Ein Cybercrime-Kartell tritt an, das infame Duo Emotet/Trickbot an Gemeinheit und Raffinesse noch zu übertreffen.

 

Die beiden Banden hinter Emotet und Trickbot machten das Erpressen von Firmen zum Goldesel der organisierten Kriminalität. Mit Methoden, die man bis dato nur bei gezielten Angriffen (Advanced Persistent Threats, APT) gesehen hatte, erpressten sie vielstellige Summen von Unternehmen und Organisationen – und das gleich serienweise. Wie sie dabei vorgehen, erklärt der Artikel Emotet, Trickbot, Ryuk – ein explosiver Malware-Cocktail.

Die Konkurrenz legt jedoch nach und schraubt die Gefahr für Unternehmen mit ihren Methoden auf ein noch höheres Niveau. Erpressungssummen in Millionenhöhe sind dabei nicht selten. Maze, Ragnar Locker, REvil, Doppelpaymer und Co. haben sich nämlich ebenfalls auf das Erpressen von Firmen und Organisationen spezialisiert. Und sie konnten in den letzten Monaten einige spektakuläre Coups landen.

So zahlte Garmin Ende Juli nach einer Infektion mit der Ransomware WastedLocker vermutlich mehrere Millionen US-Dollar in Bitcoin, um ihre IT-Infrastruktur wieder in Betrieb nehmen zu können. Der US-amerikanische Reiseoganisator CWT machte 4,5 Millionen US-Dollar locker. Und die bekannt gewordenen Fälle sind – wie immer wenn es um Erpressung geht – nur ein vergleichsweise kleiner Teil.

Interessant an dem CWT-Fall ist, dass die Verhandlungen mit Ragnar Locker in einem öffentlich zugänglichen Forum geführt wurden und somit dokumentiert werden konnten. Der auf Twitter veröffentlichte Chat-Verlauf offenbart überaus interessante Einblicke, an denen Kriminal-Psychologen sicher ihre Freude haben. Auffällig ist das fast schon zwanghafte Bemühen beider Seiten um einen professionellen Umgangston. Beide wollen die Erpressungsverhandlungen wie eine ganz normale geschäftliche Transaktion aussehen lassen.

Aber der CWT-Fall ist auch aus technischer Sicht interessant, offenbart er doch eine neue Strategie der Cybercrime-Banden. Die Kriminellen haben nämlich nicht nur auf über 30.000 PCs Daten verschlüsselt. Zuvor haben sie auch 2 Terabyte an internen Firmendaten auf eigene Server hochgeladen.

Das versetzte Ragnar Locker in die Position CWT ein doppeltes „Angebot“ zu unterbreiten: Für 10 Millionen US-Dollar würden sie nicht nur die Schlüssel zu den verschlüsselten Daten rausrücken sondern auch noch die gestohlenen Daten von den eigenen Servern löschen.

Deren Veröffentlichung käme die Firma teuer zu stehen, hieß es in dem Erpressungsschreiben. Ragnar Locker drohte nicht nur mit Reputationsverlust sondern auch mit enormen „Prozesskosten“, die dann auf das Unternehmen zukämen. Man einigte sich nach einigem Hin- und Her auf das Komplettpaket zum Schnäppchenpreis von 4,5 Millionen in Bitcoin.

Selbst nach dem Scheitern von Verhandlungen geben die Kriminellen nicht auf und versuchen weiter Geld aus den erbeuteten Daten zu pressen. Als sich im Juni das kanadische Unternehmen Agromart weigerte zu zahlen, eskalierte die REvil/Sodinokibi-Gruppe schrittweise.

Zunächst veröffentlichten sie Dokumente mit Listen von Kunden und deren Bestellungen und einige interne Umsatzprognosen. Nachdem Agromart weiter hart blieb, verkündete die REvil-Gang, man werde die Daten nun an Dritte versteigern. Über 22.000 PDF-, Word- und Excel-Dateien stünden zur Auktion – Einstiegsgebot 50.000 US-Dollar; Sofortkauf für 100.000 US-Dollar.

Wenn der Druck durch gestohlene Geschäftsdaten nicht ausreicht, greifen die Erpresser auch schon mal zu richtig schmutzigen Tricks. So deuteten sie bei Agromart an, dass die gestohlenen Daten dokumentieren, wie Firmenmitarbeiter in Versicherungsbetrug verstrickt seien. In einem anderen Fall drohten Erpresser mit der Veröffentlichung privater E-Mails zum Sex-Leben eines Vorstandsmitglieds und illustrierten das auch gleich mit entsprechenden Bildern. Auch vor Anrufen bei Geschäftspartnern der Betroffenen schrecken die Erpresser nicht zurück.

Dass die Erpresser das mit dem Veröffentlichen der Daten Ernst meinen, mussten erst kürzlich die Firmen Xerox und LG feststellen. Bei beiden war anscheinend bereits im Juni die Cybercrime-Bande Maze eingebrochen. Und nach diversen Ankündigungen veröffentlichte diese auf ihrem eigenen Leak-Portal schließlich Datenpakete mit 26 und 50 GByte, die sie angeblich bei diesen Einbrüchen erbeutet haben will. Die Datensätze enthalten unter anderem Source Code für Firmware.

Somit müssen sich Ransomware-Opfer nunmehr nicht nur auf nicht mehr zugängliche Daten einstellen sondern auch darauf, mit den geklauten Daten systematisch erpresst zu werden. Man mag sich gar nicht ausmalen, was da noch alles auf uns zukommen kann.

Auch beim Einbruch in die Firmennetze zeigen sich die Cybercrime-Banden kreativ. Während Emotet nach wie vor – und weiterhin sehr erfolgreich – am Dynamit-Phishing festhält, experimentieren die anderen Gangs. Hoch im Kurs steht der Einstieg über unzureichend geschützte RDP-Systeme. Anfang des Jahres schätzte das FBI, dass in den USA etwa 70 Prozent aller Ransomware-Vorfälle mit einem Einbruch via RDP begannen.

Die Ransomware-Gangs knacken die RDP-Systeme dabei oftmals gar nicht selber. Da gibt es spezialisierte Gruppen, die das in großem Stil betreiben und große Mengen kompletter Zugangsdatensätze auf Untergrundmärkten feil bieten. Für Nachschub ist gesorgt: Shodan listet nach wie vor etwa 4,4 Millionen direkt erreichbare RDP-Systeme, über 170.000 davon in Deutschland.

So kaufen Maze & Co bei ihren bevorzugten RDP-Dealern immer wieder mal ein paar hundert Datensätze ein und schauen was sich damit anfangen lässt. Die Rechnung ist simpel: Ein Zugang kostet wenige Dollar und bei Abnahme großer Mengen gibt es darauf großzügige Rabatte. Da lohnt sich die Investition schon, wenn nur ein einziger RDP-Server darunter ist, der sich als Ausgangspunkt für weitere Ausbreitung im Netz und schlussendlich eine Erpressungskampagne eignet (mehr dazu in Remote Desktop via RDP: Liebstes Kind der Cybercrime-Szene).

Ebenfalls ein beliebtes Einstiegstor sind VPN-Zugänge wie Citrix/NetScaler, Pulse Connect Secure oder Fortigate SSL-VPN. Ganz besonders, wenn diese auch noch bekannte Sicherheitslücken wie CVE-2019-11510 und CVE-2019-19781 aufweisen, die manche Firmen immer noch nicht geschlossen haben. Alternativ muss eben Credential Stuffing herhalten. Dabei probieren die Kriminellen anderweitig gestohlene Zugangsdaten systematisch durch, um Zugang zu Firmenressourcen zu erlangen.

Im Visier stehen dabei natürlich nicht nur RDP und VPN sondern alle aus dem Netz erreichbaren Firmen-Ressourcen: Von E-Mail über SSH bis hin zur Administration des CMS oder Social-Media-Zugänge. Mit einem Fuß in der Tür nutzen die Angreifer dann alle denkbaren Methoden, sich von dort aus weiter vorzuarbeiten.

Quelle: heise.de