Digital
Ransomware

Chat-Leak zeigt, wie Internet-Erpresser ihre Opfer unter Druck setzen

watson legt den Namen der betroffenen Organisation nicht offen.
watson legt den Namen der betroffenen Organisation nicht offen.bild: watson

Diese geleakten Chats zeigen, wie brutal Internet-Erpresser ihre Opfer unter Druck setzen

Ein Leak ermöglicht seltene Einblicke in die Lösegeld-Verhandlungen zwischen einer berüchtigten Erpresserbande und einem westeuropäischen Opfer.
07.05.2022, 10:3521.07.2022, 19:09
Mehr «Digital»

Hinter den Schlagzeilen zu Ransomware-Attacken verbergen sich manchmal existenzbedrohende Situationen, und für die Betroffenen bedeuten sie Stress und Leid. Doch die Öffentlichkeit bekommt davon meist nicht viel mit.

Verhandlungen mit Internet-Erpressern werden im Geheimen geführt. Polizei und IT-Sicherheitsexperten raten Betroffenen, gegenüber den Medien möglichst wenig preiszugeben.

Nur zu gern hüllen sich die Verantwortlichen in einen Mantel des Schweigens, sind doch solche Hackerangriffe häufig mit Scham und unbequemen Fragen verbunden.

Umso spannender und lehrreicher ist es, wenn ungeschminkte Details ans Licht kommen: Denn Informationen, die nicht durch Mediensprecher und PR-Abteilungen «weichgespült» wurden, lassen wertvolle Rückschlüsse zu. Und genau dies ist nun dank eines geleakten Chatprotokolls möglich.

Es ist ein aktueller, nicht abgeschlossener Fall einer Ransomware-Attacke auf eine Organisation aus dem deutschsprachigen Raum. Um die Opfer zu schützen, werden in diesem Artikel (und in den Kommentaren!) keine Namen genannt.

Und auch die Bande, die für die Attacke verantwortlich ist, soll an dieser Stelle ungenannt bleiben. Es handelt sich um eine der derzeit gefährlichsten aktiven Gruppierungen.

Die Bande agiert vom Gebiet der Russischen Föderation aus. Sie bietet ihre selbst entwickelte Malware und die dazugehörige Server-Infrastruktur anderen Kriminellen an, um damit lukrative Ziele im Westen zu attackieren. Dies wird auch als «Ransomware as a Service» (RaaS) bezeichnet.

Die Kriminellen schrecken nicht davor zurück, vertraulich geführte Lösegeld-Verhandlungen publik zu machen, was einem Tabubruch in der «Branche» gleichkommt.

Im Folgenden zeigt watson Auszüge aus einem von der Bande absichtlich geleakten Chat. Daraus wird auch ein direkter Zusammenhang mit dem Ukraine-Krieg ersichtlich.

Schock und Gegenreaktion

Laut dem geleakten Chat-Protokoll fand der erste Kontakt zwischen der Bande und dem Opfer noch am selben Tag statt, an dem die Ransomware-Attacke registriert wurde.

Die Kriminellen kommen um 18.40 Uhr in einem – sehr wahrscheinlich verschlüsselten – Chat zur Sache:

«Wir sind ein Team von [Name redigiert ] [...] Wir haben Ihre Daten und die Daten der Firmen, für die Sie tätig sind, gestohlen. Vom Netzwerk dieser Firma sind wir in etwa 30 weitere Firmen eingedrungen. Wir haben Ihr Unternehmen und Ihre Daten studiert und kennen Ihre Einnahmen.

Damit Sie und Ihre Kunden den Decryptor [Entschlüsseler] erhalten und wir die Daten Ihrer Firma und Ihrer Kunden von unseren Servern löschen, müssen Sie $ 1'000'000 in Bitcoins bezahlen. Andernfalls werden wir die gestohlenen Daten veröffentlichen und Sie werden Ihre Netzwerke niemals wiederherstellen können! Beeilen Sie sich!»

Um ihre Drohungen mit Fakten zu untermauern, übermitteln die Erpresser im Chat mit dem Opfer einen Link, der zu einem anonymen Filehoster führt. Dort lässt sich eine mehr als 4 Megabyte (MB) grosse Textdatei herunterladen.

Der Inhalt muss den von der Attacke betroffenen Verantwortlichen das Blut in den Adern gefrieren lassen: Es ist ein automatisch generiertes Datei-Verzeichnis («File Tree»), das zeigt, dass die Hacker grosse Beute gemacht haben.

Am Folgetag meldet sich das Opfer im Chat und signalisiert Verhandlungsbereitschaft. Zwar seien einige der IT-Systeme bereits wiederhergestellt worden. Jedoch würde man trotzdem «gerne eine Einigung erzielen», wie es heisst.

Die Antwort der Erpresser folgt umgehend:

«Wir haben Ihren Namen aus unserem Blog entfernt, um produktive Verhandlungen zu ermöglichen.»

Mit «Blog» meinen die Kriminellen ihre «Leak-Site» im Darknet, wo sie ihre Opfer an den Pranger stellen und mit der Veröffentlichung gestohlener Dateien drohen.

Auf Seite des Opfers gibt es zu diesem Zeitpunkt einen Verhandlungsführer, der sehr freundlich bleibt im Chat und die Kriminellen wissen lässt, dass das Unternehmen bereits eine offizielle Pressemitteilung zum Vorfall publiziert habe.

Die Erpresser antworten ebenso klar wie bösartig:

«Wir haben Ihre Botschaft an Ihre Mitarbeiter und Kunden gesehen. Wir wissen, dass Sie und Ihre Kunden keine Sicherungskopien haben. Und selbst wenn Sie einen Teil der Daten wiederherstellen könnten, würde sich der Preis nicht ändern. Und wir haben Ihre Daten und die Daten einer der Anwaltskanzleien, mit der Sie arbeiten, gestohlen. Wenn Sie nicht zahlen, werden wir deren Daten zusammen mit Ihren veröffentlichen!

Dies zeigt auch, dass Ransomware-Banden genau verfolgen, was in der Öffentlichkeit über solche Fälle bekannt ist.

Zuerst ein Bluff, dann Verzweiflung

Gemäss dem geleakten Chat-Protokoll sind wir immer noch am Tag 2 der Verhandlungen zwischen Täter und Opfer. Und nun scheint der Verhandlungsführer beim betroffenen Unternehmen zu bluffen, denn er schreibt, die angedrohte Veröffentlichung der gestohlenen Daten störe sie nicht. Die Kunden seien informiert worden und «sehr entspannt».

Keine fünf Minuten später folgt im Chat eine Kehrtwende. Nun heisst es vonseiten des Opfers:

«Uns geht es nicht gut. Ein Teil unserer Kunden hat keine vollständigen Backups. Wir wollen sie schützen und sie unterstützen.»

Und weiter schreibt der Verhandlungsführer:

«Wir wollen zahlen. Ich bin hier, um einen vernünftigen Preis zu finden.»

Dazu muss man wissen, dass sich der öffentliche Druck auf das betroffene Unternehmen noch in Grenzen hält, weil es auf der Leak-Site bislang nicht genannt wird. Kunden, Partner und Medien wissen also noch nicht, dass hinter dem Angriff eine besonders gefährliche Ransomware-Bande steckt.

Die Erpresser zeigen sich unnachgiebig:

«Die einzige Möglichkeit, Ihr Netzwerk und die Systeme Ihrer Kunden wiederherzustellen, ist zu zahlen. [...] wir können Ihren Namen in den Blog zurückbringen, die Namen und Dateien Ihrer Kunden in unseren Blog hochladen (wir wissen, wer angegriffen wurde, und wir haben Ihre Tabelle der geschädigten Kunden). Dann werden Sie und Ihre Kunden viel mehr Fragen und Probleme haben.»

Und weiter:

«Daher ist es ein sehr günstiger Preis!»

Auf der Opferseite versucht der Verhandlungsführer daraufhin, den Preis zu drücken. Er behauptet, die geforderte Lösegeldsumme von einer Million Dollar würde das Unternehmen «sofort zerstören». Und er fügt dramatisch an:

«Wenn wir nicht zahlen: Sind wir aus dem Geschäft. Wenn wir 1 Mio. $ zahlen würden, sind wir aus dem Geschäft.»

Auf Täterseite signalisiert man Entgegenkommen:

«Wie viel wollen Sie zahlen?»

Drei Minuten später antwortet das Opfer, man könne nur 250'000 Dollar bezahlen. Interessant ist die Begründung: Dieser Betrag werde «von der Versicherung übernommen».

Doch die Antwort der Erpresser fällt ernüchternd aus.

«Nein, das ist nicht genug. Sie bieten 4 Mal weniger! Wenn Sie schnell zahlen, geben wir Ihnen einen Rabatt. Der Preis wird $ 800'000 für 48 Stunden betragen. Nach dieser Zeit wird der Preis wieder auf $ 1 Million steigen.»

Nun muss der betroffenen Firmenführung bewusst geworden sein, dass es wenig finanziellen Spielraum gibt. Der Verhandlungsführer schreibt im Chat, er sei völlig überwältigt und könne «im Moment nicht mehr ertragen». Und:

«Ich melde mich wieder bei Ihnen. Die Firma wird bei diesem Preis gekillt.»

Die kaltblütige Antwort der Erpresser:

«Ok. Beeilen Sie sich.»

Ein Profi-Unterhändler schaltet sich ein

Wir sind nun am Tag 3 der Verhandlungen zwischen den Erpressern und ihrem Opfer, die wir wegen des von den Tätern geleakten Chat-Protokolls kennen. Nun tritt offenbar ein unabhängiger Verhandlungsführer in Aktion. Dieser schreibt den Erpressern (gemäss Zeitstempel) am frühen Morgen:

«Die Person, mit der Sie gestern gesprochen haben, ist krank geworden. Man hat mich gebeten, mit Ihnen zu sprechen. Ich bin ein Aussenstehender. Nicht emotional beteiligt.»

Lapidare Antwort der Erpresser:

«Ok. Das spielt keine Rolle.»

Der dritte Verhandlungstag dreht sich zunächst um technische Fragen. Der Verhandlungsführer auf Opferseite will herausfinden, ob der von den Erpressern zur Verfügung gestellte Decryptor tatsächlich funktioniert, damit die verschlüsselten Kundendaten (für die es offenbar keine Sicherheitskopie gibt) wiederhergestellt werden können.

Am Nachmittag erwähnt der professionelle Verhandlungsführer, dass eine Versicherung in den Fall involviert sei, und dass diese Versicherung gewisse Bedingungen stelle.

Zu den konkreten Forderungen schreibt er:

  • Die Hacker sollen den «Angriffsvektor» angeben, also dem Opfer mitteilen, wie sie in das IT-System eindringen konnten. Dies solle passieren, nachdem die Zahlung erfolgt sei. «Spart dem Kunden etwas Zeit und einige $.»
  • Und: «Es wäre nett, wenn Sie versprechen könnten, keine Daten zu veröffentlichen, nachdem die Zahlung erfolgt ist». Hier schreibt der Verhandlungsführer, er wisse, dass sich die Hacker an solche Abmachungen hielten, aber die Verantwortlichen des betroffenen Unternehmens würden sich besser fühlen, wenn dies schriftlich zugesichert werde.
  • Schliesslich sollen die Erpresser auch noch ihre Wallet-ID angeben, also die Bitcoin-Adresse, an die das Opfer die geforderte Lösegeldsumme bezahlen soll. Und gleichzeitig erbittet der Verhandlungsführer auch noch etwas mehr Zeit, da gerade Ferienzeit sei im betroffenen Land.

Keine drei Minuten später erklären sich die Erpresser im Chat mit dem vorgeschlagenen Vorgehen einverstanden.

«Nach der Zahlung teilen wir Ihnen mit, wie wir in Ihr Netzwerk eingedrungen sind. Wir werden alle Daten entschlüsseln, auch die der Kunden. Und wir werden die Daten von unseren Servern löschen.»

Und wieder wird Druck ausgeübt:

«Beeilen Sie sich. Wenn Sie vor Ende dieser Woche bezahlen, bleibt es beim vergünstigten Entschlüsselungspreis.»

Eine schlechte Ausgangslage spitzt sich wegen Russland zu

Am Morgen von Tag 4 der Verhandlungen sieht es zunächst danach aus, als würde der Deal über die Bühne gehen. Der Verhandlungsführer auf Opferseite verspricht den Erpressern, die Zahlung in Bitcoin werde vorbereitet.

Am Nachmittag schreibt er im Chat:

«Das Geld ist bereit für die Überweisung. Aber es gibt grosse Probleme.»

Gegen Abend teilt der Verhandlungsführer mit, dass eine solch grosse Überweisung im Herkunftsland des betroffenen Unternehmens angemeldet werden müsse. Weil die Bande als eine Gruppe aus Russland bekannt sei, führe dies wegen des Ukraine-Krieges zu noch grösseren Problemen:

«Weder die Banken noch meine Bitcoin-Börse und Versicherung sind bereit, die Embargobestimmungen zu verletzen (Krieg ist immer schlecht fürs Geschäft). Das bedeutet: Wir suchen derzeit nach sehr kreativen Wegen, um das Geld in Bitcoin zu tauschen. Ausserdem muss der Kunde den Verlust des Geldes durch die Versicherung verkraften. WIR BRAUCHEN ZEIT.»

Dann bittet der Verhandlungsführer die Erpresser um Hilfe:

«Keine Bitcoin-Börse (von der wir wissen) tauscht derzeit $800k in Bitcoins auf Anfrage um. Können Sie helfen?»

Begründung: Alle bekannten Bitcoin-Börsen verlangten bei grossen Beträgen einen Nachweis über den Empfänger – sonst würden sie ihre Zulassung in der EU verlieren.

Und alle Bitcoin-Börsen, von denen man wisse, seien «sehr vorsichtig mit Zahlungen, die nach Ransomware riechen», argumentiert der Verhandlungsführer. Das Russland-Embargo würde sie in enorme rechtliche Schwierigkeiten bringen.

Wenn Kriminelle Bitcoin-Tipps geben

Eine Viertelstunde später melden sich die Erpresser beim professionellen Verhandlungsführer mit konkreten Ratschlägen, wie das Russland-Embargo zu umgehen sei:

«Lassen Sie sie [gemeint ist die betroffene Firma] Bitcoin über Broker kaufen.»

Und weiter raten die Kriminellen:

  • «Wenn der Broker kein Geld an unsere Adresse schicken will, erstellen Sie ein Konto auf blockchain.com und holen Sie sich dort BTC, die Sie dann an uns schicken.»
  • «Oder registrieren Sie ein Konto bei einer beliebigen Krypto-Börse, verifizieren Sie es, kaufen Sie Bitcoin und schicken Sie es uns. Es ist nicht notwendig, an jeder Ecke darüber zu reden, warum man Bitcoin gekauft hat und an wen und wofür man sie geschickt hat.»
  • «Teilen Sie die Zahlung in mehrere Teile auf. Verwenden Sie verschiedene Börsen. Wir stellen Ihnen mehrere Wallets für die Zahlung zur Verfügung.»

Als der Verhandlungsführer antwortet, dies erfordere Zeit, machen die Erpresser erneut Druck:

«Beeilen Sie sich! Wir werden warten. Die Hauptsache ist, nicht stillzustehen.»

Doch dann ist plötzlich Funkstille ...

Die letzte Warnung

Nach den relativ intensiven Verhandlungen bleibt es die nächsten zwei Tage still, erst am Tag 6 melden sich die Erpresser und fragen, wann das Opfer denn nun bezahle.

Der Verhandlungsführer beschwichtigt:

«Der Krieg in der Ukraine macht alles sehr kompliziert. Krieg ist schlecht für das Geschäft.»

Dann führt er weitere Gründe ins Feld, warum es dem Opfer nicht möglich sei, die Summe schnell zu bezahlen.

Was aufhorchen lässt: Der Kunde habe eine Cyber-Versicherung. Diese werde dem Kunden aber nicht helfen, weil die Ransomware-Bande mit Russland verbunden sei.

Und auch kein Bitcoin-Handelsplatz («Exchange») wolle das Opfer unterstützen. Die Betreiber würden dem Kunden nicht helfen, weil die Bande mit Russland verbunden sei.

Auch sein eigener Bitcoin-Händler werde ihn nicht unterstützen, schreibt der professionelle Verhandlungsführer im Chat, dies, weil man aus ethischen Gründen russischen Gruppen nicht helfen wolle, Dollar zu verdienen.

Nun erhöhen die Erpresser den Druck:

«Sie können BTC kaufen, wenn Sie wollen. Wir haben es Ihnen erklärt! Vergessen Sie die Versicherung. Kaufen Sie es in Teilen! Teilen Sie Ihre Zahlung! Sonst wird es noch schlimmer.»

Und weiter:

«Was sind das für Entschuldigungen? Was soll das? Wir werden den Preis für die Entschlüsselung nicht senken. Oder denken Sie vielleicht, dass wir Ihre Daten nicht veröffentlichen werden? Es ist in Ihrem besten Interesse, zuerst zu bezahlen, und Sie brauchen nicht nach Ausreden zu suchen!»

Schliesslich betonen die Erpresser noch, die Ransomware-Bande sei «nur indirekt mit Russland verbunden».

Der Verhandlungsführer auf Opferseite versucht erneut, auf Zeit zu spielen, und hält an der Begründung fest, dass die Ransomware-Bande mit Russland in Verbindung gebracht werde und darum eine Bitcoin-Transaktion schwierig sei.

«Die Beamten sagen: Wenn du jemandem hilfst, Geschäfte mit Russland zu machen: Dann beissen wir dir den Arsch ab.»

Den Erpressern reisst der Geduldsfaden und sie verlangen vom Opfer, eine Deadline für die Zahlung zu nennen.

Alle weiteren Verzögerungsversuche seitens des Verhandlungsführers werden abgeblockt. So lehnen es die Erpresser auch ab, telefonisch mit dem Opfer zu verhandeln.

Nachdem es mehrere Tage ruhig bleibt im Chat, folgt eine ultimative Drohung an das betroffene Unternehmen:

«Jetzt laden wir alle Informationen, die wir von Ihnen gestohlen haben, in den Blog hoch. Bald werden Sie sie sehen können.»

Mehr zum Thema:

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Die bösartigsten Computer-Attacken aller Zeiten
1 / 16
Die bösartigsten Computer-Attacken aller Zeiten
Der Lösegeld-Trojaner «WannaCry» geht als bislang grösste Ransomware-Attacke in die IT-Annalen ein. Früher war aber nicht alles besser, im Gegenteil! Wir zeigen dir eine Auswahl der schlimmsten Malware-Attacken ...
Auf Facebook teilenAuf X teilen
Arnold Schwarzeneggers Rede an das russische Volk: Die Highlights
Video: watson
Das könnte dich auch noch interessieren:
23 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Maragia
07.05.2022 13:39registriert April 2016
Wenn ja alle Daten hochgeladen werden, dann hätte das Opfer ja seine verschlüsselten Daten wieder :)
554
Melden
Zum Kommentar
avatar
Mijasma
07.05.2022 13:58registriert Oktober 2018
Trennt einfach Russland Physisch vom Internet. Kabel durchschneiden auf die gute alte Art. Es wird einige Zeit dauern jedes Kabel zu Kapen. Aber es geht.
448
Melden
Zum Kommentar
avatar
Ass
07.05.2022 13:38registriert Januar 2017
Woher weiss man wenn man zahlt das die Daten doch nicht weiter verkauft werden? Oder wie weiss ich ob die Daten die ich erhalte dann nicht mit einer Randsomware infiziert sind? Verbrecher müssen sich schliesslich nicht an Abmachungen halten und daher macht auch zahlen keinen Sinn!
210
Melden
Zum Kommentar
23
Julian Assange darf hoffen: USA wollen Einstellung der Strafverfolgung prüfen
Hoffnung für den Wikileaks-Gründer Julian Assange: Die USA prüfen, ob sie das Strafverfahren gegen ihn einstellen wollen.

Ihm wird Geheimnisverrat in grossen Umfang vorgeworfen. Seine Anhänger feiern ihn als eine Art digitalen Robin Hood. Die US-Strafbehörden sehen Wikileaks-Gründer Julian Assange als Verräter und forderten bislang von Grossbritannien seine Auslieferung. Doch das könnte sich ändern. Die USA wollen nach Worten von US-Präsident Joe Biden ein australisches Ersuchen prüfen, die Strafverfolgung des inhaftierten Wikileaks-Gründers einzustellen. «Wir prüfen es», antwortete Biden am Mittwoch im Weissen Haus auf eine entsprechende Frage. Indes plädierte Wikileaks-Chefredakteur Kristinn Hrafnsson in London für eine «politische Lösung» in dem Fall. Dort protestierten Assanges Anhänger anlässlich des fünften Jahrestags seiner Festnahme in Grossbritannien.

Zur Story