Eine weltweite Koalition aus 19 Strafverfolgungsbehörden und privaten Partnern, darunter Trend Micro, geht auf fünf Kontinenten gegen große Ransomware-Betreiber vor. Es wurden insgesamt 13 Verdächtige verhaftet, mutmaßlich Mitglieder von zwei weit verbreiteten cyberkriminellen Kartellen. Die Operation mit dem Codenamen Quicksand (GoldDust) war eine Zusammenarbeit zwischen Interpol, Europol, Strafverfolgungsbehörden und privaten Unternehmen. Alle Beteiligten trugen zu den vier Jahre dauernden Ermittlungen bei, indem sie Informationen und technisches Fachwissen austauschten.
Einem Bericht von Interpol zufolge konnten sieben Verdächtige, Verbündete oder Partner von GandCrab/REvil festgenommen werden. Die Gruppe ist ein bekanntes Ransomware-Netzwerk, das für mehr als 7.000 Angriffe seit Anfang 2019 verantwortlich gemacht wird. REvil (auch Sodinokibi) und GandCrab, die vermutlich von denselben Personen betrieben werden, handeln mit Ransomware-as-a-Service (Raas) und vermieten Ransomware-Code an andere Cyberkriminelle. Das Schema umfasst das Eindringen in Unternehmen, die Bereitstellung von Ransomware und die Forderung von Lösegeld, wonach die Gewinne mit den übrigen Programmierern geteilt werden.
Ein Bericht von Europol schätzt die Lösegeldforderungen infolge der Angriffe der sieben Verdächtigen seit 2019 auf insgesamt 200 Millionen Euro.
Die weltweite Koalition konnte mehrere Erfolge aufweisen:
- Verhaftung von drei Verdächtigen durch die koreanischen Strafverfolgungsbehörden im Februar, April und Oktober,
- Verhaftung eines Mannes, der Ransomware-Angriffe mit der Ransomware GandCrab durchgeführt haben soll, durch die kuwaitischen Behörden,
- Festnahme zweier Personen durch rumänische Behörden unter dem Verdacht, an Ransomware-Attacken beteiligt gewesen zu sein, die mit mehr als 5.000 Infektionen und Lösegeldzahlungen in Höhe von einer halben Million Euro in Verbindung gebracht werden,
- Verhaftung eines Mannes unter dem Verdacht, im Juli 2021 den Kaseya-Ransomware-Angriff ausgeführt zu haben. Er wird der Gruppe REvil zugeschrieben, und davon betroffen waren weltweit mehr als 1.500 Menschen und 1.000 Unternehmen.
Trend Micro überwacht GandCrab/REvil
Trend Micro beobachtete diese Malware-Familie bereits seit 2018 genauer, als wir über die Entdeckung von GandCrab v4.3 berichteten, eine Ransomware, die über Spam-E-Mails auf südkoreanische Nutzer abzielte. In den Spam-Mails wurden EGG-Dateien (.egg) verwendet, um die Ransomware GandCrab v4.3 (von Trend Micro als Ransom_GANDCRAB.TIAOBHO erkannt) zu verbreiten. EGG ist ein komprimiertes Archivdateiformat (ähnlich wie ZIP), das in Südkorea weit verbreitet ist.
2019 berichtete Trend Micro über einen weiteren großen GandCrab- Angriff, und zwar wieder in Südkorea. Spam-Mails mit dem Betreff „Shipped Order Incorrect“ machten die Runde. Die Nachrichten gaben sich als Versandauftragsbenachrichtigungen eines bekannten Kurierdienstes aus und sollten die Empfänger dazu verleiten, den Anhang zu öffnen. Wie beim ersten Angriff war der Mail-Text auf Koreanisch verfasst und enthielt einen RAR-Anhang, mit vorgeblichen Informationen über das Paket.
Die Verhaftung von Cl0p
Ein weiterer Meilenstein für die globale öffentlich-private Allianz zur Zerschlagung von Cyberverbrecherringen stellt die Verhaftung von sechs mutmaßlichen Mitgliedern der Ransomware-Gruppe Cl0p dar. Vorausgegangen war eine 30-monatige gemeinsame Untersuchung von Angriffen auf südkoreanische Unternehmen und US-amerikanische Hochschuleinrichtungen. Die Task Force, die auf Ersuchen der südkoreanischen Ermittlungsabteilung für Cyberkriminalität tätig wurde, ermöglichte die Verhaftung der mutmaßlichen Bandenmitglieder in der Ukraine. An der Operation im Juni waren Interpol, Europol und Strafverfolgungsbehörden in Südkorea, der Ukraine und den USA beteiligt.
Unter dem Codenamen „Operation Cyclone“ verfolgte die Polizei weltweit die Betreiber der Cl0p-Malware in der Ukraine. Interpol berichtet, dass die Angriffe von Cl0p den Zugang zu ihren Computerdateien und Netzwerken blockierten und anschließend hohe Lösegelder für die Wiederherstellung des Zugangs forderten. Die Verdächtigen sollen den Transfer und die Auszahlung von Werten an die Ransomware-Gruppe unterstützt und gleichzeitig damit gedroht haben, sensible Daten an die Öffentlichkeit weiterzugeben, falls die Forderungen nach weiteren Zahlungen nicht erfüllt würden.
Es wird vermutet, dass die sechs Verdächtigen in enger Verbindung zu einem russischsprachigen cyberkriminellen Netzwerk stehen, welches dafür bekannt ist, seine Opfer auf einer Tor-Leak-Site namentlich zu nennen und bloßzustellen. Aber vor allem sollen sie im Zusammenhang mit mehreren Ransomware-Angriffen mehr als 500 Millionen US-Dollar verdient haben. Die Aktivitäten von Cl0p zielen auf wichtige Infrastrukturen und Branchen wie Transport und Logistik, das Bildungswesen, die verarbeitende Industrie, den Energiesektor, den Finanzsektor, die Luft- und Raumfahrt, die Telekommunikation und das Gesundheitswesen.
Die Operation Cyclone wurde mit Unterstützung und Informationen von Trend Micro und anderen privaten Cybersicherheitsfirmen durchgeführt. Dank der Synergie bei der Informationsbeschaffung konnte die ukrainische Polizei mehr als 20 Häuser, Unternehmen und Fahrzeuge durchsuchen und Eigentum, Computer und Bargeld im Wert von 185.000 US-Dollar beschlagnahmen.
Trend Micro überwacht Cl0p
Cl0p wurde zunächst als eine Variante der CryptoMix-Ransomware-Familie bekannt. 2020 veröffentlichte die Gruppe hinter Cl0p die Daten eines Pharmaunternehmens in ihrem ersten Versuch eines doppelten Erpressungsschemas. Seitdem wurden die Erpressungsmethoden der Gruppe immer ausgefeilter und damit zerstörerischer. Die Betreiber setzen ihr Zielunternehmen unter Druck, indem sie Mails verschicken, um Verhandlungen einzuleiten. Werden die Nachrichten ignoriert, drohen sie damit, gestohlene Daten auf der Leak-Seite „Cl0p^_-Leaks“ zu veröffentlichen und zu versteigern. Darüber hinaus wenden die Betreiber weitere Erpressungstechniken an.
Schutz von Netzwerken und Systemen vor Ransomware
Die Bekämpfung von Ransomware erfordert gemeinsame Bemühungen von Strafverfolgungsbehörden und privaten Unternehmen wie Cybersecurity-Anbietern. Trend Micro arbeitet mit den Strafverfolgungsbehörden zusammen, um sie mit Bedrohungsdaten zu versorgen, die sie für ihre Ermittlungen benötigen.
Um Netzwerke und Systeme vor Ransomware zu schützen, sollten Unternehmen und Benutzer die folgenden bewährten Verfahren befolgen:
- Vermeiden Sie das Herunterladen von Anhängen und das Anklicken von Links in Mails aus ungeprüften Quellen.
- Spielen Sie regelmäßig Patches und Updates für Betriebssysteme, Programme und Software auf.
- Erstellen Sie regelmäßige Backups von Dateien, indem Sie die 3-2-1-Regel befolgen.
- Befolgen Sie Sicherheitsrichtlinien wie die des Center of Internet Security und des National Institute of Standards and Technology, um das Gesamtrisiko und die Anfälligkeit für Bedrohungen und Schwachstellen zu verringern, die Ransomware-Betreiber nutzen könnten.
Da Bedrohungsakteure immer auf eine Gelegenheit warten, sich auf das nächste Opfer zu stürzen, kann die Investition in mehrschichtige Detection-and-Response-Lösungen Unternehmen viel Kopfzerbrechen und Kosten ersparen. Trend Micro Vision One™ ist eine Cybersicherheitsplattform, die Einblicke in die frühen Aktivitäten moderner Ransomware-Angriffe bietet, um Ransomware-Komponenten zu erkennen und zu blockieren, sodass Angriffe vereitelt werden, noch bevor Cyberkriminelle sensible Daten exfiltrieren können.