Hinter den Schlagzeilen zu Ransomware-Attacken verbergen sich manchmal existenzbedrohende Situationen, und für die Betroffenen bedeuten sie Stress und Leid. Doch die Öffentlichkeit bekommt davon meist nicht viel mit.
Verhandlungen mit Internet-Erpressern werden im Geheimen geführt. Polizei und IT-Sicherheitsexperten raten Betroffenen, gegenüber den Medien möglichst wenig preiszugeben.
Nur zu gern hüllen sich die Verantwortlichen in einen Mantel des Schweigens, sind doch solche Hackerangriffe häufig mit Scham und unbequemen Fragen verbunden.
Umso spannender und lehrreicher ist es, wenn ungeschminkte Details ans Licht kommen: Denn Informationen, die nicht durch Mediensprecher und PR-Abteilungen «weichgespült» wurden, lassen wertvolle Rückschlüsse zu. Und genau dies ist nun dank eines geleakten Chatprotokolls möglich.
Es ist ein aktueller, nicht abgeschlossener Fall einer Ransomware-Attacke auf eine Organisation aus dem deutschsprachigen Raum. Um die Opfer zu schützen, werden in diesem Artikel (und in den Kommentaren!) keine Namen genannt.
Und auch die Bande, die für die Attacke verantwortlich ist, soll an dieser Stelle ungenannt bleiben. Es handelt sich um eine der derzeit gefährlichsten aktiven Gruppierungen.
Die Bande agiert vom Gebiet der Russischen Föderation aus. Sie bietet ihre selbst entwickelte Malware und die dazugehörige Server-Infrastruktur anderen Kriminellen an, um damit lukrative Ziele im Westen zu attackieren. Dies wird auch als «Ransomware as a Service» (RaaS) bezeichnet.
Die Kriminellen schrecken nicht davor zurück, vertraulich geführte Lösegeld-Verhandlungen publik zu machen, was einem Tabubruch in der «Branche» gleichkommt.
Im Folgenden zeigt watson Auszüge aus einem von der Bande absichtlich geleakten Chat. Daraus wird auch ein direkter Zusammenhang mit dem Ukraine-Krieg ersichtlich.
Laut dem geleakten Chat-Protokoll fand der erste Kontakt zwischen der Bande und dem Opfer noch am selben Tag statt, an dem die Ransomware-Attacke registriert wurde.
Die Kriminellen kommen um 18.40 Uhr in einem – sehr wahrscheinlich verschlüsselten – Chat zur Sache:
Um ihre Drohungen mit Fakten zu untermauern, übermitteln die Erpresser im Chat mit dem Opfer einen Link, der zu einem anonymen Filehoster führt. Dort lässt sich eine mehr als 4 Megabyte (MB) grosse Textdatei herunterladen.
Der Inhalt muss den von der Attacke betroffenen Verantwortlichen das Blut in den Adern gefrieren lassen: Es ist ein automatisch generiertes Datei-Verzeichnis («File Tree»), das zeigt, dass die Hacker grosse Beute gemacht haben.
Am Folgetag meldet sich das Opfer im Chat und signalisiert Verhandlungsbereitschaft. Zwar seien einige der IT-Systeme bereits wiederhergestellt worden. Jedoch würde man trotzdem «gerne eine Einigung erzielen», wie es heisst.
Die Antwort der Erpresser folgt umgehend:
Mit «Blog» meinen die Kriminellen ihre «Leak-Site» im Darknet, wo sie ihre Opfer an den Pranger stellen und mit der Veröffentlichung gestohlener Dateien drohen.
Auf Seite des Opfers gibt es zu diesem Zeitpunkt einen Verhandlungsführer, der sehr freundlich bleibt im Chat und die Kriminellen wissen lässt, dass das Unternehmen bereits eine offizielle Pressemitteilung zum Vorfall publiziert habe.
Die Erpresser antworten ebenso klar wie bösartig:
Dies zeigt auch, dass Ransomware-Banden genau verfolgen, was in der Öffentlichkeit über solche Fälle bekannt ist.
Gemäss dem geleakten Chat-Protokoll sind wir immer noch am Tag 2 der Verhandlungen zwischen Täter und Opfer. Und nun scheint der Verhandlungsführer beim betroffenen Unternehmen zu bluffen, denn er schreibt, die angedrohte Veröffentlichung der gestohlenen Daten störe sie nicht. Die Kunden seien informiert worden und «sehr entspannt».
Keine fünf Minuten später folgt im Chat eine Kehrtwende. Nun heisst es vonseiten des Opfers:
Und weiter schreibt der Verhandlungsführer:
Dazu muss man wissen, dass sich der öffentliche Druck auf das betroffene Unternehmen noch in Grenzen hält, weil es auf der Leak-Site bislang nicht genannt wird. Kunden, Partner und Medien wissen also noch nicht, dass hinter dem Angriff eine besonders gefährliche Ransomware-Bande steckt.
Die Erpresser zeigen sich unnachgiebig:
Und weiter:
Auf der Opferseite versucht der Verhandlungsführer daraufhin, den Preis zu drücken. Er behauptet, die geforderte Lösegeldsumme von einer Million Dollar würde das Unternehmen «sofort zerstören». Und er fügt dramatisch an:
Auf Täterseite signalisiert man Entgegenkommen:
Drei Minuten später antwortet das Opfer, man könne nur 250'000 Dollar bezahlen. Interessant ist die Begründung: Dieser Betrag werde «von der Versicherung übernommen».
Doch die Antwort der Erpresser fällt ernüchternd aus.
Nun muss der betroffenen Firmenführung bewusst geworden sein, dass es wenig finanziellen Spielraum gibt. Der Verhandlungsführer schreibt im Chat, er sei völlig überwältigt und könne «im Moment nicht mehr ertragen». Und:
Die kaltblütige Antwort der Erpresser:
Wir sind nun am Tag 3 der Verhandlungen zwischen den Erpressern und ihrem Opfer, die wir wegen des von den Tätern geleakten Chat-Protokolls kennen. Nun tritt offenbar ein unabhängiger Verhandlungsführer in Aktion. Dieser schreibt den Erpressern (gemäss Zeitstempel) am frühen Morgen:
Lapidare Antwort der Erpresser:
Der dritte Verhandlungstag dreht sich zunächst um technische Fragen. Der Verhandlungsführer auf Opferseite will herausfinden, ob der von den Erpressern zur Verfügung gestellte Decryptor tatsächlich funktioniert, damit die verschlüsselten Kundendaten (für die es offenbar keine Sicherheitskopie gibt) wiederhergestellt werden können.
Am Nachmittag erwähnt der professionelle Verhandlungsführer, dass eine Versicherung in den Fall involviert sei, und dass diese Versicherung gewisse Bedingungen stelle.
Zu den konkreten Forderungen schreibt er:
Keine drei Minuten später erklären sich die Erpresser im Chat mit dem vorgeschlagenen Vorgehen einverstanden.
Und wieder wird Druck ausgeübt:
Am Morgen von Tag 4 der Verhandlungen sieht es zunächst danach aus, als würde der Deal über die Bühne gehen. Der Verhandlungsführer auf Opferseite verspricht den Erpressern, die Zahlung in Bitcoin werde vorbereitet.
Am Nachmittag schreibt er im Chat:
Gegen Abend teilt der Verhandlungsführer mit, dass eine solch grosse Überweisung im Herkunftsland des betroffenen Unternehmens angemeldet werden müsse. Weil die Bande als eine Gruppe aus Russland bekannt sei, führe dies wegen des Ukraine-Krieges zu noch grösseren Problemen:
Dann bittet der Verhandlungsführer die Erpresser um Hilfe:
Begründung: Alle bekannten Bitcoin-Börsen verlangten bei grossen Beträgen einen Nachweis über den Empfänger – sonst würden sie ihre Zulassung in der EU verlieren.
Und alle Bitcoin-Börsen, von denen man wisse, seien «sehr vorsichtig mit Zahlungen, die nach Ransomware riechen», argumentiert der Verhandlungsführer. Das Russland-Embargo würde sie in enorme rechtliche Schwierigkeiten bringen.
Eine Viertelstunde später melden sich die Erpresser beim professionellen Verhandlungsführer mit konkreten Ratschlägen, wie das Russland-Embargo zu umgehen sei:
Und weiter raten die Kriminellen:
Als der Verhandlungsführer antwortet, dies erfordere Zeit, machen die Erpresser erneut Druck:
Doch dann ist plötzlich Funkstille ...
Nach den relativ intensiven Verhandlungen bleibt es die nächsten zwei Tage still, erst am Tag 6 melden sich die Erpresser und fragen, wann das Opfer denn nun bezahle.
Der Verhandlungsführer beschwichtigt:
Dann führt er weitere Gründe ins Feld, warum es dem Opfer nicht möglich sei, die Summe schnell zu bezahlen.
Was aufhorchen lässt: Der Kunde habe eine Cyber-Versicherung. Diese werde dem Kunden aber nicht helfen, weil die Ransomware-Bande mit Russland verbunden sei.
Und auch kein Bitcoin-Handelsplatz («Exchange») wolle das Opfer unterstützen. Die Betreiber würden dem Kunden nicht helfen, weil die Bande mit Russland verbunden sei.
Auch sein eigener Bitcoin-Händler werde ihn nicht unterstützen, schreibt der professionelle Verhandlungsführer im Chat, dies, weil man aus ethischen Gründen russischen Gruppen nicht helfen wolle, Dollar zu verdienen.
Nun erhöhen die Erpresser den Druck:
Und weiter:
Schliesslich betonen die Erpresser noch, die Ransomware-Bande sei «nur indirekt mit Russland verbunden».
Der Verhandlungsführer auf Opferseite versucht erneut, auf Zeit zu spielen, und hält an der Begründung fest, dass die Ransomware-Bande mit Russland in Verbindung gebracht werde und darum eine Bitcoin-Transaktion schwierig sei.
Den Erpressern reisst der Geduldsfaden und sie verlangen vom Opfer, eine Deadline für die Zahlung zu nennen.
Alle weiteren Verzögerungsversuche seitens des Verhandlungsführers werden abgeblockt. So lehnen es die Erpresser auch ab, telefonisch mit dem Opfer zu verhandeln.
Nachdem es mehrere Tage ruhig bleibt im Chat, folgt eine ultimative Drohung an das betroffene Unternehmen: