Ransomware-Spezial: Where in the world is Maksim Yakubets?
Maksim Yakubets: Haben Sie den Namen des jungen russischen IT-Talents noch nie gehört? Sollten Sie aber, da er mutmaßlich westliche Unternehmen als Drahtzieher der kriminellen Gruppierung REvil erpresst. Die vom amerikanischen Präsidenten Joe Biden mit dem russischen Präsidenten Wladimir Putin angesprochenen Maßnahmen zur Verbesserung der bilateralen Beziehungen im gemeinsamen Kampf gegen Ransomware-Kriminelle wie Maksim Yakubets fruchten ein bisschen – oder auch nicht: Internationale polizeiliche Aktionen fanden bis dato in Bulgarien, Polen, Rumänien, der Schweiz und in der Ukraine statt, aber zu Festnahmen von Kriminellen oder Hausdurchsuchungen in Russland gibt es weiterhin spärliche Berichte. Am 1.11.2021 wurde der russische Kryptounternehmer Denis Dubnikov in Amsterdam festgenommen und Tage später sein Büro im Moskauer Federazija Wolkenkratzer vom Inlandsgeheimdienst der Russischen Föderation F.S.B. durchsucht[1]. Am gleichen Standort von Denis Dubnikovs Büro befindet sich ebenfalls die berüchtigte Kryptobörse SUEX[2], die gemäß Beweisen der amerikanischen Bundespolizei FBI mutmaßlich Kriminelle bei der Geldwäsche von Bitcoins unterstützt, was jetzt logischerweise Fragen aufwirft. Der von INTERPOL gesuchte Cyberkriminelle Sergey Pavlovich wurde zwar in St. Petersburg verhaftet, aber die örtliche Polizei wartete gemäß Augenzeugenberichten freundlicherweise ab, bis er im Luxusrestaurant zuerst sein Mittagessen beendet und sein Bier ausgetrunken hatte[3]. Weiterhin unklar bleibt, ob russische Behörden gegen Yevgeniy Polyanin vorgehen werden, der vom FBI als Geschäftsfreund von Maksim Yakubets und weiterer Drahtzieher hinter REvil vermutet wird. Wer sich jetzt fragt, ob die russische Polizei diese Hacker vielleicht nicht lokalisieren könnte, dem sei folgende investigative Reportage von BBC Russland empfohlen: https://www.youtube.com/watch?v=UG1lJaJsru8 (Spoiler-Alert: Sie wären leicht auffindbar…)
Virtuelle Lösegelderpressungen durch Ransomware betreffen immer mehr einheimische Unternehmen. Oft sind es Angriffe seitens weniger bekannter Ransomware-Krimineller, die auf der Suche nach dem schnellen Geld einfach das Netzwerk eines KMU verschlüsseln, aber keine Datenlecks oder Ankündigungen veröffentlichen. Allzu oft suchen diese betroffenen Unternehmen nach einer schnellen Lösung: Gibt es vielleicht schon einen freien Schlüssel im Internet, der nur mehr eingetippt werden muss? Scheinbar fündig werden diese und andere Betroffene durch Reklamen von IT-Dienstleistern wie Dr. Shifro, Fast Data Recovery, Red Mosquito Data Recovery und einigen anderen. Diese Unternehmen versprechen eine sofortige Wiederherstellung als Dienstleistung, meist gegen Vorauskasse. Diverse Kommentare und Beschwerden in einschlägigen Foren von BleepingComputer und The Register lassen zwielichtige Geschäftspraktiken bereits erahnen. Ein Experte erklärt das Geschäft solcher Dienstleister folgendermaßen[4]:
Sie benutzen (sofern verfügbar) freie Schlüssel aus dem Internet, die von anderen Kunden oder kollaborieren sogar mit den Cyberkriminellen.
In einigen Fällen reduzieren sie als Verhandler die Lösegeldsumme einerseits und verrechnen einen Aufschlag andererseits. Die Leistung eines solchen Escrow/Middleman Service wird von den Kriminellen ebenfalls ungern gesehen – schließlich reduziert es den Gewinn der Kriminellen auf Kosten von Dritten.
Die Dienstleister entschlüsseln gar nichts (weil technisch nicht möglich) und zahlen dafür auch nichts zurück…
Wir raten daher von einer Kontaktaufnahme oder Vorauskasse an Unternehmen wie Dr. Shifro, Fast Data Recovery und Red Mosquito Data Recovery dringend ab.
Trickbot-Emotet-Conti sollte in dieser Form eigentlich nicht existieren, tut es aber seit kurzem wieder: „Globaler Schlag gegen Emotet“, „Botnet zerschlagen“, usw. war oft in diversen Medien im letzten Jahr zu lesen. Technisch gesehen war Trickbot nie ganz verschwunden und wurde im Jahr 2021 bereits mehrfach beobachtet. Um Conti (ehemals Ryuk) war es zwar zeitweise still, aber verschwunden sind die Ransomware-Kriminellen definitiv nicht – zu profitabel ist das Geschäft mit der digitalen Erpressung. Seit Kurzem vermeldete das Web-Blog von Conti unter dem Beitrag „Not Yet Kameraden!“[5], dass die Gruppierung wohlauf und (finanziell) glücklich sei. Expertinnen und Experten gehen aktuell davon aus, dass die kriminelle Gruppierung Conti die Software und Infrastruktur von Emotet übernommen und erneuert haben soll, um weiterhin ihre Ransomware verbreiten zu können. Wir warnen daher kurz vor Weihnachten besonders vor kreativen E-Mails mit Anhängen[6], die Ihre Aufmerksamkeit zu vermeintlichen Guthaben, unbezahlten Zollabgaben von Weihnachtspaketen, Weihnachtsgrüßen oder mit Neuigkeiten von Greta Thunberg angeln und anschließend ihren Rechner infizieren wollen.
Politisch ist die Zuordnung von Ransomware, Sabotage- und Spionage-Schadsoftware ein großes, aber sehr heikles Thema, wenn danach Sanktionen folgen. Die Kampagne „Ghostwriter“ wurde von der US-Sicherheitsfirma Mandiant aktuell der unbekannten Gruppierung UNC1151 zugewiesen[7], die über Artefakte und Indikatoren in der Republik Belarus (Weißrussland) und nicht in Russland vermutet wird. Dies ist jetzt geopolitisch sogar ein bisschen peinlich, weil die Europäische Union genau dafür Russland im September 2020 sanktioniert hatte[8].
Das nächste Update folgt im Dezemer 2021. Interessieren Sie sich für unsere Leistungen in diesem Bereich? Intelligence unterstützt Sie dabei, komplexe Zusammenhänge zu verstehen und Cyber- bzw. wirtschaftliche Risiken zu bewerten. Siehe dazu auch bdo.at/lieferketten und bdo.at/ransomware. Unser Expertenteam mit Lena Knauder, Ewald Kager und Lorenz Szabo steht Ihnen gerne mit Rat und Tat zur Seite.
Unsere Ableitungen der Cyber & Risk Trends entstehen durch eine kontinuierliche Beobachtung öffentlicher Quellen im Internet. Zu den Quellen gehören beispielsweise Web-Blogs bekannter Sicherheitsforscher, Meldungen von Aktivisten/Whistleblowern in sozialen Medien, wissenschaftlichen Publikationen von universitären Einrichtungen, Datenlecks (Leaks) und Daten-/Sicherheitspannen (Breaches), Analysen und technische Indikatoren von Sicherheitsfirmen sowie Expertenmeinungen zu geostrategischen Themen.
[6] Aktuell sind es die Formate .XLSM und .ZIP. Dies kann sich aber jederzeit ändern!