Ransomware
Zeitenwende in der Ransomware-Landschaft?
Ransomware-Angriffe haben immer häufiger eine politische Zielsetzung. Dabei geht es dann nicht mehr in erster Linie um Lösegelderpressung, sondern der Datendiebstahl steht im Mittelpunkt und die Sabotage des Betriebs der Opfer – eine Analyse.
Mit LockBit war es im März 2024 bereits die zweite große Hacker-Bande, die seit Jahresbeginn von einem internationalen Bündnis aus Strafverfolgungsbehörden und IT-Sicherheitsunternehmen ausgeschaltet wurde. Die Cyberakteure verloren dabei nicht nur alle Assets einschließlich der in Entwicklung befindlichen neuen Angriffssoftware, sie wurden auch noch von den Behörden „getrollt“. Mit der neuen Strategie will man die Kriminellen nicht mehr nur kurzfristig ausschalten, sondern sie auf psychologischer Ebene für ihre Spießgesellen zur „Persona non grata“ machen – sozusagen zu Aussätzigen.
Es geht eben nicht mehr nur um die Infrastruktur einer kriminellen Bande, sondern um das gesamte Ökosystem. Selbst „Geschäftspartner“, so genannte Affiliates, sind betroffen. Auch gegen sie soll im digitalen Untergrund Misstrauen gesät werden. Denn, wie konnte die Polizei Zugriff erhalten? Natürlich, indem sie als solcher auftrat. Aber als welcher? Das lief beim ersten erfolgreichen Takedown dieses Jahres, nämlich den der Cybergruppe AlphV/Blackcat, noch anders: Die Infrastruktur der Gruppe wurde im Januar abgeschaltet, einschließlich Entschlüsselungs-Keys. Die Gruppe erholte sich allerdings bald wieder.
Die AlphV-Story
AlphV konnte innerhalb von zwei Monaten wieder Angriffe durchführen. Besonders beeindruckend war dabei die Attacke auf den US-Gesundheitskonzern Change Healthcare. Medienberichten zufolge gelang es den Tätern, ein Lösegeld von 22 Millionen Dollar zu erpressen. Üblicherweise wäre dieses zwischen dem eigentlich durchführenden Affiliate und der die Dienste zur Verfügung stellenden Ransomware as a Service (RaaS)-Gruppe, hier AlphV, aufgeteilt worden. Aber diesmal nicht. AlphV täuschte nach Erhalt der Summe einen erneuten Takedown durch die Polizei vor und verschwand mit der gesamten Beute. Der Affiliate hatte außer der Arbeit nichts vom Angriff. Ein klassischer „Exit-Scam“ - einmal noch große Beute machen und damit ein neues Leben beginnen. Denn nach so einem Vorfall ist man auch im digitalen Untergrund Geschichte. Eine Story, die um die Welt ging und die jeder mitbekam, der sich für Cybercrime interessiert.
Damit sind nun zwei der erfolgreichsten Cyberangreifer der letzten Jahre raus aus dem Geschäft.
Gute Nachrichten - vielleicht?
Das größte Verhängnis für Verbrecher ist die Gier. Funktioniert eine kriminelle Methode, wird sie eingesetzt, bis sie nicht mehr funktioniert. Und dann gewinnt die Polizei. Kluge Köpfe hören vorher auf, streichen den Gewinn ein und versuchen ihre Spuren zu verwischen.
Doch für die Cybersecurity ist das eigentlich gar nicht relevant, denn man kennt die Täter bereits. Das Problem besteht darin, dass man sie nicht erreichen kann. Sie sitzen in Ländern, zu denen unsere Strafverfolgungsbehörden keinen Zugang haben. Korruption tut ihr Übriges, so dass dort auch kein Bedarf entsteht, irgendwem einen „Gefallen“ tun zu wollen.
Warum ziehen sich die Täter trotzdem zurück? Erleben wir vielleicht nur so etwas wie einen Generationswechsel, weil die „Pioniere“ genug verdient haben und das Geschäft nun anderen überlassen? Oder steckt mehr dahinter, und es werden andere Qualitäten gefordert, die eine neue Führung einer auf Kriminalität basierenden Organisation erfordert? Die Frage ist vermutlich eher, warum sich andere nicht zurückziehen.
Politik und Cyberkriminalität
Längst schon ist es ein offenes Geheimnis, dass die Politik großes Interesse an der Cyberkriminalität hat. Sie kann nämlich ganz unauffällig Themenfelder besetzen, die für Staaten oft schwere Konsequenzen haben, beispielsweise, wenn es um die Beschaffung von Informationen oder um Sabotage wichtiger Einrichtungen geht. Aber auch als Tarnung sind Kriminelle oft willkommen, um die eigentliche Absicht hinter einer Tat zu verstecken. Letztlich spielt auch die Menge an Einzeltaten eine Rolle. Für Staaten sind viele „offizielle“ Akteure teuer, wohingegen sich „freiberufliche“ Kriminelle gerne einspannen lassen, wenn es sich für sie lohnt. Ob nun haupt- oder nebenberuflich … wen interessiert‘s? Wichtig ist, dass es funktioniert.
Wenn man bedenkt, dass gerade im Falle von Ransomware die Sicherheit der Täter im Prinzip davon abhängt, ob das Land, in dem sie ansässig sind, sie gewähren lässt oder nicht, ist es schwer vorstellbar, dass es keine politische Einflussnahme auf diese Gruppen gibt. Diese mag sich in der Auswahl der Ziele manifestieren oder im Umsatz, den man „versteuern“ muss. Und es mag eine Frage des Vertrauens sein, das Staaten in die durchführenden Täter haben. Diese taugen nur so lange als Kontaktpersonen, solange sie ihren Zweck erfüllen. Danach werden sie ausgetauscht. Ob AlphV einfach nur ihre Ruhe wollten, weil ihnen das Pflaster zu heiß wurde oder sie zu viel Aufmerksamkeit auf sich zogen und damit unbequem wurden, es darf davon ausgegangen werden, dass andere ihren Platz einnehmen - unter neuem Namen selbstverständlich.
Verschiebung in der Motivation
Die „Erfolgsgeschichte“ von Ransomware startete sicherlich mit der Aussicht auf das große Geld. Für die „Pioniere der Branche“ war dies zunächst die einzige Motivation. Spätestens mit dem Angriff auf die Colonial Pipeline 2021 – einem US-Energieversorger – änderte sich diese Betrachtungsweise. Der Vorfall demonstrierte das Potenzial dieser Methode für einen politischen Machtkampf und sorgte zunächst für das offizielle Eingreifen der Politik zugunsten der Opfer. Schnell war klar, dass trotz deutlicher Appelle die Gegenseite eher weniger Interesse hatte, das Problem politisch zu beenden.
Der Anfang 2022 erfolgte Angriff Russlands auf die Ukraine verkomplizierte die Situation zunehmend. Die Ukraine galt lange Zeit ebenfalls als Eldorado der Cyberkriminalität, schlug aber unter der Regierung Zelensky einen klar prowestlichen Kurs ein. In Zusammenarbeit mit Europol gelang es so unter anderem, die gefährliche Cybercrime-Gruppe Emotet als Gefahr für Europa auszuschalten (2021). Russische Kriminelle hatten oft Partner auf der ukrainischen Seite und nutzen den Krieg nun als willkommene Rechtfertigung, um ein paar Rechnungen zu begleichen. Die Gruppe Conti erklärte beispielsweise ganz offen ihre Unterstützung für die russische Politik -- Eine Ankündigung, die sich allerdings als schwerer Fehler erwies und zur Auflösung der Gruppe führte. Ihre Mitglieder verteilten sich auf andere Organisationen.
Die Gründe
Nordkorea ist bekannt dafür, dass das das Land die Cyberkriminalität nutzt, um sich Devisen in Form von Cryptowährung zu verschaffen. Dieses Hauptmotiv darf bei einem Land der Größenordnung Russlands oder Chinas durchaus bezweifelt werden. Das Interesse dieser Länder liegt aktuell eindeutig in der Informationsbeschaffung, sei es zum Aufbau eigener Industrien oder der Unterstützung politischer Agitation.
Insofern verwundert es nicht, dass praktisch alle Ransomware-Aktivitäten heutzutage auch einen Anteil an Datendiebstahl umfassen. „Offiziell“ werden Unternehmen damit ebenfalls erpresst, so genannte „Double Extortion“ (doppelte Erpressung). Die Geldzahlung soll verhindern, dass die Informationen „veröffentlicht“ werden. Daten sind allerdings keine Ware, die zurückgegeben werden kann. Kopien sind schnell und nicht nachvollziehbar erstellt und genauso schnell auch verkauft. Die Käufer sind dabei nur den jeweiligen Tätern bekannt.
Ein Problem ist allerdings die Authentizität der Daten – zumindest so lange das betroffene Unternehmen nicht von sich aus zugibt, bestohlen oder lahmgelegt worden zu sein. Ist Ransomware im Spiel, ist das einfach nachweisbar. Die Opfer müssen den Angriff oft zugeben, beispielsweise wenn personenbezogene Daten betroffen oder sie nicht mehr handlungsfähig ihren Geschäftspartnern gegenüber sind. Bei großen Unternehmen steht das dann häufig auch in den Nachrichten - ein Jackpot für Kriminelle – ihnen wird die Bewerbung der Datenqualität praktisch abgenommen.
Im Falle der MoveIT-Sicherheitslücke (Mai-Juni 2023) mussten über 1000 Unternehmen weltweit, darunter auch einige deutsche Banken und Versicherungen, öffentlich eingestehen, betroffen zu sein. Die Umsätze der zuständigen Hackertruppe Clop gingen in die Millionen. Die Daten wurden dabei lediglich gestohlen, es erfolgte keine Verschlüsselung. Aber ob die Umsätze mit dem Verkauf der Daten erzielt wurden oder weil Unternehmen tatsächlich den Versprechungen der Kriminellen glaubten, so eine Veröffentlichung verhindern zu können, ist schwer nachvollziehbar. Kein Opfer gab zu, den Verbrechern Geld gegeben zu haben. Dennoch wird angenommen, dass es welche taten. Man spricht von wenigen „unbekannten Zahlern“, die jeweils hohe Summen transferierten.
Ein weiterer Hinweis darauf, dass Datendiebstahl und Verkauf inzwischen zur Haupteinnahmequelle geworden sind, ist die Existenz reiner Datendiebe, sowie solcher „Verbrecher“, die einen Diebstahl lediglich vortäuschen, um potenzielle Käufer zu betrügen.
Fazit
Es wird viel darüber diskutiert, wie das Geschäft Ransomware effektiv zu zerstören wäre. Ideen, wie z.B. das Bezahlen von Lösegeld unter Strafe zu stellen, gehören dazu. Oberflächlich betrachtet, ergäbe das Sinn. Die Herausforderung dabei ist, dass dies auch den Tätern bewusst sein dürfte, und sie sich nach anderen Einnahmequellen umsehen. Der Verkauf gestohlener Daten ist bereits eine solche Quelle.
Aber sie ist auch problembehaftet. Unstrukturierte Daten hatten für Käufer in der Vergangenheit wenig Wert. Das ändert sich allerdings gerade mit der Verfügbarkeit von Sprache verstehender künstlicher Intelligenz. Diese kann auch unstrukturierte Datenmengen anhand bestimmter Fragestellungen analysieren. Je mehr Trainingsdaten hierfür zur Verfügung stehen, desto effizienter wird die Methode.
Wenn aber das Geschäftsmodell Ransomware kaum mehr ist als ein „Nebenverdienst“, der zudem von den eigentlichen Absichten der Täter ablenkt, werden diese sich durch politische Gegenmaßnahmen kaum beeindrucken lassen. Es wird lediglich eine größere Abhängigkeit zu anderen Auftraggebern geben.
Dass immer mehr der einstigen tatsächlichen Kriminellen freiwillig oder unfreiwillig ihren Ausstieg aus dem Geschäft durchziehen, mag ein gutes Zeichen sein. Ob es aber dauerhaft das Problem beseitigt, sollte bezweifelt werden. Tatsächlich dürfte ein Aufsehen erregender Ausstieg wie der von AlphV/Blackcat das Interesse potenzieller Nachfolger wecken. Sich innerhalb von drei Arbeitsjahren (2021 – 2024) als Multimillionäre zur Ruhe zu setzen, schreckt nicht gerade ab.