#6 Evolution von Ransomware

Wie hat sich Ransomware entwickelt, dass heute eine signifikante Bedrohung von ihr ausgeht? Was sind Ransomware as a Service oder Double Extortion? Welche Belohnung gibt es für Hinweise, die zur Ermittlung eines Ransomware-Gang-Mitglieds führen? Diese Fragen beleuchten wir in der aktuellen Folge und ordnen vermutlich eines der ersten Urteile in Deutschland zu malwaregestützten Ransomware-Vorfällen ein.

Shownotes

Transkript anzeigen...

Folge 6 – Die Evolution von Ransomware

[00:24] Dedicated to prosecuting ransomware hackers to the full extent of the law.

[00:32] Hallo liebe Cyberfreunde. Mein Name ist Chris. Ich bin Professor für Cybersicherheit an der Westfälischen Hochschule.

[00:37] Und ich heiße Lars und ich arbeite für CrowdStrike als Softwareentwickler und Malware Reverse Engineer.

[00:43] Wir nehmen diese Folge auf am 11.11.2021, also Alaaf oder Helau, je nachdem, wo ihr euch gerade so aufhaltet.

Was wir eben gehört haben, war Joe Biden mit einer Aussage von Mai 2021 und die kam eben in Reaktion auf den Ransomware-Angriff auf Colonial Pipeline. Colonial Pipeline ist eine Öl-Pipeline in den USA über Land, die für die Ölverteilung im Osten der USA maßgeblich mitverantwortlich ist und die in Folge eines Ransomware-Angriffs abgeschaltet wurde. Das hatte dann so ein paar Effekte, wie zum Beispiel, dass einige Tankstellen wohl Engpässe in der Treibstoffversorgung erlebt haben.

[01:21] In dieser Folge soll’s darum gehen, was Ransomware ist. Ich meine, das wissen wahrscheinlich schon viele hier, aber auch, wo sie herkommt und was es für Entwicklungen gab in der ganzen Ransomware-Szene und vielleicht auch, wo die Reise hingeht. Denn Ransomware gibt es schon seit mittlerweile Jahrzehnten und hat einige Evolutionsschritte durchgemacht. Wir wollen also aufzeigen, was denn wichtige Schritte in dieser Entwicklung eigentlich waren.

Und dafür haben wir uns überlegt, dass wir die Folge in zwei Teile aufteilen und im ersten Teil konzentrieren wir uns auf die verwendete Malware, da werden wir erst über sogenannte Fake AV reden, dann über Screenlocker und dann über Cryptolocker. Und im zweiten Teil verdeutlichen wir dann die Evolution des Gesamtökosystems. Also werden solche Sachen eine Rolle spielen wie Ransomware as a Service und auch Kryptowährungen im Allgemeinen oder Dedicated Leak Sites, Double Extortion und, auch Auktionen werden wir da ansprechen.

[02:14] Was aber alle Entwicklungen, die wir hier betrachten, gemeinsam haben, ist eben der Bezug zu Ransomware und darunter verstehen wir eben, dass ein Akteur Lösegeld verlangt. Es geht also um Erpressung.
Und außerdem, um das auch noch ein bisschen weiter abzugrenzen, wollen wir uns konzentrieren auf Aktivität, die auch Malware verwendet. Also wir wollen’s explizit abgrenzen von DDoS Extortion und all diesen ganzen Kram den’s da auch noch gibt. Also wir wollen uns konzentrieren auf Fälle, in denen Malware zum Einsatz kommt. Wahrscheinlich hat Ransomware seine Ursprünge schon deutlich früher, aber ein signifikanter Entwicklungsschritt ist so 2009/2010 passiert.

Von Fake-AV über Screenlocker bis Ransomware as a Service

[02:53] Nämlich mit Fake-AV. Auf Deutsch so was wie gefälschte Antiviren-Software, ist eben Software, die vorgibt eine Antiviren-Software zu sein, aber in Wirklichkeit eben keine ist. Diese Software suggeriert, dass der Rechner infiziert sei und man eben gegen Geld desinfiziert werden könnte. Das Problem ist eben, selbst wenn man bezahlt, passiert in der Regel nichts.

[03:18] Das ist also mehr so eine Farce und es gab eigentlich in gewisser Weise gar keinen Virus, der auf dem Computer ist und diese Fake-AV-Software hat nur so getan, als wäre sie ein Virenscanner und eigentlich wird dann nur die Meldung ausgeblendet.

Fake-AV

[03:30] Und wir haben jetzt ein ziemlich fancy Feature von einigen Podcast-Playern mal versucht zu benutzen. Wir versuchen euch nämlich einen Screenshot einzublenden von einem solchen Befall, einer solchen Fake-AV-Familie, damit man vielleicht so ein Gefühl dafür bekommt, was denn die Benutzer an einem infizierten Rechner da so gesehen haben.

[03:49] Und von dieser Art und Weise gibt’s heute auch noch sehr Low-Tech-Varianten sage ich mal. Also es gibt manchmal so Werbebanner, das äh manchmal rufen ja so Verwandte an und sagen Hilfe, mein Computer ist infiziert, weil auf irgendeiner Webseite ein Werbebanner angezeigt wurde, das gesagt hat, der Computer ist infiziert und das ist halt, da ist noch nicht mal Malware im Einsatz. Es ist so einfach, wie es nur werden kann. Darauf basierend gibt’s dann meistens auch noch so einen Text-Support-Scam, also da kann man sich auf YouTube auch ganz lustige Videos angucken von Leuten, die nur so tun, als wären sie diesen diesem Scam anheimgefallen. Da werden Opfer dazu gebracht, eine Tech-Support-Hotline anzurufen und werden dann eigentlich erst dabei wirklich mit Viren infiziert und so weiter.

Screenlocker und eine Verurteilung in Deutschland

[04:30] Wahrscheinlich mit die nächste Evolutionsstufe war dann etwa 2012. Da betreten nämlich Screenlocker die Bühne. Das kennt man vielleicht noch, einige erinnern sich vielleicht an BKA-Trojaner. Damit meinen wir jetzt eben nicht sowas wie den Bundestrojaner, also im Prinzip Quellen-TKÜ, sondern es geht hier um eine Schadsoftware, die den Zugang zum Rechner sperrt und vorgibt zum Beispiel von einer Strafverfolgungsbehörde zu sein, wie eben dem Bundeskriminalamt.

Und das ist ein bisschen eine Weiterentwicklung zu dieser Fake-AV Sache, weil jetzt wirklich was passiert ist mit dem Computer, der infiziert wurde. Also vorher wurde nur eine Meldung angezeigt, du hast einen Virus und jetzt macht dieser Screenlocker, na ja, das was der Name schon sagt, der zeigt irgendwie, ja was im Vollbild an oder so, sodass man den Computer nicht mehr benutzen kann, wenn man jetzt technisch nicht versiert genug ist, den Autostaat auszuschalten oder sowas.

Diese Malware-Gruppe bezeichnen wir so eben als Screenlocker und was ganz interessant ist, dass wir relativ aktuell ein interessantes Ereignis dazu hatten, nämlich im Oktober diesen Jahres, also 2021, wurde ein Mitglied einer Akteursgruppe rechtskräftig verurteilt, und das für eine Operation, die schon vor neun Jahren begann. Also rechtskräftig verurteilt hier in Deutschland das ist der wichtige Punkt hier. Es gibt einen Akteur, dessen Kerngruppe seit Ende 2012 aktiv ist, eben in dieser Operation und aus dem Urteil ist klar, dass der Tatzeitraum des Beschuldigten hier im Zeitraum 20013 bis 2015 liegt. Was war da passiert? Da wurde eben Lösegeld gefordert, beziehungsweise eine Gebühr zur Freischaltung des Rechners in Höhe von 100 Euro.

[06:11] Die Zahlung sollte damals über PaySafeCard oder Ukash passieren. Das sind Zahlungsmittel, wo man gegen einen Betrag eine PIN erhält und diese PIN kann man dann eben verschicken oder versenden, auch eben digital. Und an einer anderen Stelle kann man eben diese PIN sozusagen eben wieder zu Geld machen oder das Geld irgendwie rausbekommen aus dem System unter der Voraussetzung, dass die PIN eben korrekt ist. Diese Malware hat vorgegeben oder vorgegaukelt, dass man illegale Downloads vorgenommen hätte oder auf dem Rechner Dateien mit verbotenem, teilweise eben kinder- oder tierpornografischem Inhalt gefunden wären.

[06:49] Die Sperrbildschirme dieser Malware sind in 44 Sprachen übersetzt worden. Dabei fiel auf, dass es eben keine Varianten für China, Russland oder die Ukraine gab.

Die Tatsache, dass es 44 Sprachen sind zeichnet auch schon ein Bild davon, was das für eine Operation ist. Das ist ein Riesending. Da haben sich wirklich Leute hingesetzt, das internationalisiert für verschiedene Sprachen und so, Wahrscheinlich involviert das viele Leute mit verschiedenen Zuständigkeiten und Spezialisierungen. Also das ist mehr als ein als nur so ein Einzeltäter, der so eine Kleinigkeit da irgendwie bei sich zu Hause im Keller macht. Genau.

Spulen wir vor in den Oktober 2021. Das Urteil ist mittlerweile rechtskräftig. Der Beschuldigt ist es zu mehr als vier Jahren Freiheitsstrafe verurteilt worden. Aber warum ist dieser Fall überhaupt erwähnenswert aus unserer Perspektive? Maßgeblich würde ich sagen aus mindestens zwei Gründen, nämlich erstens, es verdeutlicht sehr gut die Organisation und Aufgabenteilung in so einer Akteursgruppe, wie du gerade schon beleuchtet hast. Das eben auch schon seit damals, das heißt also mindestens seit 2012, also neun Jahre zurück.

Grob gesagt zu diesem Zeitpunkt hat das BKA oder wer auch immer da ermittelt hat, schon herausgefunden, wer es war um da ein Verfahren anzustreben, um dann da Leute anzuklagen und so. Da hat Attribution stattgefunden und das ist auch schon zehn Jahre her. Richtig, also das LKA Baden-Württemberg hat da, glaube ich, maßgeblich so die Strafermittlung durchgeführt, [08:12] hat den Fall, also damals so weit ermittelt, dass mutmaßlich eben ein Haftbefehl erging und wie du sagst, eben damals schon Attribution gemacht.

Das finde ich ist ein wichtiger Punkt, weil, das unterstreicht mal wieder, dass Attribution eine Rolle spielt und dass wir das quasi machen müssen, um überhaupt was gegen diese Kriminellen in der Hand zu haben.

Die Verhaftung erfolgte dann am Flughafen Wien im März 2020. Dann erfolgte eben eine Auslieferung an deutsche Behörden.

[08:40] Aus der Perspektive dieses Akteurs ist das natürlich auch irgendwie krass. Der hat dann seit fünf Jahren damit nix mehr zu tun gehabt. Der soll das irgendwie unterstützt haben von 2013 bis 2015. Fünf Jahre später fährt er nach Wien, hat vielleicht überhaupt nicht mehr dran gedacht, dass er vor fünf Jahren mal ein Verbrechen begangen hat und da gab’s dann wohl einen Auslieferungsvertrag und dann wurde er ausgeliefert an die deutschen Behörden. Wenn man jetzt nochmal versuchen möchte, einzuschätzen, „welche Rolle hatte diese Person?“, dann muss man sagen, das ist jetzt kein oder mutmaßlich eben kein Mitglied der Kerngruppe, sondern das war jemand, der hat ein festes Gehalt bekommen, also etwa tausend Dollar, glaube ich, pro Monat, hat Wartungsaufgaben von der Serverinfrastruktur und so weiter übernommen. Also der hatte da schon irgendwie einen signifikanten Anteil, aber man würde ihn wahrscheinlich nicht irgendwie so zur Kerngruppe zählen.

[09:25] Soweit ich weiß, fahndet man nach wie vor nach diesen Mitgliedern der Kerngruppe. So, das heißt, wir haben jetzt über Fake-AV geredet, 2010, Screenlocker 2012, so als kleine Seitennotiz, man könnte jetzt sagen Screenlocker, das habe ich ja noch nie gehört, das ist kein Ding mehr auf Computern, wegen der Entwicklung, die wir gleich sagen werden. Screenlocker spielen auf mobilen Endgeräten aber immer noch eine Rolle, also so auf Handys und Smartphones und so. Das liegt daran, dass wahrscheinlich das, was wir jetzt gleich erklären, auf Smartphones schwerer ist, und dass na ja, wenn so eine App immer wieder nach vorne geht, das trotzdem vielleicht Leute noch dazu bringt, das einfach zu bezahlen, damit dieses Problem gelöst ist und so weiter.

Cryptolocker und Ransomware as a Service

[10:00] Also das heißt Screenlocker sind jetzt grade auf Computergeräten ein bisschen aus der Mode gekommen, weil dann die sogenannten Cryptolocker sehr viel mehr in den Fokus gerückt sind und
damit meinen wir Malware, die ihre Erpressung dadurch ausführt, dass sie die Dateien auf dem Computer verschlüsselt mit irgendeinem Verschlüsselungsverfahren und
den Schlüssel nur dem Akteur zur Verfügung stellt und danach kann der Akteur den Schlüssel herausgeben, wenn das Opfer bezahlt und sonst nicht. Das ist dann quasi das Lösegeld, das da erpresst wird.
Wahrscheinlich die erste signifikante konkrete Malwarefamilie in dem Kontext hat man eben auch als Cryptolocker bezeichnet, so wie wir jetzt sozusagen diese ganze Gattung vielleicht auch bezeichnen würden,
die war 2013 aktiv, ist dann im Rahmen der Operation Tovar, vom FBI da maßgeblich geleitet, aber mit Ermittlungsbehörden in vielen Ländern irgendwie durchgeführt.

[10:55] Ehm, wie fing der Satz nochmal an? Oh wenn du’s selber nicht schaffst, dann ist er zu lang. Ja, ich glaube auch, genau. Ähm.

[11:08] Damals ist Evgeniy Bogachev als einer der Haupttäter identifiziert worden und in den USA auch angeklagt worden, aber er ist eben bis heute nicht gefasst.

[11:18] Das heißt, diese ganze Art nennen wir Cryptolocker. Verwirrenderweise hieß diese Familie, die wir jetzt gerade beleuchten hier von 2013 auch Cryptolocker, aber so ist es halt. Manchmal ist es halt verwirrend. Und das ist Ransomware, wie man sie heute kennt. Wenn man heute von einem Ransomware-Angriff redet, dann ist das die Methode, die da verwendet wird, um das Lösegeld oder eine der Hauptmethoden, die da verwendet wird, um das Lösegeld zu erhalten. Also 2013, das jetzt auch 8 Jahre her, also so lange gibt’s das schon und so lange entwickelt sich das schon.

Das heißt, der nächste Schritt, der nächste Evolutionsschritt, der passiert eigentlich eher aus so einer wirtschaftlichen Perspektive. Ja, man versucht nämlich, so eine Art Franchise-System da irgendwie einzuführen. Man unterscheidet jetzt zum einen die tatsächliche Software zu entwickeln und die Infrastruktur zu betreiben, und zum anderen, ja, die sogenannten Affiliates, die jetzt Ziele kompromittieren und diese Ransomware zum Einsatz bringen. Das ist eine ganz klassische Aufgabenteilung, wie man sie vielleicht in der Wirtschaft auch sehen würde. Ja, also diese zwei Gruppierungen, die du gerade erwähnt hast, die

[12:19] spezialisieren sich jetzt einfach auf das, was sie halt tun. Die einen können jetzt gut Software entwickeln und Infrastruktur betreiben und die anderen, die können gut Access kriegen und dann die ganzen Sachen machen, die man da so macht. Und das ist ein Trend, den ja gibt’s ungefähr seit 2016, das bezeichnet man als Ransomware as a Service, so ein bisschen wie Software as a Service und dieser Service, der da angeboten ist, das ist quasi diese erste Gruppierung, die die Ransomware zur Verfügung stellt, für andere Kriminelle, die sie dann verwenden, um ihre Ziele zu kompromittieren. Und eine der großen Familien sind und waren, da die Dharma und GandGrab und REvil oder Revil und Darkside zum Beispiel. Da übrigens ein kleiner Verweis auf unsere Folge Nummer 3, die Erpressung der Uniklinik Düsseldorf. Da kam nämlich die DoppelPaymer-Ransomware zum Einsatz und die wird auch betrieben in einem Ransomware as a Service Modell. Jetzt hast du ganz viele Namen da erwähnt, das hat ja auch zum Hintergrund, dass es da so einen Trend gibt, denn die Akteure betreiben ja so ein Re-Branding, ne? Das heißt also, es ist durchaus so, dass man neue Namen für die Malware vergibt.

[13:21] Aber es verbirgt sich der gleiche Akteur möglicherweise noch dahinter, ne? Also wir haben gesehen, GandCrab beispielsweise war so ein Malware-Familienname, der irgendwann verschwunden ist und stattdessen sehen wir jetzt REvil oder wie heißt das noch gleich, Sodinokibi oder so? Ja, keiner hat das so genannt, aber ja, eigentlich heißt es Sodinokibi.


Ja und das ist natürlich ein ganz verwickelter Prozess, wenn man sich überhaupt mal überlegt, wie Malware überhaupt benannt wird. Manchmal vergeben Malware-Analysten den Namen für Malware, manchmal vergeben die Malware-Autoren ’nen Namen. Jetzt gerade bei Ransomware as a Service gibt’s da ja auch eine Marke, die da vermarktet wird unter Kriminellen, also da ist dann der REvil Ransomware as a Service, der ist besonders leistungsstark, weil die Verschlüsselung sicher ist und weil das immer alles so gut funktioniert und Virenscanner die Malware nicht detecten und so weiter.
Das heißt, da gibt’s ein Label und eine Marke, um die es darum geht und manchmal, wie du gerade gesagt hast, gibt sich so eine Marke auf, aus welchen Gründen auch immer und dann gibt’s eine neue und das ist eine große Herausforderung natürlich dann für Malware-Analysten, dann kommt da so eine neue Malware und dann muss man sich überlegen, ist das jetzt eine andere oder hat da einfach nur jemand drei, vier Funktionen hin und her geschubst und das ist eigentlich noch die gleiche. Ja da spielt technische Analyse eine riesengroße Rolle, um da so ein bisschen Struktur reinzubringen.

[14:42] Da ist man wieder beim Clustering-Schritt der Attribution zum Beispiel, ne? Das haben wir auch schon in ein paar Folgen erwähnt. Haben wir noch weitere Beispiele für das Re-Branding? Ich glaube hier Darkside, ist so eine Marke, die verschwunden ist, wo man jetzt sagt, dass Blackmatter der Nachfolger ist und im Fall von Doppelpaymer, glaube ich, wird auch gemutmaßt das Grief der Nachfolger ist, ne?
Darkside und Blackmatter finde ich übrigens extrem verwirrend, weil es es gibt ja also ja, es gibt DarkMatter und jetzt gibt’s Darkside und Blackmatter, sie müssen sich jetzt nur noch, Blackside nennen, dann ist die Verwirrung komplett. Ist ein bisschen wie Fancy Lazarus.

Kryptowährungen und Bitcoin

[15:18] So und jetzt gibt es einen wichtigen Innovationsschritt, der den Finanzfluss für Ransomware-Akteure deutlich vereinfacht hat und das sind Kryptowährungen.
Wenn man sich das mal so anguckt, also angefangen hat das, wie wir gerade irgendwie gesagt haben bei diesem BKA-Trojanern und so mit so Paysafe-Karten oder Ukash oder Moneypak oder Amazon-Geschenkgutscheinen, sage ich mal. Das nehme ich auch einfach mal als Beispiel, weil sich das jeder gut vorstellen kann. Also so ein Amazon-Geschenkgutschein haben wahrscheinlich so einige von unseren Zuhörerinnen auch schon bekommen. Quasi man kriegt so einen Code und den kann man dann bei Amazon eingeben und dann kann man bei Amazon für diesen Betrag etwas kaufen. Das ist halt so ein ich sage mal so ein Finanzmittel, wo der Code selber das digitale Gut ist und da geht dann auch jede Möglichkeit verloren herauszufinden, wer den Code an wen geschickt hat. Das ist so ein bisschen die Bargeld, aber halt digital.
So und diese ganzen, diese ganzen Sachen, die ich gerade aufgezählt habe und auch die Amazon-Geschenkgutscheine haben natürlich ein Skalierungsproblem.

Man hört jetzt ja in den Medien über Millionen Euro Lösegeldzahlungen und so weiter und das wäre nicht möglich mit Amazon-Geschenkgutscheinen. Das wurde erst möglich durch Kryptowährungen, wie zum Beispiel Bitcoin. Also ich werde jetzt mich hier mal hier ein bisschen bei der Erklärung auf Bitcoin konzentrieren, aber eigentlich kann man sich immer im Kopf vorstellen, es geht um Kryptowährungen im Allgemeinen. Ich würde sagen, das war ein Riesenboost, den da die Ransomware-Akteure erhalten. Auf jeden Fall.

[16:49] Wie funktioniert denn Bitcoin? Lass uns das mal kurz umreißen vielleicht.

Lass uns das mal grad in zwei Stunden umreißen wie Bitcoin funktioniert. Also ich versuche das jetzt einfach mal wirklich in einer Minute kurz zu erklären. Da lasse ich jetzt einige Sachen mal weg.

Das ist aus Perspektive super nützlich im Vergleich auch zu sowas wie Amazon Geschenkgutscheinen, weil Bitcoin sehr viel leichter flüssig zu machen ist. Also wie wird das Laufen bei einem Amazon Geschenkgutschein, wenn man einen, sagen wir mal, 100 Amazon-Geschenkgutscheine jeweils im Wert von 100 Euro. Dann muss man jetzt für 10.000 Euro Sachen bei Amazon kaufen und die muss man wieder verscherbeln, damit man das in Bargeld kriegt oder vielleicht kann man die auch wieder zu Geld umtauschen, aber da ist viel Reibung vorhanden und da geht viel bei verloren.
Kryptowährungen haben diese Reibung quasi komplett oder fast komplett abgeschafft. Es gibt ein paar andere Probleme, da gehen wir gleich auch kurz drauf ein. Vor allem, also neben der Tatsache, dass es da Reibung, dass die Reibung da verringert wurde ist es auch viel skaliererbarer geworden. Also wie gesagt: Zehn Millionen Dollar in Kryptowährungen ist sehr viel leichter zu kriegen als zehn Millionen Euro in Amazon-Geschenkgutscheinen.

Jetzt ist die Blockchain von Bitcoin ja anonym, aber öffentlich. Genau, mit Blockchain meinst du jetzt das, was ich eben immer so versteckt habe hinter dem Begriff Kassenbuch. Also dieses Kassenbuch ist öffentlich, da kann jeder reingucken. Wenn man jetzt solchen Fragen nachgeht, „wie viel verdienen die denn im Rahmen von so ner Ransomware-Kampagne?“, woher weiß man das dann?

[19:15] Genau, so als Analyst kann man dann hingehen und versuchen, diese Empfängerkontoadresse zu identifizieren, die zu einem Ransomware-Akteur gehört und dann guckt man einfach in diesem öffentlichen Kassenbuch nach, wie viel Geld da drauf eingegangen ist. …“Follow the money!“…
Es ist einfach eine öffentliche Information. Und jetzt könnte man natürlich sagen, ja hm, wenn das alles öffentlich ist, dann muss das ja auch irgendwann wieder flüssig gemacht werden und dann guckt man sich einfach an, wo das flüssig gemacht worden ist. Einige Kryptowährungen lösen dieses „Problem“, indem sie auch noch, Finanzflüsse verschleiern, aber Bitcoin macht das nicht und Bitcoin ist immer noch viel im Einsatz bei Ransomware weil es leicht zu bekommen ist so relativ leicht was Kryptowährungen, also was Kryptowährungen angeht ist Bitcoin noch relativ leicht zu kriegen. Und diese Währung hat dann aus Perspektive das Problem, dass man sehen kann, wo das Geld wo hingeflossen ist und dafür gibt es jetzt mehrere Lösungen. Also Verschleierung sozusagen, ne? Genau aus Akteursperspektive und eines der großen Dinger da sind sogenannte Mixer-Services heißen die.

[20:20] Ich erkläre mal kurz, wie das aus der Perspektive aussieht. Da geht man auf so eine Webseite, dann gibt man da ein paar Empfängeradressen an, die ich unter meiner Kontrolle habe als Akteur. Dann kann man da so eine Servicegebühr noch auswählen, sollte man wahrscheinlich zufällig machen, damit das nicht so sehr auffällt. Dann gibt man auch so ein Zeitintervall und eine Verzögerung ein und was ich dann bekomme als Akteur ist eine weitere Bitcoin-Adresse, auf die ich dann Geld einzahlen soll. Und dieser Mixer-Service nimmt dieses Geld dann auf diese Adresse, verteilt das auf alle anderen Adressen und dann habe ich das Geld quasi wieder zurück. Jetzt könnte man denken, was ist denn das? Das nutzt ja irgendwie gar nichts und de facto bedeutet das, man versucht hier Kryptowährungen zu waschen. Genau, das ist einfach Geldwäsche im klassischen Sinne, weil wenn man sich das dann auf also in diesem Kassenbuch anguckt, dann sieht man da nur ein riesengroßes Konto, das den Mixerservice gehört.

Also man kann tatsächlich jetzt vor, das sind jetzt drei Parteien, A, B und C und die verwenden diesen Mixer-Service, dann sieht man nur, dass Transaktionen von diesen drei Parteien A, B und C da reingehen und ganz viele Transaktionen an ganz viele Parteien raus.
Wenn das jetzt nicht 3 Parteien sind, sondern zehntausend, dann ist völlig verschleiert, welches Geld wo hingegangen ist. Also das eingehende Geld kann man nicht mehr oder die eingehenden Bitcoin-Beträge kann man nicht mehr mit den ausgehenden Bitcoin-Beträgen in irgendeiner Form sinnvoll inhaltlich in Verbindung bringen.

[21:42] Also klar, wenn man da Fehler macht, kann man das vielleicht doch noch machen, aber es ist erstmal auf jeden Fall sehr viel schwerer als wenn ich und wenn das Geld dann einmal gewaschen ist, wie du grade gesagt hast, dann kann man’s auf irgend so einen Exchange überweisen oder jemanden finden, der mir das dann in Bargeld umtauscht.
Oder Fiatgeld, wie man das wohl auch auf Deutsch sagt. Ja und dann kann man halt als Akteur das Geld dann auch wirklich haben.
Okay, das erklärt so ein bisschen, warum in der Folge eigentlich auch immer nur noch Kryptowährungen benutzt werden und,

Big Game Hunting, Leaks, Auktionen und Double Extortion

[22:10] Wahrscheinlich ein weiterer Entwicklungsschritt, den wir dann beobachten, ist 2017 die Malware WannaCry.
Die hatte weltweit Impact, es wurden sehr viele Systeme befallen und es handelt sich hier um den ersten bekannten Fall eines staatlichen Akteurs, der eben Ransomware verwendet.
Übrigens, das ist der gleiche staatliche Akteur, über den wir auch in Folge 1 reden, dem Cyber-Bankraub von Bangladesch.

[22:35] Genau. WannaCry war sehr medienwirksam. Also das hat damals wahrscheinlich wirklich jeder mitbekommen.
Auf Bahnhöfen wurden da irgendwie dieser berühmte Bildschirm angezeigt, an allen möglichen Orten, wo überraschenderweise Windows XP noch zum Einsatz kam und so weiter. Es war ein ja medial ein Riesending.
Wenn man sich fragt, was war denn der Erlös, dann war das damals etwa ein sechsstelliger US-Dollar-Betrag, also ich glaube so etwa 150.000 US-Dollar, zu dem damaligen Zeitpunkt.
Das hat heute natürlich deutlich mehr Wert, also wenn sozusagen die Bitcoin bis heute gehalten worden wären, dann hätten die eben wahrscheinlich einen einstelligen Millionenbereich in US-Dollar.
Das ist vielleicht nochmal ganz sinnvoll, wenn wir das gleich so ein bisschen kontrastieren zu anderen Entwicklungen, die wir da sehen.
Das war ein großer Fall, also 2017, aber wenn man das gerade was das Geld angeht, dann vergleicht mit dem, was jetzt kommt, dann war das fast noch gar nichts.
Denn jetzt kommt Big Game Hunting.

Zu Deutsch heißt das so viel wie Großwildjagd, also das wusste ich vorher auch nicht, bevor dieser Begriff berühmt geworden ist. Also als Game bezeichnet man im Englischen auch so Wild und Big Game sind dann so was wie Tiger oder Elefanten oder so was und was das in dem Ransomware-Kontext jetzt hier heißt, ist, dass man sich als Akteur nicht mehr auf so kleine Fische konzentriert. Also man versucht nicht mehr Tausende von Leuten dazu zu bringen, 100 Euro zu überweisen, [23:56] sondern man versucht eine große Institution dazu zu bringen, große Geldbeträge zu überweisen.

Anders als so die bisherige Massenabhandlung von Infektionen gestaltet sich auch die Interaktion mit dem Akteur jetzt anders. Es gibt in der Regel tatsächlich in irgendeiner Form Dialog über irgendwelche elektronischen Kommunikationsmittel. Das kann per E-Mail passieren über irgendwelche Online-Chats. Es kann vielleicht getriggert werden, sogar durch Anrufe.

[24:22] Und häufig wird über den tatsächlichen Lösegeldbetrag dann wirklich verhandelt. Um vielleicht da mal so ein bisschen eine Größenordnung zu geben: Also in einem Fall gibt es ein bestätigtes Lösegeld in Höhe von 740.000 US-Dollar. Da geht es um einen Bitpaymer-Vorfall. Links dazu packen wir euch in die Shownotes. Das heißt, ein einziger Big Game Hunting Incident stellt mitunter den gesamten Erlös von zum Beispiel WannaCry mit seinen 150.000 US-Dollar in den Schatten. Und als Akteur heißt das, die Menge an Geld, die ich machen kann, ist eigentlich nur beschränkt durch die Anzahl der Firmen, die ich kompromittiere und die Anzahl der Leute, die ich damit beschäftige, diese Aktivitäten durchzuführen.

[25:06] Das ist wahrscheinlich der Grund, warum Big Game Hunting heute fast alle Ransomware-Akteure machen. Es gibt nur noch sehr wenige Ausnahmen, die eben Ransomware verteilen und nicht Big Game Hunting machen. Vielleicht — da weiß ich nicht ob’s wirklich so war — aber vielleicht haben da Leute angefangen Backups zu machen, weil Backups helfen ja sehr gegen Ransomware. Dann kann man einfach sagen, behalt doch eure Kryptoschlüssel, ich stelle meinen Backup wieder her und funktioniere wieder. Dann gab’s nämlich 2019 eine neue Entwicklung und die nennt man im englischen Double Extortion, also zu deutsch soviel wie doppelte Erpressung. Und die erste Ransomware, die das gemacht hat war die Maze Ransomware und Double Extortion heißt, dass man nicht nur die Daten verschlüsselt, sodass sie das Opfer nicht mehr zur Verfügung hat, sondern auch noch die Daten vorher runterlädt, bevor man sie verschlüsselt als Akteur und dann noch zusätzlich damit droht, die Daten zu veröffentlichen, also zu leaken. Das heißt aus einer Opferperspektive habe ich jetzt zwei Motivationen zu bezahlen, nämlich erstens die Daten selbst wiederbekommen, zumindest wenn ich kein Backup habe und zweitens vermeiden, dass die Daten publik werden oder geleakt werden.

[26:06] Das ist natürlich aus vielerlei Hinsichten eine sehr wirksame Motivation, weil ich möchte als als Firma vielleicht nicht, dass meine Konkurrenten die Daten bekommen, vielleicht sind da irgendwelche Geschäftsgeheimnisse drin, dann steht auch immer dieses GDPR und Datenschutz Damoklesschwert da, also vielleicht gibt’s da noch ganz viele Gerichtsverfahren, wenn diese Daten öffentlich werden und als Firma wird’s auch schwer, Partner zu finden, also Business-zu-Business zu machen und so weiter. Also es ist ein sehr wirksamer Motivator.
Das heißt aber auch, dass Backups hier nicht mehr helfen in der Regel, ne? Genau, also wenn ich hier vermeiden will, Ransom, das Lösegeld zu bezahlen, dann brauche ich nicht nur Backups, sondern es muss mir auch egal sein, dass die Daten dann auch öffentlich sind und das ist wirklich selten der Fall.
Jetzt gibt’s einen Trend, nämlich diese Leaks, die werden angekündigt.

[26:51] Ja genau und auf sogenannten Dedicated Leak Sites. Das kann man sich so vorstellen. Die Akteure, die betreiben Blogs, also auch im Dark Web, also nur über Tor erreichbar und so und das sind einfach Seiten, auf denen steht ein Post nach dem anderen mit geleakten Daten von Firmen, die kompromittiert wurden. Und das hat so eine Dynamik natürlich verursacht, dass wenn man jetzt als Journalist Interesse daran hat, Artikel zu schreiben, will man natürlich auch diese Blogs von den Akteuren die ganze Zeit im Auge behalten, weil sobald da ein neuer Post draufkommt, kann ich als Journalist einen neuen reißerischen Artikel dazu schreiben, dass schon wieder eine Firma kompromittiert… würde ein seriöser Journalist natürlich nicht machen. Natürlich nicht, aber es passiert natürlich trotzdem, dass so eine richtig schöne, dreckige Internetdynamik, um die Klicks noch weiter zu erhöhen und den machen sich hier die Akteure zu Nutze, um die Zahlungswilligkeit der Opfer zu erhöhen.
Ist schon ein dreckiges Geschäft. Das können wir drin lassen, gefällt mir.

[27:47] Eine weitere natürliche Weiterentwicklung von solchen Dedicated Leak Sites ist jetzt, dass ich als Akteur diese Daten nicht einfach kostenlos zur Verfügung stelle, sondern auch noch selber versteigere. Das muss man sich jetzt überlegen. Also das ist jetzt so weit weitergegangen, dass es jetzt so, eBay-artige Seiten gibt, auf denen kann man auf Leaks bieten und dann wird das an den Höchstzahlenden quasi wird dieser Leak weitergegeben.

[28:13] Wahrscheinlich, also in einem Versuch noch einen weiteren Einnahmestrom zu generieren haben Akteure das halt gemacht. Der erste Fall, den wir jetzt hier gefunden haben, der das war im Juni 2020, da war das die REvil Ransomware oder Sodinokibi, wie du sie eben genannt hast, und die haben halt diese sensitiven Daten, die sie da von Opfern geklaut haben, dann noch im Darkweb versteigert.
Und wie sich das anhört, wenn man als Opfer von so einer fortgeschrittenen Ransomware betroffen ist, das wollen wir uns jetzt mal anhören.

[29:23] Das war ein Audioschnipsel eines Anrufs im Rahmen eines Suncrypt-Vorfalls, also eine Ransomware, die als Suncrypt bezeichnet wird. Hier wurde in der Opferorganisation angerufen und eben ja entsprechend informiert über diesen Vorfall. Dieser Audioschnipsel wurde von Sophos veröffentlicht. Quellen wie immer in den Shownotes. Was ich daran besonders bemerkenswert finde, auf eine morbide Art und Weise bemerkenswert, ist, dass dieser Typ, der da spricht, für den ist das so völlig routiniert, der… ich weiß es nicht, … der hatte wahrscheinlich schon 20 von solchen Anrufen gemacht, hello, we are Suncrypt…

[29:58] Das ist so so richtig routiniert. Das gibt mir richtig den Eindruck, dass da jemand einen Bürojob macht.
Und das ist aus unserer Sicht jetzt, was die Entwicklung angeht, auch der letzte Schritt in dieser Evolution von zumindest, wie wir sie bis heute gesehen haben.

Schlussfolgerungen und Ausblick

[30:15] Lars, lass uns mal versuchen, ein paar Schlussfolgerungen zu ziehen und vielleicht so ein bisschen auch einen Ausblick zu wagen. Also wir haben gesehen, Ransomware gibt es schon ziemlich lange.
Aber ich glaube, jetzt passiert auf der Policy-Ebene international gerade sehr, sehr viel. Auf jeden Fall, ich meine, der Audioschnipsel, den wir ganz am Anfang eingespielt haben, da wurde Ransomware plötzlich zur Chefsache. Da hat der Präsident der Vereinigten Staaten gesagt, dass sie sich jetzt Ransomware annehmen, das ist schon ein ganz klares Signal dafür, dass da jetzt wahrscheinlich was passiert. Das ist eine superinteressante Entwicklung. Wenn man sich vorstellt, Biden ist ins Amt gekommen. Dann gab es diese signifikanten Vorfälle maßgeblich gegen Ziele in den USA, also Colonial Pipeline im Mai 2021, JBS Ransomware, auch im Mai 2021 und im Juni 2021 gab’s dann eben ein Gespräch zwischen Biden und Putin.

[31:11] Warum? Na ja, weil man eben maßgeblich da Köpfe hinter diesen Ransomware-Kampagnen in Russland vermutet. Es gab dann auch nochmal ein Telefonat mit beiden im Juli 2021 und in der Folge wurde’s auch zunächst mal still um die ein oder andere Gruppe, ne, REvil zum Beispiel.

Zwei Gedanken dazu. Das Erste ist, wenn man Biden-Interviews dazu sieht, legt er schon immer viel Wert darauf, dass noch nicht klar ist, was das mit Russland zu tun hat und ob das überhaupt was mit Russland zu tun hat. Also da macht ein Politiker wirklich Politik.
Aber genau, auf der anderen Seite scheint es auch so zu sein, dass einige der Akteure da drauf reagieren. Das kann natürlich ganz viele Gründe haben.

Und jetzt, finde ich, gibt es auf einer Policy-Ebene einen ziemlich deutliches Signal, denn im, Oktober 2021 gab’s einen Gipfel, ein Gipfeltreffen zum Thema Ransomware und das war von den USA gehostet, aber insgesamt haben 30 Nationen dran teilgenommen. Und Russland war nicht eingeladen und ich glaube, das sendet auf jeden Fall schon mal ein ganz klares Signal, das setzt sich in meinen Augen auch fort in der Entwicklung, die wir danach sehen, nämlich, dass es jetzt eben massive Strafverfolgungs-Anstrengungen gibt und auch Erfolge, also eine ganze Reihe an Festnahmen in dem Kontext, Indictments, und eben auch Belohnung — manche würden sagen Kopfgelder. Also so wurden eben im November 2021 Belohnungen ausgesetzt in Höhe von 10 Millionen US-Dollar für sachdienliche Hinweise zur Ermittlung von führenden Persönlichkeiten, Schlüsselfiguren in solchen Ransomware-Gangs, und 5 Millionen US-Dollar für die Ermittlung von Affiliates, also von Akteuren, die quasi eine Ransomware in so einem Servicemodell einsetzen.

Da sieht man auch ganz klar, wie viel Geld dahinter steckt, ne. Also da wird richtig Schaden verursacht und deswegen ja, greifen da auch quasi Regierungsinstitutionen tief in die Tasche, um da irgendwie, Kopfgelder auszusetzen und ich glaube, solche Dinge sind dringend notwendig, wenn man diesem Ransomware-Trend, was entgegensetzen will, weil das sich so sehr lohnt. Das ist so viel Geld, was man da relativ einfach machen kann. Also ich sage immer „relativ einfach“, das ist natürlich trotzdem noch aufwendig, so eine Operation zu betreiben und diese Malware zu schreiben und so weiter, aber da geht’s ja dann nachher um richtig viel Geld. Also es ist zum Beispiel bei Palo Alto jetzt einen Bericht veröffentlicht und da wurden einzelne Zahlungen aufgelistet und eine dieser Zahlungen war also eine einzelner Incident, da ist eine Zahlung von 10 Millionen US-Dollar über den Tisch gegangen. Wenn ich mir als Ransomware-Akteur, wenn ich das einmal im Jahr mache, dann habe ich schon zehn Millionen im Jahr gemacht, das ist eine Menge Jahresumsatz, sage ich mal.

Du hast ja gerade diese Sache angesprochen mit diesem Ransomware-Summit und den Vereinigten Staaten und der Beziehung zu Russland und so weiter.
Was mir aufgefallen ist, bei so Interviews von Biden, die man so sieht, ist, dass der das schon immer Wert darauf legt zu sagen, ja, ist nicht klar, ob das Russland ist und ob das überhaupt was mit Russland zu tun hat.

[34:24] Jetzt kann man mal ein Gedankenspiel machen, also stell dir mal vor, die Akteure hinter dem Angriff auf die Colonial Pipeline wären Russen.
Selbst wenn die Akteure jetzt nicht state-sponsered sind, so macht es aus russischer Regimeperspektive möglicherweise Sinn, die Akteure ihr Ding machen zu lassen. Man könnte das dann state-tolerated nennen, da sie eben die Stabilität des Westens beeinflussen, indem sie kritische Infrastrukturen sabotieren. Und das aber eigentlich ja nur by accident, also nur zufällig oder als Begleiteffekt, denn im Grunde genommen ist ja davon auszugehen, dass diese Akteure tatsächlich originär eine finanzielle Motivation haben.
Was noch auffällig war, ist, dass auf einer ähnlichen Zeitskala, die wir eben beleuchtet haben mit diesen Gesprächen zwischen Russland und USA und diesen Summits und so, dass auf ähnlichen Zeitskalen auch teilweise ein Rückgang von Aktivität oder auch ein Rebranding hier und da passiert ist von so einer Ransomware-Familie. Also da kann man natürlich jetzt keine Kausalbeziehungen nachweisen, aber ein temporaler Zusammenhang besteht da auf jeden Fall.

Was glauben wir denn jetzt, wenn wir den Blick mal schweifen lassen? Wie wird’s weitergehen?

Tja, ich glaube, man kriegt da nur was gegen getan, wenn man die Kosten für die Akteure signifikant erhöht. Man kann das irgendwie versuchen durch Regulierung irgendwie versuchen zu steuern, also so was wie, man sagt:

[35:47] „Wenn eine Regierungsinstitution kompromittiert wird, darf die kein Lösegeld bezahlen.“ Ja, also das sind quasi die ultimativen Kosten, die man hier dem Akteur verursachen kann. Keine Einnahmen mehr.
Äh man könnte sagen, es gibt so Versicherungen gegen Ransomware, man könnte die zum Beispiel verbieten. Man könnte sagen, man verbietet als Gesetz, dass man Lösegeld bezahlt für Akteure. Das ist natürlich nicht überall möglich, aber das könnte man auch machen.
Oder man könnte die Abschreckung quasi erhöhen durch zum Beispiel Polizei, bessere Strafverfolgung, bessere Attribution, damit quasi die Leute, die das machen, das doch lieber lassen.
Ja, die Frage ist, helfen denn Backups? Also wir haben gesehen bei Double Extortion nicht unbedingt, ne?

[36:34] Dann muss man natürlich fairerweise sagen, Backups überhaupt erst mal anzufertigen, das kostet ja irgendwie auch Geld, also ist auch irgendwo ein Invest.
Man muss die Prozesse etablieren, anpassen, das Ganze testen, ja, insbesondere das Restore natürlich mal testen, sonst bringt ein Backup gar nix. Man muss das monitoren, da kann der ein oder andere ja schon auf den Gedanken kommen, Mensch, so ein Decrypter zu kaufen ist vielleicht billiger. Genau, wie du gerade am Anfang schon sagtest, Double Extortion hilft da auch gegen. Andererseits: Zu sagen, na ja Backups helfen nicht, deswegen mache ich keine, ist auch blöd, weil das macht’s dem Akteur einfach nur wieder leichter. Also Double Extortion verursacht auch Aufwand auf Akteursseite und den sollte man dem auf jeden Fall weiter verursachen, diesen Aufwand. Man könnte vielleicht auch meinen, dass es helfen könnte, die Daten von den Clients irgendwie wegzubewegen, dass man sagt, auf den Clients liegen gar keine Daten mehr, die Clients, also die Workstation-Rechner, die Arbeitsplatzrechner, das sind die, die betroffen werden häufig, zumindest initial.

[37:35] Und wenn da keine Daten mehr zu finden sind, dann läuft das vielleicht ins Leere, aber ich glaube, das ist zu kurz gedacht. Was meinst du? Ja genau, also, solche Big Game Hunting-Angriffe, das sind halt sehr gezielte Angriffe. Das ist nicht so ein so ein Shotgun Approach „Ich kompromittiere hier ganz viele Ziele“, sondern da sitzen wirklich Leute an der Tastatur und führen Befehle aus und das läuft dann meistens so, dass sie irgendwie in die Firma eindringen, dann irgendwie Zugriff versuchen zu bekommen auf den sogenannten Domain-Controller. Also eine zentrale Stelle in der Infrastruktur. Genau, und von da kann man dann Software installieren auf all diesen Clients und dann alles damit verschlüsseln und alle Server auch.
Genau und insbesondere auch alle Server und auch eventuell vorhandene Cloud-Infrastruktur und so weiter. Und das ist ein ist ein Layout, das ist schon in vielen Firmen so, dass auf den Clients selber eh kaum noch Daten liegen, ne? Da gibt’s irgendwie ein Netzlaufwerk und eigentlich hat man’s darauf abgesehen als Big Game Hunting-Akteur.

Wenn wir das nochmal zusammenfassen aus so einer Entwicklungsperspektive, dann können wir glaube ich schon festhalten: es findet Veränderungen statt, also man kann wirklich von Evolution sprechen innerhalb der Ransomware, es bleibt nicht einfach gleich.
Genau, diese Veränderungen sind aber getrieben. Also da gab’s immer einen Grund für. Das passiert nicht einfach von alleine, sondern da gab’s ne konkrete Notwendigkeit und die hat dafür gesorgt, dass sich diese Ransomware-Szene weiterentwickelt hat. Und wenn man das Ganze jetzt mal in die Zukunft projiziert, dann glaube ich, wäre es naiv anzunehmen, dass diese Veränderung, diese Evolution, nicht auch in der Zukunft weiter funktioniert.

[39:03] Man kann sich natürlich auch nochmal fragen, wie sieht’s denn mit dem Schaden aus, den sowas gesellschaftlich anrichtet? Und das ist wahnsinnig schwer zu ermitteln. Ich habe dazu mal eine Zahl gefunden, die US Treasury hat publiziert, dass sie 5,2 Milliarden US-Dollar in Bitcoin-Transaktionen, Ransomware-Lösegeldzahlungen zuordnen kann. Ja und das ist mal so ein Pfeiler, der so ein bisschen versucht, das irgendwie zu beziffern. Die haben sich da also sehr viele Vorfälle angeschaut und dann im Prinzip versucht maßgeblich eben in dem großen Bitcoin-Kassenbuch nachzuschauen und Zahlungen zu verfolgen und sind dann auf diesen Wert entsprechend gekommen und das zeigt natürlich schon, dass es mittlerweile ein gewisses Ausmaß annimmt.

Wir müssen natürlich auch dazu sagen, dass das immer noch eine untere Abschätzung ist. Die Dunkelziffer wird wahrscheinlich riesen, riesen viel größer, das ist auf jeden Fall so.
Um vielleicht aber mit einem positiven Ding zu enden: Es ist ja jetzt schon so, dass da viele Dinge in Bewegung gekommen sind, wie du grad schon sagst, vor allem auf Policy-Ebene, ja? Also der amerikanische Präsident hat zur Chefsache gemacht, es gibt Summits, es gibt Strafverfolgungsverfahren, die eventuell mal acht Jahre dauern, aber dann trotzdem noch zu einer Verhaftung führen. Es gibt generell den Trend, dass Staaten und auch Strafverfolgungsbehörden an Attribution interessiert sind und diese Fähigkeit auch weiter verbessern und das alles, das übt Druck auf die Akteure aus. Und Druck ist hier gut, weil dann machen die entweder Fehler oder müssen ihre Operationen noch komplizierter machen.

[40:39] So und das war’s eigentlich dann jetzt auch mit dieser doch etwas länger gewordenen Folge. Das hatten wir am Anfang befürchtet, dass wir heute ein bisschen… ooch, da wird die Hälfte noch rausgeschnitten.

[40:54] Wir hoffen, euch hat diese Folge gefallen. Wenn ja, lasst uns doch eine positive Bewertung da im Podcast-Player eurer Wahl oder folgt uns auf Twitter unter @armchairgators.

[41:05] Bis zum nächsten Mal.

#5 Shamoon

Im August 2012 schlug eine destruktive Schadsoftware zu und sorgte dafür, dass mehr als 30.000 Computer des betroffenen Unternehmens nicht mehr starten konnten. Es kam in der Folge zu einem massiven, wochenlangen Ausfall. Wie funktioniert diese Wiper-Malware? Welche ihrer Eigenschaften sind charakteristisch und lassen sich etwa im Rahmen der Attribution nutzen? Wie wurde die Malware letztlich einem staatlich-gestützten Akteur mit Bezug zu Iran zugeschrieben? Diesen Fragen gehen wir in dieser Podcast-Folge auf den Grund und lassen den Blick auch ein bisschen über destruktive Wiper-Angriffe schweifen.

Shownotes

#4 Persistenz und LoJax

Wie tief kann sich Malware in Computer einnisten? Kann eine Malwareinfektion überleben, wenn die Festplatte formatiert wird? Diesen Fragen gehen wir nach und begeben uns auf einen Streifzug durch Firmware, Persistenz, FANCY BEAR und LoJax. Darüber hinaus versuchen wir zu beleuchten, wie verbreitet firmwarepersistente Malware unter vorrangig staatlich-gestützten Akteuren ist und welche technischen Gegenmaßnahmen es gibt.

Shownotes

#3 Erpressung der Uniklinik Düsseldorf

Im September 2020 erleidet eine Frau ein Aneurysma und muss ins Krankenhaus gebracht werden. Zu diesem Zeitpunkt ist die Uniklinik Düsseldorf allerdings von der Notaufnahme abgemeldet, da eine Ransomware (ein Verschlüsselungstrojaner) zugeschlagen hat und die IT nicht benutzt werden können. In dieser Folge beleuchten wir das Bedrohungsfeld durch Ransomware als eine Form der organisierten Kriminalität.

Shownotes

#2 Hat-tribution: Attribution von Cyber-Spionen

In dieser Folge beleuchten wir das Thema “Attribution”. Einfach gesagt wollen wir herausfinden, wer einen Cyberangriff ausgeführt hat oder dafür verantwortlich war. Den Vorgang der Attribution werden wir in dieser Folge an dem in Fachkreisen bekannten Beispiel der “Hat-Tribution” konkretisieren.

Shownotes

#1 Der Cyber-Bankraub von Bangladesch

Vor 5 Jahren sollten fast eine Milliarde US-Dollar von Konten der Zentralbank Bangladeshs gestohlen werden – ein spektakulärer Bankraub im Cyberspace. Soweit der Plan…

Transkript anzeigen...

Armchair Investigators – Ein Dialog über Malware, Cybercrime und Cyberspionage. Mit Lars Wallenborn und Christian Dietrich.

00:00:28 Christian Dietrich: Hallo liebe Cyberfreunde. Mein Name ist Chris, ich bin Professor für IT Sicherheit an der Westfälischen Hochschule …

00:00:34 Lars Wallenborn: … und ich heiße Lars und ich arbeite für CrowdStrike als Reverse Engineer und Softwareentwickler.

00:00:41 Christian Dietrich: Lars, wir müssen über einen ziemlich interessanten Vorfall reden, der sich vor ziemlich genau fünf Jahren, also im Februar 2016 zugetragen hat. Und zwar geht es um einen Bankraub von fast einer Milliarde US Dollar.

00:00:54 Lars Wallenborn: Also ich sage mal, das kann kein normaler Bankraub gewesen sein. Denn eine Milliarde US Dollar wiegt wirklich sehr, sehr viel. Also da transportiert man lasterweise Geld von A nach B. Das wäre aufgefallen.

00:01:07 Christian Dietrich: Du bist ziemlich gut in Kopfrechnen oder du hast schon viele Assessment Center hinter dir, wo solche Fragen gestellt werden. Und ich habe mal geschaut: Was glaubst du, was der durchschnittliche Ertrag eines Bankraubs in den USA 2019 war?

00:01:20 Lars Wallenborn: Keine Ahnung.

00:01:20 Christian Dietrich: 6.500 Dollar.

00:01:23 Lars Wallenborn: Wow. Das lohnt sich wirklich nicht. Ich meine, dann macht man einen Bankraub, ist danach polizeilich gesucht und dabei kommen sechs- gut, vielleicht für einige Leute sind 6.000 Dollar vielleicht dann doch so viel Geld.

00:01:33 Christian Dietrich: Dieses typisch amerikanische Verbrechen, dieser Bankraub, der lohnt sich einfach irgendwie gar nicht mehr. Aber das sieht eben anders aus, wenn man das Ganze versucht online zu machen. Und zwar geht es hier um das Ziel, die sogenannte Bangladesch Bank. Das ist die Zentralbank von Bangladesch. Das Besondere hierbei ist, dass es sich um einen Angriff handelt, also der komplett online stattfand, und wo eben Schadsoftware eine gewisse Rolle gespielt hat. Wir beide als Reverse Engineer, als Malware-Analysten, schauen uns das natürlich gerne irgendwie mal ein bisschen genauer an. Was macht das Ganze so besonders, Lars?

00:02:05 Lars Wallenborn: Es gibt viele Dinge, die das hier besonders machen. Und um da jetzt vielleicht erstmal auf die Schadsoftware ein bisschen genauer einzugehen, muss man jetzt so ein paar Sachen über das SWIFT System irgendwie kennen. Also SWIFT ist ein sehr altes System, das Banken verwenden, um miteinander zu kommunizieren und um zu sagen, welches Geld von wo nach wo fließen soll. Und klassischerweise ist dieses System so in sich geschlossen, also jede Bank ist an dieses System angeschlossen. Und das Interessante bei diesem Banküberfall jetzt auf die Bangladesch Bank war, dass nicht das System an sich angegriffen wurde – also von außen irgendwie Nachrichten da eingeschleust wurden oder so was, sondern dass die Software, die da den Schaden verursacht hat, die lief auf dem System der Bangladesch Bank, das mit dem SWIFT System verbunden ist.

00:02:46 Christian Dietrich: Das heißt, die haben tagtäglich sowieso SWIFT Transaktionen durchgeführt. Und genau der Rechner, von dem eben aus dieser Bangladesch Bank tagtäglich diese SWIFT Transaktionen durchgeführt wurden, genau von dem haben die Akteure eben auch agiert in diesem Vorfall.

00:03:01 Lars Wallenborn: Genau. Und da wurden fünfunddreißig SWIFT Nachrichten abgeschickt. Und also – Spoiler Alarm – und von denen sind nicht alle durchgegangen. Also vielleicht sind da doch keine ganze Milliarde US Dollar verschwunden, sondern ein bisschen weniger.

00:03:13 Christian Dietrich: Okay, aber das fällt doch auf. Das muss doch auffallen. Also wenn da jemand irgendwie fünfunddreißig Nachrichten, fünfunddreißig Überweisungen irgendwie versucht zu tätigen – also, wenn ich auf meinen Kontoauszug gucken würde, würde mir das auch auffallen.

00:03:23 Lars Wallenborn: Richtig. Das wäre auch beinahe aufgefallen. Aber die Akteure, die haben sich anscheinend vorher ganz genau angeguckt, was da passiert ist. Und die Bank hat halt auch sowas wie einen Kontoauszug, oder also in dem Fall sogar zwei Mechanismen um zu ermöglichen da Sichtbarkeit zu schaffen in den Transaktionen. Das eine ist eine Oracle Datenbank, also eine Software die irgendwo läuft und in der mitprotokoliert wird, welche Transaktionen stattgefunden haben. Und daneben, neben dem Computer, stand auch noch ein Drucker. Und der druckt einfach permanent alle Transaktionen aus, die passieren. Das klingt jetzt irgendwie absurd, aber ich finde eigentlich, dass das eine ganz coole Sache und eine coole Möglichkeit ist, weil, dass die Transaktionen halt also wirklich protokolliert- also um das zu manipulieren muss man wirklich zum Drucker gehen und das Papier klauen.

00:04:11 Christian Dietrich: Ich habe mir die Malware mal- ich habe die mal so ein bisschen auseinandergenommen und du hast ja auch mal einen Blick in die reingeworfen – das ist schon ziemlich abgefahren, was die gemacht haben. Also die hatten ziemlich gute Kenntnis über den Systemaufbau von diesem System auf dem diese SWIFT Software da irgendwie läuft, oder diese SWIFT Appliance da irgendwie läuft, und das heißt, die wussten genau, welche Arten von Nachrichten dort ausgetauscht werden, wenn sie Transaktionen abschicken. Und dann haben sie eben dafür gesorgt, dass diese beiden Protokollmechanismen – also sowohl die Datenbank, als auch der Drucker – eben keine Spuren hinterlassen, oder keine Artefakte irgendwie ausdrucken oder festhalten von den Transaktionen. Das haben sie gemacht, indem sie sich die Verwendungstexte ganz bewusst gestaltet haben. Also man muss sich vorstellen, diese Überweisungen, die haben ähnlich wie Überweisungen die wir so kennen, wie jetzt in Deutschland beispielsweise, so Verwendungszweckfelder. Und da haben die eben ganz bestimmte Nummern selber verwendet und anhand dieser Nummern haben sie später diese Transaktion halt auch erkennen können. Und die sind sogar noch einen Schritt weitergegangen. Denn für jede ausgeführte Überweisung kommt auch eine Bestätigung zurück. Das heißt, hier wurde maßgeblich von einem Konto, das bei der New York Federal Reserve Bank in New York, also in den USA lag, Geld weg überwiesen. Und dieses Konto gehört der Bangladesch Bank. Also Kontoinhaber ist die Bangladesch Bank. Und das heißt für alle diese Transaktionen kam eben auch eine Bestätigung zurück. Und auch diese Bestätigungsnachricht, auch die wurde eben aus dieser Datenbank getilgt und es wurde eben dafür gesorgt, dass die eben eigentlich nicht gedruckt werden sollte.

00:05:49 Lars Wallenborn: Ja und das ist vielleicht jetzt – also jetzt kann man theoretisieren warum das alles passiert ist und ich würde vielleicht soweit gehen zu sagen, das liegt an einem der großen Unterschiede zwischen Online- und Offline Bankrauben. Nämlich bei einem Offline-Bankraub dann – ich meine du holst das Geld aus dem Tresor, also ich weiß ja nicht wie das genau läuft, aber ich stell mir das so vor – holst das Geld aus dem Tresor, steigst damit in dein Fluchtfahrzeug und dann geht es ab in den Sonnenuntergang und dann hat man halt das Geld. Bei einem Online-Bankraub ist das natürlich nicht unbedingt so. Weil es gibt so bestimmte SWIFT Transaktionsnachrichten, die können Transaktionen rückgängig machen oder zumindest darum bitten, diese Transaktionen rückgängig zu machen. Und da muss man dann halt aufpassen als Bankräuber, dass man das Geld, dass man sich irgendwo hin überwiesen hat, dann auch behält – oder halt, dass es schnell genug dann ausbezahlt wird. Und da muss man halt so ein bisschen Zeit gewinnen. Ich vermute, dass das eine der Hauptmotivationen war, da diese ganzen Protokollmechanismen auszuhebeln.

00:06:41 Christian Dietrich: Genau, das heißt innerhalb von einem bestimmten Zeitraum kann man diese Transaktionen vielleicht noch stoppen oder man kann sie vielleicht irgendwie zurück holen – und das ist auch passiert. Also von diesen fünfunddreißig Nachrichten, von diesen fünfunddreißig SWIFT Transaktionen, sind wahrscheinlich alle bis auf vier zurückgerufen worden. Aus einer ganzen Reihe von Gründen. Und das ist nämlich auch ganz interessant. Zum einen lag es eben daran, dass man festgestellt hat- also eine der Transitbanken bei diesen SWIFT- oder bei diesen internationalen Transaktionen, da ist es teilweise eben so, dass es über mehrere Banken läuft. Weil nicht unbedingt die Ursprungsbank mit der Zielbank, wo das Geld ursprünglich oder letztlich landen soll, eine direkte Verbindung hat. Sondern dann gibt es so Vermittlerbanken. Zum Beispiel die Deutsche Bank war eine dieser Transitbanken und da wurden wir Deutschen vielleicht ein bisschen unserem Image gerecht –

00:07:27 Lars Wallenborn: Jaja, da hat der deutsche Bankbeamte seinen Rotstift rausgenommen und gesagt, du hast Fundation falsch geschrieben. Das heißt der Empfänger der ist gar nicht da, die Transaktion geht zurück. Also hier haben die Akteure einen Fehler gemacht – anstatt Fundation haben die Fandation geschrieben – und das ist jemandem aufgefallen und dann wurde die Transaktion zurück gebucht.

00:07:42 Christian Dietrich: Also achte auf den – genau die richtige Schreibweise des Empfängers, ansonsten verlierst du irgendwie eine Milliarde US Dollar. Andere Gründe waren, dass es ungewöhnlich viel Geld war, das letzten Endes bei Privatleuten landen sollte. Also auf Konten von Privatleuten. Normalerweise überweisen diese Zentralbanken wohl eher an größere Institute. Andere Banken, irgendwelche Versicherungen oder ähnliches, aber nicht unbedingt an Privatpersonen. Also auch das fiel auf.

00:08:09 Lars Wallenborn: Und der letzte Grund, den finde ich auch wirklich albern, also da gab es irgendwie eine Überlappung zwischen einem Namen von einer Firma und der Straße der Zielbank, oder so.

00:08:20 Christian Dietrich: Genau, also es ging um ein mutmaßlich iranisches Logistikunternehmen, Jupiter Seaways, die sanktioniert waren. Und dieser Begriff Jupiter, der kam auch in der Straße einer Bankfiliale vor, zu der ein Teil des Geldes sollte. Nämlich die RCBC Bank auf den Philippinen in Manila. Die war nämlich auf der Jupiter Street. Und allein dieser eine Name, dieser Teil des Namens, der hat dafür gesorgt, dass also auch diese Transaktion geflaggt wurde oder irgendwie markiert wurde, dass da eben ein Analyst mal drüber schauen sollte. Und das waren eben so ein paar Gründe, warum das irgendwie nicht funktioniert hatte oder warum Teile der Transaktionen eben nicht durchgingen, nämlich ein Großteil der Transaktionen.

00:08:59 Lars Wallenborn: Okay. Also schade oder gut. Je nachdem wie man das sieht. Also von den fünfunddreißig Transaktionen sind ganz schön viele gecancelt worden, also es ist keine ganze Milliarde mehr übrig. Ich glaube es sind noch vier Transaktionen übriggeblieben, die dann nicht in irgendeinem von diesen Dingen hängengeblieben sind.

00:09:14 Christian Dietrich: Und was erkennen wir daraus? Menschen machen Fehler. Auch solche Akteure. Und das ist für uns als Verteidiger natürlich super, oder als Analysten, denn da können wir ansetzen. Und da können wir versuchen, Hinweise zu bekommen auf die Attribution, also auf die Frage, wer war es.

00:09:31 Lars Wallenborn: Ja genau, wie man so schön sagt, also „Follow the Money“. Und dann gucken wir uns jetzt mal an, wo diese vier Transaktionen gelandet sind. Das waren dann noch einundachtzig Millionen US Dollar, die da übriggeblieben sind. Die sind dann auf vier Bankkonten gelandet bei der RCBC Bank auf den Philippinen, wurden dann teilweise überwiesen oder teilweise irgendwie auch bar – da ist die Berichterstattung meiner Meinung nach nicht ganz eindeutig – zu einem oder mehreren Casinos übertragen, um das Geld dann zu waschen.

00:10:03 Christian Dietrich: Gut. Jeder Ermittler, der sich irgendwie mit diesem Fall beschäftigen würde, würde natürlich den Leitspruch anwenden „Follow the Money“. Das heißt wir müssen uns erstmal anschauen, wo ging das Geld denn hin oder wie verliert sich die Spur des Geldes möglicherweise. Und das tut sie nämlich, indem ein Großteil des Geldes was eben bei der RCBC Bank auf den Philippinen ankam, auf Konten eines Casinos überwiesen wurde oder mehrerer Casinos sogar überwiesen wurde, eben auch in den Philippinen, und teilweise wohl auch in bar dorthin gekarrt wurde. Und das Ganze passierte eben relativ zügig, nach Ankunft der Überweisung – schauen wir uns vielleicht gleich nochmal genauer an. Und eigentlich muss man jetzt erklären, dass zu der Zeit, 2016, zwei Dinge den Angreifern in die Hände gespielt haben. Nämlich einmal die Tatsache, dass auf den Philippinen das Bankgeheimnis sehr viel Wert ist. Das ist ähnlich wie in der Schweiz. Und das zweite ist, dass die Geldwäschevorgaben für Casinos zu dem Zeitpunkt, ich sage mal vorsichtig, nicht so wahnsinnig hoch waren. Und das war ein Riesenproblem, denn im Prinzip hat sich die Spur des Geldes, sagen wir mal mehr oder weniger, verloren, als das Geld da irgendwie auf den Casino Konten war.

00:11:11 Lars Wallenborn: Ja man weiß aber doch schon noch, dass es irgendwie wahrscheinlich in bar dann per Flugzeug woanders hingebracht wurde. Nicht wahr?

00:11:17 Christian Dietrich: Das mutmaßt man. Es gibt also die Vermutung, dass dort Leute in Richtung Macao mit einem Teil des Geldes in bar sich abgesetzt haben-

00:11:28 Lars Wallenborn: Um auch gerade noch einmal auf das Gewicht des Geldes zurück zu kommen. Also es handelt sich hier wahrscheinlich noch so um achtundfünfzig Millionen die sie dann da so von den Konten heruntergeschafft haben. Und das sind irgendwie Mengen, die kann man transportieren. Also ich habe mal kurz auf einer Serviette irgendwie überschlagen: Das ist eine gute halbe Tonne. Und so vom Volumen her ist das so ungefähr ein Kubikmeter. Also wenn man mal eine Waschmaschine auf einem Umzug transportiert hat, dann sind das vier davon. Also da musste man jetzt keine Laster voller Geld irgendwie von A nach B bringen, sondern das kann man im Kofferraum machen. Dann muss man es natürlich noch irgendwie in ein Flugzeug bringen, wenn man es dann rausschaffen will, aber das ist logistisch sehr viel einfacher.

00:12:01 Christian Dietrich: Wieder so eine Assessment Center Frage: Sie haben achtundfünfzig Millionen US Dollar bei einem Bankraub erwirtschaftet. Wie transportieren Sie das? (Lachen) Also du sagst, wenn das in US Dollar vorgelegen hätte, kein Problem, hätte man transportieren können. Vier Taxis bestellt, Flugzeug und man ist weg. Aber wir wollten uns ja eigentlich der Frage nähern, wer war es. Und ich glaube, da kann man sagen, es gibt zwei ganz interessante Quellen. Es gibt zum einen so privatwirtschaftliche Unternehmen, die da natürlich Aufklärung betrieben haben, teilweise Incident Response gemacht haben, das heißt in der IT Infrastruktur nach Spuren gesucht haben. Und zum anderen gibt es eine Strafanzeige, die veröffentlicht wurde vom FBI. Und beide Quellen kommen eben zu der Überzeugung, dass wir es hier mit einem ganz besonderen Akteur zu tun haben. Nämlich der Akteur ist kein üblicher Cyberkrimineller, wie man vielleicht erst einmal meinen würde, also jemand, der sich selber bereichern will, sondern es ist eben ein Akteur, der einen Staat hinter sich stehen hat, der also Interessen eines Staats umsetzt.

00:12:56 Lars Wallenborn: Und da möchte ich jetzt vielleicht direkt mal einhaken, warum das so ungewöhnlich ist. Also klassischerweise konnte man daran, an der Motivation von so einer Aktivität, schon als Hinweis dafür benutzen, wer dahintersteht. Also klassischerweise haben Staaten die Motivation der Spionage, also Informationsbeschaffung, oder der Sabotage, also irgendwie Systeme sabotieren. Und klassischerweise sind die finanziell motivierten Cyberkriminellen halt hinter Geld her. Und das hier ist jetzt eine neue große Sache, dass es jetzt hier einen großen Staat gibt, Nordkorea, der finanziell motiviert ist. Und dafür gibt es auch Gründe, Chris.

00:13:34 Christian Dietrich: Du hast es eben so beiläufig erwähnt, Nordkorea. Genau, also man mutmaßt, dass hier nordkoreanische Interessen umgesetzt werden, eben mit der Gewinnung von Finanzmitteln. Und das kann man erklären, weil Nordkorea seit 2006 eben mit Sanktionen belegt ist. Maßgeblich US Sanktionen, auch die EU hat Sanktionen. Die beziehen sich darauf oder das ist eine Reaktion des Raketenprogramms, das Nordkorea entwickelt und insbesondere des Atomwaffenprogramms. Und in Folge dieser Sanktionen, die immer wieder verschärft wurden, ist Nordkorea eigentlich vom internationalen Finanzmarkt abgeschnitten. Also es gibt eigentlich keine Möglichkeit mehr, irgendwie Finanzmittel nach Nordkorea zu bringen, sodass Nordkorea ein von Mangel geplagtes Land ist. Dort wird nach wie vor an dem Raketenprogramm gearbeitet, auch wenn glaube ich im letzten Jahr nicht unbedingt Raketentests stattfanden, aber es gibt eben staatliche Interessen, Finanzmittel zu gewinnen. Und das setzt sich eben fort – wenn wir mal so ein bisschen den Blick schweifen lassen, also so ein bisschen von diesem Vorfall der Bangladesch Bank auszoomen – dann zeigt sich eine ganze Reihe an Vorfällen, die eben auf ähnliche Art und Weise Nordkorea attributiert werden. Wir haben zum Beispiel 2017 die WannaCry Ransomware. Also eine Ransomware, eine Erpressungssoftware, oder scheinbare Erpressungssoftware, die ja weltweit Infektionen nach sich gezogen hat. Es gibt da also kaum ein Unternehmen, das nicht irgendwie betroffen war. Von der man heute eben auch davon ausgeht, dass sie dafür sorgen sollte, Bitcoin für Nordkorea-

00:15:13 Lars Wallenborn: Genau. Das passt dann gut ins Bild. Man hat wahrscheinlich da irgendwie Teile der Regierung oder irgendwie von der Regierung unterstützte Entitäten oder Gruppierungen, die dann damit beauftragt werden, Geld ranzuschaffen. Weil man sonst, privatwirtschaftlich, das nicht mehr hinkriegt. Das ist natürlich nicht das Einzige was Nordkorea macht. Also das ist nicht so, dass die ihre ganzen finanziellen Mittel jetzt aus Cyberoperationen irgendwie beziehen, aber es scheint eine Komponente der Nordkoreanischen Strategie zu sein.

00:15:43 Christian Dietrich: Ich habe mir mal so ein paar UN Berichte angeschaut, die eben die Sanktionen begründen und das ist wirklich erstaunlich. Also es gibt eine ganze Reihe von Ländern, die durch Vorfälle dieser Art, eben mutmaßlich von nordkoreanischen Akteuren, betroffen sind. Das ist Bangladesch, klar, haben wir hier uns angeschaut, Chile, Costa Rica, Gambia, Guatemala, Indien, Kuweit, Malaysia, Malta, Nigeria, Polen, Südkorea ganz massiv, Slowenien, Südafrika, Tunesien und Vietnam. Und das zeigt eben, dass diese Art der Gewinnung von Finanzmitteln hier scheinbar durchaus sehr ausgeprägt ist.

00:16:21 Lars Wallenborn: Gut, dann lass uns doch jetzt mal anschauen, wie man so was dann macht. Und da kann man sich das auf zwei Arten und Weisen irgendwie angucken. Wir wollen uns erstmal so einen groben Überblick von weit weg verschaffen, über die langen Zeiträume die da vergangen sind, und dann nochmal reinzoomen auf das Wochenende, wo dann dieser Banküberfall wirklich stattgefunden hat. Also fangen wir mal mit dem Makropicture, also dem großen Bild von außen irgendwie an. Also der Bankraub selber, der hat im Februar 2016 stattgefunden, und dann kann man sich jetzt natürlich fragen, sind die Akteure am gleichen Tag da erst eingebrochen oder eine Woche vorher? Oder wie sich jetzt in dem Fall hier herausstellt, wahrscheinlich oder höchstwahrscheinlich schon ein ganzes Jahr vorher. Also im Februar 2015 – das ist ein Jahr vorher – hat wahrscheinlich die initiale Infektion der Bank stattgefunden. Und im Zeitraum dazwischen, also zwischen dieser initialen Infektion und dem eigentlichen Ausführen der Operation ist also ein Jahr vergangen, oder fast ein Jahr vergangen. Und es sind halt verschiedene Dinge passiert im laufe- also erst einmal wurden diese Konten bei der RCBC Bank, diese vier Stück wo das Geld hingegangen ist, eröffnet und wahrscheinlich auch alle anderen Konten, wo Geld hinüberwiesen wurde. Und ich würde sogar so weit gehen zu vermuten, dass die Akteure diesen Zeitraum auch genutzt haben, dieses ganze Jahr, wo sie in der Bank schon drin waren, um sich da umzuschauen, und sich an die ganze Infrastruktur zu gewöhnen. Und was man da tun muss.

00:17:48 Christian Dietrich: Zu lernen SWIFT zu bedienen, zum Beispiel.

00:17:50 Lars Wallenborn: Ja, und welche Nachrichten man schicken muss und verstecken muss vielleicht.

00:17:53 Christian Dietrich: Wieviel Geld auf welchen Konten ist.

00:17:55 Lars Wallenborn: Also ich kann mir jedenfalls vorstellen, dass nicht jede Bank genau diesen Oracle Datenbankserver mit dieser DLL verwendet und diesen Drucker verwendet, den man so genau daran hindern kann, zu drucken. Ich würde sagen, das wurde dann hier zumindest angepasst auf diesen konkreten Fall. Und es war ein ganzes Jahr, das die drin waren. Das ist auch wieder so ein Punkt. Die sind ja währenddessen schon auch aktiv gewesen. Man hätte – im Nachhinein ist immer alles leicht – man hätte die Möglichkeit gehabt, da wirklich zu sehen, dass da jemand ist und aktiv ist und so. Man hätte ein ganzes Jahr lang Zeit gehabt, da was gegen zu tun.

00:18:33 Christian Dietrich: Wenn man jetzt auf dieser Makroperspektive nochmal schaut, dann kann man sogar noch weiter zurückgehen. Denn die ersten Aktivitäten, also das Auskundschaften der Ziele, die sogenannte „Reconnaissance“, die fand im Oktober 2014 bereits statt. Das heißt wir sind jetzt deutlich über ein Jahr insgesamt Zeitraum, bis es sozusagen zu diesem Stichtag kam, wo eben das Geld rausgeholt werden sollte. Ich finde, das zeigt nochmal zwei Dinge: Zum einen, der Täter kann es sich leisten so lange zu warten, er hat also entsprechend Ressourcen, kann diese Zeit locker irgendwie überbrücken, scheint kein Problem zu sein und – das ist der zweite Punkt – er versucht seine Chancen zu maximieren. Und das versteht man eigentlich nur, wenn man sich das Timing auf der Mikroebenen noch mal anschaut und zwar zu dem Zeitpunkt, wo der tatsächliche Bankraub stattfindet, im Februar 2016. Das Ganze fand nämlich an einem Wochenende statt, quasi zwischen dem 05. und dem 09. Februar 2016. Und jetzt muss man eben wissen, Bangladesch ist ein muslimisch geprägtes Land. Das heißt, Freitag und Samstag sind da Wochenende. Und an einem Donnerstagabend, so etwa um 20:00 Uhr Ortszeit, also relativ spät-

00:19:39 Lars Wallenborn: … wenn alle schon nach Hause gegangen sind.

00:19:40 Christian Dietrich: Genau, da hat der Akteur angefangen, diese Transaktionen zu tätigen. Das heißt also spät abends am Donnerstag fängt man an diese Transaktionen zu starten. Das ist in New York, wo die Konten liegen, donnerstags Morgen. Das heißt also man hat den ganzen Tag noch Zeit und sogar den Freitag darauf auch noch, damit diese Transaktionen auch irgendwie durchgeführt werden können, für den Fall, dass da irgendjemand draufschaut. Das ist wohl auch passiert. Es gab da ein paar Rückfragen, die sind aber erst am Freitag aus New York gekommen – Freitag war Wochenende in Bangladesch, es hat also keiner irgendwie bekommen – die Transaktionen wurden ausgeführt. Und jetzt gibt es eben zwei wichtige Dinge: Nämlich erstens in der Datenbank wurden keine Spuren hinterlassen und der Drucker hat nicht gedruckt. Das heißt, es hat also mindestens bis zum ersten Arbeitstag in Bangladesch gedauert – das war der Sonntag – bis man überhaupt eine Chance gehabt hätte, festzustellen, dass dort solche Transaktionen getätigt wurden.

00:20:32 Lars Wallenborn: Das war bestimmt ein stressiger Sonntagmorgen oder Montagmorgen, wie es bei uns wäre. Kommt man zur Arbeit und der Drucker ist kaputt und dann haben die wahrscheinlich erst einmal rausgefunden warum. Also ich meine der Drucker ist kaputt, ist erstmal kein Grund zur Panik, würde ich vermuten. Aber vielleicht bei diesem speziellen Drucker dann schon. Und dann hat sich wohl am gleichen Tag noch rausgestellt, dass da was schiefläuft und dann hat man wohl versucht, von Bangladesch aus, diese Transaktionen zu stoppen.

00:20:55 Christian Dietrich: Ja, war blöderweise halt Sonntag, da war nicht so viel los.

00:20:59 Lars Wallenborn: Da war in New York halt keiner auf der Arbeit.

00:21:00 Christian Dietrich: Zumindest nicht in der New York Fed. Und jetzt kommt noch ein super interessanter Aspekt: Denn ein Großteil des Geldes sollte ja auf die Philippinen. Und auf den Philippinen war Samstag und Sonntag Wochenende, und der Montag war aber noch ein Feiertag. Das heißt man hatte noch einen Tag mehr, bis man jetzt auf den Philippinen, wo eben das Geld mittlerweile war, bis man dort irgendjemanden hätte erreichen können. Sondern das ging halt erst am Dienstag den 09.Februar. Und da waren eben schon achtundfünfzig Millionen US Dollar von diesen einundachtzig Millionen US Dollar außerhalb des Einflussbereichs der RCBC Bank. Also quasi weg.

00:21:36 Lars Wallenborn: Und ich kann mir nicht vorstellen, dass das ein Zufall ist. Also das ist entweder- nein, das war kein Zufall. Die haben sich das genau überlegt. Es gibt, glaube ich, in so einem Jahr gar nicht so viele Wochenenden, an denen das so günstig zusammenfällt. Die haben sich einfach die Zeit gelassen, bis diese für die Angreifer günstige Situation vorlag. Gut, wollen wir dann jetzt ein Fazit ziehen, von der ganzen Folge.

00:21:58 Christian Dietrich: Ja, es handelt sich wahrscheinlich um einen der größten Bankraubvorfälle überhaupt. Geplant war eine Milliarde US Dollar zu stehlen. Hat nicht ganz geklappt. Einundachtzig Millionen US Dollar sind gestohlen worden, ausgeleitet worden. Ich glaube nicht so wahnsinnig-

00:22:13 Lars Wallenborn: … ist doch immer noch eine Menge würde ich sagen.

00:22:15 Christian Dietrich: Würde mir reichen. Wir haben gesehen, dass zielgerichtete Schadsoftware verwendet wird und das macht es, finde ich, super interessant. Man hat also ganz bewusst aus der Ferne agiert und alle lokalen Protokollmechanismen versucht auszuhebeln. Und wir haben einen Akteur, der die Interessen eines Staates umsetzt. Und das eben auf eine besonders untypische Art und Weise – nämlich mit dem Ziel der Gewinnung von Finanzmitteln. Ich glaube das sind so in meinen Augen die Kernaspekte die das Ganze zu einem ziemlich besonderen Vorfall machen.

00:22:43 Lars Wallenborn: Ja, da stimme ich dir zu. Das war ein großer Bankraub. Die Schadsoftware war sehr gezielt und der Akteur ist ein Beispiel für einen staatlichen Akteur, der finanziell motiviert ist.

00:22:53 Christian Dietrich: Ich glaube diese Frage der Attribution, die sollten wir uns irgendwann in einer der nächsten Folgen nochmal genauer anschauen- oder?

00:23:01 Lars Wallenborn: Ja, das hört sich nach einem guten Plan an.

00:23:01 Christian Dietrich: In diesem Sinne. Wir hoffen, euch hat diese Folge gefallen und bis zum nächsten Mal.

00:23:07 Lars Wallenborn: Genau. Bis dann.