Keine Gaunerehre im Internet

Cyber-Kriminelle, die ein Ransomware-as-a-Service-Programm nutzen, haben sich darüber beschwert, dass die Gruppe, von der sie die Malware mieten, eine versteckte Hintertür nutzen könnte, um Lösegeldzahlungen für sich selbst abzugreifen.

REvil ist eine der berüchtigtsten und am weitesten verbreiteten Formen von Ransomware und war bereits für mehrere größere Vorfälle verantwortlich. Die Gruppe, die hinter REvil steht, vermietet ihre Ransomware an andere Gauner und erhält dafür einen Anteil an den Gewinnen, die diese Partner erzielen, indem sie Bitcoin-Zahlungen im Austausch für die Ransomware-Entschlüsselungsschlüssel erpressen, die die Opfer benötigen.

Aber es scheint, dass die Hintermänner von REvil noch nicht genug haben: Kürzlich wurde bekannt, dass in ihrem Produkt eine geheime Hintertür eingebaut ist, die es REvil ermöglicht, die verschlüsselten Dateien ohne die Beteiligung des Partners wiederherzustellen.

Dies könnte es REvil ermöglichen, die Verhandlungen mit den Opfern zu übernehmen, die so genannten „Kundensupport“-Chats zu kapern – und die Lösegeldzahlungen für sich selbst zu stehlen.

Die Analyse von Untergrundforen durch die Cybersecurity-Forscher von Flashpoint deutet darauf hin, dass die Offenlegung der REvil-Backdoor bei den Partnern nicht gut ankam.

Ein Forumsnutzer gab an, die Taktik von REvil zu kennen, und sagte, dass seine eigenen Pläne, 7 Millionen Dollar von einem Opfer zu erpressen, abrupt beendet wurden. Sie glauben, dass einer der REvil-Autoren die Verhandlungen über die Hintertür übernommen und sich mit dem Geld aus dem Staub gemacht hat.

Ein anderer Benutzer im russischsprachigen Forum beklagte sich über „lausige Partnerprogramme“, die von Ransomware-Gruppen verwendet werden, „denen man nicht trauen kann“, deutete aber auch an, dass der Status von REvil als eines der lukrativsten Ransomware-as-a-Service-Programme bedeutet, dass Möchtegern-Ransomware-Betrüger immer noch in Scharen kommen werden, um Partner zu werden. Dies ist insbesondere jetzt der Fall, da die Gruppe wieder aktiv ist, nachdem sie im Sommer eine Pause eingelegt zu haben schien.

Für die Betrüger, die glauben, betrogen worden zu sein, gibt es nicht viel, was sie tun können (und nur wenige haben Mitleid mit ihnen). Ein Forumsnutzer meinte, jeder Versuch, mit dieser Situation umzugehen, sei so nutzlos wie der Versuch, „gegen Stalin“ zu schlichten.

Ransomware ist nach wie vor eines der wichtigsten Probleme der Cybersicherheit, mit denen die Welt heute konfrontiert ist. Für die Opfer von Ransomware-Angriffen spielt es letztlich keine Rolle, wer am anderen Ende der Tastatur sitzt und die Zahlung des Entschlüsselungsschlüssels fordert – viele werden sich einfach dafür entscheiden, das Lösegeld zu zahlen, da sie es als den besten Weg zur Wiederherstellung des Netzwerks ansehen.

Aber selbst wenn die Opfer das Lösegeld zahlen – was nicht empfehlenswert ist, da es weitere Ransomware-Angriffe begünstigt – kann die Wiederherstellung des Netzwerks ein langsamer Prozess sein, und es kann Wochen oder Monate dauern, bis die Dienste vollständig wiederhergestellt sind.

Egal, ob es sich um REvil oder eine andere Ransomware-Bande handelt, die beste Möglichkeit, die Unterbrechung durch einen Ransomware-Angriff zu vermeiden, besteht darin, Angriffe von vornherein zu verhindern.

Zu den wichtigsten Maßnahmen, mit denen Unternehmen Ransomware-Angriffe verhindern können, gehört es, sicherzustellen, dass Betriebssysteme und Software im gesamten Netzwerk mit den neuesten Sicherheitsupdates gepatcht sind, damit Cyberkriminelle bekannte Schwachstellen nicht so leicht ausnutzen können, um einen ersten Fuß in die Tür zu bekommen.

Außerdem sollten alle Benutzer eine Multi-Faktor-Authentifizierung anwenden, um zu verhindern, dass Angreifer mit gestohlenen Benutzernamen und Passwörtern in ein kompromittiertes Netzwerk eindringen können.