Der Countdown läuft. Nicht mehr lange und der Weihnachtsmann macht sich auf den Weg. Zeit, für den zweiten Teil unseres Advents-Blogs. Erinnern Sie sich noch an den ersten Teil? Dort habe ich von Weihnachtsgeschenken erzählt – jedoch nicht für Sie, sondern für Cyberkriminelle, die im Dezember reich beschert werden. Konkret ging es dabei um die versteckten Risiken der Blockchain-Technologie, von Krypto-Geldwäsche, die Verbindung zu Ransomware und natürlich, wieso der Vergleich mit Weihnachtsgeschenken durchaus als Metapher dienen kann. Im zweiten Teil geht’s weiter mit Insights aus der Welt der Cyberkriminellen, beginnend mit Väterchen Frost...
Vermutlich glauben auch Sie nicht mehr an den Weihnachtsmann. Aber bestimmt haben Sie als Kind an den fülligen, rot gekleideten Mann mit schneeweisem Bart geglaubt, oder in der Schweiz eher ans Christkind. Nicht? In anderen Ländern wie Russland heisst das Pendant «Väterchen Frost». Dabei wird er von seiner Tochter Snegurotschka (übersetzt Schneemädchen oder Schneeflöckchen) begleitet und beschenkt in der Neujahrsnacht die Kinder.
Die Attribution von Angreifer-Gruppierungen, also das Zuordnen von verschiedenen Angriffsmethoden zu bestimmten Gruppierungen, hat tatsächlich etwas mit dem Glauben an den Weihnachtsmann oder eben Väterchen Frost zu tun. Nämlich dann, wenn man über die Zuordnung von Gruppierungen hinausgeht und diese ihrer Herkunft zuordnen möchte. Nicht selten wird gemunkelt, dass die Chinesen oder die Russen ihre Finger Spiel haben, ab und zu auch die Nordkoreaner oder sogar Uncle Sam (USA).
Auch wir sind bei unseren Untersuchungen immer wieder versucht, den Angriff geografisch zuzuordnen. Es ist nun mal verständlicher, den Angriffsopfern zu erklären, dass sie von einem Land gehackt wurden, als auf eine entsprechende Gruppierung zu verweisen. Immer wieder finden wir interessante Indikatoren, welche uns diese Zuordnung ermöglichen. So hatten wir es bei Incident Response-Fällen schon mit Gruppierungen zu tun, welche just an russischen Feiertagen auch ihre Büros schlossen. Oder wenn sich die Angreifer mit kyrillischen Benutzernamen wie «Матиас» versuchen auf einem System anzumelden, liegt die Vermutung nahe, dass der Angreifer wohl der kyrillischen Schrift mächtig ist. Wenn Sie in so einem Fall also auf Väterchen Frost tippen, haben Sie wahrscheinlich gar nicht mal so unrecht. Aber auch der Umgangston bei Verhandlungen über das Lösegeld lässt Rückschlüsse auf den kulturellen Hintergrund der Angreifer zu. Ebenso die Tageszeit, zu welcher die Angreifer auf den Systemen des Opfers aktiv waren und in den «Verhandlungschats» – die gibt es, kein Witz – am schnellsten antworten.
All diese Indizien helfen schlussendlich, die Angreifer zu enttarnen; ähnlich, wie Sie vielleicht als Kind spätabends Geräusche im Flur vernommen haben. Es war aber nicht der Weihnachtsmann, den Sie vermutet haben, sondern Ihre Eltern, die Geschenke unter den Baum legten.
Deshalb wurde beim Colonial Pipeline Hack auch relativ schnell klar, dass die Darkside Ransomware sehr wahrscheinlich aus einer kyrillischen Feder stammt. Als Biden Druck auf die russische Regierung ausübte, war Darkside kurze Zeit später von der Bildfläche verschwunden. Später tauchte die Gruppierung zwar unter dem Namen «Blackmatter» erneut auf; inzwischen hat sie ihre Operationen jedoch wieder eingestellt. Somit war das Ganze schlussendlich ein grosses Ärgernis für die Hintermänner und hoffentlich auch das Aus für Darkside/Blackmatter. Schuld an der ganzen Geschichte hatten aber die so genannten Affiliates. Weshalb und was damit überhaupt gemeint ist, erfahren Sie in wenigen Tagen im letzten Teil der Adventsgeschichte. So oder so ist davon auszugehen, dass es immer wieder Darksides/Blackmatters geben wird. Dies da es leider immer noch Länder gibt, in denen Angreifer-Gruppierungen ohne grosse Angst vor Sanktionen agieren und Ransomware verschicken können – sofern es nicht das eigene Land betrifft. Sie sehen, nicht nur der Weihnachtsmann kommt alle Jahre wieder…
Sie wollen den nächsten Teil nicht verpassen? Dann abonnieren Sie entweder unsere Blog-Updates und/oder folgen Sie uns auf LinkedIn – so bleiben Sie immer up-to-date, nicht nur während der Adventszeit.