Multi-Gov Task Force plant, die Ransomware-Wirtschaft zu Fall zu bringen

Cyber Security News

Eine Koalition aus 60 globalen Behörden (einschließlich des Justizministeriums) hat einen weitreichenden Plan vorgeschlagen, um Ransomware-Banden zu jagen und zu stören, indem sie deren finanzielle Operationen ins Visier nehmen.

Ransomware hat in allen Geschäftsbereichen und auf der ganzen Welt ein Krisenniveau erreicht, aber eine öffentlich-private Ransomware Task Force will die Flut der Angriffe eindämmen, indem sie das Geschäftsmodell der Gauner stört.

Nehmen Sie an Threatposts LIVE-Roundtable-Veranstaltung “Fortifying Your Business Against Ransomware, DDoS & Cryptojacking Attacks” am Mittwoch, den 12. Mai um 14:00 Uhr EDT teil. Dieses KOSTENLOSE Webinar wird von Zoho ManageEngine gesponsert.

Das Institute for Security and Technology (IST) hat die Koalition zusammengestellt, die mehr als 60 Mitglieder aus Softwareunternehmen, Regierungsbehörden, Anbietern von Cybersicherheitslösungen, Finanzdienstleistern, gemeinnützigen Organisationen und akademischen Einrichtungen umfasst. Zu den großen Namen, die mit dem Projekt verbunden sind, gehören das US-Justizministerium, Europol und das britische National Cybersecurity Centre (NCSC), sowie Amazon, Cisco, FireEye und Microsoft, et al.

Die Gruppe hat in dieser Woche ein ehrgeiziges Rahmenwerk für den Umgang mit der Bedrohung veröffentlicht, in Form eines Wälzers, der satte 81 Seiten umfasst. Es wurde der Biden-Administration übergeben und ist vollgestopft mit ehrgeizigen “To-Dos”, wie die Einrichtung eines Berichtsrahmens, die Verwaltung des Lösegeldverhandlungs- und -zahlungsprozesses, die Beschlagnahmung von Krypto-Geldbörsen und der Infrastruktur von Gangs und die Verfolgung von Kryptowährungsbörsen, die keine Anti-Geldwäsche-Maßnahmen umsetzen.

Alles in allem wird darin detailliert beschrieben, was RTF als “eine vollständige, umfassende Strategie zur Eindämmung der Ransomware-Flut betrachtet – vom Umgang mit der Komplexität der Ransomware-Epidemie bis hin zur Rolle von Cyber-Versicherungen, Kryptowährungen und sicheren Häfen für Bedrohungsakteure”, so Team Cymru, eine der Cybersecurity-Firmen, die an dem Projekt beteiligt sind.

Ransomware auf dem Vormarsch als Fälle Spike

Die Bemühungen kommen, da Ransomware zu einer der häufigsten und störendsten Arten von Cyberangriffen geworden ist. So stellte das NCSC in seinem Jahresbericht 2020 fest, dass es mehr als dreimal so viele Vorfälle wie im Vorjahr bearbeitet hat.

Der “The State of Email Security Report” von Mimecast aus dem Jahr 2021 ergab, dass 61 Prozent der Befragten in einer Umfrage angaben, im Jahr 2020 von Ransomware betroffen gewesen zu sein, was einem Anstieg von 20 Prozent im Vergleich zum Vorjahr entspricht. Unternehmen, die von Ransomware betroffen waren, verloren durchschnittlich sechs Arbeitstage durch Systemausfälle, wobei 37 Prozent angaben, dass die Ausfallzeit eine Woche oder länger dauerte.

Wie in dem kürzlich erschienenen eBook von Threatpost zu diesem Thema beschrieben, entwickeln sich die Angreifer immer weiter, fügen neue Taktiken hinzu, werden immer raffinierter, stehlen sensible Daten und bauen eine florierende Untergrundwirtschaft auf, an der mehrere Akteure und Partner beteiligt sind (z. B. anfängliche Zugangsvermittler und Tochtergesellschaften). Außerdem fordern sie immer höhere Lösegelder.

Diese Gangs haben auch wenig (wenn überhaupt) Skrupel. “Während der COVID-19-Pandemie nutzten die Angreifer die Krise bei der Auswahl ihrer Ziele aus, zu denen auch Krankenhäuser in den USA und Europa gehörten”, so das NCSC in einem Blogeintrag. “Hier in Großbritannien sahen wir einen Anstieg von Ransomware-Angriffen, die den Bildungssektor zu einer Zeit betrafen, in der Institutionen hart daran arbeiteten, Online-Lern-, Zulassungs- und Testverfahren zu verwalten.”

Unterbrechung der Ransomware-Ökonomie

Der bemerkenswerteste Aspekt des Frameworks ist für viele, dass es das gesamte kriminelle Ökosystem rund um Ransomware ins Visier nimmt. Ein Teil des Plans ist zum Beispiel die Verfolgung und Unterbrechung der Dark-Web-Marktplätze, auf denen Ransomware-Banden ihre Waren verkaufen (in der Regel in einem Ransomware-as-a-Service-Modell) und Partner finden. Der Plan sieht außerdem vor, Hosting-Dienste zu deaktivieren, die Ransomware-Kampagnen erleichtern. Und ein weiterer Aspekt des Plans ist die Zentralisierung von Fachwissen, wenn es darum geht, den Kryptowährungsmärkten und der Beschlagnahme von Kryptowährungen das Handwerk zu legen.

Vielleicht am interessantesten ist, dass das Framework auch von Unternehmen verlangen würde, ihre Ransomware-Vorfälle sowie ihre Lösegeld-Zahlungspläne dem US-Finanzministerium offenzulegen.

Obwohl das Finanzministerium im letzten Jahr seine Sanktionsliste um verschiedene Ransomware-Banden und -Betreiber erweitert hat (was bedeutet, dass jegliche Lösegeldzahlungen von Opfern an sie zu hohen Geldstrafen führen könnten), ändert das Framework diese Einstellung.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2019/02/19151457/subscribe2.jpg]

“Ransomware-Angreifer benötigen wenig Risiko oder Aufwand, um Angriffe zu starten, daher würde ein Verbot von Lösegeldzahlungen nicht unbedingt dazu führen, dass sie in andere Bereiche ausweichen”, heißt es in dem Bericht. “Vielmehr würden sie wahrscheinlich weiterhin Angriffe starten und die Entschlossenheit sowohl der Opferorganisationen als auch ihrer Aufsichtsbehörden testen. Um zusätzlichen Druck auszuüben, würden sie Organisationen ins Visier nehmen, die als essentiell für die Gesellschaft gelten, wie z. B. Gesundheitsdienstleister, lokale Regierungen und andere Hüter kritischer Infrastrukturen.”

Stattdessen würde “eine Aktualisierung der Gesetze zur Offenlegung von Sicherheitsverletzungen, um eine Offenlegungspflicht für Lösegeldzahlungen einzuschließen, dazu beitragen, das Verständnis für den Umfang und das Ausmaß des Verbrechens zu erhöhen, eine bessere Einschätzung der gesellschaftlichen Auswirkungen dieser Zahlungen zu ermöglichen und eine bessere Ausrichtung der Störungsaktivitäten zu ermöglichen.”

Das Framework würde von Ransomware-Opfern verlangen, Details über den Vorfall zu melden, bevor sie das Lösegeld bezahlen. Diese Strategie “würde es nationalen Regierungen ermöglichen, Maßnahmen zu ergreifen, wie z. B. das Ausstellen eines Einfrierschreibens an Kryptowährungsbörsen”, so der Bericht.

Als Folge davon würde das Framework auch Cyber-Versicherungsunternehmen dazu bringen, einen gemeinsamen Geldpool einzurichten, “um Strategien zu bewerten und zu verfolgen, die auf die Rückerstattung, Wiederherstellung oder Beschlagnahme von zivilen Vermögenswerten abzielen, im Namen der Opfer und in Verbindung mit den Bemühungen der Strafverfolgungsbehörden.”

Die Unterbrechung des Geschäftsmodells für Ransomware-Betreiber ist der Schlüssel zum Erfolg – und ein Versagen könnte schreckliche Folgen haben. Der Forscher Kevin Beaumont warnte beispielsweise auf Twitter, dass Ransomware-Banden, wenn sie nicht gestört werden, das Potenzial haben, reicher zu werden als von Nationalstaaten unterstützte Cyber-Teams, da sie in der Lage sind, nach Belieben Zero Days zu kaufen.

Ich bin nach wie vor ernsthaft besorgt darüber, dass eine kleine Anzahl von Apex-Ransomware-Gruppen jedes Jahr Hunderte von Millionen US-Dollar an Zahlungen erhalten.

Damit haben sie mehr Geld, um Zero-Day-Exploits zu kaufen, als viele große Nationalstaaten.

Das ist, als würde man YouTubern Raketenwerfer schenken.

– Kevin Beaumont (@GossiTheDog) April 29, 2021

In seiner Umfrage fand Mimecast heraus, dass mehr als die Hälfte (52 Prozent) der Ransomware-Opfer die Lösegeldforderungen der Bedrohungsakteure bezahlten, aber nur zwei Drittel (66 Prozent) von ihnen konnten ihre Daten wiederherstellen. Das verbleibende Drittel (34 Prozent) sahen ihre Daten nie wieder, obwohl sie das Lösegeld bezahlt hatten.

Was ist sonst noch im Ransomware Task Force Framework enthalten?

Während einige der Pläne, die im Framework detailliert beschrieben werden, selbstverständlich sind (wie z. B. der freiwillige Informationsaustausch und die Ausübung von Druck auf Safe-Haven-Staaten wie Russland, in denen Cyberkriminelle nur selten strafrechtlich verfolgt werden), sind andere Aspekte eher neu.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/04/21082808/PromoPic2-300x138.png]

Laden Sie “The Evolution of Ransomware” herunter, um wertvolle Einblicke in aufkommende Trends inmitten des schnell wachsenden Angriffsvolumens zu erhalten. Klicken Sie oben, um Ihre Verteidigungsintelligenz zu verbessern!

Das Framework fordert zum Beispiel auch die Einrichtung eines Ransomware Incident Response Network mit einem Standardformat für die Meldung von Ransomware-Vorfällen. Außerdem soll ein Bundesfonds für Cyber-Response und Wiederherstellung eingerichtet werden, der staatlichen und lokalen Behörden sowie kritischen Infrastrukturen bei der Behebung von Ransomware-Vorfällen helfen soll.

“Die Idee, einen Ransomware-Response-Fonds einzurichten, um Opfer zu unterstützen, die sich weigern, Ransomware-Zahlungen zu leisten, ist auf den ersten Blick erstaunlich”, sagte Dirk Schrader, Global Vice President of Security Research bei New Net Technologies, gegenüber Threatpost. “Instinktiv würde man fragen, warum, da das Opfer nicht in der Lage war, seine Systeme und sein Netzwerk richtig abzusichern, so dass es erwischt wurde. Aber das würde die Vorstellung widerlegen, dass es so etwas wie 100-prozentige Sicherheit nicht gibt.”

Weitere Bestandteile des Frameworks sind Anreize für bessere Sicherheitsvorkehrungen durch Steuererleichterungen und eine groß angelegte öffentliche Aufklärungskampagne zur Cybersecurity-Hygiene.

“Die Task Force wird dem Justizministerium helfen, einen koordinierten und fokussierten Ansatz gegen die weit verbreitete Geißel der Ransomware und anderer Cyber-Erpressungen zu verfolgen”, sagte Alex Iftimie, Anwalt bei Morrison & Foerster, gegenüber Threatpost. “Ich erwarte, dass wir mehr Erpresser in Handschellen sehen werden, zusätzliche Unterbrechungsaktionen, die sich auf die Infrastruktur und Malware der Hacker konzentrieren, und zusätzlichen diplomatischen Druck auf Gerichtsbarkeiten, die den Aktivitäten vor ihrer Nase Unterschlupf gewähren oder ein Auge zudrücken. Ich erwarte auch, dass wir Bemühungen sehen werden, die Opfer zu ermutigen, sich zu melden – Praktiker und die Sicherheitsgemeinschaft werden genau beobachten, welche Zusicherungen den Opfern gegeben werden, die sich melden.”

Implementierungsherausforderungen für das Ransomware-Framework

Natürlich liegt “die wahre Herausforderung in der Implementierung”, so der Bericht und die Mitglieder der Task Force. Wenn es darum geht, erfolgreich zu sein, wird der beste Ansatz darin bestehen, den Plan nicht stückweise zu implementieren, so James Shank, Chief Architect of Community Services und Senior Security Evangelist bei Team Cymru.

“Um es einfach auszudrücken, übernehmen Sie die Gesamtheit der Empfehlungen”, sagte er gegenüber Threatpost. “Mehrere Empfehlungen sind so miteinander verknüpft, dass das Ausführen einer Sache oder einiger weniger Dinge nicht unbedingt zu einer Veränderung der Dynamik führt. Lassen Sie uns diesen neuen Ansatz ausprobieren.”

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/04/29133129/ransomware-1024x338.png]

Quelle: Mimecast.

Er fügte hinzu: “Diese Empfehlungen schaffen einen Rahmen, von dem wir glauben, dass er in seiner Gesamtheit die globale Situation beeinflussen kann. Die Zeit wird zeigen, ob sie als komplettes Rahmenwerk angenommen werden und welche Auswirkungen sie auf Ransomware haben werden, wenn es soweit ist. Dieser Ansatz ist grundlegend anders und bezieht mehrere Ebenen öffentlicher und privater Einrichtungen mit ein, und wir sind zuversichtlich, dass diese umfassenden Maßnahmen einen Paradigmenwechsel bewirken werden.”

Doch das ist natürlich leichter gesagt als getan. Beim Durchforsten des massiven RTF-Dokuments fielen den Forschern ein paar schwierige Aspekte des Rahmenwerks auf.

“Dies ist eine Herausforderung, weil es die Zusammenarbeit mehrerer Unternehmen des privaten Sektors (von denen viele miteinander konkurrieren) sowie verschiedener Regierungen erfordert, um gemeinsam eine Lösung zu finden”, sagte Douglas Murray, CEO bei Valtix, gegenüber Threatpost. “Es ist zwar unglaublich komplex, aber wir müssen das richtig und in Echtzeit angehen, da neuere Ransomware rund um den Globus entdeckt wird. Wir müssen unsere Infrastruktur schützen und gleichzeitig das Geschäftsmodell der bösen Akteure stören. Dieser Bedrohungs-Feed kann von Sicherheitsdiensten aufgenommen werden, damit Regierungen und Unternehmen angemessen auf diese Angriffe reagieren können. Die Dringlichkeit ist hier entscheidend.”

Einige in der Community wiesen darauf hin, dass die Koalition auch Bedenken hinsichtlich des Datenschutzes ansprechen muss, da die vorliegenden Pläne den Aufbau von riesigen Datenseendern mit sensiblen Informationen ermöglichen könnten:

Lassen Sie mich gar nicht erst mit dem Punkt der Privatsphäre anfangen; ich lasse das einfach den Elefanten im Raum sein, aber wenn die Tendenz dahin geht, mehr “Telemetrie” zu sammeln, bin ich sicher, dass meine Gedanken in regierungsübergreifenden Datenseen zu beobachten sind.

– Squalid Squirrel (@TommyTenacious) April 29, 2021

Shrader sagte unterdessen, dass es eine Herausforderung sein wird, Gesetzgeber auf der ganzen Welt davon zu überzeugen, der Koalition tatsächlich beizutreten.

“Es wird interessant sein zu sehen, ob sie eine große Anzahl von Nationen dazu bringen können, dieser Koalition beizutreten [and] um die rechtlichen Rahmenbedingungen in ihren eigenen Ländern auszuarbeiten oder zu verbessern”, sagte er gegenüber Threatpost. “Damit Ransomware-Banden effektiv strafrechtlich verfolgt werden können, oder zumindest die Marktstruktur so verändert wird, dass sie frustriert sind und das Geschäft aufgeben. Das ist auf jeden Fall kein Sprint.”

Es könnten auch andere Hindernisse auftauchen, fügte er hinzu: “Es besteht auch eine gute Chance, dass Kryptowährungsakteure diese Initiative als Köder bezeichnen werden, um Regulierungen für ihre Märkte zu bekommen.”

Ransomware Worst-Case-Szenarien

Team Cymru stellte in einem Blog-Post am Mittwoch fest, dass das Problem ungeachtet der Herausforderungen angegangen werden muss. Während Ransomware Unternehmen Milliarden gekostet hat und die Arbeit von Krankenhäusern und Bildungseinrichtungen mitten in einer Pandemie gestört hat, gibt es dennoch Worst-Case-Szenarien, für die die RTF plant.

“Worst-Case-Szenarien umfassen in der Regel Bedrohungen für das Leben, Bedrohungen für die nationale Sicherheit und Bedrohungen für kritische Versorgungseinrichtungen, einschließlich kritischer Lieferketten”, sagte Shank. “Wir haben gesehen, dass Ransomware-Akteure ihre Ziele auf große Unternehmen ausweiten und 50 Millionen Dollar Lösegeld fordern. Das sind große Zahlen, die sich auf große Unternehmen auswirken, aber bis jetzt haben wir noch keine Eskalation zu den kritischsten Zielen gesehen. Es gibt keinen Grund zu glauben, dass Ransomware-Akteure sich zurückhalten werden, um unschuldiges Leben zu schützen … was als Nächstes kommt, ist unbekannt, aber was als Nächstes kommen könnte, wird ziemlich schnell beängstigend.”

Philip Reiner, der CEO von IST und Geschäftsführer der RTF, schloss sich dieser unheilvollen Warnung an.

“Die Kosten für Lösegelder, die von Organisationen gezahlt werden, haben sich im letzten Jahr fast verdoppelt und schaffen neue Risiken, von denen viele weit über den monetären Schaden hinausgehen”, sagte er in einer Medienerklärung. “Allein in den letzten 12 Monaten haben wir gesehen, dass Ransomware-Angriffe lebensrettende medizinische Behandlungen verzögern, kritische Infrastrukturen destabilisieren und unsere nationale Sicherheit bedrohen. Wir fühlten eine dringende Notwendigkeit [for the RTF].”

Laden Sie unser exklusives KOSTENLOSES Threatpost Insider eBook “2021: The Evolution of Ransomware”, um Ihre Cyber-Abwehrstrategien gegen diese wachsende Geißel zu verbessern. Wir gehen über den Status quo hinaus und decken auf, was als Nächstes auf Ransomware und die damit verbundenen neuen Risiken zukommt. Holen Sie sich die ganze Geschichte und DOWNLOADen Sie das eBook jetzt – bei uns!

Einige Teile dieses Artikels stammen aus:
threatpost.com