Malware
Tätern sollte man nicht alles glauben, aber…
Der jüngste Cybersicherheitsangriff auf MGM Resorts und die darauf folgende öffentlich ausgetragene „Verkaufsveranstaltung“ macht deutlich, wie komplex mittlerweile die Einzelaspekte solcher Vorfälle zu bewerten sind – ein Kommentar.
Der bekannte US-Hotel- und Casino-Betreiber MGM-Resorts meldete vor einer Woche auf X (ehemals Twitter) einen Cybersicherheitsvorfall und fuhr seine IT-Systeme zum Teil herunter. Es gab den Verdacht auf Ransomware.
Casinos, Hotel, Luxus… MGM Resorts ist eine bekannte Marke mit Geld -- viel Geld. Hotelgäste hinterlassen personenbezogene Daten und Kreditkarteninformationen. Allein an den einarmigen Banditen werden täglich Millionenbeträge umgesetzt. Das Unternehmen hat eigene Geldautomaten, die es seinen Gästen erlauben, Cash und Chips in Vergnügungen zu investieren, die dann wieder im Unternehmen umgesetzt werden. Kurz MGM Resorts ist eine riesige Bank… sowohl für Finanzen als auch für Daten.
Und das macht sie zum Ziel für Cyberangreifer. Das ist klar, aber MGM Resorts wusste auch, dass das Unternehmen angegriffen werden kann, und es gibt genug Geld im Unternehmen, um sich zu schützen. Dennoch gelang der Einbruch.
Aber nicht nur das ist außergewöhnlich, sondern auch was dann folgte. Inzwischen veröffentlichten die Täter ein Statement. Sie fühlten sich in ihrer „Ehre gekränkt“, weil der Fall falsch attribuiert worden sei und veröffentlichten ihrerseits Details zum Ablauf. Tatsächlich dürfte aber dahinter eher eine Taktik stehen, mehr Druck auf das Opfer auszuüben, zum Teil mit nicht bewiesenen schwerwiegenden Vorwürfen aus angeblichem Internawissen. Wie stark die Drohkulisse wirklich ist, lässt sich von außen nicht einschätzen. Grund genug einige Aspekte näher zu betrachten, auch wenn eine abschließende Untersuchung noch andauern dürfte.
Der Zehn-Minuten Call
Dennoch lohnt es sich, die verfügbaren Informationen auf ihre Relevanz zu untersuchen. Dazu gehört die über den X (früher Twitter) Account von VX-Underground veröffentlichte Aussage der Täter, die sich selbst ALPHV (aka Blackcat) nennen. Die seit 2021 existierende Ransomware-as-a-Serivce (RaaS-Gruppe) behauptete eine telefonbasierte Phishing-Methode zu verwenden (vishing = voice phishing). Dabei wird das Opfer per Anruf dazu bewegt, wichtige Daten, beispielsweise solche zum Login, preiszugeben. Die Täter geben sich normalerweise als Mitarbeiter:in der firmeninternen Hotline aus und bitten das Opfer um die Informationen; eine Multifaktorabfrage mit entsprechender Bestätigung später und die Täter sind drin. So wird es in internen Schulungen hoffentlich den Teilnehmern erklärt!
Im MGM-Fall sei es aber laut ALPHV anders herum gewesen. Die Täter hätten zuerst auf LinkedIn einen Mitarbeiter identifiziert und dann in dessen Namen die Hotline angerufen. Man täuschte Zugangsprobleme zum Netzwerk vor und bat um Hilfe. Innerhalb von zehn Minuten habe man so Zugang zum Netzwerk erhalten.
Auch wenn man Tätern nicht alles glauben kann – die Methode ist bekannt und funktioniert erstaunlich gut. Gerade wenn Helpdesk Mitarbeiter nicht mehr jeden im Unternehmen kennen, bzw. überregionale Zuständigkeiten existieren, hängt es von etablierten Prozessen ab, wie sicher die Hotline funktioniert. Gibt es Anweisungen und Sicherheitsprotokolle, wie in solchen Fällen gehandelt wird? Wie wird die Identität des Anrufers geprüft?
Typisches Vorgehen bei Ransomware-Angriffen
Der Öffentlichkeit wurde der Angriff auf MGM Resorts bekannt, weil diese den elektronischen Zahlungsverkehr eingestellt hatten und auch ihre Website heruntergefahren wurde. Laut Aussage der Täter habe MGM Resorts, in einer Art Panikreaktion auf Kontaktaufnahmeversuche seitens der Kriminellen die eigenen Netzwerkverbindungen gekappt. Der Schritt sei „unnötig gewesen und habe zur Eskalation beigetragen“, so das Statement. Zu diesem Zeitpunkt habe man schon weitestgehend Administrationsrechte und Privilegien gehabt. Erst als Reaktion auf die Aktionen der Verteidiger habe man Ransomware verteilt.
Was sich anhört wie eine Rechtfertigung – „wir sind nicht schuld an den Schäden“ – beschreibt besser die Vorgehensweise aktueller Ransomware-Angriffe. Ziel einer RaaS-Gruppe ist es, das Unternehmen zur Zahlung einer beachtlichen Lösegeldsumme zu bewegen. Die Verschlüsselung vitaler Komponenten ist eine der eingesetzten Maschen. Aber sie ist nicht immer zielführend. Entstehen einem Unternehmen sichtbare Schäden oder Unterbrechungen nach außen, wird dadurch auch Aufmerksamkeit erzeugt, speziell bei großen Einrichtungen wie MGM Resorts. Das Zahlen der Lösegeldsumme wird dadurch zu einem Politikum für das Opfer.
Ein alternativer Weg besteht darin, dem Opfer sensible interne Daten zukommen zu lassen, um glaubhaft darzustellen, man habe bereits alles im Griff. Ist das Opfer verhandlungsbereit, muss es nicht unbedingt zur Verschlüsselung kommen.
Aber genauso wahrscheinlich ist, dass MGM Ressorts den Angriff selbst bemerkt hat und seinen Notfallprozessen folgend betroffene Systeme isolierte. Tatsache ist, es gelang den Tätern nicht, alles zu übernehmen und die Wahrscheinlichkeit, dass das Opfer zahlt, sinkt damit.
Der Schritt in die Öffentlichkeit
Was nun folgt, ist eine „Verkaufsveranstaltung“ der anderen Art - der Schritt in die Öffentlichkeit. Er ist in diesem Fall möglich, weil das Opfer bekannt ist und auch selbst schon über den Vorfall berichtet. Damit ist die primäre Option Geld zu verdienen vorbei. In diesem Moment ist klar, MGM Resorts wird nicht zahlen.
Die Medienaufmerksamkeit soll nun helfen, Profit zu erwirtschaften. Bei aktuellen Ransomware-Angriffen werden praktisch immer auch Daten gestohlen. Im Verhältnis zum Lösegeld ist der Vertrieb von Daten eine verlässliche Geldquelle für Cyberkriminelle. Zum einen finden sich andere Käufer, die, je nach Verwertbarkeit der Daten, durchaus nennenswerte Preise zahlen.
Genauso gut ist es allerdings denkbar, dass die öffentlichen Behauptungen -- man spricht von Insiderhandel mit Aktien, den man den Daten entnommen haben will -- gelogen sind. Vielleicht möchten sie die gestohlene Datenbank für potenzielle andere Käufer interessant machen. Auch das ist nicht selten. Gerade wenn Kriminelle davon ausgehen, kein Geld vom Opfer zu erhalten. Der Vorwurf einer Straftat könnte für Journalisten spannend sein aber auch für Kriminelle, die vielleicht wissen wollen, ob sich daraus Profit schlagen lässt. Ein solch detaillierter Vorwurf ist eher ungewöhnlich.
Zum anderen ist es für Unternehmen nicht immer sofort nachvollziehbar, welche Daten gestohlen wurden. Allein für diese Information zahlen viele. In ihrem öffentlichen Statement werden die Täter im MGM Resorts-Fall sehr detailliert. Man darf Kriminellen nicht alles glauben, allerdings gibt es inzwischen ausreichend Technologie wie z.B. Künstliche Intelligenz, die auch große Datenmengen auf sinnvolle Zusammenhänge hin untersuchen kann. Opfer müssen darauf vorbereitet sein, dass dies geschieht.
Fazit
Der MGM Resorts-Fall ist und bleibt spannend. Was wirklich geschehen ist, und ob die Ausführungen der Täter auch nur ansatzweise dem entsprechen, bleibt hier bewusst offen. Dennoch gibt es wichtige Punkte, die noch einmal unterstrichen werden sollten:
Social Engineering: Das Training von Menschen ist wichtig. Aber wir alle treffen falsche Entscheidungen. Deshalb sollte in der IT-Security immer davon ausgegangen werden, dass Fehler passieren. Richten Sie Prozesse ein, um die Möglichkeiten von Fehlentscheidungen zu minimieren und setzen Sie auf Technologie, um dies rechtzeitig zu entdecken und Gegenmaßnahmen zu ergreifen.
Notfallprozesse: Täter behaupten auch häufig einfach nur, Zugriff auf Systeme zu haben oder Daten zu besitzen. Es ist wichtig, einen Überblick zu erhalten und der muss schnell erzeugt werden können. Sind Täter im System und worauf haben sie Zugriff sind entscheidende Fragen.
Datendiebstahl: Man ist versucht, Datendiebstahl im Verhältnis zu Ransomware als ein kleineres Problem zu betrachten. Dabei sollte man vorsichtig sein. Gestohlene Daten dienen den Tätern zur Verifizierung, wo sie sich überall bewegen konnten. Sie werden für verschiedene Arten von Erpressung verwendet und im Zweifel veröffentlicht. Der Nervenkrieg zur Zermürbung des Opfers wird mit genau diesen Daten geführt. Je besser Sie wissen, womit erpresst werden könnte, desto einfacher ist es, die Schläge zu parieren. Und damit geht es hier noch nicht einmal darum, dass diese Daten üblicherweise noch eine ganze Menge unbeteiligte Menschen betreffen.
Ransomware: ist heute nicht mehr nur technisch zu sehen. Viele zwischenmenschliche Aspekte machen den Opfern das Leben schwer. Das Wichtigste ist es, den Überblick zu erhalten und damit Gelassenheit zu erlangen.
Trend Micro unterstützt dies durch Technologie und Erfahrung, die wir entweder vermitteln und trainieren oder als Serviceleistung offerieren können.