Website überwacht Daten über Ransomware-Angriffe

Um die Lösegeldzahlungen in Folge von Ransomware-Angriffen zu überwachen, wurde die Ransomwhere Website entwickelt, die darauf abzielt, eine zentralisierte, offene und kostenlose Datenbank zu erstellen, die dabei hilft, die Verbreitung von Ransomware, die Größe und den Gewinn dieser Tätigkeiten sowie die Wirksamkeit von Versuchen zur Bekämpfung und Eindämmung dieser Art von Cyberkriminalität zu bewerten.

Dabei handelt es sich um ein persönliches Projekt von Jack Cable, einem Studenten der Stanford University und Sicherheitsforscher der Krebs Stamos Group, der zuvor für die amerikanische Bundesbehörde Cybersecurity and Infrastructure Security Agency (CISA) tätig war. „Nachdem ich festgestellt habe, dass es derzeit keinen einzigen Ort mit öffentlichen Daten über Ransomware-Zahlungen gibt, und da ich festgestellt habe, dass es nicht schwierig ist, Bitcoin-Transaktionen zu verfolgen, habe ich beschlossen, diese Informationen zu sammeln“, so der Forscher.

Die Website ermöglicht es Opfern von Ransomware-Angriffen oder Cybersecurity-Experten, einen Screenshot der Lösegeldanforderung mit dem geforderten Betrag und der Adresse, an die die Zahlung in Kryptowährungen geleistet werden soll, einzusenden. Die Datenbank mit den gesammelten Informationen aus allen Meldungen wird zum kostenlosen Download zur Verfügung stehen, wobei die Wahrung der Privatsphäre der persönlichen Daten der Opfer oder Antragsteller gewährleistet wird.

Obwohl es unmöglich ist, mit vollständiger Sicherheit zu überprüfen, ob der Ransomware-Bericht wahr und präzise ist, gibt die Website an, dass sie sich auf kollektives Wissen verlasse, um falsche oder fehlerhafte Berichte zu vermeiden. Daten, die aus verschiedenen Quellen stammen, werden vorrangig berücksichtigt, und alle Elemente des Berichts werden öffentlich zugänglich gemacht. Besteht der Verdacht, dass die Informationen nicht korrekt sind, werden die entsprechenden Berichte aus der Ransomwhere-Datenbank entfernt.

Betrachtet man nur das Jahr 2021 und die Daten von Mitte Juli, zeigt die Website das untenstehende Diagramm und einen ermittelten Wert von mehr als 46 Millionen Dollar an Lösegeldzahlungen an. Ein Großteil davon ging an die REvil-Gruppe, die die Angriffe auf die Unternehmen JBS und Kaseya durchgeführt hatte.

Der Forscher hofft, zukünftig über die Einsendungen von Opfern hinaus auch mit Unternehmen aus den Bereichen Cybersicherheit oder Blockchain-Analyse zusammenzuarbeiten, um mehr Daten über Ransomware-Akteure zu integrieren. Zum Beispiel haben Bitcoin-Analyseunternehmen wie Chainalysis in der Vergangenheit daran gearbeitet, Adressen für Kryptowährungseinzahlungen in Malware-Samples und Lösegeldforderungen zu sammeln und dann zu ermitteln, ob die Zahlung tatsächlich erfolgt ist.

Auf diese Weise kann der Gewinn von Ransomware-Gruppen geschätzt werden, zum Beispiel:

• Ryuk: 150 Millionen Dollar
• REvil: 123 Millionen Dollar
• Maze/Egregor: 75 Millionen Dollar
• Netwalker: 25 Millionen Dollar

Diese Recherche beschränkt sich jedoch auf die größeren Ransomware-Banden. Um dieses und andere Schlupflöcher zu schließen, will die Ransomwhere-Website handeln. „Es könnte interessant sein, den Weg der Bitcoins zu verfolgen – wohin gehen die Bitcoins beispielswiese, nachdem die Kriminellen bezahlt wurden? Im weiteren Verlauf des Projektes werde ich das vielleicht selbst oder durch Partnerschaften mit spezialisierten Unternehmen ermitteln“, erläutert Cable in einem Interview mit The Record.