Ransomware-Gang Babuk behauptet, DC’s Metropolitan Police sei der letzte Kaperer – und verschwindet dann

Cyber Security News

Babuk – die angeblich russischsprachige Ransomware-Gang, die es auf das Metropolitan Police Department von DC abgesehen hat – hat im Dark Web eine Nachricht gepostet, dass sie herunterfährt, nur um dann den Kurs zu ändern und die Nachricht von der Seite zu nehmen. (Alex Smith/CC0 1.0)

Babuk – die angeblich russischsprachige Ransomware-Gang, die es auf das D.C. Metropolitan Police Department abgesehen hat – hat im Dark Web eine Nachricht gepostet, dass sie heruntergefahren wird, nur um dann den Kurs zu ändern und die Nachricht von der Seite zu nehmen.

Der Fall des D.C. Police Department brach Anfang dieser Woche, mit Berichten, dass Babuk die Netzwerke der Abteilung infiltriert hatte und drohte, vertrauliche Informationen zu veröffentlichen, einschließlich Namen von mutmaßlichen Bandenmitgliedern Informanten und Informationen aus Verbrechensbesprechungen.

Sicherheitsexperten haben heute früh auf Twitter Screengrabs der Notiz von Babuk gepostet:

“Wir freuen uns, Ihnen mitzuteilen, dass PD unser letztes Ziel war, erst jetzt bestimmen sie, ob das Leck sein wird oder nicht, in jedem Fall unabhängig vom Ausgang der Ereignisse mit PD, das Babuk-Projekt wird geschlossen, seine Quellcodes werden öffentlich zugänglich gemacht, wir werden so etwas wie Open Source RaaS machen, jeder kann sein eigenes Produkt auf der Grundlage unseres Produkts machen und mit dem Rest des RaaS abschließen.”

SC Media hat heute mit Sicherheitsexperten gesprochen, um deren Meinung zu diesem Schritt von Babuk zu erfahren. Wurden sie von der Aufmerksamkeit erschreckt und entschieden, dass sie zu tief drin stecken? Würden sie das tun, was Maze Ende letzten Jahres getan hat, und sich zurückziehen, nur um als Egregor wieder aufzutauchen? Oder wollten sie nur die Behörden verwirren?

Stefano De Blasi, Bedrohungsforscher bei Digital Shadows, sagte, dass der Schritt von Babuk in einem historischen Moment, in dem Ransomware-Gruppen immer dreister werden, eine Überraschung ist. De Blasi sagte, dass die Betreiber von Babuk wahrscheinlich ihren Rückzug aus dem Ransomware-Geschäft erklärt haben, weil der Angriff auf die Polizei von Washington D.C. zu viel Aufmerksamkeit in den Medien und vor allem bei den Strafverfolgungsbehörden erregt hat. Er sagte, dass Digital Shadows in den letzten Monaten beobachtet hat, dass andere Ransomware-Akteure – wie zum Beispiel das Ziggy Ransomware-Team – ihre Operationen präventiv eingestellt haben, um ernsthafte Strafverfolgungsmaßnahmen zu vermeiden.

Gleichzeitig könnten die Betreiber von Babuk erkannt haben, dass es höchst unwahrscheinlich war, dass sie das geforderte Lösegeld von einer amerikanischen Strafverfolgungsbehörde erhalten würden.

“Ein weiterer erwähnenswerter Punkt ist, dass Ransomware-Gruppen und Cyberkriminelle im Allgemeinen nicht neu darin sind, etwas zu behaupten und dann das Gegenteil zu tun”, sagte De Blasi. “Als beispielsweise die COVID-Pandemie Anfang 2020 zuschlug, gaben mehrere Ransomware-Gruppen ‘ethische’ Absichten vor, wie z. B. die Vermeidung von Zielen im Gesundheits- und Bildungssektor. Es hat nicht lange gedauert, bis wir beobachtet haben, dass dieselben Bedrohungsgruppen genau das Gegenteil getan haben. Daher sollten Babuks Behauptungen über eine Abschaltung mit einer Prise Salz genommen werden, und die Behörden sollten ihre Aktionen weiterhin sorgfältig überwachen. Da diese kriminelle Gruppe erklärt, die Absicht zu haben, ihren Quellcode mit der Öffentlichkeit zu teilen, werden wir wahrscheinlich auch in Zukunft in irgendeiner Form über die Aktivitäten von Babuk diskutieren.”

Chad Anderson, ein leitender Sicherheitsforscher bei DomainTools, bezweifelt, dass Babuk nach etwas mehr als einem Jahr in Betrieb tatsächlich seine Pforten schließen wird, insbesondere nachdem es gelungen ist, ein so hochrangiges Ziel zu infiltrieren.

“Die Geldsummen, die diese Ransomware-Gruppen verdienen, sind gewaltig, und ein Ziel wie eine große Polizeibehörde in einer Großstadt ist nicht nur potenziell lukrativ – da sie sich keine Ausfallzeiten leisten können -, sondern auch sehr nützlich, um in andere Netzwerke einzudringen”, so Anderson. “Die Polizei-Technologie umfasst JMS, EMS, RMS und Dutzende anderer Dienste. Eine einzelne Abteilung hat wahrscheinlich Dutzende von Anbietern, die auch Dutzende von anderen Gerichtsbarkeiten beliefern. Wenn ich raten müsste, würde ich sagen, dass Babuk hier keinen Rückzieher macht, sondern nach seiner nächsten Entwicklung sucht. Kein Cyberkrimineller lässt eine so lukrative Branche links liegen, wenn er im letzten Jahr so effektiv gewesen ist.”

Eine Reihe von Ransomware-Diensten – wie GandCrab – haben sich zurückgezogen, nachdem sie für eine gewisse Zeit identifiziert und verfolgt wurden, bemerkte Jeff Barker, Vice President of Product Marketing bei Illusive. Je länger Ransomware-Dienste aktiv sind, desto mehr Informationen zur Erkennung von Bedrohungen stehen zur Verfügung und desto größer ist die Wahrscheinlichkeit, dass Ermittler von Behörden und Unternehmen sie mit ihrer Quelle/ihrem Hintermann in Verbindung bringen können.

“Es ist logisch, dass Ransomware-Dienste, die von nationalstaatlichen Akteuren unterstützt werden, eine Zuordnung vermeiden wollen und weiterhin regelmäßig bestehende Dienste stilllegen und neue starten”, so Barker.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com