Ransomware ist für Unternehmen und öffentliche Einrichtungen derzeit die Bedrohung schlechthin. Egal ob in der Fertigung oder im Online-Shop, in Krankenhäusern oder Universitäten, bei Mittelständlern oder Großkonzernen – die Zahl der Angriffe ist in den letzten Jahren kontinuierlich gewachsen. Auf sogenannten Data Leak Sites (DLS) zählte Digital Shadows bislang mehr als 3.000 Opfer (Stand: September 2021)
immer mehr, immer professioneller
Die Intensität der Ransomware-Angriffe und die Professionalität der verantwortlichen Gruppen haben in den letzten zwei bis drei Jahren deutlich zugelegt. Immer mehr Gruppen tauchen in der Ransomware-Szene auf und entwickeln ihre Taktiken und Techniken ständig weiter. Fast alle dieser Gruppen betreiben die Strategie der sogenannten doppelten Erpressung. Anstatt Dateien nur zu verschlüsseln, drohen die Angreifer bei der „Double Extortion“ zusätzlich mit der Veröffentlichung von Daten. Weigert sich das Unternehmen, Lösegeld zu zahlen, stehen die Informationen online bereit und werden verkauft.
Die Politik hat die Gefahr von Ransomware ebenfalls erkannt. US-Präsident Biden unterzeichnete jüngst eine Executive Order zur Stärkung der US-Cybersicherheitsabwehr. Bei einem Treffen mit dem russischen Präsidenten Putin sprach er über russische Ransomware-Gruppen. Doch trotz aller Bemühungen dauerte es nicht lange, bis REvil (alias Sodinokibi) die Bühne betrat. Anfang Juni griff die Ransomware-Guppe JBS Foods an, den größten Fleischproduzenten der Welt. Der Geschäftsbetrieb in den USA, Australien und Kanada wurde lahmgelegt. Weniger als einen Monat später führte die Gruppe einen Ransomware-Angriff auf den IT-Dienstleister Kaseya durch, von dem Tausende von Partnern und Endbenutzern betroffen waren.
Trend zum rebranding
Nach dem erfolgreichen Angriff auf Kaseya verschwand REvil erstmals von der Bildfläche. Diese Taktik ist beliebt: In den letzten Monaten sind viele Ransomware-Gruppen nach einer Pause unter neuem Namen und mit größerer, besserer Ransomware zurückgekehrt. Ein Namenswechsel bei Ransomware ist also nichts Neues (siehe Grafik unten). Allein im Jahr 2021 waren es fünf Gruppen. Auffällig ist jedoch, dass viele Gruppen zur gleichen Zeit unter neuen Namen auftreten.
Beim Vergleich der Gruppen fand Digital Shadows Ähnlichkeiten im Malware-Code, in den Merkmalen der Data Leak Sites, den Logos und im Branding. Vor allem zwischen BlackMatter und Darkside, SynAck und El_Cometa sowie Doppelpaymer und Grief sind viele Parallelen zu erkennen. Auch Lockbit hat seine Malware aktualisiert und kürzlich Lockbit 2.0 veröffentlicht.
Warum haben sich so viele Gruppen umbenannt? Zunächst einmal gibt es heute mehr Ransomware-Gruppen als je zuvor. In manchen Fällen wollen sich Gruppen von früheren – medienwirksamen – Angriffen distanzieren. Andere werden eventuell von Gewissensbissen geplagt (auch das Darknet hat ein Gewissen). Und zu guter Letzt kann eine Namensänderung auch dann sinnvoll sein, wenn eine Gruppe mit verbesserter, weiterentwickelter Malware zurückkehrt. Werfen wir einen genaueren Blick auf den typischen Lebenszyklus einiger der gefährlichsten Gruppen.
DARKSIDE VERWANDELT SICH IN Black matter
DarkSide wurde im August 2020 als Ransomware-as-a-Service bekannt und fiel seither besonders durch hohe Professionalität auf. Die Gruppe praktizierte die Taktik der doppelten Erpressung. Auf ihrer Plattform veröffentlichte DarkSide kontinuierlich gestohlene Daten von Unternehmen, die kein Lösegeld zahlten. Colonial Pipeline war der bedeutendste Angriff von DarkSide.
Unmittelbar danach schoben die Betreiber von DarkSide die Schuld für den Colonial Pipeline-Angriff auf einen ihrer Partner, was ihnen in der Ransomware-Szene keine Freunde einbrachte. Ein Mitarbeiter veröffentlichte sogar „geheime Details“ über den Angriff von DarkSide auf Colonial Pipeline. Der interne Datenleak und das selbst in kriminellen Kreisen schlechte Image der Gruppe ist höchstwahrscheinlich der Grund für die Umbenennung.
DarkSide wird für das Verbot von Ransomware in Foren verantwortlich gemacht und gilt als Katalysator für die amerikanisch-russischen Gespräche über Cyberkriminalität. Russische Cyberkriminelle operieren in der Regel frei und werden von der russischen Regierung größtenteils geduldet. Das Interesse von Putin & Co. ist daher alles andere als erwünscht.
Hier kommt der Name Black Matter ins Spiel. DarkSide führte das Rebranding in Black Matter innerhalb kürzester Zeit durch, um den Ermittlungen von Strafverfolgungsbehörden zu entgehen.
VON BITPAYMER ÜBER DOPPELPAYMEr ZU grief
Die Betreiber von Bitpaymer – Evil Corp – sind zweifellos die bekannteste cyberkriminelle Gruppe.
Der Lamborghini des Bitpaymer-Chefs (Quelle: UK National Crime Agency)
Im Dezember 2019 veröffentlichten die US-Behörden eine Anklageschrift gegen einen der Anführer der Gruppe, Maksim Yakubets, sowie den Rest von Evil Corp. Darin wurde ausdrücklich die von der Gruppe bei ihren Angriffen verwendete Ransomware Bitpaymer erwähnt. Gleichzeitig verhängte das Office of Foreign Assets Control des US-Finanzministeriums Sanktionen gegen Evil Corp. Das hatte nicht nur Auswirkungen auf die Gruppe, sondern auch auf ihre Opfer: Wer an die Kriminellen Lösegeld zahlte, machte sich ab sofort strafbar.
Als Nachfolger von Bitpaymer trat Doppelpaymer im April 2019 auf die Bühne. Das Rebranding sollte wahrscheinlich die Weiterentwicklung der Ransomware unterstreichen – mit Erfolg. Doppelpaymer gelang eine Reihe an Angriffen auf kritische Branchen, was schließlich zu einer offiziellen Warnung des FBIs im Dezember 2020 führte. Die Umsätze aus Lösegeldzahlungen sanken daraufhin.
Ein zweites Rebranding war nötig – von Doppelpaymer in Grief. Da Grief jedoch mittlerweile ebenso mit Evil Corp in Verbindung gebracht wird, scheint ein erneuter Namenswechsel wohl nur eine Frage der Zeit zu sein.
Vorreiter im rebranding: REvil
Auch REvil hatte bereits zwei Namensänderungen hinter sich, bevor die Gruppe nach dem Kaseya-Vorfall gänzlich von der Bildfläche verschwand.
Zum ersten Mal trat die Ransomware-Gruppe unter dem Namen Cerber Ende Februar 2016 auf, wobei der Name von den Entwicklern selbst, und nicht von Sicherheitsexperten stammte. Cerber durchlief in kurzer Zeit zahlreiche Upgrades, wobei die fünfte Version bereits im November 2016 erschien. Die neueste Version verschlüsselte Dateien, die größer als 2.560 Byte waren (zuvor waren es 1.024 Byte) und zielte auf Bitcoin-Wallets auf kompromittierten Computern. Aufgrund der systematisch angetriebenen Entwicklung mutierte Cerber schnell zu einer der bekanntesten Ransomware überhaupt. Ende 2017 ging die Zahl an kompromittierten Systemen jedoch zurück, ebenso wie die Updates und neuen Versionen.
Wie sich später herausstellte, gönnten sich die Entwickler von Cerber eine Verschnaufpause, um mit Nachdruck an einer neuen Ransomware-Variante zu arbeiten. 2018 war es dann so weit: Gandcrab erschien auf der Bildfläche und erhielt bereits im ersten Jahr mehrfache Updates. Im Februar 2019 gelangte Gandcrab über eine Kaseya VSA-Plugin-Schwachstelle in die Systeme und ging als einer der ersten Ransomware-Typen auf Großwildjagd. Im Mai 2019 gaben die Betreiber von Gandcrab bekannt, den Betrieb einzustellen. Ein paar Monate später veröffentlichte das FBI den Decryption Key für Gandcrab. Etwa zur gleichen Zeit machte jedoch schon eine neue Ransomware die Runde: REvil.
Gandcrab und REvil verwendeten ähnliche Verfahren zur Generierung von Zufalls-URLs, um Systeme zu infizieren. REvil war jedoch lange Zeit deutlich besser darin, sich zu verstecken und der Aufdeckung durch die Strafverfolgungsbehörden zu entgehen.
Seit ihrer Gründung hat sich die REvil-Gruppe darauf konzentriert, ihre Malware kontinuierlich zu verbessern. Ihr Verschwinden nach dem Kaseya-Angriff könnte daher nur ein Vorwand gewesen sein, um an einem Upgrade zu arbeiten. So oder so dauerte der „Urlaub“ nicht lange. Ende Oktober 2021 gab es erneut Schlagzeilen um die Hackergruppe: Das FBI und andere Strafverfolgungsbehörden hackten REvil in einer länderübergreifenden Operation und nahmen sie vom Netz. Ob das tatsächlich das Ende von REvil ist, bleibt abzuwarten.
Und jetzt?!
Was haben all diese Rebrandings gemeinsam? Nun, letztendlich kommen Sicherheitsanalysten den Gruppen trotz ihrer Namenswechsel immer wieder auf die Spur. Die neue Malware und die Taktiken, Techniken und Prozeduren (TTPs) unterscheiden sich scheinbar nie vollständig vom Original und es gibt immer Hinweise, die sie verraten. Warum hinterlassen Ransomware-Gruppen eine solche Spur aus Brotkrumen? Ein kleiner Teil von ihnen tut sich wahrscheinlich schwer damit, ihren alten Ruf gänzlich loszulassen – vor allem, wenn die Malware erfolgreich war.
Eines ist sicher: Sich bei zunehmendem Druck aus dem Staub zu machen, etabliert sich als Trend innerhalb der Ransomware-Community. Die meisten der oben genannten Gruppen werden wohl ihre Aktivitäten fortsetzen und vielleicht sogar verstärken, um die neue Marke zu etablieren. Abnehmen wird die Gefahr durch Ransomware jedenfalls so schnell nicht.
Im Kampf gegen Cyberkriminelle lohnt es sich, aktuelle Entwicklungen zu beobachten und die Ransomware Techniken und Eigenheiten der wichtigsten Gruppen zu kennen. Eine solche Cyber Threat Intelligence (CTI) gibt Unternehmen und Organisationen Einblick in die Taktiken von Akteuren und hilft, relevante Bedrohungen frühzeitig zu erkennen. SearchLight dient hier als wichtiges Monitoring-Tool, um das Open, Deep und Dark Web nach vorab definierten Kriterien zu scannen.
Neugierig geworden? Dann testen Sie SearchLight sieben Tage lang kostenlos in der Demo-Version.