Phishing
Schlag gegen ALPHV/Blackcat – doch Vorsicht!
Internationalen Strafverfolgungsbehörden ist es zwar mit Takedown gelungen, der Hydra ALPHV einen Kopf abzuschlagen, aber ein Aus für die Bande bedeutet es noch nicht. Welche Schäden hat die „Unternehmung“, und was folgt daraus?
Save to Folio
Nach etwa zwei Jahren Ermittlungsarbeit ist internationalen Strafverfolgungsbehörden ein erfolgreicher Schlag gegen die Ransomware-Bande Blackcat/ALPHV gelungen. Dabei kooperierten Europol, das Fachkommissariat Cybercrime der Polizeidirektion Göttingen und das FBI. Das FBI konnte sich offenbar als Affiliate tarnen und so die Täter auf ein gewünschtes Ziel lenken. Dabei gelang es wohl, die dahinter stehende Infrastruktur der Täter zu identifizieren und Zugriff zu erhalten. Es folgte ein Katz-und-Maus-Spiel, bei dem abwechselnd Polizei und die Kriminellen selbst die Oberhoheit über den Internetauftritt hatten.
Takedowns -also das Ausschalten krimineller Infrastruktur - sind wichtig. Doch eine Einschätzung der Bedeutung einer solchen Aktion ist schwierig. Der Erfolg der Polizei bedeutet leider nicht, dass ALPHV deswegen für immer verschwinden. Dennoch gibt es Auswirkungen und diese betreffen viele.
Wer sind die Täter?
Zunächst, ALPHV (auch Blackcat) war eine der aktivsten cyberkriminellen Gruppen im Bereich Ransomware as a Service (RaaS). Sie wurden unter anderem durch ihren Angriff auf Metro MGM bekannt. Wir haben die Gruppe mit deren Hintergründen und Vorgehen unter die Lupe genommen. Sie sind einer der „Double Extortion“-Spezialisten, wobei neben der „klassischen Methode“ der Verschlüsselung die Opfer auch mit der Drohung einer Veröffentlichung gestohlener Daten erpresst werden. Ihre Ziele liegen zumeist in Nordamerika und Europa. Die Gruppe arbeitete mit so genannten „Affiliates“ (Partnern) zusammen. RaaS Anbieter übernehmen weitestgehend Aktivitäten wie das Entwickeln und Betreiben von Angriffswerkzeugen, Verhandlungen mit Opfern und vieles mehr. Die Affiliates sind hingegen diejenigen, welche die Ziele definieren. Die Beute wird untereinander aufgeteilt.
Wo genau die von der Polizeiaktion betroffene Infrastruktur gehostet wurde, ist unklar. Viele cyberkriminelle Täter nutzen dafür so genannte Bulletproof Hoster. Dies sind Hosting-Anbieter, die aufgrund hoher Anforderungen an Datensicherheit oder entsprechender Maßnahmen, ihren Kunden eine maximale Freiheit beim Austausch von Daten versprechen. Viele der Anbieter sind in Ländern tätig, in denen auch die RaaS Akteure ihre Verbrechen durchführen. Deutschland und auch die USA gehören laut Trend Micro-Daten regelmäßig zu den Top fünf Ländern, in denen Bulletproof Hoster für Cyberangriffe genutzt werden. Die inzwischen veröffentlichte Behauptung der Kriminellen, die Polizei habe mit ihrem Hoster zusammengearbeitet, deutet darauf hin, dass dieser in einem Land operierte, auf welches die Einsatzkräfte Zugriff hatten.
Auswirkungen … auch auf den Täter
Schön ist, dass dies einer der ganz wenigen Fälle ist, bei dem man sich als Cybersecurity Experte über den Erfolg der „Cyberangreifer“ freuen kann. Für die Opfer der Gruppe ist der Takedown eine hervorragende Nachricht. Nicht nur gelang es, viele Entschlüsselungs-Keys zu sichern, auch aktive Operationen dürften unterbrochen worden sein. Durch die genaue Kenntnis der Vorgänge der Gruppe können auch Sicherheitsmechanismen angepasst werden, so dass ein Großteil der kriminellen Software an Wirkung verlieren dürfte.
Die Folgen beschränken sich aber nicht nur auf die „Guten“. Im Cyberuntergrund gibt es aktuell etwa 50 aktive RaaS-Gruppen mit mehr oder weniger ausgefeilten Möglichkeiten. Wird ein „Großer“ wie ALPHV ausgeschaltet oder angezählt, so kehren ihm zunächst die Geschäftspartner (Affiliates) den Rücken. Bevor nicht sicher ist, wie viel die Polizei wirklich weiß, riskiert man andernfalls den Kopf.
Diese Gruppen werden aber nicht einfach Schluss machen, sondern sich schlicht und ergreifend anderen RaaS Angeboten zuwenden. Ob sie jemals von ALPHV zurückgewonnen werden können, ist fraglich. Der Schlag gegen ALPHV hat auch Auswirkungen auf das Personal von ALPHV. Die „Fachkräfte“ arbeiten in der Entwicklung, „Kundenbetreuung“ und ähnlichen Positionen, und auch sie werden sich andere Arbeitgeber suchen.
Angriff gegen die Bösen
Diesmal kann man von einem einem Cyberangriff sprechen, der sich gegen die Bösen wendet und für sie, sprich ALPHV, Konsequenzen hat. Dazu zählen Datenverlust - hier die Entschlüsselungscodes sowie Informationen zum Vorgehen und Schadsoftware, also sozusagen das „geistige Eigentum“ der Gruppe. Des Weiteren sind es Einbuße bei der Geschäftstätigkeit, das Abwerben von Fachkräften eines wirtschaftlich angeschlagenen Unternehmens und der Verlust von Kunden/Partnern durch Reputationsschädigung, vielleicht sogar ein Ende der „Unternehmung“. Allerdings hängt sehr viel davon ab, wie hoch der tatsächliche Schaden ist, den die Polizei der RaaS Gruppe zufügen konnte.
Nachdem nun klar ist, dass ihre Sicherheitswerkzeuge dem Takedown nicht standhielten, geht es für die Kriminellen nun um die Frage, inwieweit die Gruppe eine gewisse Resilienz aufweist und ihre Operationen durch Backup-Maßnahmen oder Disaster Recovery-Operationen wieder aufziehen kann. Auf jeden Fall wird sie eine Weile mit Ursachenforschung und Fehleranalyse zubringen.
Keine Entwarnung
Dennoch sollte man den Fehler nicht begehen, ALPHV schon abzuschreiben. Die RaaS Gruppe kündigte an, sich rächen zu wollen und bereits ihre Aktivitäten wieder aufgenommen zu haben – erklären die cyberkriminellen Gruppen, etwa Conti, Revil, Emotet, etc, die von der Polizei/Sicherheitsforschern hoch genommen wurden, an dieser Stelle immer. ALPHV hat dies bereits unter Beweis gestellt und ist bei einem internationalen Rüstungszulieferer eingedrungen. Der Angriff lässt sich auch als ein Signal an die Geschäftspartner interpretieren, mit dem Tenor „Wir sind nicht pleite“. Wie schlagkräftig sie tatsächlich sind, wird sich noch zeigen. Da es sich hier um Experten handelt, die nicht festgenommen wurden, sollte das ernst genommen werden.
Es ist deshalb dringend anzuraten, die näheren Informationen des FBI zu beachten und sich entsprechend zu schützen. Auch das „Ende von ALPHV“ wäre leider nur ein temporärer Fortschritt. Fachkräfte ihres Kalibers werden in anderen RaaS Gruppierungen aufgehen. Wie bei einer Hydra reicht es nicht, einen Kopf abzuschlagen. Man muss ihnen den Nährboden entziehen. Angesichts des gegenwärtigen politischen Klimas leider nicht sehr wahrscheinlich.