In den Medien wird der Angriff auf das IT-Dienstleistungsunternehmen Kaseya stark thematisiert. Bei dieser Attacke gelang es REvil, einer Hackergruppe die Ransomware-as-a-Service anbietet, die Daten von knapp 60 Kunden des Konzerns zu kompromittieren. Die betroffenen Kunden sind jedoch in den meisten Fällen ebenfalls IT-Dienstleister für weitere Kunden.
Durch diesen Dominoeffekt gelang es REvil, eine lange Dienstleistungskette zu hacken, an vertrauliche Daten zu gelangen und diese zu verschlüsseln. So sind in 17 Ländern mehrere Tausend Unternehmen betroffen. Für den Generalschlüssel fordert REvil ein Lösegeld von 70 Millionen US-Dollar, eine beträchtliche Summe. Doch wer steckt eigentlich hinter REvil, welche Hackergruppe ist da am Werk? Wie hat sich REvil entwickelt? Wann wurde die Ransomware das erste Mal gesichtet? Und wie können sich Unternehmen vor dieser Bedrohung schützen?
Die Jagd nach dem Geld
Lösegeldforderungen im Zusammenhang mit Ransomware sind nichts Neues mehr. Bekannt wurden sie anfänglich durch Angriffe auf Einzelpersonen, verbunden mit vergleichsweise niedrigen Lösegeldforderungen von hundert bis vierhundert Euro. Mittlerweile hat sich ein neues, lukratives Geschäftsmodell im eCrime-Universum etabliert: Das sogenannte “Big Game Hunting”. So nennt CrowdStrike jene eCrime-Angriffe, mit denen kriminelle Gruppen auf immer größere, komplexere Netzwerke abzielen, um immer höhere Lösegeldsummen fordern zu können. Zunächst platzierten Hackergruppen ihre Angriffe im Gesundheitswesen. Sie erkannten jedoch schnell, dass Ziele im Technologie-, Fertigungs- und auch Industriesektor finanziell noch attraktiver waren, weil hier die Kosten eines Ausfalls durch einen Angriff oftmals höher sind, als die geforderte Lösegeldsumme. Genau dies machten sich Angreifer für ihre Machenschaften zu Nutze.
PINCHY SPIDER – ein Dienstleistungsgeschäft
Diese ursprüngliche Art der Ransomware-Angriffe wurde in der Vergangenheit nur von wenigen, spezialisierten Gruppen durchgeführt, entwickelte sich dann aber rasch zu einem ausgeklügelten Ransomware-as-a-Service (RaaS)-Geschäftsmodell. Ein kleiner Kreis von Entwicklern schuf mit kriminellen Absichten eine Plattform für die Erstellung von Ver- und Entschlüsselungsprogrammen und die Verwaltung von Lösegeldforderungen und Zahlungsportalen und stellt diese ihren Partnern zur Verfügung. Im russischen Slang werden diese als „Partnerkas“ bezeichnet (Englisch: Affiliates), die die Plattform für die eigentliche Lösegeldaktivität nutzen und für die Ausrichtung, Bereitstellung und Ausführung des Angriffs verantwortlich sind. Die Plattformbetreiber erhalten im Gegenzug einen Anteil der Lösegeldeinnahmen.
Anfang 2018 tauchte eine neue Gruppierung auf, die eine neue RaaS namens GandCrab auf den Untergrundmärkten vorstellte. Diese Gruppe wird heute von CrowdStrike als PINCHY SPIDER bezeichnet und fortlaufend beobachtet. Weitere Namen für die Gruppierung sind REvil oder auch Sodinokibi, angelehnt an ihre berühmt-berüchtigten Ransomware-Varianten.
Von GandCrab zu REvil
Die frühen Versionen der RaaS GandCrab wiesen noch einige Implementierungsfehler auf, welche jedoch dank des Partnermodells schnell behoben wurden. Die Betreiber von GandCrab suchten in der ersten Zeit gezielt nach Partnern, die ihnen bei der Weiterentwicklung der Plattform helfen konnten und boten diesen im Gegenzug an, sie am Umsatz zu beteiligen. Dadurch entwickelte sich die RaaS-Plattform stetig weiter und immer neue Versionen der Ransomware wurden eingesetzt. Obwohl sich der Betrieb von GandCrab in der ersten Jahreshälfte 2019 weiter verbesserte und entwickelte, verkündete die Hackergruppe am 31. Mai 2019, ihre Dienstleistungen nach Ablauf von 20 Tagen einzustellen. Nach eigenen Angaben sollen sie bis dato über 150 Millionen US-Dollar erpresst haben, ihre Partner allein im Jahr zuvor zwei Milliarden US-Dollar. Für die aktuellen Opfer zu dem Zeitpunkt hatte der Shutdown der Plattform weitreichende Konsequenzen: Alle angegriffenen Ziele wurden dazu angehalten, die geforderte Lösegeldsumme innerhalb dieser 20 Tage zu begleichen – ansonsten seien ihre Daten für immer verloren.
Kurz nachdem die GandCrab-Angriffe von der Bildfläche verschwunden waren, wurde eine neue Ransomware entdeckt, die immer häufiger zum Einsatz kam. Die zunächst als „Sodinokibi“ bekannte Ransomware wies zahlreiche technische Überschneidungen mit GandCrab auf, weshalb CrowdStrike Intelligence vermutete, dass diese beiden Ransomware-Varianten miteinander verwandt seien. Im Juli 2019 wurde „Sodinokibi“ dann als REvil bekannt. Bis heute ist REvil eines der meistgenutzten Ransomware-Tools in der eCrime-Branche.
PINCHY SPIDER weiterhin auf dem Vormarsch
Viele Organisationen sind schon Opfer von REvil-Angriffen geworden. Im Dezember 2019 wurde ein Managed Service Provider (MSP) Ziel der REvil-Ransomware von PINCHY SPIDER, die eine Zahlung in Höhe von 6 Millionen US-Dollar forderte.
Als Anfang 2020 die COVID-19-Pandemie ausbrach, entwickelte PINCHY SPIDER einen neuen Trend: Die Gruppe nutzte die Datenschutzgrundverordnung der EU als zusätzliches Druckmittel, um ihre Opfer zu Lösegeldzahlungen zu bewegen. Sie drohten, die gestohlenen Daten bei Nicht-Zahlung zu veröffentlichen, was zusätzliche Geldbußen bedeuten würde, die die Opfer aufgrund der damit verbundenen DSGVO-Verletzung zahlen müssten.
Was Unternehmen tun können
REvil oder auch PINCHY SPIDER war bis zu Ihrem Verschwinden Mitte Juli 2021 eine der aktivsten Hackergruppierungen, die es bis dahin gab. Die bloße Hoffnung, als Unternehmen nicht angegriffen zu werden, reicht nicht aus und führt im schlechtesten Fall zur Kompromittierung der gesamten Infrastruktur sowie zum Diebstahl zahlreicher Daten. Dennoch können Unternehmen sich schützen und auf den Ernstfall vorbereiten.
Die wohl wichtigste Sicherheitsmaßnahme ist die proaktive Absicherung des Unternehmens. Organisationen aller Art und Größe müssen für den Fall des Falles ihre Verteidigungsfähigkeit sicherstellen. Die Implementierung solider Sicherheitsmethoden, Patch-Management, Verfolgung von Schwachstellen und Zero Trust tragen wesentlich dazu bei, die Sicherheit zu erhöhen und ein Unternehmen zu einem schwierigeren Ziel zu machen.
Auch die Jagd auf Akteure in der eigene Infrastruktur, das sogenannte Threat Hunting, darf keinesfalls unterschätzt werden. Darauf zu warten, angegriffen zu werden und sich dann zu verteidigen, kann fatal enden. Stattdessen sollten Unternehmen aktiv auf Bedrohungsjagd gehen, um entsprechend reagieren zu können und auch ihr eigenes Gefahrenprofil zu kennen. Sicherheitsanbieter untersuchen beispielsweise mit spezialisierten Threat-Hunting-Experten jeden noch so kleinen Sicherheitsvorfall und stellen somit einen wichtigen Bestandteil für die Absicherung dar.
Unternehmen dürfen nie vergessen, dass Hacker ihre Bedrohungen immer weiter entwickeln. Daher müssen auch sie ihren Schutz immer weiter entwickeln. Mit mittlerweile veralteten Technologien können moderne Angriffe nicht mehr erfolgreich abgewehrt werden. So reicht beispielsweise signaturbasierte Antiviren-Software schon lange nicht mehr aus, um auf die heutige Bedrohungslage angemessen reagieren zu können. Maschinelles Lernen und Klassifizierungsverfahren, die anhand des Verhaltens oder anderer beobachtbarer Merkmale feststellen können, ob etwas bösartig ist, gehören heute zum Standard für die Verteidigung von Unternehmen.
Tabletop-Übungen sind ein effizienter Weg, um Reaktionen in Gefahrensituationen richtig zu trainieren. Denn auch die beste Sicherheitslösung der Welt bringt nichts, wenn Organisationen im Gefahrenfall nicht wissen, an wen sie sich wenden müssen, was getan werden muss und wer alles in den Verteidigungsprozess involviert ist. Durch regelmäßige Übungen kann das ganze Personal geschult werden. So kann sichergestellt werden, dass in einer gefährlichen Situation richtig reagiert wird.
Kenne deinen Feind. Unternehmen sollten ein Verständnis für die Angreifergruppen aufbauen. Big Game Hunting ist und bleibt eine beliebte Methode von eCrime-Akteuren. Organisationen müssen sich mit möglichen Kriminellen auseinandersetzen und wissen, wie diese agieren. Nur dann kann eine adäquate und allumfassende Sicherheitsstrategie wirksam umgesetzt werden.
RaaS-Anbieter breiten sich immer weiter aus. Dieses kriminelle Dienstleistungsgeschäft ermöglicht es auch unerfahrenen Hackern erfolgreiche und lukrative Angriffe durchzuführen. So kommen neben den großem Hackergruppierungen auch vermeintlich unbedeutende Hacker zu den potentiellen Angreifern hinzu. Umso wichtiger ist und wird ein ausreichender Schutz auf Unternehmensseite.