Ransomware-Banden sind die Mafia des 21. Jahrhunderts

Technischer Fortschritt hat unsere IT-Sicherheit weit gebracht. Allerdings gilt das auch für die Hacker. Was früher organisierte Banden, wie die Mafia, war, sind heute Ransomware-Banden oder „Ransomware as a Corporation“-Gruppen, die es auf die Kronjuwelen der Firmen abgesehen haben: ihre Daten.

Es gibt mittlerweile unzählige Reporte, die belegen, dass die Zahl und die Bedrohung durch Ransomware-Angriffe drastisch zunehmen. Seit letztem Jahr gab es einen 125-prozentigen Anstieg bei allen Bedrohungstypen zusammen und alleine in Deutschland konnten bis zu 553.000 neue Schadprogramm-Varianten pro Tag gezählt werden, was einem bisherigen Höchstwert entspricht.

Cyberkriminelle haben sich an diese Entwicklung angepasst und orientieren sich an einer Seite aus dem Marketing-Handbuch für Unternehmen: dem Branding. Ähnlich wie in der Geschäftswelt, wo Fusionen, der Wechsel von Talenten und die eigene Umbenennung, wie beispielsweise im Fall von Intel Security (ehemals McAfee) auf der Tagesordnung stehen, spiegeln Ransomware-Banden diese Methoden mehr als je zuvor wider. 

Diese Taktik erlaubt es auch den Hackern, sich auf dem Markt neu zu positionieren und die Cyber-Mafia des 21. Jahrhunderts zu werden. Der Trend, dass sich Cybersecurity-Banden oder Ransomware-as-a-Corporation (RaaC)-Gruppen einen neuen Namen geben, ist nicht ganz neu im aktuellen Sicherheitsumfeld – aber er entwickelt sich gerade dynamisch weiter.

Früher Betonblock am Fuß, heute Rebranding: Die aktuellen Taktiken der neuen Mafia

In der Vergangenheit konzentrierten sich Cyberkriminelle vor allem darauf, sich gegenseitig auszustechen, um so viel Schlagkraft und öffentliche Aufmerksamkeit wie möglich für sich zu gewinnen. Dies änderte sich jedoch 2012, als festgestellt wurde, dass die Ransomware Reveton mit großem Erfolg Opfer in ganz Europa erpresste. 

Fast unmittelbar danach folgte die berüchtigte Ransomware CryptoLocker, mit der schätzungsweise über 2,8 Millionen Euro erpresst wurden, bevor sie ausgeschaltet wurde. Seitdem haben diese cyberkriminellen Gruppen die wahre Macht von Ransomware erkannt: den finanziellen Gewinn. Daher konzentrieren sie sich jetzt darauf, so viel Geld wie möglich zu verdienen, während sie aber – anders als früher – eine Sichtbarkeit in den Medien vermeiden. 

Der Einsatz von Rebranding zur Verschleierung ihrer Operationen ist eines ihrer neuesten Werkzeuge, um unter dem Radar zu bleiben. Durch die Umbenennung können diese Banden von der US-Regierung verhängte Sanktionen umgehen. 

So wird ihren Opfern vorgegaukelt, dass sie nicht strafrechtlich verfolgt oder mit einer Geldstrafe belegt werden, wenn sie Lösegeld an eine Gruppe zahlen, die bereits mit Sanktionen belegt wurde. Indem sie sich verpflichten, keine Regierungen, Schulen, Krankenhäuser oder andere Einrichtungen der kritischen Infrastruktur anzugreifen, die eine gründliche Untersuchung nach sich ziehen würden, sind sie deutlich schwerer aufzuspüren. Denn diese Organisationen wollen eine Sicherheitsverletzung oft nicht publik machen. 

Einige Gruppen haben sogar Verbindungen zu nationalstaatlichen Akteuren und bestimmte Regierungen, die solche kriminellen Aktivitäten weiterhin zulassen, auch um politische Zwecke zu verfolgen. 

Immer auf die Kleinen 

Darüber hinaus haben Ransomware-Gruppen festgestellt, dass es viel lukrativer ist, kleine und mittlere Unternehmen (SMBs) anstelle von Großunternehmen anzugreifen. Kleinere Unternehmen haben in der Regel nicht das Kapital, die Kompetenz und das Personal, um einer Attacke Stand zu halten und weiter zu operieren. Stattdessen müssen sie in kürzester Zeit wieder betriebsbereit sein und sind deshalb in der Regel schneller bereit, ein Lösegeld zu zahlen

Ähnlich wie auch bei den „klassischen” Mafia-Banden ist zu beobachten, dass sich die (cyber)kriminellen Banden der Neuzeit gegenseitig den Zugang zu lukrativen Zielen und anderen Vermögenswerten streitig machen. 

Dieser Cyberkrieg, der zwischen den Banden herrscht, besteht darin, den Betrieb der jeweils anderen Organisation zu stören, indem sie Code stehlen, die Chiffrierschlüssel der Rivalen preisgeben und sogar die Schuld auf die Konkurrenz abwälzen. 

Dies hat dazu geführt, dass Ransomware-Banden ihre Geschäfte abschließen und dann unter einem neuen Namen an anderer Stelle wieder auftauchen. Auf diese Weise verhindern sie, dass ihnen Regierungen und Strafverfolgungsbehörden auf die Schliche kommen. Zudem können sie unter einer anderen Flagge ein neues Geschäftsmodell aufbauen. 

Rebranding in der Realität 

Das Mantra der BlackMatter-Ransomware-Bande bringt es auf den Punkt: „Wir sind ein Team, das Menschen mit einem gemeinsamen Interesse vereint – Geld“. Denn nur darauf kommt es den meisten Hacker-Gruppen letztlich an und dafür wird auch ein regelmäßiges Rebranding in Kauf genommen. 

Einige größere Cyberangriffe der letzten Zeit sind gute Beispiele für umbenannte Ransomware-Gangs, die mit dieser Taktik erfolgreich waren. Der DarkSide-Gang gelang es etwa, den VPN-Zugang eines ehemaligen Mitarbeiters auszunutzen, um in die Colonial Pipeline einzudringen und fast 4,1 Millionen Euro an Lösegeldforderungen zu erhalten. 

Obwohl ein Teil des Geldes schließlich von den Behörden wiedergefunden wurde, geriet die Bande durch den Angriff zu sehr unter Druck und tauchte zunächst unter, bevor sie später als BlackMatter wieder auf der Bildfläche erschienen.

Ein anderes Beispiel ist Lockbit 2.0, früher bekannt als ABCD, das kürzlich für die Erbeutung von mehr als 6 Terrabite Daten und 46 Millionen Euro Lösegeld von Accenture verantwortlich war. 

In den Köpfen mancher Menschen mögen diese Angriffe „vorbei“ sein, doch in der Realität sieht das anders aus, da Unternehmen oftmals weiterhin erpressbar sind oder Schwachstellen haben, die auch künftig im Fadenkreuz der Angreifer stehen. 

Wie kann man der Cyber-Mafia die Stirn bieten?

Der Widerstand beginnt am Anfang: Für viele Unternehmen und Führungskräfte stellt sich die Frage, wie sie diese Angriffe von vornherein verhindern können. Allerdings gib es einige bewährte Verfahren, die sich leicht umsetzen lassen und die Sicherheit erheblich verbessern:  

• Unternehmen sollten sich im Voraus auf Angriffe vorbereiten, indem Sie einen Notfallplan bereithalten, der sofort einsatzbereit ist. Diese Protokolle sollten jährlich getestet und bei Bedarf upgedatet werden.
   
• Auf allen Systemen sollte eine Multi-Faktor-Authentifizierung (MFA) eingeführt werden, wobei die Verwendung eines einzigen Passworts auf mehreren Systemen verhindert werden sollte.
   
• Die Angriffsfläche sollte so weit wie möglich eingeschränkt werden, indem Unternehmen über eine solide Backup-Option verfügen, eine Netzwerksegmentierung vornehmen, Sicherheitslücken schließen und Betriebssysteme, Software und Firmware regelmäßig updaten.
   
• Firmen sollten alle Mitarbeiter zu regelmäßigen Schulungen zum Thema Sicherheit verpflichten und starke Spam-Filter aktivieren, um zu verhindern, dass Phishing-E-Mails die Endbenutzer erreichen. 
   
• Ein weiterer Schlüssel zu mehr Sicherheit ist die Begrenzung von Fehlalarmen (sog. False Positives), um Ermüdungserscheinungen im IT-Team vorzubeugen. Hierbei können Technologien wie Deep Learning helfen, die das Eindringen in Netzwerke verhindern und gleichzeitig die False-Positive-Rate reduzieren. Ein Cyber-Versicherungsschutz sollte ebenfalls in Erwägung gezogen werden.

Einige wenige Ransomware-Banden können durch erfolgreiche Ermittlungen der Strafverfolgungsbehörden oder sogar interne Führungswechsel und Machtkämpfe schließlich besiegt werden.

Jedoch besteht die Gefahr, dass sie nach einer gewissen Zeit unter einem neuen Deckmantel wieder auftauchen, denn es steht oft viel Geld auf dem Spiel. Letztlich müssen Firmen sensibilisiert sein, dass es, unabhängig vom aktuellen Banden-Namen, bei den jüngsten „Marketingzielen“ der Cyber-Mafia des 21. Jahrhunderts nur um eines geht: Geld.