Ransomware: Nach Verschlüsseln kommt jetzt Kopieren & Zerstören
Das mit dem Verschlüsseln ist aufwendig und fehleranfällig – das denken sich wohl auch Cybercrime-Banden, die zuvor kopierte Daten unbrauchbar machen.
Bereits 2021 hat sich bei Cybercrime-Vorfällen die sogenannte Dreifach-Erpressung etabliert: Die Opfer zahlen für den Schlüssel, der ihre Daten wieder lesbar macht, für die Versicherung, dass interne Dokumente nicht veröffentlicht werden – und wenn das nicht reicht, hagelt es DDoS-Angriffe. Doch das Verschlüsseln ist aufwendig und fehleranfällig. Deshalb verzichten einige Banden darauf und setzen nur auf Diebstahl mit der Drohung der Veröffentlichung. Und erste Ransomware enthält jetzt auch eine "Erase"-Funktion, die die Daten zusätzlich unbrauchbar machen soll.
Es gab zwar bereits Vorfälle, in denen sich herausstellte, dass die angebliche Ransomware die Daten unwiederbringlich zerstört hatte; doch solche Wiper kommen bei gezielten Sabotage-Akten zum Einsatz. Cybercrime-Banden achten in aller Regel darauf, dass sie tatsächlich eine Option haben, die Daten wiederherzustellen – schon um die Zahlungsbereitschaft hoch zu halten. Mutwillige Zerstörung wäre "schlecht fürs Geschäft"; dass das Retten der Daten nicht immer klappt, steht auf einem anderen Blatt.
Verschlüsseln als Standard
Das Mittel der Wahl ist dabei das Überschreiben der Dateien mit einer verschlüsselten Version. Die Daten lassen sich dann nur mit einem speziellen kryptografischen Schlüssel wiederherstellen, für deren Herausgabe das Opfer zahlen muss. Doch Kryptografie ist schwierig; in vielen Fällen gelang es Sicherheitsforschern bereits, aufgrund von Fehlern in der Ransomware Daten auch ohne Herausgabe der Schlüssel wiederherzustellen und die Kriminellen schauten in die Röhre. Außerdem dauert das Verschlüsseln großer Datenmengen sehr lange; es kann durchaus passieren, dass dieser Vorgang durch verdächtige Schreibvorgänge und hohe CPU-Last auffällt und das Opfer rechtzeitig das Schlimmste verhindert.
Zufälliges Überschreiben
Um diese Gefahr zu reduzieren, verschlüsseln manche Gruppen die Daten bereits nur teilweise, wobei zwischen verschiedenen Optimierungsstufen gewählt werden kann (Intermittent Encryption). Oder sie verzichten ganz auf das Verschlüsseln und kopieren lediglich interne Daten. Die BlackMatter-Gang nutzt ein spezielles Tool namens Exmatter zum Ausschleusen ("Exfiltrieren") der Daten des Opfers. Das Reverse-Engineering der Sicherheitsfirma Cyderes förderte darin eine Funktion namens Erase()
zutage.
Diese kommt nach dem Abschluss der Sync
-Routine zum Einsatz, die die Dateien (via sftp) auf einen externen Server der Bande kopiert. Dabei überschreibt Erase
offenbar Teile der Datei mit Daten aus anderen Files und macht diese damit unbrauchbar. Die Überlegung ist wohl, dass die Opfer lieber Lösegeld für den Erhalt der Originaldateien zahlen, als das Puzzle der miteinander verwürfelten Datenfragmente zu lösen.
Die Sicherheitsspezialisten vermuten, dass die Kriminellen mit dem Schreiben echter Daten des Opfers "normale Aktivitäten" imitieren wollen, um zu verhindern, dass Sicherheits-Software Wiper- oder Ransomware-Alarm schlägt. Diese Löschfunktionen seien außerdem auch noch Gegenstand aktueller Entwicklung, merken Experten von Firma Stairwell in ihrem Blog-Beitrag an.
Das Cybercrime-Ökosystem
Ransomware wird mittlerweile von wenigen spezialisierten "Ransomware-as-a-Service"-Anbietern entwickelt (RaaS). Deren Affiliates lizenzieren die Schad-Software und weitere Dienste, wofür die RaaS-Bande einen Teil der erzielten Lösegelder einbehält. Dabei stehen die RaaS-Anbieter in einem harten Wettbewerb untereinander. Der führt offenbar dazu, dass sie ihre Software immer weiter optimieren, um der Konkurrenz aktive Affiliates abspenstig zu machen. Die Experimente mit Intermittent Encryption und der Zerstörung von Daten sind sichtbare Auswirkungen dieses Konkurrenzkampfes. Ob sich das dann wirklich durchsetzt, werden zukünftige Erpressungsfälle zeigen.
(ju)