Der Weihnachtsmann kommt leise, bringt viele Geschenke – aber nicht immer, was man sich wünscht [Teil 1]

Autor
Stefan Rothenbühler
Veröffentlicht
01. Dezember 2021

Langsam neigt sich das Jahr dem Ende zu und die Festtage stehen vor der Türe. Zeit, das vergangene Jahr noch einmal Revue passieren zu lassen. Was für ein Jahr! Unzählige Cyberangriffe – nicht selten war dabei Ransomware im Spiel – hielten das InfoGuard CSIRT in diesem Jahr ganz schön auf Trab. Daraus entstand für einmal eine etwas andere Adventsgeschichte. In dieser dreiteiligen Advents-Blogserie beleuchten wir die Hintergründe für den massiven Anstieg und was das Ganze mit Geschenken, dem Weihnachtsmann und Väterchen Frost zu tun hat.


Noch vor drei Jahren als ich vom InfoGuard Penetration Testing-Team zur defensiven Security, ins CSIRT wechselte, ging es noch ruhig zu und her – nicht nur in der Adventszeit. Ab und zu unterstützten wir einen Kunden bei einem Cybervorfall mit Forensik und Incident Response. Vor allem aber haben wir geholfen, die Services im InfoGuard Cyber Defence Center auszubauen und an neuen Detektionsmechanismen mitzuarbeiten.

Heute vergeht kaum noch ein Tag, ohne dass wir Unternehmen nach einem Sicherheitsvorfall unterstützen. Waren es im vergangenen Jahr noch knapp 50 Fälle, so sind es in diesem Jahr schon einiges über 100. Dabei handelt es sich nicht immer um Ransomware, sondern oft auch um Phishing, Business E-Mail Compromise oder forensische Unterstützung; in einzelnen Fällen auch um Spionage und nachrichtendienstliche Aktivitäten. Wir sind bereits in anderen Blogbeiträgen auf die Gründe eingegangen, weshalb Firmen verschlüsselt werden und welche Einfallstore die Angreifer dazu benutzen. In der diesjährigen Advents-Blogserie beschäftigen wir uns mit den Hintergründen.

Die etwas anderen Weihnachtsgeschenke

Wer wünscht sich nicht viele Weihnachtsgeschenke unter einem wunderschön geschmückten Weihnachtsbaum. Doch dies kostet Geld – nicht selten viel Geld… Und wenn sich der Weihnachtsmann am Ende als Cyberkrimineller entpuppt, ist die schöne Bescherung definitiv schnell vorbei.

Ethereum, Monero, Bitcoin oder sogar Doge? Diese Begriffe sind Ihnen bestimmt geläufig. Hätten Sie vor 10 Jahren für 10 Schweizer Franken Bitcoins gekauft, besässen sie heute Bitcoins im Wert von rund einer Million Schweizer Franken. Hätten wir das nur schon damals gewusst. 😄

So fasziniert man von der Blockchain-Technologie auch sein mag und eventuell sogar ein paar wenige besitzt, muss man doch auch die Schattenseiten der Kryptowährungen in Betracht ziehen. Auf ökologische Themen will ich hierbei gar nicht eingehen, sondern auf die Tatsache, dass sich Kryptowährungen von Natur aus schlecht regulieren lassen und anonym sind. Perfekt also für Geldwäsche, organisierte Kriminalität und Akteure der Cyberkriminalität.

Anonymität ist nicht immer gut – Stichwort Geldwäsche

Da bei einer Transaktion einer Kryptowährung bloss die Wallet-Adresse des Empfängers bekannt ist, bleibt dieser anonym. Klar können gerade Bitcoin-Transaktionen sehr gut zurückverfolgt werden, da das ganze System darauf basiert und so jede Transaktion in der Blockchain gespeichert und validiert wird. Auch wird es ein Problem werden, die Coins wieder in Fiatgeld umzuwandeln – zumindest in Mengen, welche über das handelsübliche hinausgehen. Aber je nach Wohnland der Angreifer wird auch nicht exakt auf die Auszahlung der Coins in Fiatgeld geachtet.

Bei Bitcoin gibt es jedoch Dienste, welche das Geld «waschen». So lassen Tumbler Services die Bitcoins in zigtausend Transaktionen mit vielen verschiedenen Wallets fliessen. Dadurch werden die Transaktionen so vermischt, dass nicht mehr festgestellt werden kann, wo das bezahlte (Löse-)Geld schlussendlich gelandet ist. Natürlich ist dieser Dienst nicht kostenlos. Das ist vermutlich auch der Grund, weshalb viele Hacker-Gruppierungen teilweise ziemlich grosse Rabatte auf die Bezahlung mittels Monero gewähren. Denn Monero ist anonymer als Bitcoin, wodurch sich die Transaktionen schwerer nachvollziehen lassen.

Nun, was lässt sich dagegen tun? Es gibt Bestrebungen, Kryptowährungen besser zu regulieren. Dies hätte sicher einen erheblichen Einfluss auf das Ransomware-Business. Schlussendlich müssten jedoch global alle Player mitziehen, um dies zu bewerkstelligen. Eine andere Idee ist, das Bezahlen von Ransomware-Forderungen unter Strafe zu stellen. Klar würde es sich ein Unternehmen dann einmal mehr überlegen, ob Bezahlen in Frage kommt oder eben nicht. Teilweise hat ein Unternehmen aber auch gar keine andere Wahl, wenn dies der einzige Weg ist, um die verschlüsselten Daten und Systeme wiederherzustellen. Ein zweischneidiges Schwert also.

Fette Geschenke für Cyberkriminelle

Das Problem mit den Kryptowährungen werden wir so schnell nicht in den Griff bekommen, und die Angreifer werden sich somit (leider) zu Weihnachten das eine oder andere grössere Geschenk leisten können. Manchmal gelingt es auch, das Geld zurück zu beschaffen, wie das Beispiel bei einem der grössten und bedeutendsten Ransomware-Vorfälle in diesem Jahr zeigte. Damals wurde der Gaslieferant Colonial Pipeline durch die Darkside Ransomware verschlüsselt. Aber davon und was «Väterchen Frost» damit zu tun hat, erzähle ich Ihnen im zweiten Teil unserer Adventsgeschichte.

Sie wollen den nächsten Teil nicht verpassen? Dann abonnieren Sie entweder unsere Blog-Updates und/oder folgen Sie uns auf LinkedIn – so bleiben Sie immer up-to-date, nicht nur während der Adventszeit

Blog-Updates abonnieren!

PS: Nach der Blog-Serie wartet ein tolles Gewinnspiel auf Sie, in dem wir attraktive Preise für Sie persönlich und Ihr Unternehmen verlosen 🎁 Wie Sie dabei sein können? Ganz einfach: Lesen Sie meine dreiteilige Adventsgeschichte aufmerksam und beantworten Sie im vierten Türchen einige Fragen dazu. Wir drücken Ihnen schon jetzt die Daumen!

Artikel teilen