REvil Ransomware

Eine neue Hacking-Gruppe ist aktuell dabei, sich international einen Namen zu machen: REvil oder auch Sodinokibi. Die Gruppe tauchte erstmals im Frühjahr 2019 auf und scheint ein Nachfolger der Gruppe hinter der GandCrab Ransomware zu sein. GandCrab war eine der bedeutsamsten Ransomware-Kampagnen von 2018 bis Mitte 2019. Bei Ransomware handelt es sich um eine Schadsoftware, die auf dem Computer eines Opfers installiert wird, dortige Dateien verschlüsselt und somit unzugänglich macht. Die Angreifenden fordern daraufhin ein Lösegeld, um die Verschlüsselung wieder aufzulösen. Zur Zahlung kommen dabei meistens anonyme Kryptowährungen wie Bitcoin zum Einsatz.

Die Entwickelnden von GandCrab kündigten Anfang 2019 offiziell an, sich in den Ruhestand zu begeben. Noch bevor es dazu kam, tauchte die sogenannte REvil- oder Sodinokibi-Ransomware auf, deren Code sehr große Ähnlichkeiten zu GandCrab aufweist und deren Entwickelnde dasselbe Geschäftsmodell verfolgen: Ransomware as a Service.

Hierbei wird die Hacking-Arbeit aufgeteilt und ein Teil davon, wie in einem modernen Unternehmen, an externe Affiliates ausgelagert. Diese Affiliates sind dafür verantwortlich, sich Zugang zu fremden Systemen zu verschaffen und dort die Schadsoftware zu installieren, die von der REvil-Kerngruppe bereitgestellt wird. Die Kerngruppe ist also nur für die Entwicklung der Software und die Abwicklung der Lösegeld-Zahlungen verantwortlich. Der Einbruch in die fremden Systeme wird den Affiliates überlassen. Diese bekommen dafür großzügige Provisionen von 60 bis 70 % des eingenommenen Lösegelds. Diese Arbeitsteilung bietet für beide Seiten Vorteile: Die Entwickelnden setzen sich einem geringeren Risiko aus, erwischt zu werden, und die Affiliates können auf vorhandene Software zurückgreifen, müssen also weniger technische Fähigkeiten mitbringen. Somit kann die Malware von einer breiteren Masse von Kriminellen verwendet werden. Die Entwickelnden können dabei sogar teilweise in einer rechtlichen Grauzone agieren, wenn sie sich in einem Land aufhalten, in dem die Entwicklung von Schadsoftware nicht kriminalisiert ist und keine Bürger:innen dieses Landes befallen werden. Dies könnte ein Grund dafür sein, dass sowohl GandCrab als auch REvil keine Systeme infizieren, deren Spracheinstellungen darauf schließen lassen, dass sie sich in GUS-Staaten befinden.

Die Art und Weise wie die REvil-Software verteilt wird, unterscheidet sich also je nach Affiliate. Es kommen sowohl Brute Force-Angriffe, das Aufkaufen von Zugangsdaten oder Spear-Phishing zum Einsatz. Eine Methode hat besonders in den letzten Wochen für Aufmerksamkeit gesorgt: der Lieferketten-Angriff auf Kaseya und deren Kundschaft.

Bei vielen Firmen (vor allem kleinen oder Mittelstands-Unternehmen) wird die Wartung der eigenen IT-Systeme von externen Dienstleistenden übernommen. Diese sogenannten Managed Service Provider (MSP) kümmern sich darum, dass alles ordnungsgemäß funktioniert und die verwendete Software auf dem aktuellen Stand ist. Ein Tool, das dafür eingesetzt wird, ist Kaseya VSA der US-amerikanischen Software-Firma Kaseya Limited. Am 2. Juli dieses Jahres konnten sich Angreifende über einen ungesicherten Endpunkt des Web-Interfaces und eine dortige SQL-Injection Zugang zu den VSA-Servern verschaffen. Dort wurde dann ein scheinbares Update zusammengestellt, das die REvil-Ransomware enthielt. Die Kaseya Clients auf den Kundschaftssystemen erhielten dieses Update. Die Verteilung der Schadsoftware sah also von außen betrachtet wie ein ganz normaler Vorgang aus. Auf diese Weise wurden ungefähr 60 MSPs infiziert, die die Infektion wiederum an ihre Kundschaft weitergaben, sodass am Ende circa 1500 Firmen von der Attacke betroffen waren. Ein prominentes Beispiel war die schwedische Supermarktkette Coop, deren Kassensystem ausfiel, sodass zeitweise nur fünf der 800 Filialen geöffnet sein konnten. Die Angreifenden forderten ungefähr 45.000 $ Lösegeld in Kryptowährungen, um einzelne System zu entschlüsseln. Alternativ boten sie auch an, für die Rekordsumme von 70 Millionen $ sämtliche Systeme wieder freizugeben.

Die besagte Sicherheitslücke bei war Kaseya sogar bekannt. Im April wurden niederländische Sichertheitsforschende darauf aufmerksam, die wiederum Kaseya sofort darauf aufmerksam machten. Kaseya hat sich laut den Forschenden anschließend vorbildlich verhalten, neues Personal eingestellt und in enger Zusammenarbeit mit den Forschenden einen Patch entwickelt. Kurz vor Vollendung des Patches schlugen allerdings die Hackenden zuerst zu.

Brisant ist dieser Fall vor allem dadurch, dass die Opfer selbst gar nicht unbedingt einen Fehler gemacht hatten und die Infektion durch einen vertrauenswürdigen Kanal in eigentlich geschützte Systeme gelangen konnte. Insofern ist davon auszugehen, dass solche Lieferketten-Angriffe in Zukunft noch weiter zunehmen werden, da mit relativ geringem Aufwand eine große Anzahl von Zielen getroffen werden kann. Auch die Höhe des geforderten Lösegelds in diesem und weiteren Fällen dieses Jahr zeigt, dass Hackende hier einen lukrativen Markt gefunden haben. Während bei WannaCry vor vier Jahren “nur” umgerechnet 300 $ pro verschlüsseltem Rechner gefordert wurden, war es hier schon das 150fache. In zwei anderen Fällen konnten Kriminelle dieses Jahr 4,4 Millionen $ von den Betreibenden der Colonial Pipeline in den USA erpressen und der Fleischproduzent JBS war sogar bereit, 11 Millionen $ Lösegeld zu bezahlen. Um das Geschäftsmodell der Ransomware nicht weiter zu befeuern, empfehlen Sicherheitsexpert:innen immer wieder, den Lösegeldforderungen niemals nachzugehen. Stattdessen sollten im Vorhinein regelmäßige Backups erfolgen, die in so einem Fall wieder aufgespielt werden können. Dies war am Ende für die Colonial Pipeline sogar der schnellere Weg, denn die von den Erpressenden bereitgestellte Entschlüsselungssoftware war wesentlich langsamer als das Aufspielen der Backups. Und im Falle von WannaCry hatte sich im Nachhinein gezeigt, dass die Hackenden gar nicht über die Möglichkeit verfügten, Lösegeldzahlungen eindeutig zu infizierten Rechnern zuzuordnen, sodass eine Zahlung nichts bewirkt hätte. Weitere Schutzmaßnahmen gegen Lieferketten-Angriffe müssen erst noch in Zukunft erarbeitet werden und werden sicherlich ein neues Thema in der Debatte über Cybersecurity darstellen.