Ransomware ist nicht zurück. Es ist nie gegangen
"Tod gesagte leben länger!"
Nach Monaten von Dramatische Eskalationen,
zwei prominente russische Ransomware-Banden, REvil und
Darkside,versunken in diesem Sommer wochenlang. Die Pause kam, als das
Weiße Haus und die US-Strafverfolgungsbehörden versprachen, Ransomware
zu bekämpfen und sich gegen Regierungen zu stellen, die selbst den
rücksichtslosesten Banden scheinbar "sicheren Hafen" bieten. Diese
Flaute ist offiziell vorbei.
REvil und Darkside starteten in der ersten
Sommerhälfte verheerende Angriffe unter anderem gegen das gut
positionierte IT-Dienstleistungsunternehmen Kaseya, das
KraftstoffverteilungssystemColonial Pipeline an der Ostküste und den
globalen Fleischversorger JBS. Als die Auswirkungen zunahmen und sich
Ende April einer öffentlich-privaten Ransomware-Taskforce angehörten,
ergriffen die US-Strafverfolgungsbehörden Maßnahmen. Im Juni verfolgte
und beschlagnahmte das FBI Kryptowährungen im Wert von mehr als 4
Millionen US-Dollar, die Colonial Pipeline an Darkside gezahlt hatte.
Und die Washington Post berichtete diese Woche, dass das FBI den
Entschlüsselungsschlüssel von REvil-Servern für die Kaseya-Ransomware
beschlagnahmte, ihn aber nicht frei gab, damit sie eine Operation gegen
die Infrastruktur der Bande verfolgen konnten. REvil ging abrupt
offline, bevor die Beamten auf den Plan reagieren konnten.
Die stellvertretende nationale
Sicherheitsberaterin des Weißen Hauses, Anne Neuberger, stellte Anfang
August sogar fest, dass BlackMatter – ein offensichtlicher Nachfolger
von Darkside mit technischen Ähnlichkeiten – sich verpflichtet habe,
kritische Infrastrukturziele bei seinen Angriffen zu vermeiden. Sie
deutete an, dass der Kreml den Bitten und Warnungen von Präsident Joseph
Biden zu Beginn des Sommers vor Ransomware Bedürfen könnte.
"Wir haben den Rückgang der Ransomware
festgestellt und denken, dass dies ein wichtiger Schritt zur
Verringerung des Risikos für Amerikaner ist", fügte Neuberger Anfang
dieses Monats hinzu. "Es könnte eine Vielzahl von Gründen dafür geben,
also stellen wir diesen Trend fest und hoffen, dass sich dieser Trend
fortsetzt."
Es scheint unwahrscheinlich. REvil und andere
Banden tauchten nach dem Labor Day-Wochenende wieder auf. Anfang dieser
Woche starteten russische Hacker von BlackMatter einen
Ransomware-Angriff, der 5,9 Millionen US-Dollar von der Iowa Grain Co-op
New Cooperative forderte - einem kritischen Infrastrukturziel, das für
die US-Lebensmittelversorgung von entscheidender Bedeutung ist.
Unterdessen gaben die Cybersecurity and Infrastructure Security Agency,
die National Security Agency und das FBI am Montag eine gemeinsame
Warnung heraus, dass sie im Laufe der Zeit insgesamt mehr als 400
Angriffe beobachtet haben, die Conti-Ransomware verwenden, die von einer
in Russland ansässigen Ransomware-as-a-Service-Bande verbreitet wird,
die an den Krankenhausangriffen desletzten Jahres beteiligt war.
Die US-Regierung treibt ihre allgemeine
Ransomware-Reaktion voran. Am Dienstag sagte das Finanzministerium, dass
es die Suex-Kryptowährungsbörse wegen ihrer angeblichen Beteiligung an
Lösegeldwäsche sanktionieren würde. Das Finanzministerium sagte auch,
dass alle Ransomware-Opfer die Abteilung kontaktieren sollten, bevor sie
sich entscheiden, ein Lösegeld zu zahlen, um Sanktionen zu vermeiden,
ein Aufruf, der zu den umfassenderen Bemühungen des Weißen Hauses passt,
Opfer dazu zu bringen, offenzulegen, wann sie von Ransomware getroffen
wurden. Die USA haben keinen zentralen Datensatz, der jeden Angriff
widerspiegelt, und Unternehmen ziehen es oft vor, Vorfälle nach
Möglichkeit ruhig zu halten.
Hacker scheinen bereit und willens zu sein,
sich an die Durchsetzungsbemühungen der USA anzupassen. Einige Gruppen
haben begonnen, Opfer proaktiv davor zu warnen, Angriffe an eine
Regierung weiterzugeben, und drohen, gestohlene Dateien freizugeben,
wenn Ziele die Situation melden. Und die Banden haben vielleicht einfach
ihre Zeit im Untergrund genutzt, um Strategien zu entwickeln, neu zu
gruppieren und umzurüsten, während die Auswirkungen hochkarätiger
Angriffe überschlugen.
"Dies ist absolut ein langes Spiel - sobald
eine Gruppe sagt, dass sie weg ist, gibt es eine direkt hinter ihnen, um
einzuschreiten", sagt Katie Nickels, Direktorin für Geheimdienste bei
der Sicherheitsfirma Red Canary. "Und obwohl es im Juli und August so
aussah, als wären die Zahlen vielleicht gesunken, gab es immer noch
tägliche Angriffe und Opferdaten, die täglich auf dunklen Websites
veröffentlicht wurden. Die gute Nachricht ist also, dass die
US-Regierung Maßnahmen zu ergreifen scheint und dies zu einer Priorität
macht; es ist einfach zu früh, um den Sieg zu erklären."
https://www.wired.com/story/ransomware-revil-blackmatter-surge/
