Clop Raid: Ein großer Sieg im Kampf gegen Ransomware?

Cyber Security News

Die Polizei verhaftet sechs Personen, beschlagnahmt Autos und Bargeld in einer aufsehenerregenden Razzia, und die Experten applaudieren.

Die gestrige aufsehenerregende Razzia bei der Ransomware-Bande Clop in der Ukraine war nach Ansicht der meisten Experten in der Cybersecurity-Community ein großer Sieg, der eine Wende im internationalen Krieg gegen Ransomware markiert.

Die Razzia umfasste laut ukrainischen Berichten, die von eSpire-Analysten übersetzt wurden, die Verhaftung von sechs Personen in Kiew, die Beschlagnahmung von 185.000 Dollar in bar, einen Tesla, einen Mercedes und ihre Computerausrüstung. Den Verhafteten drohen bis zu acht Jahre Gefängnis, hieß es in den Unterlagen.

Neben dem Verlust der Luxus-Fahrten und des Bargelds, sagten Experten, dass diese Razzia das Ransomware-Geschäft insgesamt schwieriger machen wird, indem sie den noch operierenden Gruppen Ressourcen und Rekrutierungskraft entzieht.

Clop Razzia: Internationale Zusammenarbeit gegen Ransomware

Austin Merritt, ein Analyst von Digital Shadows, sagte, dass die Demonstration der internationalen Zusammenarbeit, um Ransomware-Gruppen zu finden und zur Verantwortung zu ziehen, ein wichtiges Signal an andere Ransomware-Gruppen sendet.

“Clop war für hochkarätige Ransomware-Angriffe in Südkorea verantwortlich, so dass diese Verhaftung zeigt, wie proaktive, gemeinsame internationale Operationen Cyberkriminelle vor Gericht bringen können”, sagte Merritt gegenüber Threatpost. “Da andere Maßnahmen wie Anklagen und Sanktionen nur so viel bewirken können, sind persönliche Razzien ein effektives Werkzeug, um Cyberkriminelle einzuschüchtern, vielleicht mehr als alles andere. “

Clop erlangte im Oktober Berühmtheit, als es das erste Unternehmen war, das ein Lösegeld in Höhe von 20 Millionen Dollar forderte, nachdem es in die deutsche Software AG eingedrungen war. Bis 2021 hat sich Clop als Experte für die Ausnutzung des Accellion-Lieferkettenfehlers herausgestellt und die Schwäche der Dateiübertragungsanwendung genutzt, um seine Kunden anzugreifen, darunter RaceTrac Petroleum mit Sitz in Atlanta, die niederländische Ölgesellschaft Royal Shell, die Sicherheitsfirma Qualys, die Anwaltskanzlei Jones Day, das Stanford- und das University of California-System und viele andere auf der ganzen Welt. Es ist nicht klar, ob Clop hinter dem ursprünglichen Accellion-Einbruch steckte, wie eSpire feststellte, oder ob es den Zugang von anderen Akteuren erhielt.

Insgesamt beziffert eSpire den Schaden, der durch Clop entstanden ist, auf etwa 500 Millionen Dollar.

Clop Raid sendet mächtige geopolitische Botschaft

Viele der gefährlichsten cyberkriminellen Akteure richten absichtlich Operationen in Ländern ein, in denen die Strafverfolgungsbehörden sie nicht erreichen können, so Peter Klimek, Director of Technology bei Imperva, gegenüber Threatpost.

“Die große Mehrheit der Ransomware-Gruppen lebt in Regionen, in denen wir keine Auslieferungsabkommen haben”, sagte Klimek. “Die Regierungen tolerieren sie. Das Ziel der USA und verschiedener G7-Nationen ist es, herauszufinden, in welchem Maße sie den Druck erhöhen können, bis diese Regierungen sie nicht mehr tolerieren.”

Die Clop-Razzia in dieser Woche fiel mit dem mit Spannung erwarteten Gipfeltreffen zwischen US-Präsident Biden und dem russischen Präsidenten Putin zusammen, bei dem die Beamten die Cybersicherheit betonten.

Hitesh Sheth, Präsident und CEO von Vectra, lobte in seiner Reaktion auf die Razzia ausdrücklich die ukrainischen Bemühungen, sich gegen Clop zu wehren.

“Das ist ein mutiger Schritt, besonders angesichts der Spannungen zwischen der Ukraine und Russland”, sagte Sheth. “Es wäre besser, wenn umfassende globale Bemühungen zur Rechtsdurchsetzung greifen würden. Cybersecurity hat die Nuklearwaffen als wichtigstes Sicherheitsthema der Supermächte in unserer Zeit abgelöst. Wir können hoffen, dass der Biden-Putin-Gipfel zu Kooperation und strukturellem Fortschritt in diesem Bereich führt.”

Adam Flatley, Director of Threat Intelligence bei einer Sicherheitsfirma, die sich schlicht “[redacted],” erklärte gegenüber Threatpost, dass Razzien wie diese genau das sind, was von der Ransomware Task Force des Institute for Security and Technology vorgeschrieben wurde.

“Dies ist eine wirklich positive Nachricht und deckt sich mit einigen der wichtigsten Empfehlungen der Ransomware Task Force, nämlich der Erhöhung der Priorität, Ransomware-Akteure zur Strecke zu bringen und mit Partnernationen zusammenzuarbeiten”, erklärte Flatley gegenüber Threatpost. “Ein verstärktes Vorgehen der Strafverfolgungsbehörden wird der Schlüssel zum Erfolg sein, um die Welle der Ransomware-Operationen einzudämmen.”

Clop-Razzia macht Ransomware-Rekrutierung schwieriger

Die Rekrutierung von Talenten wird durch diese Razzien schwieriger, so Erich Kron von KnowBe4 gegenüber Threatpost, aber er warnt davor, dass eine einzige Razzia die gesamte dunkle Industrie auslöschen wird.

“Während diese Takedowns von Cyberkriminellen die Probleme mit Ransomware und anderer Cyberkriminalität nicht endgültig beenden werden, werden fortgesetzte Aktionen wie diese einige davon abhalten, sich an ihnen zu beteiligen”, sagte Kron. “In der modernen Welt der Cyberkriminalität haben es Verbreitungsmethoden wie Ransomware-as-a-Service (RaaS), bei denen die Ransomware-Entwickler andere rekrutieren, um die eigentlichen Angriffe durchzuführen und den Gewinn aufzuteilen, möglicherweise schwerer, Leute zu rekrutieren, die ihre Drecksarbeit machen.”

Er fügte hinzu, dass das Abschneiden der Zufuhr von Talenten und Fachwissen an diese Gruppen eine Sache ist, die die Belohnung nicht länger das Risiko wert macht.

“Dies sendet eine starke Botschaft, dass sie nicht mehr ungestraft operieren dürfen”, sagte Kron. “Da die Bedrohung durch Ransomware und Cyberkriminalität auf dem internationalen politischen Parkett weiter zunimmt, wie die jüngsten Kommentare der NATO zu diesem Thema zeigen, werden diese cyberkriminellen Banden noch mehr unter Druck geraten, und viele werden möglicherweise entscheiden, dass das Risiko zu groß ist, um weiterzumachen.”

Clop Raid entfernt Ransomware-Ressourcen

Oliver Tavakoli, CTO bei Vectra, wies darauf hin, dass diese Razzien auch Auswirkungen auf den Gewinn dieser Gruppen haben. Das entzieht ihnen die Kraft, sich zu vermehren und größere Angriffe zu verüben.

“Strafverfolgungsaktionen wie diese sind einer der wichtigsten Hebel, die das Ransomware-Ökosystem letztendlich schrumpfen lassen können”, so Tavakoli gegenüber Threapost. “Wenn die Wahrscheinlichkeit von Konsequenzen steigt, werden weniger Leute in das Geschäft mit Ransomware hineingezogen.”

Tavakoli fügte jedoch hinzu, dass der Weg zur Ausrottung der Bedrohung durch Ransomware lang sein wird.

“Es wird konzertierte und langwierige Anstrengungen erfordern, um diese Kurve in eine positive Richtung zu biegen, aber diese Bemühungen stellen einen glaubwürdigen Anfang dar”, sagte er.

Flatley sagte auch, dass neben den Strafverfolgungsbehörden auch andere Werkzeuge gegen Ransomware-Gruppen wie Clop eingesetzt werden müssen.

“Es ist nur ein Teil einer größeren, nachrichtendienstlich gesteuerten, koordinierten Kampagne”, fügte Flatley hinzu. “Ransomware-Gruppen, die von den Ländern, von denen aus sie operieren, geschützt werden, müssen mit zusätzlichen Werkzeugen der nationalen und internationalen Macht gestört und zerschlagen werden.”

Nehmen Sie an Threatposts “Tipps und Taktiken für eine bessere Bedrohungsjagd” teil – einer LIVE-Veranstaltung am Mi., 30. Juni um 14:00 Uhr ET in Zusammenarbeit mit Palo Alto Networks. Erfahren Sie von den Experten der Unit 42 von Palo Alto, wie Sie Bedrohungen am besten aufspüren und wie Sie die Automatisierung zur Unterstützung nutzen können. Registrieren Sie sich HIER kostenlos!

Einige Teile dieses Artikels stammen aus:
threatpost.com