ALPS blog

Festnahme von Mitgliedern der REvil-und Cl0p-Banden

Originalbeitrag von Trend Micro Research, News, and Perspectives

Eine weltweite Koalition aus 19 Strafverfolgungsbehörden und privaten Partnern, darunter Trend Micro, geht auf fünf Kontinenten gegen grosse Ransomware-Betreiber vor. Es wurden insgesamt 13 Verdächtige verhaftet, mutmasslich Mitglieder von zwei weit verbreiteten cyberkriminellen Karellen. Die Operation mit dem Codenamen Quicksand (GoldDust) war eine Zusammenarbeit zwischen Interpol, Europol, Strafverfolgungsbehörden und privaten Unternehmen. Alle Beteiligten trugen zu den vier Jahre dauernden Ermittlungen bei, indem sie Informationen und technisches Fachwissen austauschten.

Einem Bericht von Interpol zufolge konnten sieben Verdächtige, Verbündete oder Partner von GandCrab/REvil festgenommen werden. Die Gruppe ist ein bekanntes Ransomware-Netzwerk, das für mehr als 7.000 Angriffe seit Anfang 2019 verantwortlich gemacht wird. REvil (auch Sodinokibi) und GandCrab, die vermutlich von denselben Personen betrieben werden, handeln mit Ransomware-as-a-Service (Raas) und vermieten Ransomware-Code an andere Cyberkriminelle. Das Schema umfasst das Eindringen in Unternehmen, die Bereitstellung von Ransomware und die Forderung von Lösegeld, wonach die Gewinne mit den übrigen Programmierern geteilt werden.

Ein Bericht von Europol schätzt die Lösegeldforderungen infolge der Angriffe der sieben Verdächtigen seit 2019 auf insgesamt 200 Millionen Euro.

Die weltweite Koalition konnte mehrere Erfolge aufweisen:

  • Verhaftung von drei Verdächtigen durch die koreanischen Strafverfolgungsbehörden im Februar, April und Oktober,
  • Verhaftung eines Mannes, der Ransomware-Angriffe mit der Ransomware GandCrab durchgeführt haben soll, durch die kuwaitischen Behörden,
  • Festnahme zweier Personen durch rumänische Behörden unter dem Verdacht, an Ransomware-Attacken beteiligt gewesen zu sein, die mit mehr als 5.000 Infektionen und Lösegeldzahlungen in Höhe von einer halben Million Euro in Verbindung gebracht werden,
  • Verhaftung eines Mannes unter dem Verdacht, im Juli 2021 den Kaseya-Ransomware-Angriff ausgeführt zu haben. Er wird der Gruppe REvil zugeschrieben, und davon betroffen waren weltweit mehr als 1.500 Menschen und 1.000 Unternehmen.

Trend Micro überwacht GandCrab/REvil

Trend Micro beobachtete diese Malware-Familie bereits seit 2018 genauer, als wir über die Entdeckung von GandCrab v4.3 berichteten, eine Ransomware, die über Spam-E-Mails auf südkoreanische Nutzer abzielte. In den Spam-Mails wurden EGG-Dateien (.egg) verwendet, um die Ransomware GandCrab v4.3 (von Trend Micro als Ransom_GANDCRAB.TIAOBHO erkannt) zu verbreiten. EGG ist ein komprimiertes Archivdateiformat (ähnlich wie ZIP), das in Südkorea weit verbreitet ist.

2019 berichtete Trend Micro über einen weiteren grossen GandCrab-Angriff, und zwar wieder in Südkorea. Spam-Mails mit dem Betreff „Shipped Order Incorrect“ machten die Runde. Die Nachrichten gaben sich als Versandauftragsbenachrichtigungen eines bekannten Kurierdienstes aus und sollten die Empfänger dazu verleiten, den Anhang zu öffnen. Wie beim ersten Angriff war der Mail-Text auf Koreanisch verfasst und enthielt einen RAR-Anhang, mit vorgeblichen Informationen über das Paket.

Die Verhaftung von Cl0p

Ein weiterer Meilenstein für die globale öffentlich-private Allianz zur Zerschlagung von Cyberverbrecherringen stellt die Verhaftung von sechs mutmasslichen Mitgliedern der Ransomware-Gruppe Cl0p dar. Vorausgegangen war eine 30-monatige gemeinsame Untersuchung von Angriffen auf südkoreanische Unternehmen und US-amerikanische Hochschuleinrichtungen. Die Task Force, die auf Ersuchen der südkoreanischen Ermittlungsabteilung für Cyberkriminalität tätig wurde, ermöglichte die Verhaftung der mutmasslichen Bandenmitglieder in der Ukraine. An der Operation im Juni waren Interpol, Europol und Strafverfolgungsbehörden in Südkorea, der Ukraine und den USA beteiligt.

Unter dem Codenamen „Operation Cyclone“ verfolgte die Polizei weltweit die Betreiber der Cl0p-Malware in der Ukraine. Interpol berichtet, dass die Angriffe von Cl0p den Zugang zu ihren Computerdateien und Netzwerken blockierten und anschliessend hohe Lösegelder für die Wiederherstellung des Zugangs forderten. Die Verdächtigen sollen den Transfer und die Auszahlung von Werten an die Ransomware-Gruppe unterstützt und gleichzeitig damit gedroht haben, sensible Daten an die Öffentlichkeit weiterzugeben, falls die Forderungen nach weiteren Zahlungen nicht erfüllt würden.

Es wird vermutet, dass die sechs Verdächtigen in enger Verbindung zu einem russischsprachigen cyberkriminellen Netzwerk stehen, welches dafür bekannt ist, seine Opfer auf einer Tor-Leak-Site namentlich zu nennen und blosszustellen. Aber vor allem sollen sie im Zusammenhang mit mehreren Ransomware-Angriffen mehr als 500 Millionen US-Dollar verdient haben. Die Aktivitäten von Cl0p zielen auf wichtige Infrastrukturen und Branchen wie Transport und Logistik, das Bildungswesen, die verarbeitende Industrie, den Energiesektor, den Finanzsektor, die Luft- und Raumfahrt, die Telekommunikation und das Gesundheitswesen.

Die Operation Cyclone wurde mit Unterstützung und Informationen von Trend Micro und anderen privaten Cybersicherheitsfirmen durchgeführt. Dank der Synergie bei der Informationsbeschaffung konnte die ukrainische Polizei mehr als 20 Häuser, Unternehmen und Fahrzeuge durchsuchen und Eigentum, Computer und Bargeld im Wert von 185.000 US-Dollar beschlagnahmen.

Trend Micro überwacht Cl0p

Cl0p wurde zunächst als eine Variante der CryptoMix-Ransomware-Familie bekannt. 2020 veröffentlichte die Gruppe hinter Cl0p die Daten eines Pharmaunternehmens in ihrem ersten Versuch eines doppelten Erpressungsschemas. Seitdem wurden die Erpressungsmethoden der Gruppe immer ausgefeilter und damit zerstörerischer. Die Betreiber setzen ihr Zielunternehmen unter Druck, indem sie Mails verschicken, um Verhandlungen einzuleiten. Werden die Nachrichten ignoriert, drohen sie damit, gestohlene Daten auf der Leak-Seite „Cl0p^_-Leaks“ zu veröffentlichen und zu versteigern. Darüber hinaus wenden die Betreiber weitere Erpressungstechniken an.

Schutz von Netzwerken und Systemen vor Ransomware

Die Bekämpfung von Ransomware erfordert gemeinsame Bemühungen von Strafverfolgungsbehörden und privaten Unternehmen wie Cybersecurity-Anbietern. Trend Micro arbeitet mit den Strafverfolgungsbehörden zusammen, um sie mit Bedrohungsdaten zu versorgen, die sie für ihre Ermittlungen benötigen.

Um Netzwerke und Systeme vor Ransomware zu schützen, sollten Unternehmen und Benutzer die folgenden bewährten Verfahren befolgen:

  • Vermeiden Sie das Herunterladen von Anhängen und das Anklicken von Links in Mails aus ungeprüften Quellen.
  • Spielen Sie regelmässig Patches und Updates für Betriebssysteme, Programme und Software auf.
  • Erstellen Sie regelmässige Backups von Dateien, indem Sie die 3-2-1-Regel befolgen.
  • Befolgen Sie Sicherheitsrichtlinien wie die des Center of Internet Security und des National Institute of Standards and Technology, um das Gesamtrisiko und die Anfälligkeit für Bedrohungen und Schwachstellen zu verringern, die Ransomware-Betreiber nutzen könnten.

Da Bedrohungsakteure immer auf eine Gelegenheit warten, sich auf das nächste Opfer zu stürzen, kann die Investition in mehrschichtige Detection-and-Response-Lösungen Unternehmen viel Kopfzerbrechen und Kosten ersparen. Trend Micro Vision One™ ist eine Cybersicherheitsplattform, die Einblicke in die frühen Aktivitäten moderner Ransomware-Angriffe bietet, um Ransomware-Komponenten zu erkennen und zu blockieren, sodass Angriffe vereitelt werden, noch bevor Cyberkriminelle sensible Daten exfiltrieren können.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn

Ähnliche News