und vermieten Tools und Services an Partner. Einfache Ransomware ist bereits für 100 Dollar zu haben, ausgeklügeltere Malware kostet mehrere Zehntausend Dollar – oder die Banden verlangen einen Prozentsatz des Lösegelds. Damit ist ein unübersichtliches Geflecht von Banden und Partnern entstanden, das die Ermittlungsbehörden vor grosse Probleme stellt, zumal sich die Gruppen auflösen und neu gründen, um der Verfolgung zu entgehen.
Die Abteilungen der Ransomware-Unternehmen
Bei der besonders erfolgreichen Bande Lockbit ist offenbar die Entwicklungsabteilung, auch zuständig für die Schadsoftware, besonders effektiv: Die Ransomware soll laut Forschern von Splunk 25'000 Files pro Minute verschlüsseln. Das ist 86% schneller als eine durchschnittliche Verschlüsselungssoftware und verringert den Reaktionszeitraum der Verteidigung. Im Schnitt schafft handelsübliche Ransomware teilweise abhängig vom System 100'000 Files in der Grösse von fast 54 Gigabyte in etwas unter 45 Minuten.
Die Ransomware-Banden leben auch von ihrer Reputation. Haben sie einen "guten Ruf", können sie ihre Software, die sie als Service anbieten, einfacher unter Partnergruppen vertreiben. Zudem sorgt dieser bei Opfern für Angst und Schrecken und bei potenziellen Mittätern für eine grössere Motivation, sich zu beteiligen. Darum sind Bluffs und Fakenews keine Seltenheit bei Verlautbarungen von Cyberkriminellen im Darkweb.
Kürzlich musste etwa das Public-Relations-Team von Lockbit 2.0 Schadensbegrenzung betreiben. Nachdem jemand im Namen der Gruppe behauptete hatte, das französische Justizministerium um Daten erleichtert zu haben, stellte sich dies als Ente heraus. Lockbit erklärte, dass dies das Werk eines Partners gewesen sei, und ein solcher Fehler bei der hohen Kadenz an Angriffen passieren könne.
Die Human-Ressources-Abteilung der aufstrebenden, aber auch schon strafrechtlich belangten Bande Lapsus liess sich einen besonderen Dreh einfallen: Die wenig professionell wirkende Gruppe, die sich vor allem auf Datendiebstahl und Erpressung konzentriert, suchte per Telegram-Kanal Beschäftigte bei Microsoft, Apple, IBM, OVHcloud, Telefónica, ATT, um Zugang zu einem VPN oder Netzwerk zu erhalten. Ihr Kanal, auf dem auch Daten-Leaks veröffentlicht werden, zählt fast 60'000 Mitglieder.
Wenn man Firmen erpresst, muss man auch sicherstellen, dass diese überhaupt bezahlen können. Die Bande REvil, die im Herbst 2021 nach einer Verhaftungswelle zwischenzeitlich verschwand, betrieb zu diesem Zweck einen Helpdesk. Dort erhielten Opfer Beratung, um den Tor-Browser zu benutzen oder jene Kryptowährung zu erwerben, mit der die Forderungen von REvil zu begleichen waren.
Die Finanzabteilung schliesslich ist für die Transaktionen zuständig. Mit dem Aufkommen von Kryptowährungen hat sich das Prozedere für die Banden vereinfacht, sie fordern in der Regel Überweisungen auf ihre Wallets. Ein Finanzgeschäft, das sich lohnt. Eine Umfrage von Fortinet im letzten Herbst zeigte: Jedes zweite Unternehmen würde das Lösegeld bezahlen.
Warum sich das nicht lohnt, was Opfer von Ransomware-Angriffen sagen und wie sich die Lage entwickelt, erfahren Sie in den kommenden Teilen unseres Ransomware-Reports. Am Dienstag, 24. Mai, erscheint als nächstes der 1. Teil unseres Interviews mit Pascal Lamia, dem Leiter der operativen Cybersicherheit im Nationalen Zentrum für Cybersicherheit (NCSC).
Dieser Artikel basiert auf Studien und Analysen der Security-Spezialisten Bitdefender, Crowdstrike, Chainalysis, McAfee, Fortinet und Splunk sowie Zahlen des NCSC.
Loading
Störungsangriffe rund ums WEF halten an
Mehrere Websites von Schweizer Behörden und Organisationen werden durch DDoS-Angriffe teilweise lahmgelegt.
KI ist neuer Kollege in Schweizer Büros
Auch ohne viel Schulung setzen Büroangestellte in der Schweiz Künstliche Intelligenz für ihre tägliche Arbeit ein. Die Mehrheit weiss aber, dass noch grosse Veränderungen auf sie zukommen.
Beginnt das WEF, starten die DDoS-Attacken
Prorussische Gruppen melden erste Angriffe in Graubünden. Das Bundesamt für Cybersicherheit sieht kritische Infrastrukturen gewappnet.
Datasport gewinnt den Courage Award
Mit dem Award zeichnen Inside IT und ISSS Unternehmen aus, die nach einem Cyberangriff besonders vorbildlich kommunizierten.