Interview mit Catalin Cosoi, Bitdefender
Blick hinter die Ransomware-Kulissen
Die Cybercrime-Gruppe REvil bietet Ransomware as a Service (RaaS): Sie stellt den Erpressungstrojaner, Partner („Affiliates“) führen die Angriffe durch, REvil erhält dann einen Anteil des Lösegelds. Die Gruppe, aktiv seit 2019, operiert offenbar von Russland aus – russischsprachige Ziele vermeidet sie – und steckt hinter den Angriffen auf JBS, Colonial und Kaseya. Im Sommer war sie plötzlich von der Bildfläche verschwunden, tauchte dann kurzzeitig wieder auf, bevor sie erneut offline ging. Bitdefender veröffentlichte im September einen Entschlüsselungs-Key für die REvil-Malware. Im November führte dann eine internationale Polizeiaktion zur Verhaftung mehrerer Affiliates, für die Ergreifung der Hintermänner hat die US-Regierung zehn Millionen Dollar Belohnung ausgesetzt. LANline sprach mit Catalin Cosoi, Senior Director Investigation and Forensics Unit bei Bitdefender, über die Hintergründe.
LANline: Herr Cosoi, könnten Sie uns kurz auf den aktuellen Stand bei der Ransomware-Gruppe REvil bringen?
Catalin Cosoi: REvil verschwand vor ein paar Monaten von der Bildfläche und tauchte dann kurz wieder auf. Sie nahmen ihre Tätigkeit wieder auf, stellten aber kurze Zeit später die Veröffentlichung von Informationen in Dark-Web-Foren ein. Sie gaben an, dass eine dritte Partei, wahrscheinlich Strafverfolgungsbehörden, es auf sie abgesehen habe und dass einer ihrer Kollegen verschwunden sei. Sie stellten fest, dass jemand ihre Infrastruktur geklont hatte, und zogen sich dann vollständig zurück. Auch einige andere Gruppen hielten eine Zeit lang still und gaben manchmal den USA die Schuld an den Hackerangriffen und anderen Anti-Ransomware-Aktionen. Sie standen unter großem Druck durch die US-Regierung, die beschlossen hatte, im Kampf gegen Ransomware etwas aggressiver vorzugehen. Das hat in der Cybercrime-Branche einige Wellen geschlagen, und die Leute warten ab, was passiert und ob sie wieder aktiv werden, sich umorientieren oder neu gruppieren sollen. Mein Gefühl ist, dass sie wieder auftauchen werden.
LANline: Was wäre für eine effektivere Strafverfolgung solcher Cybercrime-Gruppierungen erforderlich?
Catalin Cosoi: Für eine wirksamere Bekämpfung von Ransomware müssen der private Sektor und die Strafverfolgungsbehörden besser zusammenarbeiten. Derzeit wenden sich Sicherheitsunternehmen wie Bitdefender oft an die Polizei und liefern wichtige Informationen, aber es gibt keine Rückmeldung und keinen Ort, an dem wir Feedback erhalten können. Wir brauchen eine öffentlich-private Partnerschaft, um die Verfolgung von Cyberkriminalität zu verbessern.
LANline: Bei REvil stellt sich die Frage, ob die Gruppe auf Druck der USA oder aber der russischen Regierung – die in den letzten Jahren eine gewisse Toleranz gegenüber diesen Ransomware-Gruppen an den Tag legte – offline ging. Was ist da Ihre Einschätzung?
Catalin Cosoi: Es ist sehr schwer zu sagen, warum REvil vom Netz gegangen ist. Eine ihrer Affiliates hatte große Operationen in den USA, mit Angriffen auf Colonial und Kaseya. Biden und Putin hatten ein Meeting, um die Situation zu besprechen. Aber ob Putin eingegriffen hat, ist sehr schwer zu sagen. Man muss bedenken, dass russische Gruppen nie auf russische Bürger abzielen, sodass es aus Putins Sicht keine Opfer zu beklagen gibt.
LANline: Könnte denn ein solcher Ransomware-Angriff wie auf Colonial auch ein Akt dessen sei, was der Security-Fachmann The Grugq „Cyberwarfare“ nennt, also eine feindliche Aktion, die aber noch unterhalb der Schwelle eines ausgewachsenen Cyberkriegs bleibt?
Catalin Cosoi: Theoretisch ist es möglich, dass diese Art von Ransomware-Angriff ein Akt der Cyberkriegsführung ist, dass Ransomware vielleicht nur die Oberfläche ist. Oder Bedrohungsakteure könnten geschützte Daten stehlen und dann einen Ransomware-Angriff starten, um ihre Spuren zu verwischen.
LANline: Ist das Verhältnis der Ransomware-Gruppen untereinander heute eher das einer Kooperation oder das einer Konkurrenz?
Catalin Cosoi: Ursprünglich haben Ransomware-Gruppen miteinander konkurriert und mit Geld geprahlt, aber in den letzten Jahren haben wir das Aufkommen von Ransomware as a Service erlebt. In diesem Fall führen die Kerngruppen, die die Ransomware entwickeln, keine Infektionen durch, sondern verkaufen ihren Code an Partnerunternehmen, sogenannte Affiliates. Es gibt also keinen Wettbewerb, nur im Sinne eines Wettstreits um den besseren Code. Wir haben sogar gesehen, dass einige Affiliates mit verschiedenen Ransomware-Familien zusammenarbeiten. Sie prüfen, welche Art von Sicherheitsmaßnahmen ihr Opfer hat, und schauen dann, welche Ransomware funktionieren wird.
- Blick hinter die Ransomware-Kulissen
- Ausgefeilte Arbeitsteilung
Lesen Sie mehr zum Thema
