Gibt es ein Ransomware-Kartell mit Rückendeckung durch die russische Regierung?

Ein Sicherheitsanalyst gibt das Gerücht weiter, dass die Ransomware-Gangs EvilCorp und Maze dieselbe Entität seien – und enge Verbindungen zur russischen Regierungen haben. Ist etwas dran? Oder ist die Vorstellung einfach zu faszinierend?

Twitter ist oft eine gute Quelle von Gerüchten, die sich von der Kurznachrichtenplattform aus weiterverbreiten. So nimmt SC Media einen Tweet des Cybersecurity-Analysten mit dem Handle Pancak3 zum Ausgangspunkt für einen ausführlichen Artikel.

Pancak3 tweetet, die Entwickler hinter der Ransomware REvil hätten Informationen, die die Akteure hinter der Ransomware Maze / Egregor enthüllen. Diese Informationen zeigten zudem, dass die Hacker direkte Verbindungen zur russischen Regierung hätten, und dass verschiedene Ransomwaregruppen – etwa Maze und EvilCorp – ein und dieselbe Gruppe von Personen seien, welche in die Tätigkeiten des russischen Inlandgeheimdienstes FSB involviert seien.

Pancak3 belegt dieses Gerücht durch nicht mehr als durch Screenshots von einem Darknetchat mit jemandem von REvil. Laut diesen sind die Russen Maxim Yakubets und Konstantin Kozlovsky an den Operationen der Ransomware-Gruppen beteiligt. Yakubets wurde, so SC Media schon 2019, von mehreren US-Bundesstaaten wegen Computerkriminalität angeklagt, freilich ohne verhaftet zu werden; Kozlovsky war angeblich in den angeblichen russischen Hack des Nationalkomitees der Demokraten 2015/16 verwickelt, hinter dem angeblich auch schon der FSB stand.

Auf Twitter fügt ein anderer User, laut Selbstbeschreibung ein „Ethical Hacker“, hinzu, dass auch die Ransomware MountLocker laut den Analysen der schwedischen Sicherheitsfirma Gunnebo enge Verbindungen zur russischen Regierung hätten.

Natürlich sind all das reine Spekulationen, die auf einer einzigen Quelle beruhen, die zudem noch wenig vertrauenswürdig ist. Pancak3 ist dies bewusst: Die Details, die ihm zugespielt worden sind, seien wenig vertrauenswürdig, doch ähnliche Informationen hätten sich in der Vergangenheit als wahr erwiesen. Er operiere in einer zwielichtigen Welt, wo man niemals vollständig sicher sein könne. Die Infos habe er vor allem geteilt, um eine schöne Diskussion anzuregen. Ob es ein PR-Stunt ist, Desinformation, oder richtig – das weiß er nicht.

Für einige Sicherheitsexperten, die SC Media befragt, ist die Info hingegen im besten Fall wertlos. Rick Holland von Digital Shadows meint, für die Verteidigung sei es belanglos, ob man gegen freie Cyberkriminelle kämpft oder welche, die mit einer Regierung in Verbindung stehen. Joe Slowik von DomainTools dagegen warnt davor, solche Gerüchte zu ernst zu nehmen. Der Cybercrime, vor allem rund um Ransomware, sei schon lange arbeitsteilig weit differneziert. Und Mark Turnage von DarkOwn sieht das Gerücht sogar als schädliche Ablenkung von der ehrlichen Ermittlungsarbeit, die nur mehr Drama für die ohnehin schon von Ängsten erfüllten Darknet-Szene schafft.

Dagegen meint Tarik Saleh, Sicherheitsingenieur bei Amazon, es sei für die Sicherheitsteams zwar nicht relevant, wer hinter einem Angriff steht – doch es sollte es sein. Er erklärt, man wisse bereits, dass Maze ein Teil eines Ransomware-Kartells sei, das „signifikanten finanziellen Schaden auf der ganzen Welt“ angerichtet habe. Sollten sich die Gerüchte über Verbindungen von Maze und EvilCorp mit der russischen FSB als wahr herausstellen, würde dies „die FSB in eine einzigartige Kategorie stecken: Ein nationalstaatlicher Akteur, der an Ransomware-Kampagnen teilnimmt.“ Ransomware generiere ordentliche Profite, doch „sie ist phänomenal gut darin, Störung und Chaos zu verursachen.“ Dies entspreche eher den Motiven eines Regierungs-Organs, „besonders des FSB und seinen Beziehungen zum Westen.“

Von Russland wird seit langem und wiederholt behauptet, dass die Regierung den kalten Krieg im Cyberspace fortsetzt: durch Trollfabriken, die die westlichen Gesellschaften mit Desinformation zersetzen sollen – hierfür gibt es viele Beispiele, unter anderem haben die Trolle angeblich schon seit 2016 versucht, Rassenunruhen wie die Proteste um Black Live Matters auszulösen – und durch Hacks wie gegen das Nationalkomitee der Demokraten.

Ransomware ginge noch einen Schritt darüber hinaus. Es wäre nicht nur Propaganda, sondern Sachbeschädigung; eher Randale, Sabotage und Plünderung als nur Misinformation, vielleicht sogar Cyberterrorismus – und damit eine stärker physische als virtuelle Kriegsführung. Sie würde eine neue Stufe der Eskalation der digitalen Kriegsführung darstellen.

Aber gleichzeitig dürfte Ransomware extrem verlockend sein: Sie richtet nicht nur einen immensen wirtschaftlichen Schaden beim Gegner an, sondern wirft auch noch satte Profite ab. Gerade die oft betroffenen öffentlichen Einrichtungen in den USA und Europa – häufig sind es Universitäten, Stadtverwaltungen oder Krankenhäuser – könnten in das Profil eines digitalen kalten Krieges passen.

Russland würde in diesem Szenario vielleicht weniger als Verursacher von Ransomware auftreten – aber als Profiteur. Die Geheimdienste könnten das Know-How, das sich Hacker in privatwirtschaftlich-kriminellen Aktivitäten angeeignet haben, absahnen und in den Staatsdienst stellen. Sie könnten auch ihre Hand über die weiterhin freien Hacker halten und sie schützen, solange sie ihre Energie nur gegen ausländische Ziele richten und vielleicht einen Teil der Einnahmen als Schutzgeld abdrücken.

Da es Ransomware ohne Bitcoin nicht geben kann, käme die Regierung – bzw. der Geheimdienst FSB – unweigerlich in Kontakt mit Bitcoin. Zwar hat die Regierung versprochen, die kriminelle Nutzung von Kryptowährungen zu bekämpfen, doch dies würde sie in Konflikt damit bringen, die Hacker gewähren zu lassen oder selbst einzustellen. Vielmehr würde die Regierung selbst Einnahmen in Bitcoin erzeugen, die sie im In- oder Ausland verkaufen könnte. Aber vermutlich werden Bitcoin als sauber gelten, sobald die Regierung sie besitzt und weiter verkauft …