#6 Evolution von Ransomware

Wie hat sich Ransomware entwickelt, dass heute eine signifikante Bedrohung von ihr ausgeht? Was sind Ransomware as a Service oder Double Extortion? Welche Belohnung gibt es für Hinweise, die zur Ermittlung eines Ransomware-Gang-Mitglieds führen? Diese Fragen beleuchten wir in der aktuellen Folge und ordnen vermutlich eines der ersten Urteile in Deutschland zu malwaregestützten Ransomware-Vorfällen ein.

Shownotes

Transkript anzeigen...

Folge 6 – Die Evolution von Ransomware

[00:24] Dedicated to prosecuting ransomware hackers to the full extent of the law.

[00:32] Hallo liebe Cyberfreunde. Mein Name ist Chris. Ich bin Professor für Cybersicherheit an der Westfälischen Hochschule.

[00:37] Und ich heiße Lars und ich arbeite für CrowdStrike als Softwareentwickler und Malware Reverse Engineer.

[00:43] Wir nehmen diese Folge auf am 11.11.2021, also Alaaf oder Helau, je nachdem, wo ihr euch gerade so aufhaltet.

Was wir eben gehört haben, war Joe Biden mit einer Aussage von Mai 2021 und die kam eben in Reaktion auf den Ransomware-Angriff auf Colonial Pipeline. Colonial Pipeline ist eine Öl-Pipeline in den USA über Land, die für die Ölverteilung im Osten der USA maßgeblich mitverantwortlich ist und die in Folge eines Ransomware-Angriffs abgeschaltet wurde. Das hatte dann so ein paar Effekte, wie zum Beispiel, dass einige Tankstellen wohl Engpässe in der Treibstoffversorgung erlebt haben.

[01:21] In dieser Folge soll’s darum gehen, was Ransomware ist. Ich meine, das wissen wahrscheinlich schon viele hier, aber auch, wo sie herkommt und was es für Entwicklungen gab in der ganzen Ransomware-Szene und vielleicht auch, wo die Reise hingeht. Denn Ransomware gibt es schon seit mittlerweile Jahrzehnten und hat einige Evolutionsschritte durchgemacht. Wir wollen also aufzeigen, was denn wichtige Schritte in dieser Entwicklung eigentlich waren.

Und dafür haben wir uns überlegt, dass wir die Folge in zwei Teile aufteilen und im ersten Teil konzentrieren wir uns auf die verwendete Malware, da werden wir erst über sogenannte Fake AV reden, dann über Screenlocker und dann über Cryptolocker. Und im zweiten Teil verdeutlichen wir dann die Evolution des Gesamtökosystems. Also werden solche Sachen eine Rolle spielen wie Ransomware as a Service und auch Kryptowährungen im Allgemeinen oder Dedicated Leak Sites, Double Extortion und, auch Auktionen werden wir da ansprechen.

[02:14] Was aber alle Entwicklungen, die wir hier betrachten, gemeinsam haben, ist eben der Bezug zu Ransomware und darunter verstehen wir eben, dass ein Akteur Lösegeld verlangt. Es geht also um Erpressung.
Und außerdem, um das auch noch ein bisschen weiter abzugrenzen, wollen wir uns konzentrieren auf Aktivität, die auch Malware verwendet. Also wir wollen’s explizit abgrenzen von DDoS Extortion und all diesen ganzen Kram den’s da auch noch gibt. Also wir wollen uns konzentrieren auf Fälle, in denen Malware zum Einsatz kommt. Wahrscheinlich hat Ransomware seine Ursprünge schon deutlich früher, aber ein signifikanter Entwicklungsschritt ist so 2009/2010 passiert.

Von Fake-AV über Screenlocker bis Ransomware as a Service

[02:53] Nämlich mit Fake-AV. Auf Deutsch so was wie gefälschte Antiviren-Software, ist eben Software, die vorgibt eine Antiviren-Software zu sein, aber in Wirklichkeit eben keine ist. Diese Software suggeriert, dass der Rechner infiziert sei und man eben gegen Geld desinfiziert werden könnte. Das Problem ist eben, selbst wenn man bezahlt, passiert in der Regel nichts.

[03:18] Das ist also mehr so eine Farce und es gab eigentlich in gewisser Weise gar keinen Virus, der auf dem Computer ist und diese Fake-AV-Software hat nur so getan, als wäre sie ein Virenscanner und eigentlich wird dann nur die Meldung ausgeblendet.

Fake-AV

[03:30] Und wir haben jetzt ein ziemlich fancy Feature von einigen Podcast-Playern mal versucht zu benutzen. Wir versuchen euch nämlich einen Screenshot einzublenden von einem solchen Befall, einer solchen Fake-AV-Familie, damit man vielleicht so ein Gefühl dafür bekommt, was denn die Benutzer an einem infizierten Rechner da so gesehen haben.

[03:49] Und von dieser Art und Weise gibt’s heute auch noch sehr Low-Tech-Varianten sage ich mal. Also es gibt manchmal so Werbebanner, das äh manchmal rufen ja so Verwandte an und sagen Hilfe, mein Computer ist infiziert, weil auf irgendeiner Webseite ein Werbebanner angezeigt wurde, das gesagt hat, der Computer ist infiziert und das ist halt, da ist noch nicht mal Malware im Einsatz. Es ist so einfach, wie es nur werden kann. Darauf basierend gibt’s dann meistens auch noch so einen Text-Support-Scam, also da kann man sich auf YouTube auch ganz lustige Videos angucken von Leuten, die nur so tun, als wären sie diesen diesem Scam anheimgefallen. Da werden Opfer dazu gebracht, eine Tech-Support-Hotline anzurufen und werden dann eigentlich erst dabei wirklich mit Viren infiziert und so weiter.

Screenlocker und eine Verurteilung in Deutschland

[04:30] Wahrscheinlich mit die nächste Evolutionsstufe war dann etwa 2012. Da betreten nämlich Screenlocker die Bühne. Das kennt man vielleicht noch, einige erinnern sich vielleicht an BKA-Trojaner. Damit meinen wir jetzt eben nicht sowas wie den Bundestrojaner, also im Prinzip Quellen-TKÜ, sondern es geht hier um eine Schadsoftware, die den Zugang zum Rechner sperrt und vorgibt zum Beispiel von einer Strafverfolgungsbehörde zu sein, wie eben dem Bundeskriminalamt.

Und das ist ein bisschen eine Weiterentwicklung zu dieser Fake-AV Sache, weil jetzt wirklich was passiert ist mit dem Computer, der infiziert wurde. Also vorher wurde nur eine Meldung angezeigt, du hast einen Virus und jetzt macht dieser Screenlocker, na ja, das was der Name schon sagt, der zeigt irgendwie, ja was im Vollbild an oder so, sodass man den Computer nicht mehr benutzen kann, wenn man jetzt technisch nicht versiert genug ist, den Autostaat auszuschalten oder sowas.

Diese Malware-Gruppe bezeichnen wir so eben als Screenlocker und was ganz interessant ist, dass wir relativ aktuell ein interessantes Ereignis dazu hatten, nämlich im Oktober diesen Jahres, also 2021, wurde ein Mitglied einer Akteursgruppe rechtskräftig verurteilt, und das für eine Operation, die schon vor neun Jahren begann. Also rechtskräftig verurteilt hier in Deutschland das ist der wichtige Punkt hier. Es gibt einen Akteur, dessen Kerngruppe seit Ende 2012 aktiv ist, eben in dieser Operation und aus dem Urteil ist klar, dass der Tatzeitraum des Beschuldigten hier im Zeitraum 20013 bis 2015 liegt. Was war da passiert? Da wurde eben Lösegeld gefordert, beziehungsweise eine Gebühr zur Freischaltung des Rechners in Höhe von 100 Euro.

[06:11] Die Zahlung sollte damals über PaySafeCard oder Ukash passieren. Das sind Zahlungsmittel, wo man gegen einen Betrag eine PIN erhält und diese PIN kann man dann eben verschicken oder versenden, auch eben digital. Und an einer anderen Stelle kann man eben diese PIN sozusagen eben wieder zu Geld machen oder das Geld irgendwie rausbekommen aus dem System unter der Voraussetzung, dass die PIN eben korrekt ist. Diese Malware hat vorgegeben oder vorgegaukelt, dass man illegale Downloads vorgenommen hätte oder auf dem Rechner Dateien mit verbotenem, teilweise eben kinder- oder tierpornografischem Inhalt gefunden wären.

[06:49] Die Sperrbildschirme dieser Malware sind in 44 Sprachen übersetzt worden. Dabei fiel auf, dass es eben keine Varianten für China, Russland oder die Ukraine gab.

Die Tatsache, dass es 44 Sprachen sind zeichnet auch schon ein Bild davon, was das für eine Operation ist. Das ist ein Riesending. Da haben sich wirklich Leute hingesetzt, das internationalisiert für verschiedene Sprachen und so, Wahrscheinlich involviert das viele Leute mit verschiedenen Zuständigkeiten und Spezialisierungen. Also das ist mehr als ein als nur so ein Einzeltäter, der so eine Kleinigkeit da irgendwie bei sich zu Hause im Keller macht. Genau.

Spulen wir vor in den Oktober 2021. Das Urteil ist mittlerweile rechtskräftig. Der Beschuldigt ist es zu mehr als vier Jahren Freiheitsstrafe verurteilt worden. Aber warum ist dieser Fall überhaupt erwähnenswert aus unserer Perspektive? Maßgeblich würde ich sagen aus mindestens zwei Gründen, nämlich erstens, es verdeutlicht sehr gut die Organisation und Aufgabenteilung in so einer Akteursgruppe, wie du gerade schon beleuchtet hast. Das eben auch schon seit damals, das heißt also mindestens seit 2012, also neun Jahre zurück.

Grob gesagt zu diesem Zeitpunkt hat das BKA oder wer auch immer da ermittelt hat, schon herausgefunden, wer es war um da ein Verfahren anzustreben, um dann da Leute anzuklagen und so. Da hat Attribution stattgefunden und das ist auch schon zehn Jahre her. Richtig, also das LKA Baden-Württemberg hat da, glaube ich, maßgeblich so die Strafermittlung durchgeführt, [08:12] hat den Fall, also damals so weit ermittelt, dass mutmaßlich eben ein Haftbefehl erging und wie du sagst, eben damals schon Attribution gemacht.

Das finde ich ist ein wichtiger Punkt, weil, das unterstreicht mal wieder, dass Attribution eine Rolle spielt und dass wir das quasi machen müssen, um überhaupt was gegen diese Kriminellen in der Hand zu haben.

Die Verhaftung erfolgte dann am Flughafen Wien im März 2020. Dann erfolgte eben eine Auslieferung an deutsche Behörden.

[08:40] Aus der Perspektive dieses Akteurs ist das natürlich auch irgendwie krass. Der hat dann seit fünf Jahren damit nix mehr zu tun gehabt. Der soll das irgendwie unterstützt haben von 2013 bis 2015. Fünf Jahre später fährt er nach Wien, hat vielleicht überhaupt nicht mehr dran gedacht, dass er vor fünf Jahren mal ein Verbrechen begangen hat und da gab’s dann wohl einen Auslieferungsvertrag und dann wurde er ausgeliefert an die deutschen Behörden. Wenn man jetzt nochmal versuchen möchte, einzuschätzen, „welche Rolle hatte diese Person?“, dann muss man sagen, das ist jetzt kein oder mutmaßlich eben kein Mitglied der Kerngruppe, sondern das war jemand, der hat ein festes Gehalt bekommen, also etwa tausend Dollar, glaube ich, pro Monat, hat Wartungsaufgaben von der Serverinfrastruktur und so weiter übernommen. Also der hatte da schon irgendwie einen signifikanten Anteil, aber man würde ihn wahrscheinlich nicht irgendwie so zur Kerngruppe zählen.

[09:25] Soweit ich weiß, fahndet man nach wie vor nach diesen Mitgliedern der Kerngruppe. So, das heißt, wir haben jetzt über Fake-AV geredet, 2010, Screenlocker 2012, so als kleine Seitennotiz, man könnte jetzt sagen Screenlocker, das habe ich ja noch nie gehört, das ist kein Ding mehr auf Computern, wegen der Entwicklung, die wir gleich sagen werden. Screenlocker spielen auf mobilen Endgeräten aber immer noch eine Rolle, also so auf Handys und Smartphones und so. Das liegt daran, dass wahrscheinlich das, was wir jetzt gleich erklären, auf Smartphones schwerer ist, und dass na ja, wenn so eine App immer wieder nach vorne geht, das trotzdem vielleicht Leute noch dazu bringt, das einfach zu bezahlen, damit dieses Problem gelöst ist und so weiter.

Cryptolocker und Ransomware as a Service

[10:00] Also das heißt Screenlocker sind jetzt grade auf Computergeräten ein bisschen aus der Mode gekommen, weil dann die sogenannten Cryptolocker sehr viel mehr in den Fokus gerückt sind und
damit meinen wir Malware, die ihre Erpressung dadurch ausführt, dass sie die Dateien auf dem Computer verschlüsselt mit irgendeinem Verschlüsselungsverfahren und
den Schlüssel nur dem Akteur zur Verfügung stellt und danach kann der Akteur den Schlüssel herausgeben, wenn das Opfer bezahlt und sonst nicht. Das ist dann quasi das Lösegeld, das da erpresst wird.
Wahrscheinlich die erste signifikante konkrete Malwarefamilie in dem Kontext hat man eben auch als Cryptolocker bezeichnet, so wie wir jetzt sozusagen diese ganze Gattung vielleicht auch bezeichnen würden,
die war 2013 aktiv, ist dann im Rahmen der Operation Tovar, vom FBI da maßgeblich geleitet, aber mit Ermittlungsbehörden in vielen Ländern irgendwie durchgeführt.

[10:55] Ehm, wie fing der Satz nochmal an? Oh wenn du’s selber nicht schaffst, dann ist er zu lang. Ja, ich glaube auch, genau. Ähm.

[11:08] Damals ist Evgeniy Bogachev als einer der Haupttäter identifiziert worden und in den USA auch angeklagt worden, aber er ist eben bis heute nicht gefasst.

[11:18] Das heißt, diese ganze Art nennen wir Cryptolocker. Verwirrenderweise hieß diese Familie, die wir jetzt gerade beleuchten hier von 2013 auch Cryptolocker, aber so ist es halt. Manchmal ist es halt verwirrend. Und das ist Ransomware, wie man sie heute kennt. Wenn man heute von einem Ransomware-Angriff redet, dann ist das die Methode, die da verwendet wird, um das Lösegeld oder eine der Hauptmethoden, die da verwendet wird, um das Lösegeld zu erhalten. Also 2013, das jetzt auch 8 Jahre her, also so lange gibt’s das schon und so lange entwickelt sich das schon.

Das heißt, der nächste Schritt, der nächste Evolutionsschritt, der passiert eigentlich eher aus so einer wirtschaftlichen Perspektive. Ja, man versucht nämlich, so eine Art Franchise-System da irgendwie einzuführen. Man unterscheidet jetzt zum einen die tatsächliche Software zu entwickeln und die Infrastruktur zu betreiben, und zum anderen, ja, die sogenannten Affiliates, die jetzt Ziele kompromittieren und diese Ransomware zum Einsatz bringen. Das ist eine ganz klassische Aufgabenteilung, wie man sie vielleicht in der Wirtschaft auch sehen würde. Ja, also diese zwei Gruppierungen, die du gerade erwähnt hast, die

[12:19] spezialisieren sich jetzt einfach auf das, was sie halt tun. Die einen können jetzt gut Software entwickeln und Infrastruktur betreiben und die anderen, die können gut Access kriegen und dann die ganzen Sachen machen, die man da so macht. Und das ist ein Trend, den ja gibt’s ungefähr seit 2016, das bezeichnet man als Ransomware as a Service, so ein bisschen wie Software as a Service und dieser Service, der da angeboten ist, das ist quasi diese erste Gruppierung, die die Ransomware zur Verfügung stellt, für andere Kriminelle, die sie dann verwenden, um ihre Ziele zu kompromittieren. Und eine der großen Familien sind und waren, da die Dharma und GandGrab und REvil oder Revil und Darkside zum Beispiel. Da übrigens ein kleiner Verweis auf unsere Folge Nummer 3, die Erpressung der Uniklinik Düsseldorf. Da kam nämlich die DoppelPaymer-Ransomware zum Einsatz und die wird auch betrieben in einem Ransomware as a Service Modell. Jetzt hast du ganz viele Namen da erwähnt, das hat ja auch zum Hintergrund, dass es da so einen Trend gibt, denn die Akteure betreiben ja so ein Re-Branding, ne? Das heißt also, es ist durchaus so, dass man neue Namen für die Malware vergibt.

[13:21] Aber es verbirgt sich der gleiche Akteur möglicherweise noch dahinter, ne? Also wir haben gesehen, GandCrab beispielsweise war so ein Malware-Familienname, der irgendwann verschwunden ist und stattdessen sehen wir jetzt REvil oder wie heißt das noch gleich, Sodinokibi oder so? Ja, keiner hat das so genannt, aber ja, eigentlich heißt es Sodinokibi.


Ja und das ist natürlich ein ganz verwickelter Prozess, wenn man sich überhaupt mal überlegt, wie Malware überhaupt benannt wird. Manchmal vergeben Malware-Analysten den Namen für Malware, manchmal vergeben die Malware-Autoren ’nen Namen. Jetzt gerade bei Ransomware as a Service gibt’s da ja auch eine Marke, die da vermarktet wird unter Kriminellen, also da ist dann der REvil Ransomware as a Service, der ist besonders leistungsstark, weil die Verschlüsselung sicher ist und weil das immer alles so gut funktioniert und Virenscanner die Malware nicht detecten und so weiter.
Das heißt, da gibt’s ein Label und eine Marke, um die es darum geht und manchmal, wie du gerade gesagt hast, gibt sich so eine Marke auf, aus welchen Gründen auch immer und dann gibt’s eine neue und das ist eine große Herausforderung natürlich dann für Malware-Analysten, dann kommt da so eine neue Malware und dann muss man sich überlegen, ist das jetzt eine andere oder hat da einfach nur jemand drei, vier Funktionen hin und her geschubst und das ist eigentlich noch die gleiche. Ja da spielt technische Analyse eine riesengroße Rolle, um da so ein bisschen Struktur reinzubringen.

[14:42] Da ist man wieder beim Clustering-Schritt der Attribution zum Beispiel, ne? Das haben wir auch schon in ein paar Folgen erwähnt. Haben wir noch weitere Beispiele für das Re-Branding? Ich glaube hier Darkside, ist so eine Marke, die verschwunden ist, wo man jetzt sagt, dass Blackmatter der Nachfolger ist und im Fall von Doppelpaymer, glaube ich, wird auch gemutmaßt das Grief der Nachfolger ist, ne?
Darkside und Blackmatter finde ich übrigens extrem verwirrend, weil es es gibt ja also ja, es gibt DarkMatter und jetzt gibt’s Darkside und Blackmatter, sie müssen sich jetzt nur noch, Blackside nennen, dann ist die Verwirrung komplett. Ist ein bisschen wie Fancy Lazarus.

Kryptowährungen und Bitcoin

[15:18] So und jetzt gibt es einen wichtigen Innovationsschritt, der den Finanzfluss für Ransomware-Akteure deutlich vereinfacht hat und das sind Kryptowährungen.
Wenn man sich das mal so anguckt, also angefangen hat das, wie wir gerade irgendwie gesagt haben bei diesem BKA-Trojanern und so mit so Paysafe-Karten oder Ukash oder Moneypak oder Amazon-Geschenkgutscheinen, sage ich mal. Das nehme ich auch einfach mal als Beispiel, weil sich das jeder gut vorstellen kann. Also so ein Amazon-Geschenkgutschein haben wahrscheinlich so einige von unseren Zuhörerinnen auch schon bekommen. Quasi man kriegt so einen Code und den kann man dann bei Amazon eingeben und dann kann man bei Amazon für diesen Betrag etwas kaufen. Das ist halt so ein ich sage mal so ein Finanzmittel, wo der Code selber das digitale Gut ist und da geht dann auch jede Möglichkeit verloren herauszufinden, wer den Code an wen geschickt hat. Das ist so ein bisschen die Bargeld, aber halt digital.
So und diese ganzen, diese ganzen Sachen, die ich gerade aufgezählt habe und auch die Amazon-Geschenkgutscheine haben natürlich ein Skalierungsproblem.

Man hört jetzt ja in den Medien über Millionen Euro Lösegeldzahlungen und so weiter und das wäre nicht möglich mit Amazon-Geschenkgutscheinen. Das wurde erst möglich durch Kryptowährungen, wie zum Beispiel Bitcoin. Also ich werde jetzt mich hier mal hier ein bisschen bei der Erklärung auf Bitcoin konzentrieren, aber eigentlich kann man sich immer im Kopf vorstellen, es geht um Kryptowährungen im Allgemeinen. Ich würde sagen, das war ein Riesenboost, den da die Ransomware-Akteure erhalten. Auf jeden Fall.

[16:49] Wie funktioniert denn Bitcoin? Lass uns das mal kurz umreißen vielleicht.

Lass uns das mal grad in zwei Stunden umreißen wie Bitcoin funktioniert. Also ich versuche das jetzt einfach mal wirklich in einer Minute kurz zu erklären. Da lasse ich jetzt einige Sachen mal weg.

Das ist aus Perspektive super nützlich im Vergleich auch zu sowas wie Amazon Geschenkgutscheinen, weil Bitcoin sehr viel leichter flüssig zu machen ist. Also wie wird das Laufen bei einem Amazon Geschenkgutschein, wenn man einen, sagen wir mal, 100 Amazon-Geschenkgutscheine jeweils im Wert von 100 Euro. Dann muss man jetzt für 10.000 Euro Sachen bei Amazon kaufen und die muss man wieder verscherbeln, damit man das in Bargeld kriegt oder vielleicht kann man die auch wieder zu Geld umtauschen, aber da ist viel Reibung vorhanden und da geht viel bei verloren.
Kryptowährungen haben diese Reibung quasi komplett oder fast komplett abgeschafft. Es gibt ein paar andere Probleme, da gehen wir gleich auch kurz drauf ein. Vor allem, also neben der Tatsache, dass es da Reibung, dass die Reibung da verringert wurde ist es auch viel skaliererbarer geworden. Also wie gesagt: Zehn Millionen Dollar in Kryptowährungen ist sehr viel leichter zu kriegen als zehn Millionen Euro in Amazon-Geschenkgutscheinen.

Jetzt ist die Blockchain von Bitcoin ja anonym, aber öffentlich. Genau, mit Blockchain meinst du jetzt das, was ich eben immer so versteckt habe hinter dem Begriff Kassenbuch. Also dieses Kassenbuch ist öffentlich, da kann jeder reingucken. Wenn man jetzt solchen Fragen nachgeht, „wie viel verdienen die denn im Rahmen von so ner Ransomware-Kampagne?“, woher weiß man das dann?

[19:15] Genau, so als Analyst kann man dann hingehen und versuchen, diese Empfängerkontoadresse zu identifizieren, die zu einem Ransomware-Akteur gehört und dann guckt man einfach in diesem öffentlichen Kassenbuch nach, wie viel Geld da drauf eingegangen ist. …“Follow the money!“…
Es ist einfach eine öffentliche Information. Und jetzt könnte man natürlich sagen, ja hm, wenn das alles öffentlich ist, dann muss das ja auch irgendwann wieder flüssig gemacht werden und dann guckt man sich einfach an, wo das flüssig gemacht worden ist. Einige Kryptowährungen lösen dieses „Problem“, indem sie auch noch, Finanzflüsse verschleiern, aber Bitcoin macht das nicht und Bitcoin ist immer noch viel im Einsatz bei Ransomware weil es leicht zu bekommen ist so relativ leicht was Kryptowährungen, also was Kryptowährungen angeht ist Bitcoin noch relativ leicht zu kriegen. Und diese Währung hat dann aus Perspektive das Problem, dass man sehen kann, wo das Geld wo hingeflossen ist und dafür gibt es jetzt mehrere Lösungen. Also Verschleierung sozusagen, ne? Genau aus Akteursperspektive und eines der großen Dinger da sind sogenannte Mixer-Services heißen die.

[20:20] Ich erkläre mal kurz, wie das aus der Perspektive aussieht. Da geht man auf so eine Webseite, dann gibt man da ein paar Empfängeradressen an, die ich unter meiner Kontrolle habe als Akteur. Dann kann man da so eine Servicegebühr noch auswählen, sollte man wahrscheinlich zufällig machen, damit das nicht so sehr auffällt. Dann gibt man auch so ein Zeitintervall und eine Verzögerung ein und was ich dann bekomme als Akteur ist eine weitere Bitcoin-Adresse, auf die ich dann Geld einzahlen soll. Und dieser Mixer-Service nimmt dieses Geld dann auf diese Adresse, verteilt das auf alle anderen Adressen und dann habe ich das Geld quasi wieder zurück. Jetzt könnte man denken, was ist denn das? Das nutzt ja irgendwie gar nichts und de facto bedeutet das, man versucht hier Kryptowährungen zu waschen. Genau, das ist einfach Geldwäsche im klassischen Sinne, weil wenn man sich das dann auf also in diesem Kassenbuch anguckt, dann sieht man da nur ein riesengroßes Konto, das den Mixerservice gehört.

Also man kann tatsächlich jetzt vor, das sind jetzt drei Parteien, A, B und C und die verwenden diesen Mixer-Service, dann sieht man nur, dass Transaktionen von diesen drei Parteien A, B und C da reingehen und ganz viele Transaktionen an ganz viele Parteien raus.
Wenn das jetzt nicht 3 Parteien sind, sondern zehntausend, dann ist völlig verschleiert, welches Geld wo hingegangen ist. Also das eingehende Geld kann man nicht mehr oder die eingehenden Bitcoin-Beträge kann man nicht mehr mit den ausgehenden Bitcoin-Beträgen in irgendeiner Form sinnvoll inhaltlich in Verbindung bringen.

[21:42] Also klar, wenn man da Fehler macht, kann man das vielleicht doch noch machen, aber es ist erstmal auf jeden Fall sehr viel schwerer als wenn ich und wenn das Geld dann einmal gewaschen ist, wie du grade gesagt hast, dann kann man’s auf irgend so einen Exchange überweisen oder jemanden finden, der mir das dann in Bargeld umtauscht.
Oder Fiatgeld, wie man das wohl auch auf Deutsch sagt. Ja und dann kann man halt als Akteur das Geld dann auch wirklich haben.
Okay, das erklärt so ein bisschen, warum in der Folge eigentlich auch immer nur noch Kryptowährungen benutzt werden und,

Big Game Hunting, Leaks, Auktionen und Double Extortion

[22:10] Wahrscheinlich ein weiterer Entwicklungsschritt, den wir dann beobachten, ist 2017 die Malware WannaCry.
Die hatte weltweit Impact, es wurden sehr viele Systeme befallen und es handelt sich hier um den ersten bekannten Fall eines staatlichen Akteurs, der eben Ransomware verwendet.
Übrigens, das ist der gleiche staatliche Akteur, über den wir auch in Folge 1 reden, dem Cyber-Bankraub von Bangladesch.

[22:35] Genau. WannaCry war sehr medienwirksam. Also das hat damals wahrscheinlich wirklich jeder mitbekommen.
Auf Bahnhöfen wurden da irgendwie dieser berühmte Bildschirm angezeigt, an allen möglichen Orten, wo überraschenderweise Windows XP noch zum Einsatz kam und so weiter. Es war ein ja medial ein Riesending.
Wenn man sich fragt, was war denn der Erlös, dann war das damals etwa ein sechsstelliger US-Dollar-Betrag, also ich glaube so etwa 150.000 US-Dollar, zu dem damaligen Zeitpunkt.
Das hat heute natürlich deutlich mehr Wert, also wenn sozusagen die Bitcoin bis heute gehalten worden wären, dann hätten die eben wahrscheinlich einen einstelligen Millionenbereich in US-Dollar.
Das ist vielleicht nochmal ganz sinnvoll, wenn wir das gleich so ein bisschen kontrastieren zu anderen Entwicklungen, die wir da sehen.
Das war ein großer Fall, also 2017, aber wenn man das gerade was das Geld angeht, dann vergleicht mit dem, was jetzt kommt, dann war das fast noch gar nichts.
Denn jetzt kommt Big Game Hunting.

Zu Deutsch heißt das so viel wie Großwildjagd, also das wusste ich vorher auch nicht, bevor dieser Begriff berühmt geworden ist. Also als Game bezeichnet man im Englischen auch so Wild und Big Game sind dann so was wie Tiger oder Elefanten oder so was und was das in dem Ransomware-Kontext jetzt hier heißt, ist, dass man sich als Akteur nicht mehr auf so kleine Fische konzentriert. Also man versucht nicht mehr Tausende von Leuten dazu zu bringen, 100 Euro zu überweisen, [23:56] sondern man versucht eine große Institution dazu zu bringen, große Geldbeträge zu überweisen.

Anders als so die bisherige Massenabhandlung von Infektionen gestaltet sich auch die Interaktion mit dem Akteur jetzt anders. Es gibt in der Regel tatsächlich in irgendeiner Form Dialog über irgendwelche elektronischen Kommunikationsmittel. Das kann per E-Mail passieren über irgendwelche Online-Chats. Es kann vielleicht getriggert werden, sogar durch Anrufe.

[24:22] Und häufig wird über den tatsächlichen Lösegeldbetrag dann wirklich verhandelt. Um vielleicht da mal so ein bisschen eine Größenordnung zu geben: Also in einem Fall gibt es ein bestätigtes Lösegeld in Höhe von 740.000 US-Dollar. Da geht es um einen Bitpaymer-Vorfall. Links dazu packen wir euch in die Shownotes. Das heißt, ein einziger Big Game Hunting Incident stellt mitunter den gesamten Erlös von zum Beispiel WannaCry mit seinen 150.000 US-Dollar in den Schatten. Und als Akteur heißt das, die Menge an Geld, die ich machen kann, ist eigentlich nur beschränkt durch die Anzahl der Firmen, die ich kompromittiere und die Anzahl der Leute, die ich damit beschäftige, diese Aktivitäten durchzuführen.

[25:06] Das ist wahrscheinlich der Grund, warum Big Game Hunting heute fast alle Ransomware-Akteure machen. Es gibt nur noch sehr wenige Ausnahmen, die eben Ransomware verteilen und nicht Big Game Hunting machen. Vielleicht — da weiß ich nicht ob’s wirklich so war — aber vielleicht haben da Leute angefangen Backups zu machen, weil Backups helfen ja sehr gegen Ransomware. Dann kann man einfach sagen, behalt doch eure Kryptoschlüssel, ich stelle meinen Backup wieder her und funktioniere wieder. Dann gab’s nämlich 2019 eine neue Entwicklung und die nennt man im englischen Double Extortion, also zu deutsch soviel wie doppelte Erpressung. Und die erste Ransomware, die das gemacht hat war die Maze Ransomware und Double Extortion heißt, dass man nicht nur die Daten verschlüsselt, sodass sie das Opfer nicht mehr zur Verfügung hat, sondern auch noch die Daten vorher runterlädt, bevor man sie verschlüsselt als Akteur und dann noch zusätzlich damit droht, die Daten zu veröffentlichen, also zu leaken. Das heißt aus einer Opferperspektive habe ich jetzt zwei Motivationen zu bezahlen, nämlich erstens die Daten selbst wiederbekommen, zumindest wenn ich kein Backup habe und zweitens vermeiden, dass die Daten publik werden oder geleakt werden.

[26:06] Das ist natürlich aus vielerlei Hinsichten eine sehr wirksame Motivation, weil ich möchte als als Firma vielleicht nicht, dass meine Konkurrenten die Daten bekommen, vielleicht sind da irgendwelche Geschäftsgeheimnisse drin, dann steht auch immer dieses GDPR und Datenschutz Damoklesschwert da, also vielleicht gibt’s da noch ganz viele Gerichtsverfahren, wenn diese Daten öffentlich werden und als Firma wird’s auch schwer, Partner zu finden, also Business-zu-Business zu machen und so weiter. Also es ist ein sehr wirksamer Motivator.
Das heißt aber auch, dass Backups hier nicht mehr helfen in der Regel, ne? Genau, also wenn ich hier vermeiden will, Ransom, das Lösegeld zu bezahlen, dann brauche ich nicht nur Backups, sondern es muss mir auch egal sein, dass die Daten dann auch öffentlich sind und das ist wirklich selten der Fall.
Jetzt gibt’s einen Trend, nämlich diese Leaks, die werden angekündigt.

[26:51] Ja genau und auf sogenannten Dedicated Leak Sites. Das kann man sich so vorstellen. Die Akteure, die betreiben Blogs, also auch im Dark Web, also nur über Tor erreichbar und so und das sind einfach Seiten, auf denen steht ein Post nach dem anderen mit geleakten Daten von Firmen, die kompromittiert wurden. Und das hat so eine Dynamik natürlich verursacht, dass wenn man jetzt als Journalist Interesse daran hat, Artikel zu schreiben, will man natürlich auch diese Blogs von den Akteuren die ganze Zeit im Auge behalten, weil sobald da ein neuer Post draufkommt, kann ich als Journalist einen neuen reißerischen Artikel dazu schreiben, dass schon wieder eine Firma kompromittiert… würde ein seriöser Journalist natürlich nicht machen. Natürlich nicht, aber es passiert natürlich trotzdem, dass so eine richtig schöne, dreckige Internetdynamik, um die Klicks noch weiter zu erhöhen und den machen sich hier die Akteure zu Nutze, um die Zahlungswilligkeit der Opfer zu erhöhen.
Ist schon ein dreckiges Geschäft. Das können wir drin lassen, gefällt mir.

[27:47] Eine weitere natürliche Weiterentwicklung von solchen Dedicated Leak Sites ist jetzt, dass ich als Akteur diese Daten nicht einfach kostenlos zur Verfügung stelle, sondern auch noch selber versteigere. Das muss man sich jetzt überlegen. Also das ist jetzt so weit weitergegangen, dass es jetzt so, eBay-artige Seiten gibt, auf denen kann man auf Leaks bieten und dann wird das an den Höchstzahlenden quasi wird dieser Leak weitergegeben.

[28:13] Wahrscheinlich, also in einem Versuch noch einen weiteren Einnahmestrom zu generieren haben Akteure das halt gemacht. Der erste Fall, den wir jetzt hier gefunden haben, der das war im Juni 2020, da war das die REvil Ransomware oder Sodinokibi, wie du sie eben genannt hast, und die haben halt diese sensitiven Daten, die sie da von Opfern geklaut haben, dann noch im Darkweb versteigert.
Und wie sich das anhört, wenn man als Opfer von so einer fortgeschrittenen Ransomware betroffen ist, das wollen wir uns jetzt mal anhören.

[29:23] Das war ein Audioschnipsel eines Anrufs im Rahmen eines Suncrypt-Vorfalls, also eine Ransomware, die als Suncrypt bezeichnet wird. Hier wurde in der Opferorganisation angerufen und eben ja entsprechend informiert über diesen Vorfall. Dieser Audioschnipsel wurde von Sophos veröffentlicht. Quellen wie immer in den Shownotes. Was ich daran besonders bemerkenswert finde, auf eine morbide Art und Weise bemerkenswert, ist, dass dieser Typ, der da spricht, für den ist das so völlig routiniert, der… ich weiß es nicht, … der hatte wahrscheinlich schon 20 von solchen Anrufen gemacht, hello, we are Suncrypt…

[29:58] Das ist so so richtig routiniert. Das gibt mir richtig den Eindruck, dass da jemand einen Bürojob macht.
Und das ist aus unserer Sicht jetzt, was die Entwicklung angeht, auch der letzte Schritt in dieser Evolution von zumindest, wie wir sie bis heute gesehen haben.

Schlussfolgerungen und Ausblick

[30:15] Lars, lass uns mal versuchen, ein paar Schlussfolgerungen zu ziehen und vielleicht so ein bisschen auch einen Ausblick zu wagen. Also wir haben gesehen, Ransomware gibt es schon ziemlich lange.
Aber ich glaube, jetzt passiert auf der Policy-Ebene international gerade sehr, sehr viel. Auf jeden Fall, ich meine, der Audioschnipsel, den wir ganz am Anfang eingespielt haben, da wurde Ransomware plötzlich zur Chefsache. Da hat der Präsident der Vereinigten Staaten gesagt, dass sie sich jetzt Ransomware annehmen, das ist schon ein ganz klares Signal dafür, dass da jetzt wahrscheinlich was passiert. Das ist eine superinteressante Entwicklung. Wenn man sich vorstellt, Biden ist ins Amt gekommen. Dann gab es diese signifikanten Vorfälle maßgeblich gegen Ziele in den USA, also Colonial Pipeline im Mai 2021, JBS Ransomware, auch im Mai 2021 und im Juni 2021 gab’s dann eben ein Gespräch zwischen Biden und Putin.

[31:11] Warum? Na ja, weil man eben maßgeblich da Köpfe hinter diesen Ransomware-Kampagnen in Russland vermutet. Es gab dann auch nochmal ein Telefonat mit beiden im Juli 2021 und in der Folge wurde’s auch zunächst mal still um die ein oder andere Gruppe, ne, REvil zum Beispiel.

Zwei Gedanken dazu. Das Erste ist, wenn man Biden-Interviews dazu sieht, legt er schon immer viel Wert darauf, dass noch nicht klar ist, was das mit Russland zu tun hat und ob das überhaupt was mit Russland zu tun hat. Also da macht ein Politiker wirklich Politik.
Aber genau, auf der anderen Seite scheint es auch so zu sein, dass einige der Akteure da drauf reagieren. Das kann natürlich ganz viele Gründe haben.

Und jetzt, finde ich, gibt es auf einer Policy-Ebene einen ziemlich deutliches Signal, denn im, Oktober 2021 gab’s einen Gipfel, ein Gipfeltreffen zum Thema Ransomware und das war von den USA gehostet, aber insgesamt haben 30 Nationen dran teilgenommen. Und Russland war nicht eingeladen und ich glaube, das sendet auf jeden Fall schon mal ein ganz klares Signal, das setzt sich in meinen Augen auch fort in der Entwicklung, die wir danach sehen, nämlich, dass es jetzt eben massive Strafverfolgungs-Anstrengungen gibt und auch Erfolge, also eine ganze Reihe an Festnahmen in dem Kontext, Indictments, und eben auch Belohnung — manche würden sagen Kopfgelder. Also so wurden eben im November 2021 Belohnungen ausgesetzt in Höhe von 10 Millionen US-Dollar für sachdienliche Hinweise zur Ermittlung von führenden Persönlichkeiten, Schlüsselfiguren in solchen Ransomware-Gangs, und 5 Millionen US-Dollar für die Ermittlung von Affiliates, also von Akteuren, die quasi eine Ransomware in so einem Servicemodell einsetzen.

Da sieht man auch ganz klar, wie viel Geld dahinter steckt, ne. Also da wird richtig Schaden verursacht und deswegen ja, greifen da auch quasi Regierungsinstitutionen tief in die Tasche, um da irgendwie, Kopfgelder auszusetzen und ich glaube, solche Dinge sind dringend notwendig, wenn man diesem Ransomware-Trend, was entgegensetzen will, weil das sich so sehr lohnt. Das ist so viel Geld, was man da relativ einfach machen kann. Also ich sage immer „relativ einfach“, das ist natürlich trotzdem noch aufwendig, so eine Operation zu betreiben und diese Malware zu schreiben und so weiter, aber da geht’s ja dann nachher um richtig viel Geld. Also es ist zum Beispiel bei Palo Alto jetzt einen Bericht veröffentlicht und da wurden einzelne Zahlungen aufgelistet und eine dieser Zahlungen war also eine einzelner Incident, da ist eine Zahlung von 10 Millionen US-Dollar über den Tisch gegangen. Wenn ich mir als Ransomware-Akteur, wenn ich das einmal im Jahr mache, dann habe ich schon zehn Millionen im Jahr gemacht, das ist eine Menge Jahresumsatz, sage ich mal.

Du hast ja gerade diese Sache angesprochen mit diesem Ransomware-Summit und den Vereinigten Staaten und der Beziehung zu Russland und so weiter.
Was mir aufgefallen ist, bei so Interviews von Biden, die man so sieht, ist, dass der das schon immer Wert darauf legt zu sagen, ja, ist nicht klar, ob das Russland ist und ob das überhaupt was mit Russland zu tun hat.

[34:24] Jetzt kann man mal ein Gedankenspiel machen, also stell dir mal vor, die Akteure hinter dem Angriff auf die Colonial Pipeline wären Russen.
Selbst wenn die Akteure jetzt nicht state-sponsered sind, so macht es aus russischer Regimeperspektive möglicherweise Sinn, die Akteure ihr Ding machen zu lassen. Man könnte das dann state-tolerated nennen, da sie eben die Stabilität des Westens beeinflussen, indem sie kritische Infrastrukturen sabotieren. Und das aber eigentlich ja nur by accident, also nur zufällig oder als Begleiteffekt, denn im Grunde genommen ist ja davon auszugehen, dass diese Akteure tatsächlich originär eine finanzielle Motivation haben.
Was noch auffällig war, ist, dass auf einer ähnlichen Zeitskala, die wir eben beleuchtet haben mit diesen Gesprächen zwischen Russland und USA und diesen Summits und so, dass auf ähnlichen Zeitskalen auch teilweise ein Rückgang von Aktivität oder auch ein Rebranding hier und da passiert ist von so einer Ransomware-Familie. Also da kann man natürlich jetzt keine Kausalbeziehungen nachweisen, aber ein temporaler Zusammenhang besteht da auf jeden Fall.

Was glauben wir denn jetzt, wenn wir den Blick mal schweifen lassen? Wie wird’s weitergehen?

Tja, ich glaube, man kriegt da nur was gegen getan, wenn man die Kosten für die Akteure signifikant erhöht. Man kann das irgendwie versuchen durch Regulierung irgendwie versuchen zu steuern, also so was wie, man sagt:

[35:47] „Wenn eine Regierungsinstitution kompromittiert wird, darf die kein Lösegeld bezahlen.“ Ja, also das sind quasi die ultimativen Kosten, die man hier dem Akteur verursachen kann. Keine Einnahmen mehr.
Äh man könnte sagen, es gibt so Versicherungen gegen Ransomware, man könnte die zum Beispiel verbieten. Man könnte sagen, man verbietet als Gesetz, dass man Lösegeld bezahlt für Akteure. Das ist natürlich nicht überall möglich, aber das könnte man auch machen.
Oder man könnte die Abschreckung quasi erhöhen durch zum Beispiel Polizei, bessere Strafverfolgung, bessere Attribution, damit quasi die Leute, die das machen, das doch lieber lassen.
Ja, die Frage ist, helfen denn Backups? Also wir haben gesehen bei Double Extortion nicht unbedingt, ne?

[36:34] Dann muss man natürlich fairerweise sagen, Backups überhaupt erst mal anzufertigen, das kostet ja irgendwie auch Geld, also ist auch irgendwo ein Invest.
Man muss die Prozesse etablieren, anpassen, das Ganze testen, ja, insbesondere das Restore natürlich mal testen, sonst bringt ein Backup gar nix. Man muss das monitoren, da kann der ein oder andere ja schon auf den Gedanken kommen, Mensch, so ein Decrypter zu kaufen ist vielleicht billiger. Genau, wie du gerade am Anfang schon sagtest, Double Extortion hilft da auch gegen. Andererseits: Zu sagen, na ja Backups helfen nicht, deswegen mache ich keine, ist auch blöd, weil das macht’s dem Akteur einfach nur wieder leichter. Also Double Extortion verursacht auch Aufwand auf Akteursseite und den sollte man dem auf jeden Fall weiter verursachen, diesen Aufwand. Man könnte vielleicht auch meinen, dass es helfen könnte, die Daten von den Clients irgendwie wegzubewegen, dass man sagt, auf den Clients liegen gar keine Daten mehr, die Clients, also die Workstation-Rechner, die Arbeitsplatzrechner, das sind die, die betroffen werden häufig, zumindest initial.

[37:35] Und wenn da keine Daten mehr zu finden sind, dann läuft das vielleicht ins Leere, aber ich glaube, das ist zu kurz gedacht. Was meinst du? Ja genau, also, solche Big Game Hunting-Angriffe, das sind halt sehr gezielte Angriffe. Das ist nicht so ein so ein Shotgun Approach „Ich kompromittiere hier ganz viele Ziele“, sondern da sitzen wirklich Leute an der Tastatur und führen Befehle aus und das läuft dann meistens so, dass sie irgendwie in die Firma eindringen, dann irgendwie Zugriff versuchen zu bekommen auf den sogenannten Domain-Controller. Also eine zentrale Stelle in der Infrastruktur. Genau, und von da kann man dann Software installieren auf all diesen Clients und dann alles damit verschlüsseln und alle Server auch.
Genau und insbesondere auch alle Server und auch eventuell vorhandene Cloud-Infrastruktur und so weiter. Und das ist ein ist ein Layout, das ist schon in vielen Firmen so, dass auf den Clients selber eh kaum noch Daten liegen, ne? Da gibt’s irgendwie ein Netzlaufwerk und eigentlich hat man’s darauf abgesehen als Big Game Hunting-Akteur.

Wenn wir das nochmal zusammenfassen aus so einer Entwicklungsperspektive, dann können wir glaube ich schon festhalten: es findet Veränderungen statt, also man kann wirklich von Evolution sprechen innerhalb der Ransomware, es bleibt nicht einfach gleich.
Genau, diese Veränderungen sind aber getrieben. Also da gab’s immer einen Grund für. Das passiert nicht einfach von alleine, sondern da gab’s ne konkrete Notwendigkeit und die hat dafür gesorgt, dass sich diese Ransomware-Szene weiterentwickelt hat. Und wenn man das Ganze jetzt mal in die Zukunft projiziert, dann glaube ich, wäre es naiv anzunehmen, dass diese Veränderung, diese Evolution, nicht auch in der Zukunft weiter funktioniert.

[39:03] Man kann sich natürlich auch nochmal fragen, wie sieht’s denn mit dem Schaden aus, den sowas gesellschaftlich anrichtet? Und das ist wahnsinnig schwer zu ermitteln. Ich habe dazu mal eine Zahl gefunden, die US Treasury hat publiziert, dass sie 5,2 Milliarden US-Dollar in Bitcoin-Transaktionen, Ransomware-Lösegeldzahlungen zuordnen kann. Ja und das ist mal so ein Pfeiler, der so ein bisschen versucht, das irgendwie zu beziffern. Die haben sich da also sehr viele Vorfälle angeschaut und dann im Prinzip versucht maßgeblich eben in dem großen Bitcoin-Kassenbuch nachzuschauen und Zahlungen zu verfolgen und sind dann auf diesen Wert entsprechend gekommen und das zeigt natürlich schon, dass es mittlerweile ein gewisses Ausmaß annimmt.

Wir müssen natürlich auch dazu sagen, dass das immer noch eine untere Abschätzung ist. Die Dunkelziffer wird wahrscheinlich riesen, riesen viel größer, das ist auf jeden Fall so.
Um vielleicht aber mit einem positiven Ding zu enden: Es ist ja jetzt schon so, dass da viele Dinge in Bewegung gekommen sind, wie du grad schon sagst, vor allem auf Policy-Ebene, ja? Also der amerikanische Präsident hat zur Chefsache gemacht, es gibt Summits, es gibt Strafverfolgungsverfahren, die eventuell mal acht Jahre dauern, aber dann trotzdem noch zu einer Verhaftung führen. Es gibt generell den Trend, dass Staaten und auch Strafverfolgungsbehörden an Attribution interessiert sind und diese Fähigkeit auch weiter verbessern und das alles, das übt Druck auf die Akteure aus. Und Druck ist hier gut, weil dann machen die entweder Fehler oder müssen ihre Operationen noch komplizierter machen.

[40:39] So und das war’s eigentlich dann jetzt auch mit dieser doch etwas länger gewordenen Folge. Das hatten wir am Anfang befürchtet, dass wir heute ein bisschen… ooch, da wird die Hälfte noch rausgeschnitten.

[40:54] Wir hoffen, euch hat diese Folge gefallen. Wenn ja, lasst uns doch eine positive Bewertung da im Podcast-Player eurer Wahl oder folgt uns auf Twitter unter @armchairgators.

[41:05] Bis zum nächsten Mal.