30.06.2021 / Kategorie: Threat Intelligence
Verglichen mit den ersten Monaten in diesem Jahr scheint die Ransomware-Welle etwas abgeflacht zu sein. In verschiedenen Ländern haben zudem weitere koordinierte Schläge gegen die organisierte Ransomware-Szene stattgefunden. So zum Beispiel in der Ukraine, wo Teile der Clop Ransomware Gang festgenommen wurden. Stehen wir damit an einem Wendepunkt oder ist es eher ein neuer Anlauf?
Der Druck auf Cyberkriminelle steigt. Es scheint, als haben weitere Erfolge der Behörden zum einem Abflachen der Zahl der Ransomware-Attacken beigetragen. So wurde unter anderem kürzlich in der Ukraine gegen Teile der Clop Ransomware Bande vorgegangen, welche für einen geschätzten Schaden von rund 500 Mio. USD verantwortlich gemacht wird.
Bemerkenswert ist auch die Entwicklung rund um die Avaddon Ransomware, welche seit Anfang 2020 nicht nur in Nordamerika, sondern auch in Europa und der Schweiz, zahlreiche mittlere und grosse Unternehmen erpresst hat - sehr oft erfolgreich. Im Juni erhielt das Intelligence Portal BleepingComputer die Schlüssel für insgesamt 2943 Opfer zugespielt und Emsisoft hat dazu einen entsprechenden Decryptor veröffentlicht. Es sieht zudem danach aus, als hätte sich die Avaddon-Gruppe tatsächlich aufgelöst. Während die genauen Hintergründe für diesen Schritt noch unklar sind, ist es im Moment aber kein Einzelfall. Auch andere Organisationen scheinen, im Nachgang auf die Angriffe auf Colonial Pipeline und den Nahrungsmittelhersteller JBS im Mai, unter Druck gekommen zu sein. Danach nämlich hatte das US-Justizministerium erwogen, Cyberangriffe bei der Strafverfolgung mit Terrorattacken gleichzustellen. Und spätestens mit der Thematisierung am Treffen der G7 ist das Thema auch auf der politischen Ebene angekommen.
Die Ereignisse der letzten Woche haben auch zu einem tieferen Einblick in die Arbeits- und Funktionsweise der Ransomware Szene geführt. So wurde zum Beispiel ermittelt, wie die Avaddon-Gruppe die entsprechenden Lösegeldforderungen festsetzt. Demnach wurde jeweils eine 5x5-Regel verwendet, welche auch bei vielen anderen Gruppen eingesetzt wird. Aufgerufen wurden jeweils 5 % eines Fünftels des Jahresumsatzes. Das heisst für ein Unternehmen mit einem Jahresumsatz von 10 Mio. USD wurden umgerechnet 100'000 USD in Kryptowährungen fällig. Dieser Betrag liess sich in der Regel um etwa ein Drittel herunterhandeln. Es wird davon ausgegangen, dass Avaddon auf diese Weise seit 2020 weltweit etwa 87 Mio. USD ergaunert hat. Avaddon wurde nicht durch eine, sondern durch mehrere Gruppen eingesetzt. Dieser Ransomware-as-a-Service Ansatz ist heute bei den meisten gängigen Ransomware-Familien gang und gäbe. Die "Anwender" müssen sich dabei aber an gewisse Regeln halten. Dies wird im Fall Avaddon insbesondere auch bei der geografischen Verteilung der Opfer sichtbar, welche Analysten von Advanced-Intel zusammengestellt haben. Betroffen waren in erster Linie die Industrienationen, besonders die USA, Kanada und Europa. Wesentlich interessanter dabei ist jedoch ein Gebiet, welches in auffälliger Weise nicht betroffen ist. Das hat auch technische Gründe. So ist bereits seit längerem bekannt, dass die Avaddon-Ransomware über eine "Geo-Locker"-Funktion verfügt. Dabei wird der Ländercode der Tastatureinstellungen geprüft. Ist diese auf eine der Codes eingestellt, welche in den ehemaligen GUS Staaten verwendet wird, wird die Ransomware nicht ausgeführt.
Dass sich der politische Druck in den letzten Wochen dramatisch erhöht hat, sind zunächst einmal gute Nachrichten. Damit hat sich der Preis und das Risiko für die, bis anhin praktisch unbehelligt operierenden, Banden sicher erhöht, zumindest für einen Teil der Akteure. Mittelfristig wird es sich wohl eher um eine Art "schöpferische" Pause handeln. Zu gross sind die Ertragschancen, zu gering das Risiko. Die Androhung von Strafverfolgungsmassnahmen wird auch in Zukunft nicht ausreichen, um die Kriminellen zu stoppen. Sie werden höchstens ihre Taktiken ändern.
Wirklich schwierig wird es für dieses "Business-Modell" erst dann, wenn Unternehmen anfangen, sich um die fundamentalen Cyber Security Hygiene-Massnahmen zu kümmern. Unternehmen sollten alles dafür tun, um das illegale Eindringen in ihre IT-Systeme zu verhindern. Denn eine erfolgreiche Cyberattacke kostet nicht nur Lösegeld, sie bringt die Geschäftsprozesse ins Wanken bzw. zum vollständigen Erliegen und geht zudem mit einem markanten Imageverlust einher. IT-Security ist dementsprechend keine Kür, sondern unverzichtbare Pflicht für jedes Unternehmen.
Wollen Sie wissen, was Ihr Unternehmen tun kann, um den modernen Cyberrisiken zu begegnen? Unsere Experten unterstützen Sie gern. Kontaktieren Sie uns – wir sind für Sie da.Kontaktieren Sie uns via marketing[at]ispin.ch oder +41 44 838 3111.
ISPIN 7/24 Incident Hotline: 0848 800 017 | cyberdefense[at]ispin.ch
Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.
Reiner Höfinger
Marketing & Communications