Cybercrime: Erpressung auf neuem Niveau

17.08.2020 08:00 Uhr Jürgen Schmidt

Ein Cybercrime-Kartell tritt an, das infame Duo Emotet/Trickbot an Gemeinheit und Raffinesse noch zu übertreffen.

Die beiden Banden hinter Emotet und Trickbot machten das Erpressen von Firmen zum Goldesel der organisierten Kriminalität. Mit Methoden, die man bis dato nur bei gezielten Angriffen (Advanced Persistent Threats, APT) gesehen hatte, erpressten sie vielstellige Summen von Unternehmen und Organisationen – und das gleich serienweise. Wie sie dabei vorgehen, erklärt der Artikel Emotet, Trickbot, Ryuk – ein explosiver Malware-Cocktail. [1]

Die Konkurrenz legt jedoch nach und schraubt die Gefahr für Unternehmen mit ihren Methoden auf ein noch höheres Niveau. Erpressungssummen in Millionenhöhe sind dabei nicht selten. Maze, Ragnar Locker, REvil, Doppelpaymer und Co. haben sich nämlich ebenfalls auf das Erpressen von Firmen und Organisationen spezialisiert. Und sie konnten in den letzten Monaten einige spektakuläre Coups landen.

Am Dienstag, den 18.8.2020 diskutieren der Autor des Artikels Jürgen Schmidt und Heise-Justitiar Jörg Heidrich mit interessierten Security-Professionals über das Thema "Cybercrime: Erpressung auf neuem Niveau". Alle Mitglieder von heise Security Pro [2] sind herzlich eingeladen.

So zahlte Garmin Ende Juli nach einer Infektion mit der Ransomware WastedLocker vermutlich mehrere Millionen US-Dollar in Bitcoin, um ihre IT-Infrastruktur wieder in Betrieb nehmen zu können. Der US-amerikanische Reiseoganisator CWT machte 4,5 Millionen US-Dollar locker. Und die bekannt gewordenen Fälle sind – wie immer wenn es um Erpressung geht – nur ein vergleichsweise kleiner Teil.

Interessant an dem CWT-Fall ist, dass die Verhandlungen mit Ragnar Locker in einem öffentlich zugänglichen Forum geführt wurden und somit dokumentiert werden konnten. Der auf Twitter veröffentlichte Chat-Verlauf offenbart überaus interessante Einblicke, an denen Kriminal-Psychologen sicher ihre Freude haben. Auffällig ist das fast schon zwanghafte Bemühen beider Seiten um einen professionellen Umgangston. Beide wollen die Erpressungsverhandlungen wie eine ganz normale geschäftliche Transaktion aussehen lassen.

Der angebliche "Support" ist ein Mitglied der Ragnar-Locker-Bande und erklärt die Lösegeldforderungen.

(Bild: **Twitter / Jack Stubbs [3]**)

Doppelt erpresst

Aber der CWT-Fall ist auch aus technischer Sicht interessant, offenbart er doch eine neue Strategie der Cybercrime-Banden. Die Kriminellen haben nämlich nicht nur auf über 30.000 PCs Daten verschlüsselt. Zuvor haben sie auch 2 Terabyte an internen Firmendaten auf eigene Server hochgeladen.

Das versetzte Ragnar Locker in die Position CWT ein doppeltes "Angebot" zu unterbreiten: Für 10 Millionen US-Dollar würden sie nicht nur die Schlüssel zu den verschlüsselten Daten rausrücken sondern auch noch die gestohlenen Daten von den eigenen Servern löschen.

Deren Veröffentlichung käme die Firma teuer zu stehen, hieß es in dem Erpressungsschreiben. Ragnar Locker drohte nicht nur mit Reputationsverlust sondern auch mit enormen "Prozesskosten", die dann auf das Unternehmen zukämen. Man einigte sich nach einigem Hin- und Her auf das Komplettpaket zum Schnäppchenpreis von 4,5 Millionen in Bitcoin.

Selbst nach dem Scheitern von Verhandlungen geben die Kriminellen nicht auf und versuchen weiter Geld aus den erbeuteten Daten zu pressen. Als sich im Juni das kanadische Unternehmen Agromart weigerte zu zahlen, eskalierte die REvil/Sodinokibi-Gruppe schrittweise.

Zunächst veröffentlichten sie Dokumente mit Listen von Kunden und deren Bestellungen und einige interne Umsatzprognosen. Nachdem Agromart weiter hart blieb, verkündete die REvil-Gang, man werde die Daten nun an Dritte versteigern. Über 22.000 PDF-, Word- und Excel-Dateien stünden zur Auktion – Einstiegsgebot 50.000 US-Dollar; Sofortkauf für 100.000 US-Dollar.

Die REvil-Bande versteigert neuerdings gestohlene Daten. Bei einer amerikanischen Anwaltskanzlei erbeuteten sie angeblich Dokumente von Promis wie Bruce Springsteen und Jessica Simpson.

(Bild: Screenshot)

Wenn der Druck durch gestohlene Geschäftsdaten nicht ausreicht, greifen die Erpresser auch schon mal zu richtig schmutzigen Tricks. So deuteten sie bei Agromart an, dass die gestohlenen Daten dokumentieren, wie Firmenmitarbeiter in Versicherungsbetrug verstrickt seien. In einem anderen Fall drohten Erpresser mit der Veröffentlichung privater E-Mails zum Sex-Leben eines Vorstandsmitglieds und illustrierten das auch gleich mit entsprechenden Bildern. Auch vor Anrufen bei Geschäftspartnern der Betroffenen schrecken die Erpresser nicht zurück.

Dass die Erpresser das mit dem Veröffentlichen der Daten Ernst meinen, mussten erst kürzlich die Firmen Xerox und LG feststellen. Bei beiden war anscheinend bereits im Juni die Cybercrime-Bande Maze eingebrochen. Und nach diversen Ankündigungen veröffentlichte diese auf ihrem eigenen Leak-Portal schließlich Datenpakete mit 26 und 50 GByte, die sie angeblich bei diesen Einbrüchen erbeutet haben will. Die Datensätze enthalten unter anderem Source Code für Firmware.

Die Ryuk-Ransomware brachte der Trickbot-Bande laut FBI bereits über 60 Millionen US$ ein. Doch die Zahlen stammen aus dem Vorjahr; 2020 holte die Konkurrenz deutlich auf.

(Bild: FBI / RSA Conference)

Somit müssen sich Ransomware-Opfer nunmehr nicht nur auf nicht mehr zugängliche Daten einstellen sondern auch darauf, mit den geklauten Daten systematisch erpresst zu werden. Man mag sich gar nicht ausmalen, was da noch alles auf uns zukommen kann.

Der Einbruch – Initial Access

Auch beim Einbruch in die Firmennetze zeigen sich die Cybercrime-Banden kreativ. Während Emotet nach wie vor – und weiterhin sehr erfolgreich – am Dynamit-Phishing festhält, experimentieren die anderen Gangs. Hoch im Kurs steht der Einstieg über unzureichend geschützte RDP-Systeme. Anfang des Jahres schätzte das FBI, dass in den USA etwa 70 Prozent aller Ransomware-Vorfälle mit einem Einbruch via RDP begannen.

Die Ransomware-Gangs knacken die RDP-Systeme dabei oftmals gar nicht selber. Da gibt es spezialisierte Gruppen, die das in großem Stil betreiben und große Mengen kompletter Zugangsdatensätze auf Untergrundmärkten feil bieten. Für Nachschub ist gesorgt: Shodan listet nach wie vor etwa 4,4 Millionen direkt erreichbare RDP-Systeme, über 170.000 davon in Deutschland.

In Untergrundbörsen werden RDP-Zugänge für wenige Dollar pro Datensatz gehandelt. — In Untergrundbörsen werden RDP-Zugänge für ein paar Dollar pro Datensatz gehandelt.

(Bild: Screenshot)

So kaufen Maze & Co bei ihren bevorzugten RDP-Dealern immer wieder mal ein paar hundert Datensätze ein und schauen was sich damit anfangen lässt. Die Rechnung ist simpel: Ein Zugang kostet wenige Dollar und bei Abnahme großer Mengen gibt es darauf großzügige Rabatte. Da lohnt sich die Investition schon, wenn nur ein einziger RDP-Server darunter ist, der sich als Ausgangspunkt für weitere Ausbreitung im Netz und schlussendlich eine Erpressungskampagne eignet (mehr dazu in Remote Desktop via RDP: Liebstes Kind der Cybercrime-Szene [4]).

Ebenfalls ein beliebtes Einstiegstor sind VPN-Zugänge wie Citrix/NetScaler, Pulse Connect Secure oder Fortigate SSL-VPN. Ganz besonders, wenn diese auch noch bekannte Sicherheitslücken wie CVE-2019-11510 [5] und CVE-2019-19781 [6] aufweisen, die manche Firmen immer noch nicht geschlossen haben. Alternativ muss eben Credential Stuffing herhalten. Dabei probieren die Kriminellen anderweitig gestohlene Zugangsdaten systematisch durch, um Zugang zu Firmenressourcen zu erlangen.

Im Visier stehen dabei natürlich nicht nur RDP und VPN sondern alle aus dem Netz erreichbaren Firmen-Ressourcen: Von E-Mail über SSH bis hin zur Administration des CMS oder Social-Media-Zugänge. Mit einem Fuß in der Tür nutzen die Angreifer dann alle denkbaren Methoden, sich von dort aus weiter vorzuarbeiten.

Der menschliche Faktor

Entscheidend ist, dass im Folgenden die einfachen, automatisierten Angriffe durch menschliche Aktivitäten ergänzt werden. Das heißt konkret: Da meldet sich früher oder später ein geschulter Hacker auf dem infiltrierten System an und untersucht es systematisch nach Möglichkeiten, sich weiter auszubreiten.

Zunächst versucht er, Administrator-Rechte zu erlangen. Ihm steht dazu ein so breites Arsenal an bekannten Schwachstellen und Konfigurationsfehlern zur Verfügung, dass das häufig gelingt. Darüber hinaus durchforstet er das System nach Zugangsdaten und hangelt sich dann mit diesen im Netz weiter.

Microsoft beschreibt die typische Vorgehensweise einer motivierten Cybercrime-Gang, bevor sie Daten verschlüsseln.

(Bild: Microsoft)

Eine besondere Gefahr sind dabei Angriffe auf die Windows-Netzwerk-Infrastruktur wie Pass-the-Hash-Angriffe und Kerberos Golden Tickets. Deren Ziel ist es, Administrator-Rechte im Actice Directory zu erlangen und sich somit zum quasi allmächtigen Herrscher im Windows-Netz aufzuschwingen. Viele einfach aufgebaute Windows-Netze haben diesem Lateral Movement der Cyberkriminellen wenig entgegen zu setzen.

Bei diesen Aktivitäten setzen Ransomware-Gangs gerne bekannte Angriffswerkzeuge ein, die ursprünglich für professionelles Penetration-Testing und die Simulation von APT-Angriffen entwickelt wurden. Dazu gehören Weiterentwicklungen von Mimikatz (Credential Theft), PowerSploit, Powershell Empire (mächtige Powershell-Frameworks) und Cobalt Strike [7] (kommerzielle Pen-Testing-Lösung, ähnlich wie Metasploit).

Angriffe ohne Malware

Bei aktuellen Angriffen kommen auch vermehrt dateilose Techniken zum Einsatz, die sich die Cybercrime-Banden wie auch bereits das Lateral Movement bei den APT-Akteuren abgeschaut haben. Der Zugriff erfolgt dann über gestohlene oder geknackte Zugangsdaten und die anschließenden Aktivitäten nutzen vor allem Windows-Bordmittel wie die Kommandozeile, Powershell und WMI oder legitime Admin-Tools wie psexec.

Spezieller Angriffscode liegt dabei nur in verschlüsselten Dateien vor und wird erst zur Laufzeit im Arbeitsspeicher entpackt. Das Passwort dazu muss der Angreifer im Zweifelsfall separat eingeben. Der Vorteil dieser Techniken ist, dass kein Schadcode auf der Festplatte landet, wo ihn Sicherheits-Software entdecken könnte.

Diese Aktivitäten sind damit für Antiviren-Software und andere Security-Tools, die sich auf Dateien konzentrieren, quasi unsichtbar. Auch eine nachträgliche forensische Analyse, die das Geschehen aufklären soll, läuft ins Leere, wenn nicht explizit der Arbeitsspeicher des infizierten Systems gesichert wurde, um den mit entsprechenden Tools zu analysieren.

Erpressung as a Service

Als wäre all dies nicht schon schlimm genug, droht eine weitere Eskalation der Situation durch mehr Zusammenarbeit im Untergrund. So bieten Cybercrime-Banden für Einsteiger "Rasomware as a Service" (RaaS) auf Basis des Erpressungs-Trojaners Dharma. Die Security-Firma Sophos berichtet [8], wie die Kriminellen ihre Affiliates mit den benötigten Tools, Skripten und einer anfängerfreundlichen Malen-nach-Zahlen-Bedienungsanleitung inklusive technischem Support versorgen.

"Have fun, bro!" – im Rahmen ihrer Ransomware-as-a-Service-Dienste helfen die Kriminellen Einsteigern mit Skripten und Tool-Sammlungen.

Die Newbies machen die schmutzige Arbeit des Einbrechens in die Netze der Firmen bevorzugt via RDP bis hin zum Verschlüsseln der Daten. Die RaaS-Bande betreibt im Hintergrund die benötigte Infrastruktur. Nur sie können die zum Freigeben der verschlüsselten Daten benötigten Schlüssel bereitstellen. So stellen sie sicher, dass ihre "Affiliates" auch regelmäßig ihre Lizenzgebühren zahlen. Kommt es allerdings zu "Verstimmungen" zwischen den Gaunern, ist das Opfer der Dumme, weil er keine Schlüssel mehr bekommt.

Die Akteure, die Dharma einsetzen, sind in der Regel deutlich weniger versiert, als ihre großen Vorbilder Maze und Trickbot und konzentrieren ihre Aktivitäten vor allem auf kleine und mittlere Unternehmen. Entsprechend fallen die geforderten Lösegelder mit im Schnitt rund 8.000 US-Dollar deutlich niedriger aus. Doch wegen der niedrigen Einstiegshürden steigt die Zahl der Dharma-Erpresser rapide. Die Gewinne sind verlockend und außer ein paar grundlegenden IT-Kenntnissen und einem verrutschten moralischen Kompass braucht es keine weitere Qualifikation.

Das Erpresser-Kartell

Doch auch die großen Banden haben die Vorteile der Zusammenarbeit entdeckt und schließen sich zu richtigen Kartellen zusammen. So hat Maze gerade verkündet, dass sich nach der weniger bekannten LockBit-Gruppe jetzt auch Ragnar Locker dem sogenannten Maze-Kartell angeschlossen habe. Und prompt erschien auf der Maze-Plattform auch der Datensatz eines Erpressungsopfers unter dem Label

"Maze Cartel provided by Ragnar"

Das ergibt durchaus Sinn. Maze betreibt eine eigene Data-Leak-Plattform, über die die Kriminellen die gestohlenen Daten veröffentlichen – inklusive diverser Mirror-Sites. LockBit hatte bislang nichts vergleichbares. Ragnar Locker nutzte bei seinen "Veröffentlichungen" den Cloud-Speicher von Mega und war damit abhängig von deren Untätigkeit. Im Kartell teilt Maze offenbar die Plattform – vermutlich gegen eine kleine Gebühr.

Die Erpresserbande Maze betreibt ihre eigene "Enthüllungsplattform". — Zynischer gehts kaum: Die Erpresserbande Maze betreibt ihre eigene "Enthüllungsplattform" und bezeichnet die Erpressten als "Clients".

(Bild: Screenshot)

Bislang ist nicht bekannt, wie weit diese Zusammenarbeit im Maze-Kartell geht. Wenn man dort auch Techniken, Tools und Erfahrungen austauscht, könnte das durchaus zu einer weiteren Professionalisierung der Szene führen.

So hat etwa Ragnar Locker erst kürzlich eine neue Technik eingesetzt, die auch andere Cybercrime-Banden interessieren könnte: Sie haben auf dem System des Opfers extra eine Virtuelle Maschine zum Verschlüsseln der Daten eingerichtet. Sie installierten dazu eine Version von VirtualBox und ein Image mit einem aufs notwendigste gestrippten Windows XP inklusive vorinstallierter Ransomware namens vrun.exe

Die Pfade mit den zu verschlüsselnden Daten wurden dabei innerhalb der VM als Laufwerke gemountet. Die arbeitet die Ransomware dann innerhalb einer Schleife systematisch ab. Antiviren-Hersteller Sophos vermutet [9], dass es dabei darum geht, Heuristiken und Verhaltensüberwachung auf dem Host-System auszutricksen. Diese könnten die verdächtigen Dateizugriffe der Ransomware erkennen und stoppen, beziehungsweise vor dem Löschen der Daten Kopien anlegen. So erfolgen die Dateizugriffe ausschließlich durch den scheinbar legitimen VM-Host-Prozess VboxHeadless.exe und erregen keinen Verdacht.

Worauf ich damit hinaus will ist: Ganz egal ob das jetzt ein technischer Durchbruch ist oder nicht: Durch den Austausch innerhalb des Kartells könnten solche Innovationen zukünftig viel schneller umgesetzt, evaluiert und im Erfolgsfall in großem Maßstab eingesetzt werden. Es wird also höchste Zeit, dass auch die Verteidiger mehr und enger zusammenarbeiten.

(ju [10])

URL dieses Artikels:
https://www.heise.de/-4867430

Links in diesem Artikel:
[1] https://www.heise.de/hintergrund/Emotet-Trickbot-Ryuk-ein-explosiver-Malware-Cocktail-4573848.html
[2] https://www.heise.de/heisec-pro
[3] https://twitter.com/jc_stubbs/status/1289199572137283585
[4] https://www.heise.de/hintergrund/Remote-Desktop-RDP-Liebstes-Kind-der-Cybercrime-Szene-1-4-4700048.html
[5] https://www.heise.de/news/Liste-mit-900-VPN-Firmenzugaengen-in-Erpresserforum-veroeffentlicht-4863761.html
[6] https://www.heise.de/news/Sicherheitsluecke-Immer-mehr-oeffentlich-erreichbare-Citrix-Systeme-sind-gepatcht-4654961.html
[7] https://attack.mitre.org/software/S0154/
[8] https://news.sophos.com/en-us/2020/08/12/color-by-numbers-inside-a-dharma-ransomware-as-a-service-attack/
[9] https://news.sophos.com/en-us/2020/05/21/ragnar-locker-ransomware-deploys-virtual-machine-to-dodge-security/
[10] mailto:ju@ct.de