Nur noch wenige Tage bis zum Weihnachtsfest. Zeit also, für den letzten Teil unserer Adventsgeschichte. Erinnern Sie sich noch an Teil eins, wo ich zum Thema Weihnachtsgeschenke mit Analogie zu Blockchain und Krypto geschrieben habe? Oder Teil zwei, wo ich den Zusammenhang zwischen «Väterchen Frost» und der Enttarnung von Hackergrupperungen beschrieb? Im letzten Teil erzähle ich Ihnen von meinem innigsten Weihnachtswunsch als Kind, einem Lego-Bausatz, und natürlich, was dieser mit Cyberkriminalität zu tun hat.
Ganz oben auf dem Wunschzettel: Ein Lego-Bausatz
Welches Geschenk stand bei Ihnen als Kind zuoberst auf der Wunschliste? Sind Sie auch so fasziniert von Lego wie ich? Die tolle Anleitung und Einfachheit dieser Bausätze faszinierten mich schon immer – auch jetzt noch, nach all den Jahren.
Solche Bausätze gibt es aber nicht nur von Lego, sondern auch für Ransomware. Und dies ist das dritte Problemfeld in unserer Adventsgeschichte und auch ein Hauptgrund, weshalb Ransomware-Angriffe so stark zugenommen haben. Noch vor einigen Jahren mussten Hacker enorm viel leisten, um ein Unternehmen zu hacken, dieses zu verschlüsseln und danach zu erpressen. Viele der erfolgreichen Hacker hatten aber nebenbei einen «echten» Job oder andere Einnahmequellen, als nur das Verschlüsseln und Erpressen von Unternehmen. Dementsprechend kam diese Angriffsform auch selten vor.
Moderne Ransomware ist nichts anderes als ein Baukasten-Prinzip
Dies änderte sich schlagartig, als sich die bekannten Ransomware-Gruppierungen in den Jahren 2019 und 2020 in Ransomware-as-a-Service (RaaS) Dienstleister wandelten. Ab diesem Zeitpunkt musste man kein Programmierer mehr sein, um eine Ransomware zu entwickeln. Es reichte, diese bei einem RaaS zu kaufen – genau so, wie Sie im Spielwarengeschäft einen Lego-Bausatz kaufen. Auch muss man nicht zwingend ein Hacker sein, um Zugang zu einem Unternehmen zu erlangen. Dazu geht man lediglich auf den Dark-Web-Marketplace seiner Wahl und kauft sich diesen Zugang. Schon ab 10 Dollar sind Sie dabei!
Zusammengefasst: Auch ohne tiefgreifende Computer- und Hacking-Kenntnisse kann jemand ins Ransomware-Business einsteigen. Der Zugang zum Darknet ist schnell erstellt, dem 20-jährigen Bekannten, der sich gut mit Computern auskennt, wird dazu ein kleines Sackgeld bezahlt. Dieser breitet sich im Darknet aus und kauft sich diesen sogenannten REvil-Bausatz, um die Firma zu verschlüsseln.Hier sprechen wir von so genannten «Affiliates». Diese treten eine Summe des Lösegelds an den Betreiber des Dienstes ab, welcher im Hintergrund bleibt. Es wird vermutet, dass beim Colonial Pipeline Hack (siehe Teil 1 und Teil 2) ebenfalls ein Affiliate im Spiel war, welcher jedoch etwas zu weit ging und kritische Infrastrukturen in den USA verschlüsselte. Dadurch brachte der RaaS-Betreiber (Darkside) ziemlich in die Bredouille. Die Attribution von Blackmatter durch Reverse Engineering des Verschlüsslers und dem Aufzeigen, dass grosse Code-Fragmente wohl von Darkside übernommen wurde, führte wohl schlussendlich dazu, dass der Druck auf Blackmatter zu gross wurde und diese ihr Business aufgaben.
Also, auch wenn wir längst nicht mehr an das Christkind, den Weihnachtsmann oder an Väterchen Frost glauben, lohnt sich die Arbeit hinter Attribution allemal, lässt sie uns doch das Zusammenspiel zwischen Affiliates und RaaS-Gruppierungen besser verstehen. Dies kann schlussendlich sogar dazu führen, dass wir auch dieses Problemfeld in den Griff bekommen. Wenn es nämlich für die RaaS-Gruppierungen zu gefährlich wird, den Kleinkriminellen um die Ecke mit ihren mächtigen Verschlüsslern zu bedienen, könnte sich auch dieses Problem lösen.
In diesem Sinne wünschen ich und das gesamte InfoGuard-Team Ihnen ein frohes und ransomwarefreies Fest, viele Geschenke unter dem Weihnachtsbaum und vor allem ein paar ruhige Festtage. Die russischen Feiertage starten dann leider erst im Januar. Wir werden also auch über die Feiertage für Sie da sein, sollte statt dem Christkind Väterchen Frost vorbeischauen.
Verpassen Sie nicht unser Gewinnspiel!
Und bevor ich es vergesse: Haben Sie alle drei Teile der Advents-Blogserie aufmerksam gelesen? Dann fällt es Ihnen sicherlich leicht, die Fragen zu unserem Gewinnspiel zu beantworten.
Im nächsten Türchen, das am Freitag, 17. Dezember aufgeht, wartet ein attraktives Gewinnspiel mit Preisen für Sie persönlich und Ihr Unternehmen. Um die Teilnahme nicht zu verpassen, abonnieren Sie unsere Blog-Updates und/oder folgen Sie uns auf LinkedIn. Wir drücken Ihnen die Daumen!
