Pandas im Sandsturm: Das Namenschaos des Cybercrime durchschauen

Inhaltsverzeichnis

Wer regelmäßig IT-Sicherheitsnews liest, kennt LockBit. Na klar, das ist eine extrem erfolgreiche Ransomware, in deren Dunstkreis kürzlich mehrere Personen verhaftet und ein mutmaßlicher Entwickler angeklagt wurde. Und die dennoch unverändert aktiv ist und zuletzt in den Netzwerken von über 40 Schulen wütete.

Dass wir in Newsbeiträgen bei heise security ebenso wie andere Medien die drahtziehende Gang als "Lockbit" namentlich mit dem Schadcode gleichsetzen, ist zwar naheliegend und kann bei der Zuordnung helfen. Doch wenn man es genauer betrachtet, stiftet diese Gleichsetzung Verwirrung und kann schlimmstenfalls sogar von den wahren Tätern ablenken.

Falls Sie nun ihrerseits verwirrt oder zumindest neugierig geworden sind, sollten Sie unbedingt weiterlesen. Im Artikel erklären wir, welche Fallstricke bei der Benennung von Cybercrime-Gruppen lauern. Und wir gehen der Frage nach, wie Hersteller von Sicherheitssoftware, Wissensdatenbanken und Journalisten dazu beitragen können, das bestehende Namenschaos zu ordnen.

DIY-Crimeware: "Wer war's?"

Um das grundlegende Problem besser zu verstehen, lohnt ein Blick auf die Anfänge des Cybercrime. Abgebrannte Bösewichte sannen damals auf Möglichkeiten, ihren Kontostand aufzubessern. Zu diesem Zweck setzten sie ab Anfang der 2000er-Jahre vermehrt auf das Programmieren von Crimeware – darunter Ransomware, aber etwa auch Infostealer zum Abgreifen von Bankingdaten und anderen sensiblen Informationen.

Schadcode-Entwicklung, Angriffsplanung und -durchführung lagen zunächst gebündelt in den Händen je einer einzigen Person oder Gang. Antivirenhersteller und Presse gewöhnten sich folglich daran, diese Gruppierungen über den Crimeware-Namen zu referenzieren. Schließlich gab es keinen Grund für eine abgekoppelte Bezeichnung.

Das änderte sich jedoch ab den 2010-er Jahren, als auch Kriminelle ohne Programmier- und Malware-Wissen von dem immer lukrativer werdenden Geschäft profitieren wollten. In der Konsequenz tauchten erste Crime-Toolkits wie ZeuS und SpyEye auf den Untergrundmärkten auf. Baukasten-Systeme, die es nun quasi jedem ermöglichten, auch ohne spezielle Vorkenntnisse Angriffe zu starten.

Somit waren jetzt nicht mehr die Entwickler des Codes, sondern deren Kunden für spezifische Kampagnen verantwortlich.

Heute: Affiliates als wahre Akteure

Ab diesem Zeitpunkt setzte sich unter den Sicherheitssoftware-Herstellern nach und nach die Praxis durch, eindeutige Namen für alle beteiligten Gruppen zu wählen. Denn eine Formulierung wie "Angriff der ZeuS-Gang" wäre im Falle des eben beschriebenen Szenarios nicht nur falsch, sondern würde darüber hinaus von den Toolkit-Käufern als wahren Tätern ablenken.

Im heutigen, komplett durchprofessionalisierten Crimeware-Geschäft werden Angriffswerkzeuge wie LockBit nach einem "As-a-Service"-Modell vermarktet. Dabei stellt eine Gruppe wie die LockBit-Gang das Erpresser-Werkzeug nebst kompletter Infrastruktur bereit und streicht im Gegenzug Provisionen ein. Aber es sind die Mieter dieser Struktur, auch Affiliates genannt, die damit anschließend Millionenbeträge erpressen. Wie groß das Interesse ist, lassen die Angaben eines LockBit-Sprechers erahnen, der vor einiger Zeit von hunderten Affiliates weltweit berichtete.

Ohne eine klare Unterscheidung zwischen der LockBit-Gruppe als Ransomware-as-a-Service (RaaS)-Anbieter und den jeweils agierenden Affiliates könnten sich letztere hinter dem gemieteten Werkzeug LockBit verstecken. Und sie könnten sich letztlich unerkannt aus der Affäre ziehen, indem sie es flexibel gegen ein anderes austauschen. Solche Wechsel sind nicht nur angesichts der "Zerschlagung" eines spezifischen Crimeware-Angebots gang und gäbe: Auch sich ändernde Angriffsziele erfordern häufig eine Anpassung von Strategien und Tools.