Ransomware as a Service: Ein machtvolles Upgrade

Der Trend bei Ransomware geht klar zu “Ransomware as a Service (RaaS)”. Wissenschaftler aus den Niederlanden zeigen durch Blockchain-Analysen, welche Vorteile das für Kriminelle mit sich bringt.

Manchmal haben auch Wissenschaftler einen Sinn für Wortspiele. So haben einige Forscher der Technischen Universität Delft in den Niederlanden die Plattform “RansomWhere” aufgebaut. Auf ihr sammeln sie Daten zu, ihr ahnt es: zu Ransomware.

Ransomware ist, so unangenehm es sein mag, eine “Killer-App” von Bitcoin. Die Malware infiziert Computer, verschlüsselt Daten und verlangt ein Lösegeld für den Schlüssel. Ohne Bitcoin wäre die Zahlung nicht oder nur sehr schwer möglich. In jedem Fall hätte Ransomware ohne Bitcoin nicht jenes Ausmaß erreicht, das es heute zu einer der Top-Bedrohungen des Cybercrimes macht.

Die Daten, die die niederländischen Forscher auf RansomWhere gesammelt haben, sind natürlich nicht vollständig. Bei weitem nicht. Aber Sie sind “die größte derzeit öffentlich verfügbare Sammlung von Ransomware-Zahlungsadressen”.

In einem Paper werten die Wissenschaftler nun diese Daten aus. Sie versuchen, durch sie mehr über das Ökosystem der Ransomware zu erfahren. Dabei bestätigen und fundieren sie eine Entwicklung, die Sicherheitsanalysten schon lange besorgt: den beunruhigenden Wandel von “Commodity Ransomware” zu “Ransomware as a Service”.

Commodity Ransomware

Commodity Ransomware ist quasi der Standard. Das ist die Art Ransomware, die ungefähr 2013 entstanden ist und über die normalerweise berichtet wird. Die Forscher von Delft charakterisieren sie durch “breite Ziele, fixe Lösegelder und technisch kompetente Operatoren.”

Diejenigen, die die Malware entwickeln, verbreiten sie auch. Dazu nutzen sie meist Bugs in gängigen Programmen, etwa für Textverarbeitung, um diese per Phishing-Mails auszunutzen. Massenangriffe sind der “Modus Operandi”, weshalb es immer wieder zu Ransomware-Pandemien kam.

Bekannte Beispiele sind WannaCry oder NotPetya, die in kurzer Zeit Zehntause von Organisationen auf der ganzen Welt erreichten und einen enormen Schaden anrichteten. Es zeigte sich aber, dass die Commodity-Ransomware “lediglich der Boden für eine viel wirkungsvollere Nutzung von Ransomware wurde”.

Ransomware as a Service (RaaS)

Ransomware as a Service (RaaS) entstand ab 2016. Sie wird durch Arbeitsteilung definiert: “Es gibt ein Kernteam von Entwicklern, die ihre Malware auf einer Affiliate-Basis lizensieren.”

Die Entwickler stellen die Malware den “Vertriebspartnern” zur Verfügung. Die Malware besteht aus der eigentlichen Ransomware, die Daten verschlüsselt. Oft kommt dazu noch ein Exploit-Kit, also eine Sammlung Skripte, die bestimmte Bugs ausnutzen, sowie ein Zahlungsportal im Tor-Netzwerk.

Die “Vertriebspartner” müssen also kaum technische Expertise mitbringen. Sie müssen lediglich die Ransomware auf die Computer der Opfer schleusen. Und das machen sie mit Enthusiasmus, Phantasie und Hartnäckigkeit. Bei der “Großwildjagd” wählen sie eine große Firma aus, suchen nach Sicherheitslücken, und verlangen, falls Sie Erfolg haben, ein möglichst hohes Lösegeld. Dabei drohen sie auch, sensible Daten zu leaken, womit die bisherige Strategie gegen Ransomware, nämlich eine gute Backup-Pflege, ins Leere läuft.

RaaS macht Ransomware in so gut wie jeder Beziehung effektiv. Sie erlaubt es Kriminellen, “Sicherheitslücken mit einer vorher unvorstellbaren Reichweite zu monetarisieren.”

Die Forschungsarbeit

Und damit wären wir bei der Frage, die dem Paper nachgeht: Wie äußert sich der Unterschied zwischen RaaS und Commodity-Ransomware in den Bitcoin-Zahlungen? Welche Unterschiede sind onchain, in den Transaktionsdaten der Bitcoin-Blockchain, zu erkennen?

Die Forscher haben für diese Frage den Datenschatz auf RansomWhere in Stellung gebracht. Sie haben 7.457 Adressen gesammelt, von denen sie wissen, welcher Ransomware-Gruppe sie gehören.

Diese Adressen haben insgesamt gut 100 Millionen Dollar empfangen, wenn man vom Bitcoin-Wert zum Transaktionszeitpunkt ausgeht. Die geringste Zahlung betrug einen Dollar, die höchste 11 Millionen, der Medianwert 1.176 Dollar.

Mithilfe von Crystal Blockchain, einem Blockchain-Explorer mit “Compliance”-Funktionen, analysieren sie die Transaktionen und Adressen. Crystal Blockchain beherrscht die üblichen Disziplinen der Blockchain-Analyse: Adressen mithilfe verschiedener Heuristiken zu Wallets geclustert und mit Offchain-Daten verbunden, etwa von Börsen, Foren, Internetsuchen und anderen Quellen.

Dadurch können die Forscher “die Strategien der Geldwäsche wie auch deren Dauer analysieren.” Was fanden sie dabei heraus?

Die Einkünfte

Zunächst einmal haben sie rund 87 Familien von Ransomware bzw. deren Operatoren identifiziert.

Die Höhe der Einkünfte gibt einen ersten Hinweis darauf, wie mächtig das Upgrade zu RaaS ist: Die Commodity-Ransomware, die seit mindestens 2013 aktiv ist, hat insgesamt gerade mal 5,5 Millionen eingespielt. RaaS hingegen hat, trotz deutlich kürzerer Betriebszeit, bereits beinah 100 Millionen Dollar erwirtschaftet.

Dementsprechend entspringen die lukrativsten Ransomware-Familien sämtliche dem RaaS-Umfeld: NetWalker (26,7 Mio Dollar), Conti (16,4m), REvil (12,1m), DarkSide (9,1m), Locky (8,1m).

Die Daten sind wie gesagt längst nicht vollständig. Es gibt Hinweise darauf, dass das tatsächliche Geschäft mit der Ransomware sehr viel umfangreicher ist, etwa dass belgische Unternehmen allein je Jahr angeblich 100 Millionen Dollar für Ransomware bezahlen. Dennoch dürften die Daten gute Hinweise auf Trends geben.

Einer Trend ist dieser: Die Commodity-Ransomware erwirtschaftet ein konstantes Einkommen auf niedrigem Nivea, wohingegen die Einkünfte der RaaS extreme Sprünge zeigne. Diese entstehen durch große Erfolge der “Großwildjäger.” Etwa im April 2020, als NetWalker Krankenhäuser angriff (die wegen der Corona-Pandemie sowieso überlastet waren). Oder im Mai 2021, als REvil den brasilianischen Fleischhersteller JBS erlegte. Solche Erfolge sind sehr deutlich auf der Blockchain zu erkennen.

Birtcoin-Kompetenz

RaaS-Akteure sind nicht nur besser darin, Einnahmen zu erwirtschaften. Sie sind auch besser darin, Bitcoin zu benutzen.

So ertappen die Forscher die Betreiber der Commodity-Ransomware bei klassischen Anfängerfehlern: Sie benutzen oft dieselbe Adresse für alle Zahlungen. Das macht es viel leichter, ihre Zahlungsströme zu verfolgen. Die RaaS-Akteure hingegen generieren meistens für jede Zahlung eine neue Adresse, was die Nachverfolgbarkeit erschwert und Methoden der Wallet-Clusterung teilweise den Boden entzieht.

Die Ursache für diesen Unterschied liegt auf der Hand: Nicht jeder, der Ransomware vertreibt, kann ein eigenes Zahlungsportal aufbauen, das je Transaktion eine neue Adresse generiert. Mit dem Upgrade zu RaaS können die Vertriebler das Zahlungsportal der Entwickler benutzen, das dazu in der Lage ist. Arbeitsteilung zahlt sich eben aus.

Die Adressen der Commodity Ransomware sind in der Regel P2PKH-Adressen. Das sind die ehemaligen Standard-Adressen, die mit einer “1” anfangen. Heute benutzt man sie kaum mehr. Heute verwendet man, wie die RaaS-Akteure, SegWit-Adressen, die mit einer “3” oder einer “bc1q” beginnen. Sie benutzen Bitcoin also so, wie man es sollte.

Geldwäsche-Strategien

Dieses Muster der Commodity-Amateure und der RaaS-Profis finden wir auch in den Geldwäsche-Strategien.

Alle Akteure waschen ihre Einnahmen. Sie transferieren die eingenommenen Coins weiter, versuchen dabei irgendwie, die Spuren zu verschleiern, und wechseln sie schließlich gegen Fiatgeld oder Gutscheinkarten. Damit ist der klassische Zyklus der Geldwäsche abgeschlossen.

Einen ersten Unterschied der Geldwäschepraxis zwischen Commodity und RaaS finden die Forscher in der Dauer, die ein Coin auf einer Adresse liegt. Bei Commodity-Ransomware kann es Tage, zum Teil auch Monate oder gar Jahre dauern, bis ein Coin von der Empfangsadresse in die Waschstraße einläuft. Hier scheint wenig Eile zu bestehen. Bei Ransomware as a Service sind es dagegen meist nur Minuten oder Stunden. Dies mache es schwieriger, die Zahlungsströme verfolgen.

Die Forscher bleiben dabei oberflächlich. Sie berücksichtigen nur den ersten Sprung der Transaktionen. Sie wissen also nicht, wie, wann und wo die Geldwäsche endet, sondern lediglich, wie und wo sie beginnt. Dies allein ist aber schon vielsagend.

Die Coins von Adressen der Commodity Ransomware gehen an die verschiedensten Orte: Normale Börsen, illegale Börsen, Wallets, Kasinos und anderes. Es ist keine klare Strategie zu erkennen. Anders bei RaaS: Hier fließt der allergrößte Teil, fast 75 Prozent, an illegale Börsen (“fraudulent exchanges”), und ansonsten in der Regel zu Mixern.

Dies mache es, folgen die Autoren, für die Polizei schwieriger, die Geldströme von RaaS-Akteuren zu verfolgen und die Zahlungen für die Opfer zurückzuführen.

Ein machtvolles Upgrade

Das Paper der niederländischen Forscher bringt keine fundamental neuen Erkenntnisse: Die Polizei und andere Behörden warnen schon seit ein bis zwei Jahren, dass die “Branche” einen Trend zu mehr Arbeitsteilung durchläuft, und es ist ein Allgemeinplatz, dass alles effizienter geht, wenn man sich die Arbeit teilt.

Dennoch erstaunt, wie vielschichtig die Vorteile von Ransomware as a Service gegenüber der klassischen Commodity-Ransomware sind. Die Professionalisierung, die diese kriminelle Branche durchlaufen hat, ist gewaltig. Dies wird nicht nur die Wissenschaft noch lange beschäftigen, sondern auch und vor allem die Gesetzeshüter und Sicherheitsexperten.

---

Das Bitcoinblog wird von Bitcoin.de gesponsort, ist inhaltlich aber unabhängig und gibt die Meinung des Redakteurs Christoph Bergmann wieder

Christoph hat vor kurzem sein zweites Buch veröffentlicht: “Das Bitcoin-Kompendium: Netzwerk und Technologie”. Es ist eine überarbeitete Auslese seiner besten Artikel für dieses Blog. Ihr könnt das Kompendium direkt auf der Webseite Bitcoin-Buch.org bestellen – natürlich auch mit Bitcoin – oder auch per Amazon.

Tipps für Stories sind an christoph.bergmann@mailbox.org immer erwünscht. Für verschlüsselte Nachrichten nutzt bitte meinen PGP-Schlüssel — Auf Telegram! könnt ihr unsere News abonnieren.