Der Name «BianLian» leitet sich von einer alten Schauspielkunst ab, die ihren Ursprung in China hat. Dabei wechseln die Darsteller auf der Bühne blitzschnell ihre Masken.Bild: Shutterstock
Interview
Die Bevölkerung von Basel-Stadt ist von einem schweren Datendiebstahl betroffen. IT-Sicherheitsexperte Marc Ruef ordnet den Hackerangriff ein und erklärt, warum die Erpresserbande «BianLian» ziemlich abnormal ist.
11.05.2023, 08:4412.05.2023, 10:53
daniel schurter / Jonas Hoskyn
Am Mittwoch wurde publik, dass rund 1,2 Terabyte Daten des Basler Erziehungsdepartements im Darknet zugänglich sind. Sie sind die «Beute» von Cyberkriminellen, die mit ihrem Erpressungsversuch scheiterten und die Daten quasi als Bestrafung des zahlungsunwilligen Opfers publizierten.
Hinter dem massiven Datendiebstahl steckt eine Gruppe, von der die Öffentlichkeit bislang relativ wenig weiss. Der Schweizer IT-Sicherheitsexperte Marc Ruef, ein profunder Kenner der Ransomware-Banden, hat sich mit «BianLian» beschäftigt und ordnet den aussergewöhnlichen Fall ein.
Was ist an dieser Gruppierung besonders?
Die Attacke auf das Basler Erziehungsdepartement wurde Ende Januar publik gemacht. Dass die Erpresserbande «BianLian» dahintersteckt, ist erst seit dieser Woche bekannt.
Sicherheitsexperte Marc Ruef:
«BianLian hat früher ein klassisches Ransomware-Modell umgesetzt, bei dem Daten verschlüsselt und so Geld erpresst wurde. Jüngst wurde bekannt, dass man sich nur noch auf die Exfiltration, also den Datendiebstahl, konzentrieren möchte.
Dadurch hat die Gruppierung die Komplexität ihrer Angriffe verringert. Aber auch den eigenen Hebel im Erpressungs-Ansatz verringert. Sie spekulieren darauf, dass eine Veröffentlichung der Daten schmerzhaft genug sein wird, um eine Zahlung durch die Opfer zu erzwingen.
Das Vorgehen von BianLian ist in seinen Grundzügen sehr professionell und effizient. Die erbeuteten Daten umfassen oft mehrere Terabyte und kommen einer vollumfänglichen Kompromittierung gleich.»
Bereits seit Mitte Januar gibt es einen sogenannten Decryptor, das ist ein Hilfsprogramm, um die von BianLian verschlüsselten Dateien zu entschlüsseln. Dieses von der IT-Sicherheitsfirma Avast veröffentlichte Gratis-Tool dürfte auch der Grund dafür gewesen sein, dass die unbekannten Kriminellen ihre Vorgehensweise grundlegend geändert haben.
Ruef erklärt:
«Durch das Vereinfachen ihres Geschäftsmodells kann die Gruppe ihre Ransomware simpler strukturieren und sie ist dadurch weniger fehleranfällig. Dass eine Gruppierung das Prinzip der doppelten Erpressung (‹Double Extortion›) aufgibt, ist sehr ungewöhnlich. Aber falls der Erfolg ihnen recht gibt, könnten andere Ransomware-Gangs diesem Beispiel folgen.»
Hier ist anzumerken, dass der Plan der Kriminellen im vorliegenden Fall von Basel-Stadt nicht aufgegangen ist. Die Verantwortlichen versichern, sie hätten nichts bezahlt. Angeblich wurden überhaupt keine Verhandlungen geführt.
Insider-Informationen?
watson-Redaktor Daniel Schurter ist über die verschlüsselte Schweizer Messenger-App Threema auch anonym zu erreichen. Seine Threema ID lautet: ACYMFHZX. Oder du schreibst an daniel.schurter [at] protonmail.com. Wer sich beim Schweizer Secure-Mail-Anbieter (kostenlos) registriert, kann verschlüsselte E-Mails verschicken.
Was weiss man über die Herkunft der Kriminellen?
Bei unseren Recherchen zu BianLian fiel auf, dass in der bisherigen Berichterstattung im Gegensatz zu anderen Ransomware-Akteuren nie von Russland die Rede ist.
Marc Ruef, IT-Sicherheitsexperte, Dozent, Buchautor und früherer Hacker, ist Mitgründer der Schweizer Sicherheitsfirma Scip AG. Der IT-Sicherheitsexperte erklärt:
«BianLian gilt als relativ junge Gruppierung, die Ende 2022 das erste Mal von sich reden machte. Im Gegensatz zu vielen anderen Ransomware-Gangs scheint es sich nicht um eine Neuformierung durch Mitglieder anderer Gangs zu handeln. Ihr Verhalten zu Anfangszeiten war relativ ungestüm und durch ‹Anfängerfehler› begleitet: fehlerhafte Netzwerkzugriffe, träge Verhandlungen mit Opfern und eine schlechte Erreichbarkeit ihrer Tor-Seite.
Über die Herkunft wird noch immer gerätselt. Gewisse Sicherheitsfirmen meinen, Verbindungen zu Nordkorea identifiziert zu haben. Unsere eigenen Abklärungen zeigen Überlappungen mit Akteuren aus Russland, China, Deutschland und Spanien. Eine sichere Zuordnung ist momentan noch nicht möglich.
Die bisherigen Opfer finden sich hauptsächlich in Nordamerika, Westeuropa, Australien und Indien. Südamerika, Afrika und Eurasien stehen vorerst nicht im Fokus. Ob das an geopolitischer Ausrichtung, sprachlichen oder kulturellen Hürden liegt, kann momentan nicht gesagt werden.»
Die Malware ist in «Go» programmiert, was bringt das den Kriminellen?
Dazu sagt Marc Ruef:
«Go ist eine Programmiersprache, die sich zunehmender Beliebtheit erfreut. Sie ist relativ einfach zu erlernen, klar strukturiert und bietet eine Vielzahl vorgefertigter Module, wie zum Beispiel die Verschlüsselung.
Der langfristige Vorteil von Go ist, dass sich Programme einfach auf verschiedene Betriebssysteme kompilieren lassen. Es würde also nicht erstaunen, wenn die Gruppierung auch andere Plattformen wie Linux und macOS ins Visier nehmen wird. Momentan scheint man sich aber, wie die meisten anderen Ransomware-Gangs auch, auf Windows zu fokussieren.»
Was wissen wir über die geleakten Daten, die Basel-Stadt betreffen?
Marc Ruef hat die auf der Leak-Site zugänglich gemachten Daten näher angeschaut, wobei er betont:
«Wir haben nur die Pfadstrukturen analysiert und vereinzelte ‹Plausibilisierungen› vorgenommen. Wegen unseren ethischen Grundsätzen sowie aus Datenschutzgründen schauen wir keine persönlichen Daten an.»
Die Sichtung habe gezeigt, dass es sich um «858 ZIP-Dateien» handle, also komprimierte Daten, wobei «pro Datei ein kompromittiertes Windows-System» gegeben sei.
Der Sicherheitsexperte erklärt:
«Die Angreifer haben jeweils einen Datensatz eines Windows-Systems heruntergeladen. Diesen haben sie dann in eine ZIP-Datei gepackt, wodurch die Daten einzelner Systeme unkompliziert und effizient ausgetauscht werden können. Dieses Vorgehen ist nicht üblich, da die Leaks traditionell als ein grosses Archiv angeboten werden.»
Die unbekannten Cyberkriminellen bekunden aber offenbar Mühe, die im Darknet zugänglich gemachten Opferdaten über einen funktionsfähigen Server anzubieten.
Ruef bestätigt:
«BianLian ist seit jeher für eine schlechte Infrastruktur bekannt. Das Herunterladen ist langwierig und nervenaufreibend. Es braucht verschiedene Anläufe.»
Wie schlimm ist das Daten-Leak?
BianLian behauptet auf der eigenen Leak-Seite, dass beim Hackerangriff auf das Erziehungsdepartement «HR-, Finanz-, Buchhaltungs-, Studenten- und Mitarbeiterdaten» erbeutet wurden. «Die Pfadstrukturen deuten auf Mitarbeiter, Lehrer und Schüler hin», erklärt Ruef. Es fänden sich ebenso gewisse Vertragsinformationen und sogenannte NDAs mit externen Partnern, also Vertraulichkeitsvereinbarungen.
«Stichproben zeigen, dass hier die Desktop- und Datei-Ordner von einzelnen Personen erbeutet wurden. Es scheinen also Arbeitsplatzrechner kompromittiert worden zu sein oder die Netzwerkfreigaben, auf denen die Benutzerdaten abgelegt sind.
Dort finden sich dann die lokal abgelegten Dokumente. Die Datenmenge ist stark davon abhängig, welcher User wie viele Dokumente, Bilder, OneNote-Notizen etc. gespeichert hat. Inhalte des Windows-Papierkorbs sind ebenfalls vorhanden. Ebenfalls finden sich im Browser gespeicherte Passwörter und Formulardaten.»
Kann man aus den oben erwähnten fast 860 ZIP-Dateien schliessen, dass es sich um eine entsprechende Zahl von PC-Usern handelt, die vom Leak betroffen sind?
Dazu der IT-Sicherheitsexperte:
«Ja, das lassen die Stichproben vermuten. Das sind die direkt betroffenen Benutzer. Da werden aber auch noch Kundenbeziehungen drin sein, was zu indirekten Betroffenen führen wird.»
Wie kamen die Hacker rein?
Stundenpläne, Zeugnisse, Absenzen, aber auch hochsensible Daten wie schulpsychologische Abklärungsberichte: Noch ist erst ansatzweise geklärt, was der grosse Datensatz umfasst, den die Cyberkriminellen vom Basler Erziehungsdepartement erbeutet und nach einem gescheiterten Erpressungsversuch veröffentlicht haben. Klar ist aber: Es sind auch vertrauliche Daten darunter. Und: «Wir gehen davon aus, dass eine grosse Zahl von Personen im Kanton Basel-Stadt betroffen ist», sagte Erziehungsdirektor Conradin Cramer an einer Medienkonferenz am Mittwoch.
Die Hacker verschafften sich Zugriff auf das Netzwerk «eduBS» und breiteten sich dort via Sicherheitslücken aus. Das Netzwerk steht den Basler Lehrpersonen und Schülerinnen und Schülern zur Verfügung und ist vom kantonalen Datennetz isoliert. Entsprechend ist offenbar nur das Erziehungsdepartement vom Hackerangriff betroffen.
Es könnten zum Beispiel Noten, Lernberichte und Absenzen im Darknet gelandet sein, sagte Erziehungsdirektor Cramer. Nun werde das Informatik-Team eruieren, wer betroffen sei. Diese Personen würden direkt kontaktiert.
Aktuell gehen die Verantwortlichen davon aus, dass die Täter über einen PC, der sowohl privat als auch geschäftlich genutzt wurde, ins IT-System eindringen konnten. Solche Geräte benutzen beispielsweise Lehrpersonen.
Es sei davon auszugehen, dass der Datenraub sowohl über menschliche als auch technische Fehler zustande kam, sagte Thomas Wenk, Leiter Digitalisierung und Informatik beim ED. Der Cyberangriff könnte mit einer harmlos aussehenden Phishing-E-Mail losgetreten worden sein.
Der eigentliche Hackerangriff begann vermutlich um die Weihnachtsferien. Bemerkt wurde er erst, als sich die Täter Ende Januar mit dem Erpresserschreiben beim Kanton meldeten. Man muss davon ausgehen, dass sie zu jenem Zeitpunkt ihre Möglichkeiten ausgeschöpft, also wertvolle Daten in grosser Zahl gestohlen hatten.
Wie gross ist das Risiko von weiteren Angriffen?
Marc Ruef hat eine deutliche Warnung:
«Historisch gesehen nutzt die Gruppe die ‹Schwergewichte› publizierter IT-Schwachstellen. Also solche, die sehr grosse, bekannte und exponierte Produkte betreffen. Das sind genau jene Schwachstellen, die in der Cybersecurity-Branche sofort zu reden geben und es manchmal selbst in die Tagespresse schaffen.
Dies zeigt sehr konkret, dass man das Thema Cybersecurity ernst nehmen und neue Schwachstellen schnellstmöglich adressieren sollte. Nur so kann das Zeitfenster für erfolgreiche Angriffe minimiert werden. Wer das nicht tut, könnte schon morgen ein lohnendes Opfer von BianLian oder einer anderen Ransomware-Gang werden.»
Quellen
So läuft eine Ransomware-Attacke ab
1 / 17
So läuft eine Ransomware-Attacke ab
2021 machte watson publik, dass die am Genfersee gelegene Waadtländer Gemeinde Rolle von einem massiven Daten-Leak betroffen war – die Folge einer Ransomware-Attacke. In dieser Bildstrecke erfährst du, wie ein solcher Hackerangriff abläuft. Die wenigsten Leute wissen, was kriminelle Eindringlinge in fremden IT-Systemen so alles treiben.
TikTok-Account veröffentlicht Schweizer Lohnabrechnungen
Video: watson
Das könnte dich auch noch interessieren:
Die Meldungen über Cyberbetrug haben sich im zweiten Halbjahr 2023 fast verdoppelt. Verantwortlich dafür waren vor allem betrügerische Stellenangebote und vermeintliche Anrufe der Polizei, wie das neue Bundesamt für Cybersicherheit (Bacs) am Montag mitteilte.
-> Das Schreiben der Erpresser erreichte einfach nie den Zuständigen und irrt jetzt noch in den Mühlen der Verwaltung umher 😉