Nach etwa zwei Jahren Ermittlungsarbeit haben internationale Strafverfolgungsbehörden erfolgreich gegen die Ransomware-Bande Blackcat/ALPHV interveniert.
Dabei kooperierten Europol, das Fachkommissariat Cybercrime der Polizeidirektion Göttingen und das FBI.
Wer sind die Täter?
Zunächst, ALPHV (auch BlackCat) war eine der aktivsten cyberkriminellen Ransomware-as-a-Service-Gruppen, die unter anderem für den Angriff auf Metro MGM bekannt wurden. Im Spotlight diskutiert Trend Micro Hintergründe und Vorgehen der Täter. ALPHV gehören zu der Gruppe der „Double Extortion“-Spezialisten. Neben der „klassischen Methode“ rund um Verschlüsselung werden Opfer auch mit der Veröffentlichung gestohlener Daten erpresst. Ihre Ziele liegen zumeist in Nord Amerika und Europa. Als „Ransomware as a Service“ (RaaS)-Angebot arbeitete die Gruppe mit so genannten „Affiliates“ zusammen. RaaS-Anbieter übernehmen dabei weitestgehend alle Aktivitäten wie das Entwickeln und Betreiben von Angriffswerkzeugen, Verhandlungen mit Opfern und vieles mehr. Die Affiliates sind hingegen diejenigen, welche die Ziele definieren. Die Beute wird untereinander aufgeteilt.
Was gelang der Polizei?
Das FBI war offenbar in der Lage sich als Affiliate zu tarnen und die Serviceleistungen der Täter auf ein gewünschtes Ziel zu lenken. Dabei gelang es wohl die dahinter stehende Infrastruktur der Täter zu identifizieren und Zugriffe zu erhalten. Es erfolgte ein Katz‘ und Maus Spiel bei dem abwechselnd Polizei und Kriminelle die Oberhoheit über den Internetauftritt der Gangster hatten. Wo genau diese Infrastruktur gehostet wurde, ist unklar. Viele cyberkriminelle Täter nutzen dafür so genannte „Bullet Proof Hoster“. Dies sind Hosting-Anbieter, die aufgrund hoher Anforderungen an Datensicherheit oder entsprechender Maßnahmen, ihren Kunden eine maximale Freiheit beim Austausch von Daten versprechen. Viele dieser Anbieter sind tatsächlich in Ländern zu finden, in denen auch die RaaS-Akteure ihre Verbrechen durchführen. Deutschland und auch die Niederlande gehören laut Trend Micro-Daten regelmäßig zu den Top 5-Ländern in denen Bulletproof-Hoster für Cyberangriffe genutzt werden. Die inzwischen veröffentlichte Behauptung der Kriminellen, die Polizei habe mit ihrem Hoster zusammengearbeitet, deutet darauf hin, dass dieser in einem Land operierte, auf welches die Einsatzkräfte Zugriff hatten.
Auswirkungen
Für die Opfer der Gruppe ist der Takedown eine hervorragende Nachricht. Nicht nur gelang es, viele Entschlüsselungskeys zu sichern, auch aktive Operationen dürften unterbrochen worden sein. Durch die genauen Kenntnisse der Vorgänge der Gruppe können auch Sicherheitsmechanismen angepasst werden, so dass ein Großteil der kriminellen Software an Wirkung verlieren dürfte. Die Auswirkungen beschränken sich aber nicht nur auf die „Guten“. Im Cyberuntergrund gibt es aktuell etwa 50 aktive RaaS Gruppen mit mehr oder weniger ausgefeilten Möglichkeiten. Wird ein „Großer“ wie ALPHV ausgeschaltet oder angezählt, so kehren ihm zunächst Geschäftspartner (Affiliates) die kalte Schulter zu. Bevor nicht sicher ist, wie viel die Polizei wirklich weiß, riskiert man andernfalls den Hals. Diese Gruppen werden aber nicht einfach Schluss machen. Sie werden sich schlicht und ergreifend anderen RaaS-Angeboten zuwenden. Ob sie jemals zurückgewonnen werden können, ist fraglich. Aber genauso hat dies Auswirkungen auf das Personal von ALPHV. Fachkräfte arbeiten hier in Entwicklung, „Kundenbetreuung“ und ähnlichen Positionen, die sich ohne Sarkasmus hier nicht darstellen lassen. Auch sie werden sich andere Arbeitgeber suchen. Dieser Takedown bedeutet für ALPHV einen Reputationsverlust, der ein Ende der „Unternehmung“ darstellen kann. Allerdings hängt sehr viel davon ab, wie hoch der tatsächliche Schaden ist, den die Polizei der RaaS-Gruppe zufügen konnte. Nachdem nun klar ist, dass ihre Sicherheitswerkzeuge dem Takedown nicht standhielten, geht es für die Kriminellen um die Frage, inwieweit die Gruppe eine gewisse Resilienz aufgebaut hatte und ihre Operationen durch Backup-Maßnahmen oder Disaster Recovery Operationen wieder aufziehen kann. Auf jeden Fall wird sie eine Weile mit Ursachenforschung und Fehleranalyse zubringen. Schön ist, dass dies einer der ganz wenigen Fälle ist, in der man sich als Cybersecurity-Experte über den Erfolg der „Cyberangreifer“ freuen kann.
Auswirkung auf Unternehmen
Ein Lob an die Polizei ist verdient. Dennoch sollte man nicht den Fehler begehen, ALPHV schon abzuschreiben. Noch ist nicht klar, wie hart der Schlag wirklich war. Die RaaS Gruppe kündigte an, sich rächen zu wollen. Das tun sie an dieser Stelle immer. Im Prinzip bedeutet es nur, dass die Täter weiter machen möchten. Es ist ein Signal an ihre Geschäftspartner a la „wir sind nicht pleite“. Wie schlagkräftig sie tatsächlich noch sind, werden sie möglichst bald unter Beweis stellen wollen. Da es sich hier um Experten handelt, die nicht festgenommen wurden, sollte das ernst genommen werden. Es ist deshalb dringend anzuraten, die näheren Informationen des FBI zu beachten und sich entsprechend zu schützen. Auch das „Ende von ALPHV“ wäre in diesem Zusammenhang nur ein temporärer Fortschritt. Fachkräfte ihres Kalibers werden in andere RaaS-Gruppierungen aufgehen. Wie eine Hydra reicht es nicht einen Kopf abzuschlagen. Man muss ihnen den Nährboden entziehen. Was angesichts des gegenwärtigen politischen Klimas leider nicht sehr wahrscheinlich ist.
www.trendmicro.com/de