Maßnahmen der Strafverfolgungsbehörden tragen in der Regel wenig dazu bei, cyberkriminelle Aktivitäten abzuschrecken. Aber die Verhaftung mehrerer Mitglieder der berüchtigten Ransomware-Gruppe REvil in der vergangenen Woche in Russland sowie die Demontage ihrer kriminellen Infrastruktur scheinen endlich die Aufmerksamkeit zumindest einiger Bedrohungsakteure auf sich gezogen zu haben.
Forscher von Trustwave, die diese Woche regelmäßig das Geschwätz in Untergrundforen verfolgen, beobachteten in den Tagen nach den REvil-Verhaftungen Anzeichen beträchtlicher Besorgnis und Bestürzung unter osteuropäischen Cyberkriminellen. Viele Bedrohungsakteure scheinen weniger Vertrauen in Russland als Zufluchtsort für ihre Operationen zu haben und befürchten, dass die Zusammenarbeit zwischen russischen und US-Behörden sie in Zukunft vor große Probleme stellen könnte.
„Wir haben beobachtet, dass Bedrohungsakteure aus ihrem früheren Gefühl der Unverwundbarkeit herausgeschüttelt wurden und nun eine gewisse Instabilität, Angst und Paranoia verspüren“, sagt Karl Sigler, Senior Security Research Manager bei Trustwave SpiderLabs. Wie lange dieses Gefühl vorherrschen wird, hängt ganz davon ab, wie strafend die nachfolgenden rechtlichen Schritte gegen die Verhafteten sein werden, sagt er.
Das gab am vergangenen Freitag der russische Föderale Sicherheitsdienst (FSB) bekannt 14 Mitglieder verhaftet der REvil-Bande und überfielen 25 Orte, die mit den Personen in Verbindung stehen, in Aktionen, die darauf abzielten, die erstaunlichen Ransomware-Operationen von REvil zu stören. Die Razzien führten dazu, dass der FSB den Gegenwert von 6.8 Millionen US-Dollar in verschiedenen Währungen sowie 20 Luxusfahrzeuge, Geldbörsen für Kryptowährungen und Computerausrüstung beschlagnahmte, die Gangmitglieder im Rahmen von REvil-Operationen verwendeten.
Viele Sicherheitsexperten betrachteten die Verhaftungen mit einiger Skepsis, da sie mitten in angespannten Gesprächen zwischen den USA und Russland über eine mögliche Invasion Russlands in der Ukraine stattfanden. Die Skeptiker betrachteten den Schritt des FSB als berechnet, um sich bei den USA einzuschmeicheln, die tiefe Besorgnis über die Bedrohung durch REvil nach schädlichen Ransomware-Angriffen zum Ausdruck gebracht hatten JBS Lebensmittel und Kaseya letzten Mai und Juni durch Gruppen, die die Malware verwenden.
Trotz der verdächtigen Motive war die Aktion des FSB bedeutsam und markierte das erste Mal, dass die russischen Behörden gegen eine große Cyber-Bedrohungsgruppe vorgegangen sind, die von ihren Grenzen aus operiert – und auch auf Geheiß der USA. In der Vergangenheit hatte sich Russland geweigert, auch nur anzuerkennen, dass Bedrohungsakteure möglicherweise frei im Land operieren, weil sie es als sicheren Hafen für sie betrachteten.
Trustwave gefunden dass die überraschenden Verhaftungen des FSB in der vergangenen Woche dieses Gefühl der Selbstzufriedenheit erheblich erschüttert haben. Der Sicherheitsanbieter beobachtete Bedrohungsakteure in Untergrundforen, die ihre Besorgnis darüber zum Ausdruck brachten, dass sie festgenommen wurden und Russland kein sicherer Ort mehr für ihre Operationen sei. Einige haben sogar damit begonnen, das Potenzial einer Betriebsverlagerung nach Indien, in den Nahen Osten, nach China und sogar nach Israel zu diskutieren.
„Eigentlich ist eines klar: Wer erwartet, dass der Staat ihn schützt, wird schwer enttäuscht werden“, zitiert Trustwave ein Forumsmitglied.
Angst, Unsicherheit und Zweifel
Trustwave stellte fest, dass die Verhaftungen auch eine gewisse Paranoia innerhalb der osteuropäischen Cybercrime-Community über einen potenziellen Maulwurf in ihren Reihen geschürt haben. Anscheinend gibt es einige Bedenken, dass ein Forumsadministrator heimlich mit der Strafverfolgung zusammenarbeitet. Der Verdacht über die Doppelrolle der Person veranlasste ein Forumsmitglied, Pläne zur Veröffentlichung eines Teils seiner persönlichen Korrespondenz mit dem Administrator anzukündigen, vermutlich um die Person mit den illegalen Aktivitäten des Forums in Verbindung zu bringen.
Andere haben damit begonnen, Ratschläge zu geben, wie man die Gefährdung durch Strafverfolgungsbehörden mindern kann, indem man sich Mechanismen wie Tor zunutze macht, alte Nachrichten löscht, Verschlüsselung verwendet und nicht alle gestohlenen Daten und andere Artefakte auf einem einzigen Computer aufbewahrt. Trustwave beobachtete, wie ein Forumsmitglied sagte: „Es ist jetzt gefährlich, überhaupt und überall etwas zu schreiben. Alle Posten müssen bereinigt werden, die mit Cyberkriminalität in Verbindung stehen.“
Einer der Tipps, die sich Cyberkriminelle gegenseitig anbieten, ist, zu vermeiden, Aufmerksamkeit zu erregen, wie es REvil mit seinen Angriffen auf große, milliardenschwere US-Unternehmen und Ziele in kritischen Infrastruktursektoren wie JBS Foods getan hat. Trustwave beobachtete mehrere Forumsmitglieder, die darauf hinwiesen, dass der Untergang von REvil auf die viel publizierte Prahlerei und zügellose Angriffe auf Organisationen zurückzuführen war, die in Ländern ansässig waren, die die Kraft hatten, die russische Regierung zum Handeln zu drängen.
Sigler sagt, das Gesprächsvolumen in den Untergrundforen sei höher als je zuvor.
„Die Angst vor einer Verhaftung und die Diskussion um die Möglichkeit, dass ihre Heimat kein sicherer Hafen mehr ist, sind einzigartig“, sagt er. „Es gibt ernsthafte Bedenken, dass die Zusammenarbeit zwischen den Vereinigten Staaten und Russland ein Problem für ihre zukünftigen Operationen darstellen wird.“
