Ein ehemaliger Analyst des Sicherheitsunternehmens Huntress wirft einer noch beschäftigten Kollegin vor, einem Ransomware-Kriminellen Insiderwissen über eine FBI-Ermittlung zugespielt zu haben.
Der Fall dreht sich um Kontakte zwischen einer aktuellen Huntress-Mitarbeiterin und dem Betreiber der Ransomware „Devman“, der vermutlich aus Russland heraus agiert und dabei eine abgewandelte Version der DragonForce-Schadsoftware nutzt, welche wiederum auf durchgesickertem Conti-Quellcode basiert. Huntress ist ein US-amerikanischer Anbieter von IT-Sicherheitsdiensten, der vor allem kleine und mittlere Unternehmen sowie IT-Dienstleister mit Managed Detection and Response (MDR) schützt, also mit einer rund um die Uhr besetzten Sicherheitsüberwachung von Endgeräten und Netzwerken, hinter der auch menschliche Bedrohungsanalysten stehen. Öffentlich gemacht hat die Vorwürfe Ben Folland, der Huntress im Februar verlassen hat und dort zuvor im Bereich Security Operations tätig war. Devman greife derzeit gezielt ihn und seine Familie an, so Folland.
Was der Mitarbeiterin vorgeworfen wird
Laut Folland hatte das FBI die Huntress-Mitarbeiterin kontaktiert, um Informationen über Devman zu erhalten. Statt zu kooperieren, habe sie den Ermittlern die Zusammenarbeit verweigert und stattdessen die komplette Kommunikation der Behörde, samt Screenshots mit Namen der zuständigen FBI-Agenten, an Devman selbst weitergeleitet. Damit habe sie ihn zugleich gewarnt, dass gegen ihn ermittelt wird.
Folland argumentiert, das Verhalten erfülle klar die Kriterien einer Insider-Bedrohung, und zieht zur Veranschaulichung den Vergleich zu einem Bankangestellten, der einen Betrüger vor einer Polizeiermittlung warnt. Auch das würde niemand bloß als Fehleinschätzung abtun. Er kritisiert generell, dass Beschäftigte von Sicherheitsfirmen weder Cyberkriminellen helfen noch sie über laufende Ermittlungen informieren dürften.

Wie Huntress-Chef Hanslovan reagiert
CEO Kyle Hanslovan bestätigte in einem aktuellen Blogeintrag, dem Unternehmen seien „fragwürdige, langfristige Kontakte“ zwischen der Mitarbeiterin und dem Bedrohungsakteur bekannt. Er bestätigte auch den zentralen Vorwurf: Die Mitarbeiterin habe dem Kriminellen mitgeteilt, dass Strafverfolgungsbehörden wegen ihm an sie herangetreten seien. Rechtlich sei dies zwar nicht zu beanstanden gewesen, so Hanslovan, wohl aber ein Ausdruck schlechten Urteilsvermögens.
Huntress erlaubt es Threat-Researchern, sich gelegentlich mit Bedrohungsakteuren („Threat Actors“) auseinanderzusetzen, wenn dies für proaktive Forschung und Entwicklung (R&D) und/oder zur Unterstützung laufender Ermittlungen von Nutzen ist. Uns ist eine separate, fragwürdige, langfristige Kommunikation mit Bedrohungsakteuren bekannt, die sowohl von unserem derzeitigen Teammitglied als auch von einem inzwischen ehemaligen Mitarbeiter geführt wurde. In einem bestimmten Austausch offenbarte unser derzeitiges Teammitglied einem Bedrohungsakteur, dass die Strafverfolgungsbehörden sich bezüglich dieses Bedrohungsakteurs an ihn gewandt hatten. Diese Offenlegung war zwar nicht illegal, zeugte jedoch von schlechtem Urteilsvermögen.
Huntress-CEO Kyle Hanslovan
Eine Einstufung als Insider-Bedrohung lehnt Hanslovan weiterhin ab. Bereits als die Vorwürfe erstmals publik wurden, hatte er ihnen entschieden widersprochen, ohne damals Einzelheiten zu nennen. Aus der internen Untersuchung des Vorfalls seien inzwischen striktere Verhaltensregeln für Forscher im Umgang mit Bedrohungsakteuren sowie entsprechende Schulungen hervorgegangen; zudem habe man „angemessene personelle Maßnahmen“ getroffen. Hinweise auf illegales Handeln, eine gezielte Insider-Aktivität oder weitere Datenweitergaben habe die noch andauernde Untersuchung bislang nicht ergeben. Aus Rücksicht auf die Persönlichkeitsrechte der betroffenen Mitarbeiterin werde man sich nicht weiter äußern, so Hanslovan.
(red)