Sicherheitsforscher dringen in Struktur einer Ransomware-Gruppe ein

[English]Sicherheitsforschern von CyberNews ist es gelungen, sich bei einer Ransomware-Gang, die arbeitsteilig arbeitet, um einen Job zu bewerben. Bei den Gesprächen wurden einige Details zu deren Arbeitsabläufen offen gelegt, die die Sicherheitsforscher nun dokumentiert haben.


Anzeige

Die Informationen hat mir CyberNews bereits vor einigen Tagen zukommen lassen – dachte, das ist ein schönes Sonntagsthema. Es geht darum, dass ein CyberNews-Experte es geschafft hat, in die Strukturen der Ransomware-Gruppe Ragnar Locker einzudringen. Der Experte war undercover unterwegs und wurde zu einem vermeintlichen Job-Interview eingeladen.


(Quelle: CyberNews)

Der Experte hat die am Interview Beteiligten dann dazu gebracht, Informationen zur Lösegeldauszahlungsstruktur, Auszahlungspläne und Zielerfassungsstrategien zu enthüllen. Denn diese Gruppen arbeiten mit Ransomware-as-a-service wo man arbeitsteilig vorgeht und mit Beteiligungsmodellen an den erbeuteten Lösegeldsummen arbeitet. Die Gruppe war der vermeintlichen Ansicht, einen potentiell wertvollen Mitarbeiter für die Rang rekrutieren zu können.

Die Leute von CyberNews schreiben, dass die Ransomware-Gruppen inzwischen versuchen, ihren „Arbeitskräftemangel“ zu beheben, indem sie neue Mitglieder in Hacker-Foren rekrutieren, die von erfahrenen und aufstrebenden Cyberkriminellen gleichermaßen frequentiert werden. Aber Cyberkriminelle sind dort nicht die einzigen Nutzer, die dort unterwegs sind – denn dort tummeln sich auch Sicherheitsforscher.

Im Juni 2020 stießen die Leute beim Sammeln von Informationen in einem beliebten Hackerforum auf eine merkwürdige Rekrutierungsanzeige, die scheinbar von einer Ransomware-Gruppe veröffentlicht wurde. Um wertvolle Einblicke in die Strukturen und Perspektiven der Ransomware-Gruppe zu erhalten, beschlossen die Sicherheitsforscher, sich als russischer Cyberkrimineller auszugeben und antworteten auf die besagte Anzeige.

Zur großen Überraschung wurden die Sicherheitsforscher in einen privaten qTox-Chatraum zu einem „Vorstellungsgespräch“ eingeladen. Die anwesenden mit Personen behaupteten, mit einer berüchtigten Ransomware-Gruppe verbunden zu sein. Anwesend waren auch Hacker, die Bedrohungsakteure, die angeblich seit mehr als 10 Jahren für den Betrieb eines Ablegers der Ransomware-Gang verantwortlich waren. Im rahmen des vermeintlichen Rekrutierungsinterviews legte die Gruppe so einiges offen.

Ransomware-Beteiligungen
(Quelle: CyberNews)

In der Anzeige wurde damit gelockt, dass der Partner, wenn er das Angebot annimmt, bis zu 70-80 % des erfolgreich gezahlten Lösegelds erhalte, während REvil selbst die anderen 20-30 % kassieren würde. Obiges Bild zeigt das betreffende Angebot, wer mehr als eine Million US-$ pro Woche an Lösegeldzahlungen macht, kommt auf 80% Beteiligung. Aber die Undercover-Leute waren sich nicht sicher, wirklich mit Mitgliedern der ReEvil-Gruppe zu verhandeln (es könnte ja auch eine Undercover-Aktion der Strafverfolgungsbehörden gewesen sein).


Anzeige

Um zu beweisen, dass das Job-Posting legitim war, zahlten die Anwerber der Ransomware-Gang öffentlich einsehbar Bitcoins im Wert von 1 Million Dollar in ihre Foren-Wallet ein. Ab da waren die Sicherheitsforscher überzeugt, mit den Cyber-Kriminellen zu verhandeln. Auf die Frage „Seid ihr Gangster?“ kam die Antwort „Nein, wir sind Russen.“

Überraschenderweise war das Vorhandensein der richtigen Fähigkeiten und Erfahrungen nur ein Teil des Bewerbungsprozesses. Der Anwerber der Ganz bestand darauf, dass potenzielle Partner auch russischer Muttersprachler sein mussten. Um Schwindler in diesem Bereich auszusortieren, wollten die Interviewer die Identität der Kandidaten feststellen, indem sie sie über russische Trivialitäten ausfragte. Das umfasste auch russische und ukrainischer Geschichte sowie Volks-/Straßenwissen, das „nicht gegoogelt werden kann“.

Die Sicherheitsforscher waren wohl überzeugend, da die Interviewer viele Details offen legten. So konnten bei einem Raubzug die fünf Beteiligten 2,5 Millionen US-Dollar einstreichen. Das Ganze wurde auf russisch geführt, die Sicherheitsforscher haben das Ganze dann in English in diesem Blog-Beitrag veröffentlicht.  Dort lassen sich Details nachlesen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Sicherheitsforscher dringen in Struktur einer Ransomware-Gruppe ein

  1. wand3rvogel sagt:

    Sind die Sicherheitsforscher auch Russen?
    https://lmgtfy.app/?q=%22no%2C+we+are+russians%22
    :)

Schreibe einen Kommentar zu wand3rvogel Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.