Schlagwort: ransomware ceo

  • Ransomware Organisation: Wie sind Cyberkriminelle strukturiert?

    Ransomware Organisation: Wie sind Cyberkriminelle strukturiert?

    Wenn in den Medien über Ransomware berichtet wird, sieht man häufig das Endergebnis: Die gestohlenen Unternehmensdaten sind im Darknet gelandet. Aber was ist davor passiert? Gibt es den einen „Hacker“ bzw. Cyberkriminellen, der das alles alleine zu verantworten hat oder sieht die Ransomware Organisation anders aus?

    Arbeitsteilige Ransomware Organisation

    Anders als bis heute noch häufig berichtet wird, steckt hinter Cyberangriffen in der Regel nicht nur eine einzelne Person. Stattdessen sind die Akteure im Hintergrund hochgradig arbeitsteilig organisiert. Die Struktur hinter den Ransomware-Akteuren lässt sich ähnlich wie die Struktur eines normalen Unternehmens in einem Organigramm darstellen.

    Organigramm Ransomware Organisation
    Ransomware Organisation: CEO, Developer, Hosting, Kundenservice, Affiliates, Initial Access Broker

    Der Ransomware Operator / CEO

    Ganz oben im Organigramm gibt es den Geschäftsführer (oder „CEO“). Er kümmert sich um das möglichst reibungslose Zusammenspiel der einzelnen „Abteilungen“, vergibt Aufträge, legt Regeln und Grundsätze fest und übernimmt überwiegend organisatorische Aufgaben. Dazu zählt bspw. auch festzulegen, dass im Namen seiner Organisation keine medizinischen Einrichtungen (z.B. Krankenhäuser) angegriffen werden. Die Stelle des Geschäftsführers / Organisators kann durch mehrere Personen besetzt sein.

    Development

    In der Entwicklungsabteilung wird die eigentliche Schadsoftware programmiert. Teilweise sind hier einzelne Entwickler anzutreffen, in anderen Fällen gibt es aber auch Gruppen, die das übernehmen. Immer häufiger kommt auch hier generative KI zum Einsatz, die bei der Entwicklung unterstützt oder ganze Entwicklungsschritte übernimmt.

    Hosting

    Das Hosting wird häufig an spezialisierte „Bulletproof Hosting“ Anbieter outgesourced. Deren Geschäftsmodell besteht im Wesentlichen darin, (fast) alles auf Ihren Servern zu akzeptieren bzw. nicht so genau hinzusehen. Auch auf Anfragen von Behörden zur Herausgabe der Daten oder zur Abschaltung der gehosteten Dienste wird in der Regel nicht reagiert.

    Affiliates

    Die Affiliates sind extern, häufig im Darknet, angeworbene Personen, die sich an der bestehenden Infrastruktur und dem etablierten Namen der Ransomware-Gruppe bedienen und tatsächlich Unternehmen angreifen, Daten stehlen und einer Erpresserbotschaft hinterlassen. Die Mittel der Affiliates sind vielfältig und reichen von der Ausnutzung technischer Sicherheitslücken bis hin zu der Ausnutzung von gestohlenen Zugangsdaten, die sie im Darknet erworben haben. Diese Zugangsdaten werden bei sogenannten „Initial Access Brokern“ angeboten und stammen häufig von Computern, die mittels Infostealer-Schadsoftware infiziert wurden.

    Kundenservice

    Wenn ein Unternehmen entgegen jeglicher Empfehlungen doch dazu bereit ist, das geforderte Lösegeld zu bezahlen, möchte es häufig nicht die volle Lösegeldsumme bezahlen. Um hier noch nachzuverhandeln, stellen die Kriminellen in der Regel einen Kundenservice zur Verfügung und sind auch häufig innerhalb gewisser Grenzen zu Verhandlungen bereit. Der Kundenservice wird auch als Kontaktmöglichkeit genutzt, um unbeholfene Opfer bspw. anzuleiten, wie sie Bitcoins für das Lösegeld kaufen können und diese dann an die Ransomware-Akteure „überweisen“ können. Nach erfolgter Lösegeldzahlung erfolgt hier häufig auch die Übergabe eines Entschlüsselungscodes.

    Geldwäsche

    Bitcoins sind alles andere als ein unverfolgbares Zahlungsmittel. Das wissen mittlerweile auch die meisten Cyberkriminellen. Daher nutzen Sie häufig Services, die anbieten die echte Herkunft der illegal erhaltenen Lösegelder zu verschleiern. Hier gibt es teilweise auch Überschneidungen zur klassischen organisierten Kriminalität (außerhalb des rein digitalen Raums).

    Fazit

    Die Ransomware Organisation sieht so aus: Akteure agieren arbeitsteilig und sind keineswegs Einzelkämpfer. Fehlendes Wissen wird durch das Anwerben von Personen für die eigene Organisation oder durch Outsourcing eingeholt. Wie bei einem normalen Unternehmen gibt es auch hier eine Art Geschäftsführer und verschiedene Abteilungen darunter. So erfüllt jeder eine fest definierte Aufgabe. Diese Aufgaben umfassen diverse Dinge, von der Entwicklung der Schadsoftware, über die Angriffe auf Unternehmensinfrastruktur bis hin zu Geldwäsche der erhaltenen Lösegelder.