OnePercent: Zwischen FBI und Ransomware-Kartellen

Das US Federal Bureau of Investigations (FBI) hat im August eine Erklärung veröffentlicht, in der der Modus Operandi einer cyberkriminellen Gruppe beschrieben wird, die sich OnePercent nennt.

Nach Angaben des FBI ist die Gruppe seit mindestens November 2020 aktiv. Mitglieder von OnePercent verschlüsseln Daten aus Netzwerken und hinterlassen einen Hinweis, dass das Opfer die Gruppe über TOR kontaktieren soll. Wenn sich das Opfer nicht innerhalb einer Woche nach dem Einbruch meldet, sendet die Gruppe E-Mails und tätigt Telefonanrufe. In diesen teilt sie mit, dass die Daten geleakt werden.

Wenn das Lösegeld nicht schnell gezahlt wird, droht OnePercent damit, einen Teil der gestohlenen Daten (1 %, daher der Name der Gruppe) auf verschiedenen Clearnet-Seiten zu veröffentlichen. Sollte die Zahlung nach der teilweisen Freigabe nicht in vollem Umfang erfolgen, droht die Gruppe damit, die Daten an die Sodinokibi Group2 zu verkaufen, um sie in einer Auktion zu veröffentlichen.

Nach Angaben des FBI verschafft sich die OnePercent-Gruppe durch Phishing-E-Mails, die eine bösartige ZIP-Datei enthalten, unbefugten Zugang zu den Netzwerken der Opfer. Diese Datei lädt ein Word- oder Excel-Dokument mit verseuchten Makros, die das System des Opfers mit dem Banking-Trojaner IcedID infizieren. Dieser wiederum installiert die Cobalt Strike-Software im Netzwerk und führt sie aus, so dass sich die Angreifer durch andere Systeme bewegen können. Die rclone-Datei wird verwendet, um die Daten des Opfers zu stehlen. Die Hacker bleiben in der Regel etwa einen Monat lang in den Netzwerken, bevor sie die Ransomware installieren.

Obwohl das FBI die Gruppe nicht ausdrücklich als Ransomware-Beteiligung eingestuft hat, berichteten Quellen aus dem Bereich der Cybersicherheit der Website The Record, dass OnePercent seit langem mit den Schöpfern und Betreibern der Ransomware REvil zusammenarbeitet. Zudem sollen sie auch mit Maze- und Egregor-Operationen kooperiert haben.

Laut Bill Siegel, Gründer und CEO des Sicherheitsunternehmens Coveware, landeten Opfer, die das Lösegeld nicht bezahlten, beispielsweise auf dem Blog The REvil Happy. Darüber hinaus sind die in der FBI-Erklärung genannten Domainnamen, die von OnePercent in der Vergangenheit zum Hosten des IcedID-Trojaners verwendet wurden, laut einem Bericht von FireEye auch mit Ransomware-Angriffen verbunden, bei denen Maze- und Egregor-Stämme installiert wurden.

Was bei jedem Vorfall deutlich wird, ist, dass fast alle dieser Ransomware-Angriffe von Dritten durchgeführt werden. Diese mieten einen Zugang zu einem RaaS (Ransomware as a Service), und keinen von den Urhebern der virtuellen Plage selbst. Verbundene Gruppen hingegen springen von einer RaaS-Plattform zur anderen.

Das FBI hat sich nicht dazu geäußert, ob die OnePercent-Gruppe heute noch aktiv ist.

Gibt es ein Ransomware-Kartell?

Die Twisted-Spider-Gang, Entwickler der Maze-Ransomware, die schließlich von OnePercent verwendet wurde, steckt hinter Angriffen, die kürzlich zu großen Verlusten für die Opfer in der Geschäftswelt führten. Die Gruppe könnte im Juni 2020 ein Kartell gegründet haben, behauptet das Cybersicherheitsunternehmen Analyst1.

Aus diesem Grund hat Analyst1 eine Studie durchgeführt, um festzustellen, ob dieses Ransomware-Kartell tatsächlich existiert. Das Unternehmen hat Online-Marktplätze durchforstet, um die kriminellen Organisationen innerhalb eines angeblichen Kartells zu untersuchen und zu analysieren. Die von den Gruppen verwendeten Tools und Malware wurden bewertet und die Transaktionen in Bitcoins verfolgt.

Es wurde festgestellt, dass es gängige Praxis ist, dass eine Bande Daten stiehlt und diese an eine andere Bande weitergibt. Anschließend werden die Daten veröffentlicht und mit den Opfern verhandelt. Außerdem automatisieren die Angreifer ihre Angriffe zunehmend und nutzen gemeinsame Automatisierungsfunktionen. Dadurch erfolgt das Eindringen praktisch ohne menschliche Interaktion. Das Ergebnis ist, dass die Banden gemeinsam Hunderte von Millionen Dollar mit Ransomware- und Erpressungsoperationen einnehmen.

Es wurde festgestellt, dass es gängige Praxis ist, dass eine Bande Daten stiehlt und diese an eine andere Bande weitergibt. Anschließend werden die Daten veröffentlicht und mit den Opfern verhandelt. Außerdem automatisieren die Angreifer ihre Angriffe zunehmend und nutzen gemeinsame Automatisierungsfunktionen. Dadurch erfolgt das Eindringen praktisch ohne menschliche Interaktion. Das Ergebnis ist, dass die Banden gemeinsam Hunderte von Millionen Dollar mit Ransomware- und Erpressungsoperationen einnehmen.

Die Banden reinvestieren die mit Ransomware erzielten Gewinne, um sich weiterzuentwickeln. Dies geschieht sowohl in Bezug auf die Taktik als auch auf die Aggressivität der Malware, die regelmäßig aktualisiert wird, um ausgeklügelte neue Funktionen hinzuzufügen.

Diese Gruppe tauchte im Mai 2020 auf, obwohl Twisted Spider seine Ransomware-Aktivitäten fast ein Jahr früher, im August 2019, begann. Die Bande entwickelte eine Ransomware namens Maze, die von Mai 2019 bis November 2020 bei ihren Angriffen eingesetzt wurde. Darauf folgte die Ransomware Egregor, die bis zum heutigen Tag eingesetzt wird. Laut der Studie nutzt jedoch jede Kampagne ihre eigene Malware und Infrastruktur.

„Seit ihrer Gründung hat die Gruppe die Ransomware Egregor/Maze eingesetzt, um mindestens 75 Millionen US-Dollar von Unternehmen und Behörden zu erpressen. Wir glauben, dass diese Zahl viel höher ist, aber wir können nur die Lösegelder bewerten, die tatsächlich gezahlt wurden. Viele Opfer geben nicht öffentlich bekannt, wenn sie Lösegeld zahlen”, heißt es in der Studie von Analyst1.

Im November 2020 gab Twisted Spider, die Bande, die das mutmaßliche Kartell ins Leben gerufen hatte, bekannt, ihre Aktivitäten würden eingestellt. Damals behauptete sie auch, ein solches Kartell habe nie existiert. In ihrer letzten Pressemitteilung (ja, diese Banden geben Interviews, veröffentlichen Pressemitteilungen und posten Ankündigungen in den sozialen Medien) behauptete Twisted Spider, dass das Kartell nur in den Köpfen der Journalisten existiere.

Analyst1 fand Beweise dafür, dass die Banden weiterhin zusammenarbeiten und Ressourcen teilen, um Opfer zu erpressen. Die Studie kommt jedoch zu dem Schluss, dass die Gruppe nicht als echtes Kartell betrachtet werden kann. Eher sei es ein Kollektiv von Banden, die schließlich bei Ransomware-Operationen zusammenarbeiten. Die Gewinnaufteilung ist ein wichtiges Element von Kartellen und scheint bei dieser Gruppe, die Ransomware-Angriffe durchführt, nicht gegeben zu sein.

Alle bekannten Bitcoin-Brieftaschen und -Transaktionen, die mit den fraglichen Banden in Verbindung stehen, wurden durchsucht. Bei der Verfolgung der Geldspur konnte festgestellt werden, dass die Opfer eine Bande bezahlten, die wiederum ihre Partner bezahlte. Es wurden jedoch keine Hinweise darauf gefunden, dass die Gewinne geteilt wurden.

Es könnte sein, dass die Banden die Fassade eines Kartells geschaffen haben, um größer und mächtiger zu erscheinen, um so die Opfer einzuschüchtern. Die Wahrheit ist, dass Ransomware-Banden, ob Kartell oder nicht, weiterhin zusammenarbeiten und Taktiken sowie Ressourcen austauschen werden, um noch raffinierter und gefährlicher zu werden. Analyst1 geht davon aus, dass diese Gruppen ihre Bemühungen auf die Entwicklung von Methoden zur Automatisierung von Angriffen konzentrieren werden. Infolgedessen wird der Bedarf an eigenen Hackern sinken und das Gesamtvolumen der Angriffe steigen.