Sicherheitsforscher inflitriert Ransomware-Bande

Das ist die gefährlichste Hackerbande, die auch in der Schweiz wütet

Uhr
von Daniel Schurter / watson, yzu

Nachdem er über ein Jahr "undercover" mit einer berüchtigten Ransomware-Bande verbrachte, erklärt ein IT-Sicherheitsforscher, wie die Gruppe das Geschäft revolutionierte – und wie sie zu schlagen wäre.

(Source: Chris Yang / Unsplash)
(Source: Chris Yang / Unsplash)

Es sind spannende Enthüllungen und explosive Feststellungen, die der IT-Sicherheitsforscher Jon DiMaggio in einem aktuellen Bericht macht: Dem Amerikaner ist es gelungen, eine der weltweit gefährlichsten Ransomware-Banden zu infiltrieren. Gemeint ist LockBit – eine kriminelle Vereinigung, deren Anführer mutmasslich in Russland sitzt.

Auch in der Schweiz haben die Hacker seit Anfang Jahr bereits wiederholt zugeschlagen. Und letzte Woche sorgte LockBit mit einer Attacke auf Royal Mail für Schlagzeilen: Der grösste Postzustelldienst Grossbritanniens, der zur kritischen Infrastruktur zählt, wurde schwer getroffen. Das Unternehmen musste den internationalen Versand einstellen, erlitt einen Image-Schaden und hat noch weit grössere Kosten zu befürchten, sollte es nicht gelingen, die IT-Systeme zeitnah zu «retten».

Doch wer sind die Hacker, die gnadenlos zuschlagen und mit ihren Angriffen auch nicht vor Spitälern und anderen besonders schützenswerten Einrichtungen haltmachen?

Am Montag veröffentlichte DiMaggio den ersten Teil seiner umfangreichen Recherchen zu LockBit und sorgte damit über die IT-Sicherheitsbranche hinaus für Aufsehen. watson fasst die wichtigsten Erkenntnisse zusammen.

Warum ist das wichtig?

LockBit ist in der Welt der Internet-Erpresser an die Spitze aufgestiegen. Im letzten Jahr war die Gruppe für 44 Prozent aller publik gemachten Ransomware-Angriffe verantwortlich.

Dieser ungeheure Erfolg hängt offenbar massgeblich mit der fortschreitenden Professionalisierung zusammen. Der Chef der Bande hat erreicht, dass LockBit fast wie ein normales Unternehmen funktioniert. Es betreibt eine eigene Software-Entwicklungsabteilung und liefert sich mit anderen Banden einen Wettstreit um die schlausten Köpfe.

Der IT-Sicherheitsforscher schreibt, er habe viel Zeit in kriminellen Darknet-Foren und privaten Chatgruppen verbracht, die von Ransomware-Kriminellen genutzt wurden. So sammelte er Insiderwissen über die LockBit-Gang selbst.

"Ich identifizierte die Konten und die Infrastruktur, die von der Bande und den Kriminellen, mit denen sie interagierten, verwendet wurden. Ich konnte die Tools und Ressourcen zur Verwaltung und Durchführung von Angriffen aus der Perspektive des Gegners sehen. Noch wichtiger ist, dass ich etwas über die Meinungen, persönlichen Gewohnheiten, Motivationen und Unsicherheiten der menschlichen Kriminellen hinter der Operation erfuhr."

Was DiMaggios Recherchen bewirken werden, ist offen. Er weist in seinem ausführlichen, lesenswerten Bericht unter anderem auf einen abtrünnigen Programmierer hin, der sich mit der LockBit-Führung zerstritt und eine wertvolle Quelle für jede Ermittlungsbehörde wäre.

Wie konnte er die Bande infiltrieren?

"Um mich auf dieses Projekt vorzubereiten, habe ich Monate damit verbracht, mehrere Online-Identitäten zu entwickeln und ihre Glaubwürdigkeit im Laufe der Zeit zu etablieren, um Zugang zu den Operationen der Bande zu erhalten", sagt DiMaggio.

Seine Beziehung zu LockBit und dessen Anführer begann mit einem gescheiterten Vorstellungsgespräch. Das war 2020 und die Bande suchte Programmierer und Geschäftspartner, sogenannte Affiliates, die in fremde Netzwerke eindringen und die Server der Opfer mit Malware infizieren.

Der US-Amerikaner, der nicht Russisch spricht, bewarb sich auf eine entsprechende (englische) Stellenausschreibung in einem russischen Darknet-Forum. Er habe allerdings nicht damit gerechnet, in diesem Prozess sehr weit zu kommen. «Ich bin kein Hacker», räumt DiMaggio ein.

Trotzdem habe er es in ein virtuelles Vorstellungsgespräch und bis zum LockBit-Einstufungstest geschafft. Damit soll herausgefunden werden, ob Bewerber wirklich die Programmierkünste beherrschen, wie sie behaupten, oder ob es sich um «Skript-Kiddies» handelt, die zu wenig können.

DiMaggio erzählt: "Der Einstufungstest, den sie mir gaben, zeigte, dass ich nicht qualifiziert genug war. Ich hatte auch nicht erwartet, dass ich durchkomme, aber sie [die LockBit-Kriminellen] liessen mich in ihrem TOX-Kanal bleiben."

TOX ist ein verschlüsselter Messaging-Dienst, den viele Cyberkriminelle für den sicheren Austausch bevorzugen. Ein Grossteil der weltweiten Ransomware-Verhandlungen findet gemäss den Schilderungen DiMaggios in TOX statt.

Und nun konnte er also im TOX-Kanal von LockBit den Cyberkriminellen quasi live bei der Arbeit zuschauen.

Damit nicht genug, gelang es dem Sicherheitsforscher, in einen privaten Kanal der Gruppe vorzudringen, indem er dem gewaltigen Ego des LockBit-Anführers schmeichelte.

Zu diesem Bandenchef, der online unter dem Pseudonym «LockBitSupp» chattet, meint DiMaggio: "Er betreibt es als Unternehmen und deshalb glaube ich, dass er so viel Zeit in kriminellen Foren verbringt, um zu interagieren, zu reden und zugänglich zu sein. Er möchte, dass LockBit beliebt und leicht zugänglich ist."

Was macht LockBit so erfolgreich?

Bekanntlich kooperieren Ransomware-Banden mit Subunternehmen oder Partnern («Affiliates»). Dabei handelt es sich um spezialisierte Personen, die möglicherweise besonders gut darin sind, nach IT-Schwachstellen zu suchen oder bestimmte Arten von Netzwerken zu knacken. Oder sie verfügen über Insider-Informationen zu potenziellen Opfern.

Sicher ist: Ohne solche «Partner in Crime» würden nicht dermassen viele Ransomware-Attacken stattfinden.

Hier stellt sich aber auch die grösste Herausforderung aus Sicht der Kriminellen: Wie lässt sich gewährleisten, dass alle Beteiligten ihren Anteil an der Beute erhalten?

"Nicht bezahlt zu werden, war ein Problem, über das viel gesprochen wurde und in diesen kriminellen Foren immer noch viel gesprochen wird", sagt DiMaggio.

Also habe der LockBit-Anführer «das Drehbuch» gewechselt und den Partnern die Verantwortung übertragen.

Seither führen die Partner selbst die Angriffe aus, wobei sie die LockBit-Infrastruktur nutzen, dann verhandeln sie selbstständig mit den Opfern – natürlich über das Chat-System von LockBit – und kassieren das Lösegeld. Am Ende erhalte LockBit einen prozentualen Anteil der erpressten Summe.

Nachdem dieses für die Ransomware-Community neue Vorgehen eingeführt war und LockBit seine eigene Software aktualisiert und benutzerfreundlich gestaltet hatte, rannten interessierte Partner der Bande die Tür ein, so DiMaggio.

Die über das Darknet zugängliche LockBit-Software ermögliche es, Ransomware-Angriffe äusserst schnell und effizient durchzuführen. Dafür sei weitaus weniger technisches Fachwissen erforderlich als jemals zuvor. Es handle sich um eine einfach zu bedienende «Angriffskonsole», die für die kriminellen Partner von LockBit sehr viele Optionen biete.

Auf der über die Anonymisierungs-Software Tor zugänglichen Leak-Site versucht die LockBit-Bande derweil, interessierte Kriminelle für das Partnerprogramm zu gewinnen.

Dort heisst es: "Nach vielen Jahren Erfahrung sind wir zu dem Schluss gekommen, dass der effektivste Weg, einen Kandidaten für den Beitritt zu testen, eine Einzahlung ist. Wenn Sie beitreten, hinterlegen Sie 1 Bitcoin in unserem Wallet, in der Tat, dieser Betrag ist ein Vorschuss und wird bei Ihren späteren Zahlungen als Zahlung für unseren 20-Prozent-Anteil verwendet werden. (...) Diese Prozedur ist nur einmal erforderlich, nur wenn Sie dem Partnerprogramm beitreten. Durch die Einzahlung werden unsichere Neulinge, Polizisten, FBI-Agenten, Journalisten, White Hater, Web-Pentester, Konkurrenten und andere kleine Schädlinge aussortiert."

Was sind die wichtigsten Erkenntnisse zur LockBit-Bande?

Der Bericht von DiMaggio enthält unglaublich viele Details, aber auch aufschlussreiche Schlussfolgerungen. Im Folgenden werden einige der wichtigsten Punkte wiedergegeben:

  • Die Community der Ransomware-Kriminellen sei viel kleiner, als die meisten Leute denken, so DiMaggio.
  • Das Stehlen sensibler Daten und die anschliessende Drohung, diese Dateien zu verkaufen oder zu leaken, seien oft schädlicher als die Verschlüsselung der Systeme mit Ransomware. LockBit habe ein eigenes Daten-Exfiltrationstool namens «StealBit» entwickelt, das allen Partnern zur Verfügung stehe und äusserst schnell sei.
  • LockBit interagiere und kommuniziere mit anderen bekannten Ransomware-Banden, darunter DarkSide/BlackMatter, BlackCat, REvil, Hive und BlackBasta. Die Beziehungen seien kontrovers, laut DiMaggio scheinen sich die Verantwortlichen persönlich zu kennen und über direkte Kommunikationswege miteinander zu verfügen.
  • LockBit gehe davon aus, dass die konkurrierenden Ransomware-Banden Conti und BlackBasta heimlich für die russische Regierung arbeiteten und sie unterstützt hätten. Die LockBit-Führung glaube, dass sie mit dem russischen Inlandsgeheimdienst FSB kooperierten.
  • In den letzten sechs Monaten habe die LockBit-Führung mehrere «Verleumdungskampagnen» gegen rivalisierende Banden durchgeführt. Dabei seien legitime Informationen und Ereignisse genutzt worden, um in Untergrundforen den Ruf der Konkurrenten zu beschädigen.
  • Die LockBit-Führung behauptet, dass sie in erster Linie Bitcoin-Börsen in Hongkong und China nutze, um das erbeutete Geld zu waschen. Man vertritt die Ansicht, dass Chinas feindschaftliches Verhältnis zu den USA die Durchführung von Geldwäscheoperationen sicherer mache.
  • Weiter sagte die Führung von LockBit, dass sie über Starlink, einen US-Satelliten-Internetdienst von SpaceX, auf ihre Backend-Infrastruktur zugreife. Offenbar nehmen die Verantwortlichen an, dass sie dadurch schwerer aufzuspüren seien, weil die vom Satellitennetzwerk zugewiesene Internet-Adresse (IP) ein grösseres Gebiet umfasse.
  • Es sei extrem selten, dass Cyberkriminelle eine echte, nicht veröffentlichte Zero-Day-Schwachstelle nutzen, schreibt DiMaggio. LockBit sei jedoch «ein einzigartiger Gegner», der im Juli 2022 einen Angriff durchführte, bei dem eine bisher unbekannte Schwachstelle in einigen Versionen von Microsoft-Exchange-Servern ausgenutzt wurde.
  • Als LockBit einem grossen und renommierten IT-Sicherheitsunternehmen damit drohte, die gestohlenen Daten zu veröffentlichen, reagierten die Betroffenen mit einem massiven Server-Überlastungs-Angriff (DDoS), der die Infrastruktur von LockBit lahmlegte. Die Kriminellen zogen daraus zwei Schlüsse: Sie verstärkten ihre Infrastruktur und kündigten an, in Zukunft ebenfalls DDoS-Attacken gegen Opfer zu führen, die nicht bezahlen wollen.
  • Laut LockBit-Anführer ist der Entwickler der DarkSide-Ransomware dieselbe Person, die die Ransomware BlackMatter und LockBit (3.0) entwickelt hat. Zuvor sei er für Fin7 tätig gewesen, eine berüchtigte russische Cyberkriminalitätsgruppe, die viele Ziele in den USA attackierte.
  • Dieser Entwickler sei mit vielen hochrangigen Cyberkriminellen verbunden und wäre gemäss DiMaggios Analyse ein lohnenswertes Ziel für Strafverfolgungs- und Geheimdienstoperationen. Darüber hinaus könnte der mutmassliche Russe aus erster Hand «Kenntnis von der Identität wichtiger Mitglieder mehrerer osteuropäischer Cybercrime-Syndikate haben». DiMaggios Bericht enthält eine relativ genaue Charakterisierung der besagten Person.

Was wissen wir über den Anführer von LockBit?

Die Person, die die LockBit-Ransomware-Operation leite, verwende häufig das Online-Pseudonym "LockBitSupp". Sie zeige narzisstische Züge und versuche, mit spektakulären Aktionen ein ständig wachsendes Ego zu nähren.

Nachdem DiMaggio über ein Jahr damit verbracht hatte, in Chatrooms zu lauschen, Fragen zu stellen und die Interaktionen zwischen LockBitSupp und anderen in der Ransomware-Community zu beobachten, glaubt er Folgendes über den mutmasslichen Anführer der Bande zu wissen:

  • Er sei ein weisser Mann, Mitte bis Ende 30, der in Russland oder Osteuropa lebe. Er sei in armen Verhältnissen aufgewachsen und das sei zentral, um ihn zu verstehen.

Laut DiMaggio sieht sich der LockBit-Anführer "als Prinz der Dunkelheit, wie ein Batman-Bösewicht", der darauf aus sei, Zerstörung zu säen. Deshalb eskaliere er immer.

Die Sache mit sogenannten Superschurken sei allerdings, dass sie im Grunde persönliche Probleme hätten. Bei all ihrer Tapferkeit seien sie unsicher. Und der LockBit-Anführer sei – vielleicht weniger überraschend – "super paranoid".

"Er kann nicht an Orte reisen. Er kann nicht in die Ferien fahren oder bestimmte Gebiete der Welt verlassen", führt DiMaggio aus.

Und wegen all dem scheine er – trotz des vielen Geldes, das sein illegales Tun einbringt – nicht glücklich zu sein.

Der LockBit-Anführer sage, er speichere alle sensiblen Daten zu den kriminellen Aktionen auf zwei Datenträgern. Diese Laufwerke würden getrennt voneinander gelagert, um zu verhindern, dass sich jemand Zugang verschaffe.

Zum einen trage er einen Flash-Speicher-Stick an einer Halskette und sei bereit, diesen Datenträger sofort zu zerstören. Der andere SSD-Speicher werde an einem nicht näher bekannten, «entfernten» Ort sicher aufbewahrt.

In den letzten Monaten hat es laut DiMaggio in der Ransomware-Community eine zunehmend negative Stimmung gegenüber LockBitSupp gegeben. Die Abneigung rührt von seinen arroganten Kommentaren in kriminellen Untergrund-Foren und von fragwürdigen Medieninterviews her.

Viele Kriminelle verurteilten das auffällige Gebaren des LockBit-Anführers, der damit Partner anwerben wolle. Darüber hinaus hätten viele die aufsehenerregenden Werbegags satt, wie etwa das Bezahlen für LockBit-Tätowierungen.

Tatsächlich boten die LockBit-Verantwortlichen in Untergrund-Foren bis zu 1000 Dollar für solche «Kunstwerke». Zahlreiche auf Social-Media-Plattformen verbreitete Fotos belegten, dass es Männer und Frauen gab, die sich das rot-weiss-schwarze Retro-Logo der Bande in die Haut stechen liessen.

Andere Ransomware-Banden, die einst eine führende Position innehatten, wie Maze, REvil und Conti, seien schliesslich alle gestürzt. Den Akteuren sei gemeinsam, dass ihre Egos ausser Kontrolle gerieten und ihre Gier sie ins Verderben trieb.

Unabhängig davon erachtet es DiMaggio als unwahrscheinlich, dass der LockBit-Anführer jemals verhaftet werde oder Zeit in einer Gefängniszelle verbringe.

In Wirklichkeit sei dessen grösste Sorge, dass ihn die eigene Regierung finde, sein Kryptowährungs-Vermögen beschlagnahme und die Bande dazu zwinge, die militärischen oder staatlichen Cyber-Operationen zu unterstützen.

Dies könnte ein Grund dafür sein, weshalb der LockBit-Anführer behaupte, gar nicht mehr in Russland ansässig zu sein. Im Laufe von DiMaggios Nachforschungen habe er davon gesprochen, in China, den Niederlanden, Hongkong und sogar in den USA zu leben. Das dürften aber alles Ablenkungsmanöver gewesen sein. Der Ort, über den er am wenigsten sprach, nämlich Russland, sei höchstwahrscheinlich sein heutiger Aufenthaltsort.

Wie ist die russische Ransomware-Bande zu schlagen?

Das Problem: Die Kriminellen seien geschützt und für die Strafverfolgungsbehörden unerreichbar, es sei denn, sie verliessen Russland und würden in einem Land gefasst, das die Auslieferung an die Vereinigten Staaten erlaube.

DiMaggio vertritt deshalb die Haltung, dass es ein viel aggressiveres Vorgehen der westlichen Staaten braucht. Und zwar gegen LockBit und weitere russische Banden, die sich auf 'Ransomware as a Service' (RaaS) spezialisiert haben. "Meiner Meinung nach müssen wir Operationen zur Informationskriegsführung durchführen, die darauf abzielen, Propaganda und Fehlinformationen in Dark-Web-Foren einzuschleusen, die von Ransomware-Kriminellen genutzt werden."

Ziel müsste es sein, dass die Kriminellen das Vertrauen in einen RaaS-Anbieter verlieren und in der Folge nicht mehr für ihn arbeiten, argumentiert der Sicherheitsforscher. "Paranoia, Misstrauen und Bedenken hinsichtlich Umsatzeinbussen sind bei Ransomware-Partnern weit verbreitet. Wir müssen mit dieser Angst spielen."

Zum Schluss seines Berichts hält DiMaggio fest: "Unabhängig davon, wie wir das Problem angehen, ist eines sicher: Was wir jetzt tun, funktioniert nicht, und es ist Zeit für einen Wechsel."

Den vollständigen Bericht von DiMaggio gibt es hier zum nachlesen.

Dieser Artikel erschien zuerst bei "watson.ch".

Webcode
DWUVaawD