{"id":2472,"date":"2021-09-09T07:24:22","date_gmt":"2021-09-09T07:24:22","guid":{"rendered":"https:\/\/network-king.net\/onepercent-zwischen-fbi-und-ransomware-kartellen\/"},"modified":"2022-03-23T08:50:30","modified_gmt":"2022-03-23T08:50:30","slug":"onepercent-zwischen-fbi-und-ransomware-kartellen","status":"publish","type":"articles","link":"https:\/\/network-king.net\/de\/onepercent-zwischen-fbi-und-ransomware-kartellen\/","title":{"rendered":"OnePercent: Zwischen FBI und Ransomware-Kartellen"},"content":{"rendered":"\n

Das US Federal Bureau of Investigations (FBI) hat im August eine Erkl\u00e4rung ver\u00f6ffentlicht, in der der Modus Operandi einer cyberkriminellen Gruppe beschrieben wird, die sich OnePercent nennt.<\/p>\n\n\n\n

Nach Angaben des FBI ist die Gruppe seit mindestens November 2020 aktiv. Mitglieder von OnePercent verschl\u00fcsseln Daten aus Netzwerken und hinterlassen einen Hinweis, dass das Opfer die Gruppe \u00fcber TOR kontaktieren soll. Wenn sich das Opfer nicht innerhalb einer Woche nach dem Einbruch meldet, sendet die Gruppe E-Mails und t\u00e4tigt Telefonanrufe. In diesen teilt sie mit, dass die Daten geleakt werden.<\/p>\n\n\n\n

Wenn das L\u00f6segeld nicht schnell gezahlt wird, droht OnePercent damit, einen Teil der gestohlenen Daten (1 %, daher der Name der Gruppe) auf verschiedenen Clearnet-Seiten zu ver\u00f6ffentlichen. Sollte die Zahlung nach der teilweisen Freigabe nicht in vollem Umfang erfolgen, droht die Gruppe damit, die Daten an die Sodinokibi Group2 zu verkaufen, um sie in einer Auktion zu ver\u00f6ffentlichen.<\/p>\n\n\n\n

Nach Angaben des FBI verschafft sich die OnePercent-Gruppe durch Phishing-E-Mails, die eine b\u00f6sartige ZIP-Datei enthalten, unbefugten Zugang zu den Netzwerken der Opfer. Diese Datei l\u00e4dt ein Word- oder Excel-Dokument mit verseuchten Makros, die das System des Opfers mit dem Banking-Trojaner IcedID infizieren. Dieser wiederum installiert die Cobalt Strike-Software im Netzwerk und f\u00fchrt sie aus, so dass sich die Angreifer durch andere Systeme bewegen k\u00f6nnen. Die rclone-Datei wird verwendet, um die Daten des Opfers zu stehlen. Die Hacker bleiben in der Regel etwa einen Monat lang in den Netzwerken, bevor sie die Ransomware installieren.<\/p>\n\n\n\n

Obwohl das FBI die Gruppe nicht ausdr\u00fccklich als Ransomware-Beteiligung eingestuft hat, berichteten Quellen aus dem Bereich der Cybersicherheit der Website The Record<\/a>, dass OnePercent seit langem mit den Sch\u00f6pfern und Betreibern der Ransomware REvil zusammenarbeitet. Zudem sollen sie auch mit Maze- und Egregor-Operationen kooperiert haben.<\/p>\n\n\n\n

Laut Bill Siegel, Gr\u00fcnder und CEO des Sicherheitsunternehmens Coveware, landeten Opfer, die das L\u00f6segeld nicht bezahlten, beispielsweise auf dem Blog The REvil Happy. Dar\u00fcber hinaus sind die in der FBI-Erkl\u00e4rung genannten Domainnamen, die von OnePercent in der Vergangenheit zum Hosten des IcedID-Trojaners verwendet wurden, laut einem Bericht von FireEye<\/a> auch mit Ransomware-Angriffen verbunden, bei denen Maze- und Egregor-St\u00e4mme installiert wurden.<\/p>\n\n\n\n

Was bei jedem Vorfall deutlich wird, ist, dass fast alle dieser Ransomware-Angriffe von Dritten durchgef\u00fchrt werden. Diese mieten einen Zugang zu einem RaaS (Ransomware as a Service), und keinen von den Urhebern der virtuellen Plage selbst. Verbundene Gruppen hingegen springen von einer RaaS-Plattform zur anderen.<\/p>\n\n\n\n

Das FBI hat sich nicht dazu ge\u00e4u\u00dfert, ob die OnePercent-Gruppe heute noch aktiv ist.<\/p>\n\n\n\n

Gibt es ein Ransomware-Kartell?<\/h2>\n\n\n\n

Die Twisted-Spider-Gang, Entwickler der Maze-Ransomware, die schlie\u00dflich von OnePercent verwendet wurde, steckt hinter Angriffen, die k\u00fcrzlich zu gro\u00dfen Verlusten f\u00fcr die Opfer in der Gesch\u00e4ftswelt f\u00fchrten. Die Gruppe k\u00f6nnte im Juni 2020 ein Kartell gegr\u00fcndet haben, behauptet das Cybersicherheitsunternehmen Analyst1<\/a>.<\/p>\n\n\n\n

Aus diesem Grund hat Analyst1 eine Studie durchgef\u00fchrt, um festzustellen, ob dieses Ransomware-Kartell tats\u00e4chlich existiert. Das Unternehmen hat Online-Marktpl\u00e4tze durchforstet, um die kriminellen Organisationen innerhalb eines angeblichen Kartells zu untersuchen und zu analysieren. Die von den Gruppen verwendeten Tools und Malware wurden bewertet und die Transaktionen in Bitcoins verfolgt.<\/p>\n\n\n\n

Es wurde festgestellt, dass es g\u00e4ngige Praxis ist, dass eine Bande Daten stiehlt und diese an eine andere Bande weitergibt. Anschlie\u00dfend werden die Daten ver\u00f6ffentlicht und mit den Opfern verhandelt. Au\u00dferdem automatisieren die Angreifer ihre Angriffe zunehmend und nutzen gemeinsame Automatisierungsfunktionen. Dadurch erfolgt das Eindringen praktisch ohne menschliche Interaktion. Das Ergebnis ist, dass die Banden gemeinsam Hunderte von Millionen Dollar mit Ransomware- und Erpressungsoperationen einnehmen.<\/p>\n\n\n\n

Es wurde festgestellt, dass es g\u00e4ngige Praxis ist, dass eine Bande Daten stiehlt und diese an eine andere Bande weitergibt. Anschlie\u00dfend werden die Daten ver\u00f6ffentlicht und mit den Opfern verhandelt. Au\u00dferdem automatisieren die Angreifer ihre Angriffe zunehmend und nutzen gemeinsame Automatisierungsfunktionen. Dadurch erfolgt das Eindringen praktisch ohne menschliche Interaktion. Das Ergebnis ist, dass die Banden gemeinsam Hunderte von Millionen Dollar mit Ransomware- und Erpressungsoperationen einnehmen.<\/p>\n\n\n\n

Die Banden reinvestieren die mit Ransomware erzielten Gewinne, um sich weiterzuentwickeln. Dies geschieht sowohl in Bezug auf die Taktik als auch auf die Aggressivit\u00e4t der Malware, die regelm\u00e4\u00dfig aktualisiert wird, um ausgekl\u00fcgelte neue Funktionen hinzuzuf\u00fcgen.<\/p>\n\n\n\n

\"\"
Quelle: Analyst1<\/figcaption><\/figure><\/div>\n\n\n\n

Diese Gruppe tauchte im Mai 2020 auf, obwohl Twisted Spider seine Ransomware-Aktivit\u00e4ten fast ein Jahr fr\u00fcher, im August 2019, begann. Die Bande entwickelte eine Ransomware namens Maze, die von Mai 2019 bis November 2020 bei ihren Angriffen eingesetzt wurde. Darauf folgte die Ransomware Egregor, die bis zum heutigen Tag eingesetzt wird. Laut der Studie nutzt jedoch jede Kampagne ihre eigene Malware und Infrastruktur.<\/p>\n\n\n\n

\"\"
Quelle: Analyst1<\/figcaption><\/figure><\/div>\n\n\n\n

\u201eSeit ihrer Gr\u00fcndung hat die Gruppe die Ransomware Egregor\/Maze eingesetzt, um mindestens 75 Millionen US-Dollar von Unternehmen und Beh\u00f6rden zu erpressen. Wir glauben, dass diese Zahl viel h\u00f6her ist, aber wir k\u00f6nnen nur die L\u00f6segelder bewerten, die tats\u00e4chlich gezahlt wurden. Viele Opfer geben nicht \u00f6ffentlich bekannt, wenn sie L\u00f6segeld zahlen“, hei\u00dft es in der Studie von Analyst1.<\/p>\n\n\n\n

Im November 2020 gab Twisted Spider, die Bande, die das mutma\u00dfliche Kartell ins Leben gerufen hatte, bekannt, ihre Aktivit\u00e4ten w\u00fcrden eingestellt. Damals behauptete sie auch, ein solches Kartell habe nie existiert. In ihrer letzten Pressemitteilung (ja, diese Banden geben Interviews, ver\u00f6ffentlichen Pressemitteilungen und posten Ank\u00fcndigungen in den sozialen Medien) behauptete Twisted Spider, dass das Kartell nur in den K\u00f6pfen der Journalisten existiere.<\/p>\n\n\n\n

Analyst1 fand Beweise daf\u00fcr, dass die Banden weiterhin zusammenarbeiten und Ressourcen teilen, um Opfer zu erpressen. Die Studie kommt jedoch zu dem Schluss, dass die Gruppe nicht als echtes Kartell betrachtet werden kann. Eher sei es ein Kollektiv von Banden, die schlie\u00dflich bei Ransomware-Operationen zusammenarbeiten. Die Gewinnaufteilung ist ein wichtiges Element von Kartellen und scheint bei dieser Gruppe, die Ransomware-Angriffe durchf\u00fchrt, nicht gegeben zu sein.<\/p>\n\n\n\n

Alle bekannten Bitcoin-Brieftaschen und -Transaktionen, die mit den fraglichen Banden in Verbindung stehen, wurden durchsucht. Bei der Verfolgung der Geldspur konnte festgestellt werden, dass die Opfer eine Bande bezahlten, die wiederum ihre Partner bezahlte. Es wurden jedoch keine Hinweise darauf gefunden, dass die Gewinne geteilt wurden.<\/p>\n\n\n\n

Es k\u00f6nnte sein, dass die Banden die Fassade eines Kartells geschaffen haben, um gr\u00f6\u00dfer und m\u00e4chtiger zu erscheinen, um so die Opfer einzusch\u00fcchtern. Die Wahrheit ist, dass Ransomware-Banden, ob Kartell oder nicht, weiterhin zusammenarbeiten und Taktiken sowie Ressourcen austauschen werden, um noch raffinierter und gef\u00e4hrlicher zu werden. Analyst1 geht davon aus, dass diese Gruppen ihre Bem\u00fchungen auf die Entwicklung von Methoden zur Automatisierung von Angriffen konzentrieren werden. Infolgedessen wird der Bedarf an eigenen Hackern sinken und das Gesamtvolumen der Angriffe steigen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Das US Federal Bureau of Investigations (FBI) hat im August eine Erkl\u00e4rung ver\u00f6ffentlicht, in der der Modus Operandi einer cyberkriminellen Gruppe beschrieben wird, die sich OnePercent nennt. Nach Angaben des FBI ist die Gruppe seit mindestens November 2020 aktiv. Mitglieder von OnePercent verschl\u00fcsseln Daten aus Netzwerken und hinterlassen einen Hinweis, dass das Opfer die Gruppe…<\/p>\n","protected":false},"featured_media":2338,"comment_status":"closed","ping_status":"closed","template":"","format":[],"category":[47],"tags":[],"company":[],"topic":[],"class_list":["post-2472","articles","type-articles","status-publish","has-post-thumbnail","hentry","category-cybersecurity"],"acf":[],"_links":{"self":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles\/2472","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles"}],"about":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/types\/articles"}],"replies":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/comments?post=2472"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media\/2338"}],"wp:attachment":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media?parent=2472"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/category?post=2472"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/tags?post=2472"},{"taxonomy":"format","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/format?post=2472"},{"taxonomy":"company","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/company?post=2472"},{"taxonomy":"topic","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/topic?post=2472"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}