Neue Generation von Ransomware-Gangs wird Schwachstellen in Kryptowährungen ausnutzen

Der Angriff in Dallas führte zur Unterbrechung von Anhörungen, Gerichtsverhandlungen und Jurydiensten und schließlich zur Schließung des Gerichtsgebäudes der Stadt Dallas. Er hatte auch indirekte Auswirkungen auf die Polizeiarbeit, da die begrenzten Ressourcen die Fähigkeit beeinträchtigten, beispielsweise Sommerjugendprogramme durchzuführen. Die Kriminellen drohten damit, sensible Daten wie persönliche Informationen, Gerichtsverfahren, Gefangenenidentitäten und Regierungsdokumente zu veröffentlichen.

Man könnte sich vorstellen, dass ein Angriff auf eine Stadtregierung und Polizei weitreichende und lange anhaltende Störungen verursachen würde, die großes Aufsehen erregen würden. Aber Ransomware-Angriffe sind mittlerweile so häufig und routinemäßig, dass sie meist kaum Beachtung finden. Eine bemerkenswerte Ausnahme ereignete sich im Mai und Juni 2023, als Hacker eine Schwachstelle in der Dateiübertragungsanwendung Moveit ausnutzten, was zu Datenverlusten bei Hunderten von Organisationen weltweit führte. Dieser Angriff sorgte für Schlagzeilen, vielleicht aufgrund der prominenten Opfer, zu denen angeblich British Airways, die BBC und die Drogeriekette Boots gehörten.

Laut einer kürzlich durchgeführten Umfrage haben sich die Zahlungen für Lösegelder in den letzten Jahren fast verdoppelt und liegen nun bei 1,5 Millionen US-Dollar (1,2 Millionen Pfund). Das höchste Einkommen haben diejenigen Organisationen, die am ehesten Lösegeldzahlungen leisten. Sophos, ein britisches Cybersicherheitsunternehmen, stellte fest, dass die durchschnittliche Lösegeldzahlung im Vergleich zum Vorjahr von 812.000 US-Dollar gestiegen ist. Die durchschnittliche Zahlung britischer Organisationen betrug im Jahr 2023 sogar noch höher als der globale Durchschnitt und lag bei 2,1 Millionen US-Dollar.

Im Jahr 2022 hat das Nationale Cyber Security Centre (NCSC) neue Richtlinien veröffentlicht, in denen Organisationen dazu aufgerufen wurden, ihre Verteidigung zu stärken, da befürchtet wurde, dass es zu mehr staatlich unterstützten Cyberangriffen im Zusammenhang mit dem Konflikt in der Ukraine kommen könnte. Dies folgt auf eine Reihe von Cyberangriffen in der Ukraine, bei denen Russland beteiligt sein soll, was von Moskau bestritten wird.

Tatsächlich vergeht keine Woche ohne Angriffe auf Regierungen, Schulen, Krankenhäuser, Unternehmen und Wohltätigkeitsorganisationen auf der ganzen Welt. Diese Angriffe haben erhebliche finanzielle und gesellschaftliche Kosten. Sie können kleine Unternehmen genauso treffen wie große Konzerne und können für die Betroffenen besonders verheerend sein.

Ransomware wird nun allgemein als eine große Bedrohung und Herausforderung für die moderne Gesellschaft anerkannt.

Doch vor zehn Jahren war es nichts weiter als eine theoretische Möglichkeit und eine Nischendrohung. Die Art und Weise, wie sie sich schnell weiterentwickelt hat, um Kriminalität zu fördern und unermesslichen Schaden anzurichten, sollte Anlass zur Sorge geben. Das Geschäftsmodell von Ransomware ist immer anspruchsvoller geworden, beispielsweise durch Fortschritte bei Malware-Angriffsvektoren, Verhandlungsstrategien und der Struktur der kriminellen Organisation selbst.

Es ist zu erwarten, dass die Kriminellen weiterhin ihre Strategien anpassen und in den kommenden Jahren großen Schaden anrichten werden. Deshalb ist es wichtig, dass wir die Bedrohung durch Ransomware untersuchen und diesen Taktiken zuvorkommen, um die langfristige Bedrohung einzudämmen - und genau das tut unser Forschungsteam.


Seit vielen Jahren suchen unsere Forschungen nach neuen Strategien, die von Ransomware-Kriminellen eingesetzt werden können, um Opfer zu erpressen. Ziel ist es, Vorwarnungen zu geben und einen Schritt voraus zu sein, ohne dabei konkrete Informationen preiszugeben, die von den Kriminellen genutzt werden könnten. In unserer neuesten Forschung, die von Fachkollegen begutachtet wurde und im Rahmen der International Conference on Availability, Reliability and Security (ARES) veröffentlicht wird, haben wir eine neuartige Bedrohung identifiziert, die Schwachstellen in Kryptowährungen ausnutzt.

Was ist Ransomware?

Ransomware kann in verschiedenen Kontexten unterschiedliche Bedeutungen haben. 1996 beschrieben Adam Young und Mordechai "Moti" Yung von der Columbia University die Grundform eines Ransomware-Angriffs wie folgt:

Die Kriminellen überwinden die Cybersicherheitsverteidigung des Opfers (entweder durch Taktiken wie Phishing-E-Mails oder durch den Einsatz von Insider-/Rogue-Mitarbeitern). Sobald die Kriminellen die Verteidigung des Opfers überwunden haben, setzen sie die Ransomware ein. Die Hauptfunktion besteht darin, die Dateien des Opfers mit einem privaten Schlüssel (der als langer Zeichenfolge betrachtet werden kann) zu verschlüsseln, um das Opfer von seinen Dateien auszusperren. Die dritte Phase eines Angriffs beginnt nun, indem die Kriminellen ein Lösegeld für den privaten Schlüssel verlangen.

Die einfache Realität ist, dass viele Opfer das Lösegeld bezahlen, wobei Lösegelder potenziell in Millionenhöhe gehen können.

Unter Verwendung dieser grundlegenden Charakterisierung von Ransomware ist es möglich, verschiedene Arten von Angriffen zu unterscheiden. Am einen Ende gibt es Angriffe auf "niedrigem Niveau", bei denen die Dateien nicht verschlüsselt werden oder die Kriminellen keine Lösegelder verlangen. Auf der anderen Seite unternehmen die Angreifer erhebliche Anstrengungen, um die Störung zu maximieren und ein Lösegeld zu erpressen.

Der WannaCry-Ransomware-Angriff im Mai 2017 ist ein solches Beispiel. Der Angriff, der mit der nordkoreanischen Regierung in Verbindung gebracht wurde, unternahm keine wirklichen Versuche, Lösegelder von den Opfern zu erpressen. Dennoch führte er zu weitreichenden Störungen weltweit, einschließlich des britischen NHS, wobei einige Cyber-Sicherheits-Risikomodellierungsunternehmen sogar von weltweiten wirtschaftlichen Verlusten in Milliardenhöhe sprachen.

Es ist schwer, das Motiv in diesem Fall zu erkennen, aber im Allgemeinen können politische Absicht oder einfacher Fehler seitens der Angreifer dazu beitragen, dass kein kohärenter Wertausgleich durch Erpressung stattfindet.

Unsere Forschung konzentriert sich auf das andere Ende von Ransomware-Angriffen, bei denen Kriminelle Geld von ihren Opfern erpressen wollen. Dies schließt ein politisches Motiv nicht aus. Tatsächlich gibt es Hinweise auf Verbindungen zwischen großen Ransomware-Gruppen und dem russischen Staat. Wir können den Grad, in dem Ransomware-Angriffe durch finanziellen Gewinn motiviert sind, unterscheiden, indem wir die investierte Anstrengung bei der Verhandlung, die Bereitschaft zur Unterstützung oder Erleichterung der Lösegeldzahlung und das Vorhandensein von Geldwäschediensten beobachten. Indem sie in Tools und Dienste investieren, die die Lösegeldzahlung erleichtern und deren Umwandlung in Fiat-Währung ermöglichen, signalisieren die Angreifer ihre finanziellen Motive.

Die Auswirkungen von Angriffen

Wie der Angriff auf die Stadtregierung von Dallas zeigt, können Ransomware-Angriffe vielfältige und schwerwiegende finanzielle und soziale Auswirkungen haben.

Hochwirksame Ransomware-Angriffe, wie der Angriff auf Colonial Oil im Mai 2021, der eine wichtige US-Kraftstoffpipeline lahmgelegt hat, sind natürlich gefährlich für die Kontinuität wichtiger Dienste.

Im Januar 2023 gab es einen Ransomware-Angriff auf die Royal Mail in Großbritannien, der zur Einstellung internationaler Lieferungen führte. Es dauerte mehr als einen Monat, bis der Service wieder normalisiert war. Dieser Angriff hätte einen erheblichen direkten Einfluss auf den Umsatz und den Ruf der Royal Mail gehabt. Aber vielleicht noch wichtiger war die Auswirkung auf all die kleinen Unternehmen und Menschen, die darauf angewiesen sind.

Im Mai 2021 wurde das irische Gesundheitssystem (Irish NHS) von einem Ransomware-Angriff getroffen. Dies beeinträchtigte jeden Aspekt der Patientenversorgung mit weitreichenden Terminabsagen. Der Taoiseach Micheál Martin sagte: "Es handelt sich um einen schockierenden Angriff auf das Gesundheitssystem, aber vor allem auf die Patienten und die irische Öffentlichkeit." Es wurde auch berichtet, dass vertrauliche Daten veröffentlicht wurden. Die finanziellen Auswirkungen des Angriffs könnten bis zu 100 Millionen Euro betragen. Dies berücksichtigt jedoch nicht die gesundheitlichen und psychologischen Auswirkungen auf Patienten und medizinisches Personal, die von der Störung betroffen sind.

Aber auch das Bildungswesen ist ein häufiges Ziel. Im Januar 2023 wurde eine Schule in Guildford, Großbritannien, Opfer eines Angriffs, bei dem die Kriminellen damit drohten, sensible Daten, darunter Berichte zum Kinderschutz und Informationen über schutzbedürftige Kinder, zu veröffentlichen.

Angriffe werden auch auf den Zeitpunkt ihrer Durchführung abgestimmt, um die Störung zu maximieren. Ein Angriff im Juni 2023 auf eine Schule in Dorchester, Großbritannien, führte dazu, dass die Schule während der Hauptprüfungszeit weder E-Mails verwenden noch auf Dienste zugreifen konnte. Dies kann erhebliche Auswirkungen auf das Wohlbefinden und den Bildungserfolg der Kinder haben.

Diese Beispiele sind keineswegs erschöpfend. Viele Angriffe zielen direkt auf Unternehmen und Wohltätigkeitsorganisationen ab, die zu klein sind, um Aufmerksamkeit zu erregen. Die Auswirkungen auf ein kleines Unternehmen können in Bezug auf die Geschäftsunterbrechung, den verlorenen Ruf und die psychologischen Kosten, mit den Folgen eines Angriffs konfrontiert zu sein, verheerend sein. Eine Umfrage aus dem Jahr 2021 ergab beispielsweise, dass 34% der britischen Unternehmen, die Opfer eines Ransomware-Angriffs wurden, anschließend schließen mussten. Und viele der Unternehmen, die weiterhin in Betrieb waren, mussten Mitarbeiter entlassen.

Off-the-shelf und Doppel-Erpressung

Eine wichtige Entwicklung war das Aufkommen von Ransomware-as-a-Service. Dies ist ein Begriff für Märkte im Dark Web, über die Kriminelle "von der Stange" Ransomware erhalten und verwenden können, ohne fortgeschrittene computerbezogene Fähigkeiten zu besitzen, während die Ransomware-Anbieter einen Teil des Gewinns einbehalten.

Forschungen haben gezeigt, wie das Dark Web der "unregulierte Wilde Westen des Internets" ist und ein sicherer Hafen für Kriminelle, um sich zu kommunizieren und illegale Waren und Dienstleistungen auszutauschen. Es ist leicht zugänglich und mit Hilfe von Anonymisierungstechnologien und digitalen Währungen gibt es dort eine florierende globale Schattenwirtschaft. Nach Angaben der Europäischen Agentur für Strafverfolgung wurden allein in den ersten neun Monaten des Jahres 2019 dort schätzungsweise 1 Milliarde US-Dollar ausgegeben.

Durch Ransomware as a Service (Raas) wurde die Einstiegshürde für angehende Cyberkriminelle in Bezug auf Kosten und Fähigkeiten gesenkt.

Im Rahmen des Raas-Modells wird die Expertise von Anbietern bereitgestellt, die die Malware entwickeln, während die Angreifer selbst möglicherweise relativ unerfahren sind. Dies hat auch den Effekt, das Risiko zu verkomplizieren - die Verhaftung von Cyberkriminellen, die Ransomware verwenden, gefährdet nicht mehr die gesamte Lieferkette, und Angriffe anderer Gruppen können fortgesetzt werden.

Wir haben auch eine Abkehr von Massenphishing-Angriffen wie CryptoLocker hin zu gezielteren Angriffen gesehen. Das hat dazu geführt, dass ein zunehmendes Augenmerk auf Organisationen mit Einnahmen gelegt wird, die hohe Lösegelder zahlen können. Multinationale Unternehmen, Rechtsanwaltskanzleien, Schulen, Universitäten, Krankenhäuser und Gesundheitsdienstleister sind alle erstklassige Ziele, ebenso wie viele kleine und Mikrounternehmen und Wohltätigkeitsorganisationen.

Eine weitere Entwicklung bei Ransomware, wie Netwalker, REvil/Sodinokibi, ist die Bedrohung durch Doppel-Erpressung. Dabei werden die Dateien nicht nur verschlüsselt, sondern auch kopiert und exfiltrierte Daten. Die Kriminellen haben dann die Möglichkeit, potenziell sensible und wichtige Informationen zu veröffentlichen oder zu veröffentlichen.

Ein Beispiel dafür ereignete sich 2020, als eines der größten Softwareunternehmen, Software AG, von einer Doppel-Erpressungsransomware namens Clop betroffen war. Berichten zufolge hatten die Angreifer eine außergewöhnlich hohe Lösegeldzahlung von 20 Millionen US-Dollar (etwa 15,7 Millionen Pfund) gefordert, die Software AG jedoch ablehnte. Daraufhin veröffentlichten die Angreifer vertrauliche Unternehmensdaten im Dark Web. Dies gibt den Kriminellen zwei Hebel: Sie können ein Lösegeld für den privaten Schlüssel zur Entschlüsselung der Dateien erpressen und sie können ein Lösegeld verlangen, um die Veröffentlichung sensibler Daten zu verhindern.

"Ehre" unter den Dieben?

Bei der Datenexfiltration ist es jedoch nicht offensichtlich, was das Opfer für die Bezahlung des Lösegelds erhält. Die Kriminellen haben immer noch Zugriff auf die sensiblen Daten und könnten sie jederzeit veröffentlichen. Sie könnten sogar weitere Lösegelder verlangen, um die Dateien nicht zu veröffentlichen.

Daher müssen die Kriminellen, um die Datenexfiltration als lebensfähige Geschäftsstrategie zu betrachten, einen glaubwürdigen Ruf haben, Lösegeldzahlungen "zu ehren". Dies hat wahrscheinlich zu einem normalisierten Ransomware-Ökosystem geführt.

Zum Beispiel sind Lösegeldverhandler private Auftragnehmer und in einigen Fällen sind sie verpflichtet, als Teil einer Cyber-Versicherungsvereinbarung Expertise im Umgang mit Krisensituationen im Zusammenhang mit Ransomware zur Verfügung zu stellen. Wenn sie angewiesen werden, werden sie verhandelte Lösegeldzahlungen erleichtern. Innerhalb dieses Ökosystems haben einige Ransomware-Kriminelle einen Ruf entwickelt, Dateien nicht zu veröffentlichen (oder zumindest die Veröffentlichung zu verzögern), wenn ein Lösegeld gezahlt wird.

Generell ist die Verschlüsselung, Entschlüsselung oder Exfiltration von Dateien in der Regel eine schwierige und kostspielige Aufgabe für Kriminelle. Es ist weitaus einfacher, die Dateien zu löschen und dann zu behaupten, sie seien verschlüsselt oder exfiltriert worden, und ein Lösegeld zu verlangen. Wenn die Opfer jedoch vermuten, dass sie den Entschlüsselungsschlüssel oder die verschlüsselten Daten nicht zurück erhalten werden, werden sie das Lösegeld nicht bezahlen. Und diejenigen, die ein Lösegeld zahlen und nichts dafür bekommen, könnten diese Tatsache offenlegen. Dies dürfte den "Ruf" des Angreifers und die Wahrscheinlichkeit zukünftiger Lösegeldzahlungen beeinflussen. Einfach ausgedrückt zahlt es sich aus, im Bereich der Erpressung und Ransomware-Angriffen "fair" zu spielen.

In weniger als zehn Jahren haben wir gesehen, wie die Bedrohung durch Ransomware sich enorm weiterentwickelte, von der vergleichsweise harmlosen CryptoLocker bis hin zu einem Millionen-Dollar-Geschäft mit organisierten kriminellen Banden und anspruchsvollen Strategien. Seit 2020 scheinen die Vorfälle von Ransomware und die daraus resultierenden Verluste sogar um eine Größenordnung zugenommen zu haben. Ransomware ist mittlerweile zu groß, um ignoriert zu werden, und ist jetzt eine große Sorge für Regierungen und Strafverfolgungsbehörden geworden.

Krypto-Erpressungsbedrohungen

So verheerend Ransomware auch geworden ist, die Bedrohung wird sich zwangsläufig weiterentwickeln, während Kriminelle neue Erpressungstechniken entwickeln. Wie bereits erwähnt, war ein zentrales Thema unserer gemeinsamen Forschung in den letzten zehn Jahren, die wahrscheinlichen Strategien der Kriminellen zu antizipieren, um ihnen einen Schritt voraus zu sein.

Unsere Forschung konzentriert sich nun auf die nächste Generation von Ransomware, von der wir glauben, dass sie Varianten umfasst, die sich auf Kryptowährungen und die darin verwendeten "Consensus-Mechanismen" konzentrieren.

Ein Consensus-Mechanismus ist eine Methode (in der Regel algorithmisch), um Zustimmung, Vertrauen und Sicherheit in einem dezentralen Computernetzwerk zu erreichen.

Die Bedrohung durch Staking Pools

Die Gefahr von Ransomware-Angriffen auf Staking Pools könnte erhebliche Schäden für Ethereum verursachen. Ein einzelner gestohlener Validator Schlüssel könnte zu einer Strafe von rund 1 ETH führen, was etwa 1.800 US-Dollar (ca. 1.400 britische Pfund) entspricht. Um größere Geldbeträge zu erpressen, müssten Kriminelle daher Organisationen oder Staking Pools ins Visier nehmen, die für viele Validator Schlüssel verantwortlich sind.

Staking Pools bürgen Risiken

Das größte Staking Pool, Lido, betreut beispielsweise rund 127.000 Validator Schlüssel und hat einen Anteil von 18% am gesamten Einsatz in Ethereum. Coinbase ist der zweitgrößte mit 40.000 Validator Schlüsseln und einem Anteil von 6% am gesamten Einsatz. Insgesamt gibt es 21 Staking Pools mit mehr als 1.000 Validatoren. Jeder dieser Pools ist für einen Einsatz in Millionenhöhe verantwortlich, sodass auch Lösegeldforderungen in Millionenhöhe realistisch wären.

Junge Proof-of-Stake Konsensmechanismen erfordern Schutzmaßnahmen

Proof-of-Stake-Konsensmechanismen sind noch zu neu, um sagen zu können, ob Erpressungen von Staking Pools tatsächlich zur Realität werden. Die Erfahrungen mit Ransomware zeigen jedoch, dass Kriminelle dazu neigen, Strategien zu nutzen, die Zahlungen begünstigen und ihre illegalen Gewinne maximieren.

Vermeidung der Erpressungsgefahr

Um die identifizierte Erpressungsgefahr zu minimieren, sollten Investoren und Betreiber von Staking Pools ihre Validator Schlüssel schützen. Je mehr Schlüssel die Kriminellen erhalten können, umso größer ist die Bedrohung. Staking Pools müssen daher Maßnahmen ergreifen, um ihre Schlüssel sicher zu verwahren. Dazu gehören beispielsweise die Unterteilung von Validatoren, um mögliche Schäden zu begrenzen, eine verstärkte Cybersicherheit für den Schutz vor Eindringlingen sowie robuste interne Prozesse, um das Risiko von Mitarbeitern, die Schlüssel preisgeben, zu minimieren.

Konkurrenz und Sicherheitslücken

Der Markt für Staking Pools ist stark umkämpft, und die Preise sind meist ähnlich. Dies kann dazu führen, dass einige Pools nur geringe Sicherheitsmaßnahmen haben und daher für Kriminelle leicht angreifbar sind. Eine mögliche Lösung ist die Regulierung des Marktes und eine höhere Sensibilisierung der Investoren für Sicherheitsaspekte.

Auswirkungen auf den Markt und die Währung

Ein Angriff auf einen Staking Pool könnte dessen Ruf nachhaltig schädigen und seine Wettbewerbsfähigkeit in Frage stellen. Dies könnte auch Auswirkungen auf die Reputation der Währung insgesamt haben und sogar zu einem Zusammenbruch führen. In solchen Fällen wie dem Angriff auf FTX im Jahr 2022 gibt es auch Auswirkungen auf die Weltwirtschaft.

Ransomware bleibt eine Herausforderung

Ransomware wird auch in den kommenden Jahren eine Herausforderung bleiben. Eine mögliche Zukunftsvision ist, dass Ransomware zu einem normalen Teil des wirtschaftlichen Lebens wird, bei dem Organisationen ständig von Angriffen bedroht sind, jedoch kaum Konsequenzen für die meist anonymen Kriminellen haben. Um negative Folgen zu vermeiden, ist eine größere Sensibilisierung für die Bedrohung notwendig. Investoren können dann informiertere Entscheidungen darüber treffen, in welche Staking Pools und Währungen sie investieren möchten. Es ist auch sinnvoll, einen Markt mit vielen verschiedenen Staking Pools zu haben, anstatt von wenigen großen Pools dominiert zu werden, da dadurch die Währung besser vor möglichen Angriffen geschützt werden kann.

Vorbeugende Maßnahmen

Neben der Krypto-Branche erfordert eine effektive Vorbeugung von Ransomware-Angriffen eine Investition in Cybersicherheit in verschiedenen Formen, z.B. Schulungen für Mitarbeiter und eine Organisationskultur, die die Meldung von Vorfällen unterstützt. Darüber hinaus ist es wichtig, in Sicherungsoptionen wie effektiven Backups, internem Fachwissen, Versicherungen und erprobten Notfallplänen zu investieren. Leider sind die Cybersicherheitspraktiken vieler Organisationen nicht ausreichend, um Kriminelle abzuschrecken. Jeder muss besser darin werden, digitale Schlüssel und sensible Informationen zu schützen, wenn wir gegen die nächste Generation von Ransomware-Angriffen bestehen wollen.