Oben: Illustration von Seamartini/DepositPhotos.
Shiva Bissessar und Javed Samuel von Pinaka Consulting Limited bewerten das Blockchain-Kryptowährungs-Zahlungssystem, das Ransomware-Zahlungen vorantreibt. Mit ihrer Genehmigung erneut veröffentlicht. Pinaka Consulting ist ein auf Informationssicherheit basierendes Beratungsunternehmen mit Spezialisierung auf digitale Währungen, Blockchain und digitale Zentralbankwährungen (CBDC).
Was haben die folgenden Einheiten gemeinsam? ANSA McAL, Massy Group, Beacon Insurance, Generalstaatsanwaltschaft Trinidad und Tobago und Telekommunikationsdienste von Trinidad und Tobago (TSTT)? Seit 2020 sind sie alle Opfer von Cybervorfällen geworden, die Auswirkungen auf ihre Servicebereitstellung hatten. Mindestens drei dieser Unternehmen haben bestätigt, dass ihr Vorfall im Zusammenhang mit Ransomware stand.
Im Papier „An Anatomy Of Crypto-Enabled Cybercrimes“ vom Januar 2023 liefern Cong et al. wichtige Einblicke in solche Angriffe und zitieren Quellen, die schätzen, dass der weltweite Schaden durch Ransomware-Angriffe bis 2023 30 Milliarden US-Dollar erreichen wird (https://wp. lancs.ac.uk/finec2023/files/2023/01/FEC-2023-017-Daniel-Rabetti.pdf). Wir nutzen diese und andere Quellen in Verbindung mit unseren eigenen Erkenntnissen bei der Verwendung eines kommerziellen Blockchain-Analysetools von Elliptic, um eine Einführung in Ransomware und Einblicke in die mit solchen Angriffen verbundenen wirtschaftlichen Aktivitäten zu präsentieren.
Angriffsphasen
Die Gruppen, die Ransomware-Angriffe durchführen, folgen einem festgelegten Verhaltensmuster. Daher würde die Kenntnis ihrer Identität Aufschluss über ihre Methoden in den verschiedenen Phasen eines Angriffs geben. Dies würde beispielsweise auch die Arten von Tools offenlegen, die sie verwenden, um ersten Zugriff auf das externe Netzwerk und dann auf das interne Netzwerk zu erhalten, sich seitlich im internen Netzwerk zu bewegen, Berechtigungen innerhalb des internen Netzwerks zu erweitern, die interne Netzwerkinfrastruktur zu scannen usw Daten exfiltrieren.
Sobald diese Schritte ausgeführt sind, verschlüsselt der Angreifer die Dateien des Opfers mit einem nur ihm bekannten Schlüssel, wodurch diese Dateien praktisch unbrauchbar werden, da sie von den Systemen des Opfers nicht mehr gelesen werden können. Anschließend versuchen die Angreifer, vom Opfer einen Gegenwert für den Zugriff auf ein Tool zu erpressen, mit dem die Dateien entschlüsselt und wieder nutzbar gemacht werden können. Nachdem der Betrieb durch den Verlust des Zugriffs auf kritische Dateien außer Gefecht gesetzt wurde, steht das Opfer vor der Wahl, das Lösegeld zu zahlen oder zu versuchen, seine Informationssysteme aus nicht infizierten Backups wiederherzustellen.
Die Gefahr von Datenlecks
Cong et al. stellen fest, dass seit 2019 ein neuer Trend der doppelten Erpressung im Spiel ist, bei dem der Angreifer durch Drohungen, unverschlüsselte Dateien ins Dark Web zu gelangen, zusätzlichen Einfluss auf das Opfer haben kann. Zumindest wäre dies für das Opfer peinlich und würde seinen Ruf schädigen, wenn die Sicherheitsverletzung durch ein solches Leck der Öffentlichkeit bekannt würde. Der Datenschutz von Mitarbeitern, Kunden und Lieferkettenanbietern könnte gefährdet sein, wenn eine solche öffentliche Offenlegung von Daten stattfindet.
Wir wissen genau, wie dies nach dem jüngsten Vorfall bei TSTT aussieht, der von der RansomEXX-Gruppe begangen wurde und bei dem es zu einer öffentlichen öffentlichen Diskussion über den Inhalt des Datendumps mit personenbezogenen Daten (PII) von Kunden des Opfers kam ausgesetzt. Die Autoren möchten betonen, dass von Fachleuten, die mit solchen Daten umgehen und darüber berichten, eine verantwortungsvolle Offenlegung erwartet wird, damit Opfer und ihre Interessengruppen nicht zusätzlich durch die offene Diskussion von Einzelheiten ihrer Daten in öffentlichen Foren verletzt werden. Bei der Meldung solcher Vorfälle sollten Methoden zur Verschleierung personenbezogener Daten von Opfern eingesetzt werden.
Lösegeldforderung und mögliche Zahlung
Die Zahlung erfolgt in Kryptowährungen wie Bitcoin, da diese leicht über das Internet übertragbar sind und grenzüberschreitende Währungsprobleme vermieden werden. Es kann sich um Verhandlungen handeln, bei denen das Opfer ein Incident-Response-Team beauftragt, Fachwissen zur Verfügung zu stellen und zu versuchen, Zeit zu gewinnen und den geforderten Lösegeldbetrag zu senken. Die Entscheidung über die Zahlung obliegt dem Opfer; Allerdings können Sanktionslisten bei der Entscheidungsfindung eine Rolle spielen. Im Fall der Ransomware-Gruppe Conti nahmen potenzielle Zahlungen an Conti, nachdem sie im Jahr 2022 nach der Invasion der Ukraine öffentlich ihre Treue zu Russland erklärt hatte, angesichts des Sanktionsstatus Russlands illegalen Charakter an. Schließlich musste Conti den Betrieb schließen, es wird jedoch vermutet, dass Tochtergesellschaften des Konzerns weiterhin tätig sind.
Blockchain-Analyse in Ransomware
Sobald die Zahlung erfolgt ist, sollte das Opfer Entschlüsselungstools erhalten, mit denen es seine verschlüsselten Dateien entschlüsseln kann; Dies kann jedoch nicht garantiert werden. Aus den Lecks, die letztendlich auf Ransomware-Angriffe folgen, können wir schließen, dass nicht alle Opfer zahlen. Wenn eine Zahlung erfolgt, besteht die Möglichkeit, die Spur der Kryptowährung zu Wallets zu verfolgen, die mit der Ransomware-Gruppe und ihren Partnern in Verbindung stehen.
Das FBI konnte im Rahmen seiner Ermittlungen Blockchain-Analysen nutzen, um die 75 Bitcoins aufzuspüren, die 2021 an Darkside gezahlt wurden, und schließlich 63,7 Bitcoins oder 2,3 Mio. USD zurückerhalten. Diese Zahlung stand im Zusammenhang mit dem Angriff auf die Colonial Pipeline, der zur Einstellung des Pipelinebetriebs von 5.500 Meilen führte, was letztendlich negative Auswirkungen auf die Verbraucher an der Ostküste hatte und zur Ausrufung des Ausnahmezustands in mehr als 17 US-Bundesstaaten führte. 45 % des Pipelinebetriebs in den USA waren betroffen.
REvil/Sodinokibi
Im Jahr 2020 umging die Ransomware-Gruppe REvil/Sodinokibi die bei ANSA McAL eingesetzten Sicherheitsmaßnahmen, was Auswirkungen auf den Betrieb sowohl in Trinidad und Tobago als auch auf Barbados hatte. Mit einem kommerziellen Blockchain-Analysetool von Elliptic können wir eine Gruppe von Wallet-Adressen im Bitcoin-Netzwerk sehen, die mit REvil/Sodinokibi in Verbindung stehen. Dies zeigt, dass die Aktivität bis ins Jahr 2019 zurückreicht, als die Gruppe gegründet wurde.
Elliptisches Tool, das die Zu- und Abflüsse der REvil-Gruppe in Höhe von 14 Mio. USD seit 2019 zeigt
Der diesem speziellen Wallet-Cluster zugeschriebene Wert zeigt Zuflüsse von 14 Mio. USD und Abflüsse von 13,9 Mio. USD von der ersten Transaktion im Juni 2019 bis zur letzten Transaktion im Juni 2021. Cong et al. schreiben der REvil/Sodinokibi-Gruppe in diesem Zeitraum 282 Opfer zu Mai 2020 bis Juni 2021. Sie schätzen außerdem, dass diese Gruppe mit dem gesamten US-Dollar-Wert, den sie im Zeitraum 2021 bis 2022 erhalten hat, im Hinblick auf die Ransomware-Gruppen, die diesen Wert erhalten, insgesamt an vierter Stelle liegt. Im gleichen Zeitraum liegt die Conti-Gruppe mit geschätzten 50,9 Mio. USD an erster Stelle.
Wenn wir uns einige der illegalen Aktivitäten ansehen, die im Elliptic-Tool identifiziert wurden und REvil/Sodinokibi zuzuschreiben sind, können wir eine 11-Millionen-USD-Transaktion von einer unbekannten Quelle hervorheben, bei der gleichzeitig auch eine viel kleinere 6,4.000-USD-Transaktion mit Conti stattfand.
Auf globaler Ebene gelten Ransomware-Akteure als ernsthafte Bedrohung für Abläufe, die auf das Internet angewiesen sind. Im November 2021 führte eine von 17 Ländern durchgeführte internationale Strafverfolgungsmaßnahme namens Operation GoldDust, an der auch INTERPOL beteiligt war, zur Ausschaltung der Ransomware-Gruppe REvil/Sodinokibi und ihrer Infrastruktur. Fast zeitgleich verhängte das US-Justizministerium eine Belohnung von 10 Mio. USD für Informationen, die zur Festnahme von Anführern von REvil/Sodinokibi führten.
Abschluss
Auch wenn sie mittlerweile scheinbar nicht mehr existiert, sollten wir uns Sorgen machen, dass die viertgrößte Ransomware-Gruppe in den Jahren 2021 bis 2022 einen Angriff auf ein großes Konglomerat in der Karibik durchgeführt hat. Die zunehmende Zahl von Cyber-Vorfällen, die wir bei größeren Unternehmen beobachten, sollte uns beunruhigen, was möglicherweise in kleinen und mittleren Unternehmen geschieht. Der jüngste Angriff von RansomEXX auf TSTT gibt ebenfalls Anlass zur Sorge, da diese Gruppe laut TrendMicro dafür bekannt ist, gezielt ihre Opfer ins Visier zu nehmen; Ein Beweis für diese Vorplanung sind die Namen der Opfer, die bei der Forensik nach dem Angriff in Binärdateien fest codiert gefunden wurden.
Diese Bedenken müssen von Unternehmen erkannt werden, wenn sie ihre Reaktion auf das zunehmende Risiko von Cybervorfällen vorbereiten. Es ist eine Voraussetzung, in Ihrem Unternehmen über eine dedizierte Informationssicherheitsfunktion zu verfügen, die nicht nur auf die Technologie, sondern auch auf die Aspekte Mensch und Prozess achten kann. Das Bewusstsein muss von der Basis bis hin zur C-Suite und den Vorstandsmitgliedern aufgebaut werden, da der erste Zugriff auf ein Netzwerk eine Phishing-E-Mail sein kann.
Nach dem Zwischenfall mit der Colonial Pipeline wurde in den USA eine Durchführungsverordnung erlassen, in der eine stärkere Aufmerksamkeit für die nationale Cybersicherheit gefordert wurde. Würden diese Bedrohungen lokal auf nationaler Ebene erkannt, da diese Angriffe kritische Infrastrukturen lahmlegen können?
Sollte dies unser Colonial Pipeline-Moment sein?
Was uns die Blockchain verrät…
17. November 2023
Kent Western wird zum CEO von TSTT (ag) ernannt…
14. November 2023
PriceSmart gibt Stellungnahme zum Datenschutzverstoß ab
14. November 2023
Taran Rampersad: Erhöhen Websites die Cybersicherheit?
13. November 2023
TSTTs dunkle Nacht der Seele
13. November 2023
Gerichte reagieren auf Bekanntmachung von Daten…
12. November 2023
TSTTs Woche der Ausflüchte und Halbwahrheiten
12. November 2023
ShopCourts und Pricesmart haben Online-Daten verletzt
12. November 2023
TSTT-CEO gibt Erklärung zum Unternehmen ab…
12. November 2023
TTCSIRT bei Antwort auf TSTT-Daten…
8. November 2023
Parasram: Da kann man nichts machen…
6. November 2023
Aktualisiert: Sind Sie im TSTT…
6. November 2023
50 Dinge, die ich über die… gelernt habe
5. November 2023