Das Modell des Ransomware-Kartells hat sein Potenzial noch nicht ausgeschöpft, diente aber als Testgelände für Cyberkriminalität

Cyber Security News

Mitarbeiter der Cyber-Abteilung des FBI vor einem Computerbildschirm. Ende 2020 und 2021 erzielten die Strafverfolgungsbehörden eine Reihe von Siegen gegen cyberkriminelle Akteure, indem sie bestimmte Operationen beendeten, Vermögenswerte beschlagnahmten und/oder Verhaftungen im Zusammenhang mit Egregor-Ransomware, NetWalker RaaS und dem Emotet-Botnet vornahmen. (FBI)

Entgegen den anfänglichen Befürchtungen sagen Forscher, dass das Ransomware-Kartell, das von der Maze-Cybergang ab Mai 2020 gebildet wurde, nie richtig in Fahrt kam.

In der Tat bezweifeln Experten, die mit SC Media sprachen, dass derzeit genügend Anreize für konkurrierende Bedrohungsakteure bestehen, um die inhärenten Herausforderungen bei der Zusammenarbeit und der Entwicklung eines Modells zur Umsatzbeteiligung zu überwinden. Wenn sie jedoch jemals in der Lage wären, eine effektive Allianz zu bilden, könnte die resultierende Kooperation eine erhebliche Gefahr für die Opfer darstellen, da sie ihre Fähigkeiten und Waffen weiterentwickeln.

Ein neuer Forschungsbericht, der am Mittwoch veröffentlicht wurde und von Jon DiMaggio, Chief Security Strategist bei Analyst1, verfasst wurde, lieferte die Ergebnisse einer monatelangen Studie über kriminelle Marktplätze und Krypto-Transaktionen als Mittel zur Verfolgung des Kartells. Dazu gehörten zu verschiedenen Zeiten die Betreiber von Maze, RagnarLocker, SunCrypt, LockBit und Conti/Ryuk Ransomware.

Nach der Untersuchung kamen die Analyst1-Forscher zu dem Schluss, dass sie keine substanziellen Beweise dafür sehen konnten, dass die Kartellmitglieder die Gewinne der anderen teilten oder aufteilten. Aus diesem Grund glauben sie, dass die Partnerschaft zwischen den Kartellmitgliedern etwas überbewertet wurde.

“Die Gewinnaufteilung ist das primäre Element, das in der diskutierten Koalition von Ransomware-Angreifern fehlt”, schrieb DiMaggio. “Kartelle sind aufgrund der großen finanziellen Ressourcen, die die Gewinnbeteiligung bietet, gefährlich.”

Andere Experten, die mit der Ransomware-Szene vertraut sind, teilten ähnliche Beobachtungen.

“SunCrypt behauptete, dass ein gewisser Profit und Informationsaustausch im Spiel war, aber wir haben noch nicht beobachtet, dass [any] finanzielle Beweise”, sagte Madeleine Kennedy, Senior Director of Communications bei Chainalysis. Auch Jeremy Kennelly, Senior Manager of Analysis bei FireEye’s Mandiant Threat Intelligence Unit, sagte gegenüber SC Media, dass es vielleicht einige einmalige Fälle von Gewinnbeteiligung gegeben hat, aber es gab keine Hinweise darauf, dass dies regelmäßig passiert.

Alec Alvarado, Threat Intelligence Team Lead bei Digital Shadows, stimmte ebenfalls zu, dass das Ransomware-Kartell “das Konzept des Zusammenschlusses nicht in vollem Umfang ausgenutzt hat, da sie den Ransomware-Markt nicht unbedingt in der Weise beherrschen, wie man es von einer gemeinsamen Gruppe erwarten würde.”

DiMaggio hat im letzten Jahr Behauptungen der Maze-Ransomware-Akteure diskreditiert, dass es gar keine Kartellinitiative gibt. Als die Akteure der Maze-Gruppe im November 2020 plötzlich öffentlich ankündigten, dass sie ihre Aktivitäten einstellen würden – viele Bedrohungsexperten glauben, dass sich die Bande einfach zu Egregor entwickelt hat -, zogen sie ihre frühere Behauptung, dass sie ein Kartell gebildet hätten, zurück und behaupteten, dass es nur “in den Köpfen der Journalisten, die darüber geschrieben haben”, existiert hätte.

Aber das ist nicht korrekt. Obwohl die Partnerschaft nie zu der Bedrohung wurde, die sie hätte sein können, gab es ein gewisses Maß an Zusammenarbeit zwischen den Gruppen, so der Analyst1-Bericht, der feststellt, dass sie Angriffstechniken und gestohlene oder durchgesickerte Datensätze miteinander teilten. In der Tat stellte Chainalysis Anfang des Jahres fest, dass Maze, Egregor, SunCrypt und DoppelPaymer gemeinsam Ransomware-as-a-Service nutzen und beobachtete auch, dass Maze TTPs von RagnarLocker übernahm.

“Wir glauben, dass die Banden die Kartellfassade geschaffen haben, um größer und stärker zu erscheinen [and] mächtiger zu erscheinen, um die Opfer weiter einzuschüchtern, damit sie Lösegeldforderungen bezahlen”, so der Analyst1-Bericht. “Die Illusion und die öffentlichen Behauptungen, die über das Kartell gemacht wurden, erzielten den gewünschten Effekt.”

Kennelly war von dem Einschüchterungsfaktor weniger überzeugt, glaubt aber, dass die primäre Strategie darin bestanden haben könnte, eine Ansammlung von Akteuren zu rekrutieren, die auch davon profitieren konnten, unter der bekannten Marke Maze (auch bekannt als Twisted Spider) zu operieren – “wo man darauf vertrauen kann, dass man, wenn man zahlt, Entschlüsselungsschlüssel und Entschlüsselungstools und Support bekommt.”

Das Problem ist jedoch, dass dieses Arrangement mehr Nachteile als Vorteile mit sich bringt. Zunächst einmal müssen sich die beteiligten Parteien auf ein Gewinnbeteiligungssystem einigen – keine leichte Aufgabe.

“Es gibt keinen finanziellen Anreiz für diesen Ansatz, da Kriminelle 100% des Gewinns für sich behalten wollen”, sagt John Shier, Senior Security Advisor bei Sophos. “Außerdem gibt es Wettbewerbsvorteile, die sie nicht mit ihren Konkurrenten teilen wollen. Die gemeinsame Nutzung von Infrastruktur und anderen Ressourcen könnte zu Single Points of Failure führen, die von Strafverfolgungsbehörden ausgenutzt werden können.”

Alvarado stimmte dem zu. “Der Wettbewerbscharakter der Ransomware-Landschaft und das Konfliktpotenzial zwischen geldgierigen Bedrohungsakteuren würden mich zu der Annahme führen, dass die Beziehung wahrscheinlich nicht vollständig zustande gekommen ist”, sagte er über das Maze-Kartell.

“Es besteht die Möglichkeit, dass sich einige der einzelnen Ransomware-Betreiber miteinander vermischt haben und möglicherweise eine Variante für eine andere verlassen haben, aber die Entwicklung eines echten Kartells wäre schwer zu bewerkstelligen”, so Alvarado weiter. “Die Aufteilung der Gewinne wäre wahrscheinlich ein heikles Thema und ein Konfliktpunkt, und wäre wahrscheinlich eine Hürde, die angegangen werden müsste.

Darüber hinaus sollte man bedenken, dass die meisten Ransomware-Akteure Zugang zu ähnlichen Tools haben, die sie für ihre Angriffe benötigen, so Kennelly. Außerdem können sie alle Beziehungen zu anfänglichen Zugangsvermittlern oder kugelsicheren Hosting-Diensten aufbauen, die als vertikal integrierte Cybercrime-Partner wertvolle Fähigkeiten und Fertigkeiten mitbringen, die ein redundanter Ransomware-Partner nicht bieten kann.

“Ich sehe also nicht, dass es einen starken Anreiz für [two] Akteure gibt, in einer Welt zu kooperieren, in der… beide einen ziemlich gut etablierten Markennamen haben, beide ziemlich komplexe und fähige Malware einsetzen, beide eine Reihe von effektiven Einbruchsgruppen haben, die in ihrem Namen operieren [or] haben eine bestehende Infrastruktur für das Hosting von durchgesickerten Daten”, so Kennelly.

Ein weiterer problematischer Punkt ist, dass die öffentlichkeitswirksame Bildung des Kartells “weltweite Aufmerksamkeit von Strafverfolgungsbehörden und Regierungsstellen” brachte, so der Bericht. In der Tat glaubt Analyst1, dass die unerwünschte Aufmerksamkeit die Gruppe dazu veranlasst haben könnte, einen Rückzug vorzutäuschen und so zu tun, als hätte das Kartell nie existiert. “Aus den gleichen Gründen hat Twisted Spider aufgehört, öffentlich zu kommunizieren, und sie verwenden nicht mehr soziale Medien oder Pressemitteilungen, um ihre Forderungen zu äußern”, so der Bericht.

Kennedy merkte ebenfalls an, dass solche cyberkriminellen Beziehungen eine Art nachvollziehbare digitale Papierspur schaffen können. “Während die Zusammenarbeit von Ransomware-Administratoren und angeschlossenen Unternehmen den Gruppen einige finanzielle und praktische Vorteile bieten kann, können diese Verbindungen auch wertvolle Informationen für die Strafverfolgung sein”, sagte sie. “Hinweise auf gemeinsame Partner, Dienstleister und Geldwäschedienste sind mächtige Hinweise. Wenn die Strafverfolgungsbehörden Gruppen identifizieren und gegen sie vorgehen können, die mehrere Ransomware-Stämme kontrollieren, oder gegen OTCs, die es mehreren Ransomware-Stämmen ermöglichen, ihre Einnahmen zu kassieren, dann können sie die Operationen mehrerer Stämme mit einem Takedown stoppen oder beeinflussen.”

Ende 2020 und 2021 erzielten die Strafverfolgungsbehörden in kurzer Zeit eine Reihe von Erfolgen gegen cyberkriminelle Akteure, indem sie bestimmte Operationen stilllegten, Vermögenswerte beschlagnahmten und/oder Verhaftungen im Zusammenhang mit Egregor-Ransomware, NetWalker RaaS und dem Emotet-Botnet vornahmen.

Führung ist ein weiteres Thema. “Individuelle Egos sind möglicherweise die größte Hürde für Gangs, die es zu überwinden gilt, um den Nutzen aus der Bildung eines Kartells zu maximieren… Das ist auch ein Grund, warum ich glaube, dass das Kartell gescheitert ist”, so DiMaggio gegenüber SC Media. “Twisted Spider wollte das Kartell anführen, hat aber nie wirklich die Gelegenheit ergriffen, den anderen Gangs eine klare Richtung vorzugeben. Zukünftige Verbrecher werden die gleiche Hürde überwinden müssen.”

“Wenn sie das jedoch tun, wird sich das Bedrohungspotenzial und die Angriffsmöglichkeiten deutlich erhöhen”, fügte er hinzu. “Wenn sich Gangs auf eine zentrale Führung einigen können, um Entscheidungen zu treffen und Angriffe zu lenken und Gewinne zu teilen, denke ich, dass wir in Schwierigkeiten wären.”

In der Tat ist es durchaus möglich, dass in der Zukunft ein formidablerer Gegner auftauchen könnte, und zu diesem Zweck erwartet Analyst 1, dass Ransomware-Gruppen weiterhin Taktiken und Ressourcen austauschen, still und heimlich hinter den Kulissen.

Der Analyst1-Bericht warnt insbesondere davor, dass Ransomware-Banden ihre Bemühungen auf die Entwicklung von Tools zur Automatisierung ihrer Angriffe konzentrieren und diese Technologie dann gemeinsam nutzen könnten – denn in diesem Fall ist es leichter zu erkennen, wie alle gegenseitig davon profitieren.

“Die neuen Fähigkeiten, die Gangs in ihre Ransomware einführen, zeigen, dass Automatisierung unerlässlich ist”, heißt es in dem Bericht. “Analyst1 glaubt, dass dieser Trend die Ransomware-Operationen weiterhin effizienter und gefährlicher machen wird. Während die Automatisierungsmöglichkeiten zunehmen, wird der Einsatz von Partner-Hackern abnehmen. Das bedeutet, dass Ransomware-Banden die Gewinne nicht mit den Affiliates teilen müssen, wodurch die Einnahmen aus jedem Angriff steigen. Mit der Verringerung des Zeitrahmens, der für die Ausführung jedes Angriffs benötigt wird, geht Analyst1 davon aus, dass das Gesamtvolumen der Angriffe zunehmen wird, wodurch die Zahl der erpressten Opfer steigt.”

DiMaggio erklärte gegenüber SC Media, dass Ransomware-Gruppen schnell immer raffinierter werden und so etwas wie diese Kartellbeziehung erneut versuchen könnten.

“Man kann mit Fug und Recht behaupten, dass die Personen hinter den Angriffen intelligent sind und aus ihren Fehlern lernen und das Potenzial erkennen, sich die Taktiken anderer Gruppen zunutze zu machen”, sagte er. “Wenn Gangs die Vorteile einer organisierten, strukturierten Hierarchie erkennen, die Ressourcen und Finanzen teilt, wären sie viel effizienter und gefährlicher. Dieses Mal ist der Versuch, ein Kartell zu bilden, gescheitert, aber es ist wahrscheinlich nicht das letzte Mal, dass wir sehen, wie sich Gangs zusammenschließen.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com