Veröffentlicht inNews, Sicherheit

Ausgeschaltet: Globale Ransomware-Erpresser endlich gefasst

Bitdefender ist es in Zusammenarbeit mit Strafverfolgern gelungen, eine Ransomware-Bande auszuschalten.

PC-Bildschirm auf dem ein Warnhinweis steht.
© iStock

Egal ob über soziale Netzwerke, infizierte Internetseiten oder eine verseuchte E-Mail: Ein Klick an der falschen Stelle genügt, und der Computer ist befallen und alle Daten sind blockiert. Die Gefahr durch Ransomware, auch Erpresserviren genannt, nimmt immer weiter zu. Allein 2020 wuchs die Zahl der Angriffe mit erpresserischer Malware im Vergleich zu 2019 um 485 Prozent.

Schädlinge kapern PCs oder Netzwerke

Ein probates Mittel gegen solche Erpresserviren sind sogenannte Entschlüsselungsprogramme. Diese knacken die Verschlüsselung des Schädlings und ermöglich wieder Zugriff auf die gesperrten Daten. Vor mehr als drei Jahren, im Februar 2018, veröffentlichte beispielsweise Bitdefender eines der ersten von vielen Entschlüsselungsprogrammen für eine Ransomware-Familie namens GandCrab. Die Veröffentlichung nur einen Monat nach dem Auftauchen der ersten Varianten dieses sehr leistungsfähigen Ransomware-as-a-Service (RaaS)-Angebots markierte den Beginn einer komplexen Partnerschaft mit Strafverfolgungsbehörden auf der ganzen Welt mit dem Ziel, die Verbreitung von Ransomware zu stoppen.

REvil-Gang hochgenommen

Der jüngste Fall: rumänische Behörden verhafteten mehrere Mitglieder der Sodinokibi/REvil-Ransomware-Bande, die für über 5.000 Infektionen weltweit verantwortlich gemacht werden. Bei der REvil-Ransomware-Gang (auch als Sodinokibi bekannt) handelt es sich um Gruppe der aggressivsten Cyber-Akteure der letzten Jahre, die „Ransomware as a Service” anboten. Bedeutet: Das Programm wurde entwickelt und dann aktiv im Cyberkriminellen- Milieu vermarktet. War ein Angriff erfolgreich, gab es für die Entwickler als Belohnung eines Teils des erbeuteten Lösegelds. REvil, kurz für Ransomware Evil, war zudem dafür bekannt, von den Opfern viel höhere Zahlungen zu erpressen als üblich. Im Schnitt belauft sich das Lösegeld auf satte 393.000 US-Dollar. Unternehmen, die nicht zahlten und versuchten, ihre Daten aus Backups wiederherzustellen, wurden durch die Veröffentlichung erbeuteter, vertraulicher Daten zusätzlich erpresst. Damit ist dank der Operation GoldDust, einer koordinierten Aktion von 19 internationalen Strafverfolgungsbehörden inklusive Europol und Interpol, jetzt Schluss. Wie jetzt bekannt geworden ist, wurden Mitte Juli 2021 die Internetseiten der REvil-Gruppe sowie deren Payment-Server sowie die Infrastruktur abgeschaltet.



Bitdefender veröffentlicht kostenloses Entschlüsselungsprogramm

Gleichzeitig veröffentlichte Bitdefender ein kostenloses Entschlüsselungsprogramm für REvil-Angriffe. Dieser sogenannte Sodinokibi / REvil-Entschlüsseler hat laut eigenen Angaben mehr als 1.400 Unternehmen in 83 Ländern dabei geholfen, ihre Dateien wiederherzustellen und dadurch Lösegeldforderungen in Höhe von über 550 Millionen US-Dollar zu sparen. Alexandru Catalin Cosoi, Senior Director, Investigation and Forensics Unit bei Bitdefender, zu den aktuellen Entwicklungen: „Die Verhaftungen zeigen, was möglich ist, wenn der öffentliche und der private Sektor ihre Ressourcen zur Bekämpfung der Cyberkriminalität bündeln. Der Erfolg dieser Operation ist ein Weckruf für Cyberkriminelle. Sie sollten merken, dass sie sich nicht verstecken können, wenn sie ins Fadenkreuz geraten.”

Interview mit Bogdan Botezatu, Director Threat Research & Reporting bei Bitdefender.

Bogdan „Bob“ Botezatu von Bitdefender
Bogdan Botezatu, Bitdefender © Bitdefender

IMTEST: Das Thema Ransomware sorgt seit Jahren zunehmend für Schlagzeilen. Warum ist diese Art von Schadsoftware so erfolgreich? Und werden solche Schädlinge noch lange eine große Bedrohung darstellen?

Botezatu: Ransomware gibt es schon seit drei Jahrzehnten, aber der kommerzielle Erfolg begann 2014. Einer der wichtigsten Faktoren, die zu diesem Erfolg beigetragen haben, war der allgemeine Zugang zum Internet. Dazu kam die zunehmende Beliebtheit alternativer Kryptowährungen, deren Wege nach Zahlen des Lösegeldes sich nicht verfolgen lassen. Der enorme Erfolg der ersten Ransomware-Gruppen wie Cryptolocker (28 Millionen Dollar in drei Monaten) oder Cryptowall (380 Millionen Dollar in einem Jahr) hat Cyberkriminelle dazu motiviert, zu einem weniger riskanten Geschäftsmodell überzugehen und sich auf Ransomware zu konzentrieren.

Ransomware wird so lange relevant bleiben, wie die Opfer bereit sind, das Lösegeld zu bezahlen, um auf die Daten wiederzugreifen zu können. Bei Bitdefender konzentrieren wir uns zum einem darauf, Privatanwender und Unternehmen über Gefahren und Abwehrstrategien aufzuklären. Außerdem entwickeln wir kostenlose Ransomware-Dekryptoren, mit dem die Opfer Informationen wieder entschlüsseln können.

Stehen bestimmte Unternehmen besonders im Fokus, oder erfolgen die Angriffe vielmehr nach dem Gießkannenprinzip?

Die neuen Ransomware-Angriffe erfolgen gezielt und sind meist sorgfältig geplant. Oft verbringen die Angreifer viel Zeit, die Attacken vorzubereiten und die Ziele auszusuchen. Grundlegende Auswahlkriterien sind Umsatz, eine abgeschlossene Cyber-Versicherung und andere Dinge, aufgrund derer die die Erpresser die Wahrscheinlichkeit einschätzen, dass die Unternehmen zahlen.

Sind Privatpersonen ebenfalls bedroht?

Ja. Denn verschiedene cyberkriminelle Gruppen wie STOP/DJVU gehen bei der Suche nach Opfern immer noch ungezielt vor und schrecken auch nicht davor zurück, Lösegeld von Privatanwendern oder kleineren Organisationen und Unternehmen zu fordern. Diese Gruppen konzentrieren sich darauf, Daten auf versehentlich exponierten NAS-Geräten (Netzwerkfestplatten) zu verschlüsseln und nutzen dafür Schwachstellen in deren Software.

Bitdefender vermutet, das REvil wahrscheinlich aus einem Land der ehemaligen Gemeinschaft Unabhängiger Staaten (GUS) operierte. Wie kommt es, dass solche Gruppen oft aus dem osteuropäischen Raum kommen?

Das Gebiet der ehemaligen Sowjetunion wird häufig als Hotspot für Internetkriminalität angesehen. Denn hier gestaltet sich die Arbeit zwischen Strafverfolgungsbehörden über verschiedene Rechtssysteme hinweg oft schwierig.

Kommt es immer mehr in Mode, dass Cyber-Akteure Ihre Produkte als „Software as a Service“ anbieten?

Der Großteil der Ransomware wird als Dienst angeboten, wie zum Beispiel REvil und sein Vorgänger GandCrab. Die Hersteller von Ransomware investieren, um ihre Reputation aufzubauen, ihre Partnerbasis zu vergrößern und regelmäßige Einnahmen zu erzielen. Die Kunden ihrerseits profitieren davon, ein bereits funktionierendes Produkt verwenden zu können, um Geld zu erpressen. Dies ist eine Symbiose, von der beide Seiten profitieren – mit verheerenden Folgen für die Opfer.

Wie aufwändig ist es, einen Dekryptor für Ransomware zu entwickeln?

Das ist mit erheblichem Aufwand verbunden. Wir investieren viel Zeit, um Samples zu analysieren, Schwachstellen zu identifizieren oder Strafverfolgungsbehörden mit forensischen Untersuchungen zu unterstützen. Expertenteams sind rund um die Uhr für lange Zeiträume mobilisiert.

Warum stellt Bitdefender das Tool dann kostenlos bereit?

Unser Ziel ist, den Opfern zu helfen und sich von den verheerenden Angriffen zu erholen, ohne dass sie für die Daten bezahlen müssen. Indem wir Angreifer daran hindern, Einnahmen zu erzielen, versuchen wir deren Geschäftsmodell weniger profitabel zu machen und so die Betreiber aus dem Geschäft zu drängen. Dies ist uns in der Vergangenheit mit Gandcrab und aktuell mit REvil gelungen. Wir sind fest entschlossen, diesen Weg weiterzugehen.  


Nils Matthiesen

Testet als freier Mitarbeiter für IMTEST schwerpunktmäßig IT-Produkte, wie Notebooks und Computerzubehör. Auch Wearables, wie Sportuhren und Ohrhörer gehören in sein Test-Repertoire. Seit mehr als 20 Jahren arbeitet Nils Matthiesen als Technik-Journalist: Anfangs als fester Redakteur beim Computerverlag Data Becker (u.a. PC Praxis), später als selbständiger Journalist für Verlage wie Axel Springer (Computerbild), Spiegel und Handelsblatt. Neben Technik nimmt vor allem Sport viel Raum im Leben des Familienvaters ein. Sie erreichen ihn via E-Mail.