Anmerkung des Herausgebers: Es kann nicht geleugnet werden, dass Ransomware derzeit enorme Einnahmen für Cyberkriminelle generiert.
Einige Gruppen, die reich werden wollen, überschreiten aggressiv Grenzen. Sie erhöhen ihre Ansprüche auf sieben oder acht Zahlen, drohen damit, Daten online zu veröffentlichen, wenn keine Zahlungen geleistet werden, und richten sich an Krankenhäuser und andere gefährdete Organisationen.
Eine solche Gruppe, die für ihre gewagte und lukrative Taktik bekannt ist, ist REvil, auch bekannt als Sodinokibi. Die Gruppe bietet Ransomware als Service an. Entwickler verkaufen Malware an Partner, die damit die Daten und Geräte eines Unternehmens blockieren.
REvil veröffentlicht nicht nur Unfalldaten im Internet, wenn Unternehmen die Anforderungen nicht erfüllen, sondern macht auch mit seinen Versuchen, den damaligen Präsidenten Donald Trump zu erpressen , auf sich aufmerksam und behauptet, mit seinen Aktivitäten Einnahmen in Höhe von 100 Millionen US-Dollar zu erzielen. Laut einem Sprecher von REvil, der das Pseudonym Unknown verwendet, hat die Gruppe große Pläne für 2021.
Einige der Behauptungen von Unknown, wie die Existenz von Mitgliedsorganisationen mit Zugang zu Abschusssystemen für ballistische Raketen und Kernkraftwerken, scheinen unglaublich - bis Sie die Berichte lesen , die sie unheimlich plausibel erscheinen lassen.... Die Aufzeichnung kann die Richtigkeit dieser Aussagen nicht überprüfen. Unknown sprach kürzlich mit dem Bedrohungsanalysten von Recorded Future, Dmitry Smilyants, über den Einsatz von Ransomware als Waffe, die Nichteinmischung in die Politik, das Experimentieren mit neuen Taktiken und vieles mehr. Das Interview wurde auf Russisch geführt, von einem professionellen Übersetzer ins Englische übersetzt und aus Gründen der Klarheit überarbeitet.
Dmitry Smilyanets: Unbekannt, wie haben Sie sich für Erpressung entschieden?
UNK: Um ehrlich zu sein, ist es lange her. Seit 2007, als Winlocker und SMS erschienen. Selbst dann brachte es einen guten Gewinn.
DS: Sie haben 1 Million US-Dollar in einem Hacker-Forum hinterlegt und ein Einkommen von 100 Millionen US-Dollar erwähnt. Angesichts der Tatsache, dass Sie Zahlungen in Kryptowährung erhalten, haben Sie heute wahrscheinlich eine halbe Milliarde US-Dollar. Wie viel ist genug, um Sie dazu zu bringen, Ransomware loszuwerden?
UNK:Du hast alles richtig gezählt. Die Kaution wurde gerade wegen des Kurses abgehoben. Für mich persönlich gibt es keine Obergrenze. Ich liebe es einfach, es zu tun und davon zu profitieren. Es gibt nie zu viel Geld, aber es besteht immer das Risiko, nicht genug Geld zu haben. Obwohl man von Werbetreibenden sprach, dachte man, dass 50 Millionen Dollar genug waren und ging in den Ruhestand. Nach vier Monaten kehrte er jedoch zurück - es gab nicht genug Geld. Denk darüber nach.
DS: Sie haben vorhin gesagt, dass Sie unpolitisch bleiben und eine rein finanzielle Motivation haben. Aber wenn Sie entscheiden, dass Sie genug Geld verdient haben, kann sich Ihre Sichtweise ändern und Sie entscheiden sich, die Geopolitik zu beeinflussen?
UNK:Ich möchte wirklich kein Verhandlungschip sein. Wir haben uns auf die Politik konzentriert, und es ist nichts Gutes dabei herausgekommen - nur Verluste. Mit der aktuellen geopolitischen Beziehung verdienen wir gutes Geld ohne Einmischung.
DS: Was macht REvil so besonders? Der Code? Mitgliedsorganisationen? Medienaufmerksamkeit?
UNK:Ich denke, es funktioniert alles zusammen. Zum Beispiel ist dies ein Interview. Es scheint, warum ist es überhaupt notwendig? Auf der anderen Seite werden wir es besser geben als unsere Konkurrenten. Ungewöhnliche Ideen, neue Methoden und der Ruf der Marke führen zu guten Ergebnissen. Wie gesagt, wir schaffen einen neuen Ransomware-Entwicklungszweig. Wenn Sie sich die Konkurrenten ansehen, dann kopieren leider viele einfach unsere Ideen und, was am überraschendsten ist, den Stil des Textes unserer Nachrichten. Das ist gut - sie versuchen zu zeigen, dass sie nicht schlechter sind als wir, sie versuchen unser Niveau zu erreichen und streben sogar danach, etwas zu übertreffen. Zum Beispiel mit diesen Linux-Versionen und so weiter. Dies ist jedoch nur vorübergehend. Natürlich arbeiten wir auch daran, aber mit einer Einschränkung wird alles viel besser. Daher etwas langsamer.
REvil nutzt seinen "Happy Blog" im Darknet, um für Auktionen für nicht bezahlte Ransomware-Opfer zu werben.
JS: Elliptic Curve Cryptography (ECC) war eine wirklich gute Wahl [Anmerkung des Herausgebers: ECC hat eine kleinere Schlüsselgröße als das RSA-basierte öffentliche Schlüsselsystem, was es für Partner attraktiv macht], worauf Sie sonst noch stolz sind, auf welchen Teil des Codes ? Wie entscheiden Sie, wann Sie Ihrem Code neue Funktionen hinzufügen möchten?
UNK: IOCP-Suche, von Krabben [Cardern] entliehene umgekehrte Verbindung, serverseitiger Schutz - viele Vorteile, besser gelesene Bewertungen. Ich persönlich mag das Verschlüsselungssystem sehr. Es stellte sich als fast perfekt heraus.
DS:Ich war beeindruckt von der Vielfalt der Packer und Ransomware, die ich in Ihrer Malware gefunden habe. Verkaufen Sie sie an andere? Ich habe einmal gesehen, wie einer von ihnen in einem Beispiel der Maze-Malware verwendet wurde. Verkaufen Sie sie oder ist einer Ihrer Mitarbeiter zu einem Konkurrenten gegangen?
UNK: Partner wechseln oft, und aus diesem Grund gibt es eine solche Vielfalt.
DS: Pavel Sitnikov sagte, dass Sie den GandCrab-Code von Maxim Plakhtiy gekauft haben, stimmt das?
UNK : Es ist wahr, dass wir es gekauft haben, aber wir kennen die Namen und das Zeug nicht.
DS: Glauben Sie, dass Ransomware die perfekte Waffe für Cyber Warfare ist? Haben Sie keine Angst, dass eines Tages ein echter Krieg beginnen könnte?
UNK:Ja, diese Waffen können sehr zerstörerisch sein. Nun, ich weiß, dass eine Reihe von Mitgliedsorganisationen Zugang zu einem Abschusssystem für ballistische Raketen haben, eines zu einem Kreuzer der US Navy, eines zu einem Kernkraftwerk und eines zu einer Waffenfabrik. Es ist durchaus möglich, einen Krieg zu beginnen. Aber es lohnt sich nicht - die Folgen sind schlimm.
DS: Welche anderen Regionen neben der GUS (meist postsowjetische Republiken) versuchen Sie zu vermeiden? Welche Organisationen zahlen nie?
UNK: Alle GUS-Länder, einschließlich Georgien und der Ukraine. Vor allem wegen der Geopolitik. Zweitens wegen der Gesetze. Drittens vermeiden wir einige wegen Patriotismus. Sehr arme Länder zahlen nicht: Indien, Pakistan, Afghanistan und so weiter.
DS:Sie haben bereits erwähnt, dass Sie und Ihre Partner die Risiken eines Auslandsaufenthalts verstehen und nicht reisen. Denken Sie, dass der "Wind des Wandels" wehen kann und die örtlichen Strafverfolgungsbehörden auf Ihre Operationen achten werden?
UNK: Wenn wir in die Politik kommen, dann ja. Wenn wir uns die GUS-Länder ansehen, dann ja. Im Übrigen bleiben wir neutral.
DS: Verursachen die Verbrecher der alten Schule irgendwelche Probleme?
UNK: Nein.
DS: Wie reagieren Sie normalerweise, wenn Sie sehen, wie eine Bande von Erpressern oder deren Angehörigen angeklagt oder verhaftet wird? Netwalker und Egregor haben ihre Operationen nach den Überfällen reduziert. Wie denkst du darüber?
UNK:Neutral. Dies ist ein normaler Workflow. Aufgrund der Schließung von Maze haben wir nur die Anzahl der Partner erhöht. Für uns würde ich sagen, dass es in gewissem Sinne positiv ist.
DS: Wie viele Partner arbeiten maximal gleichzeitig mit Ihnen zusammen?
UNK: 60.
JS: Verlassen sie das Unternehmen, weil sie sich mit Ransomware beschäftigen oder weil sie mit anderen Programmen zusammenarbeiten, um bessere Preise zu erzielen? Haben Sie ein Problem, wenn ein Partner zu einem Konkurrenten geht?
UNK:Es gibt zwei Möglichkeiten. 30% gehen, weil sie genug verdient haben. Aber natürlich kehren sie immer früher oder später zurück. Im zweiten Fall gehen sie zu Wettbewerbern, die Dumping betreiben (bis zu 90% usw.). Das ist natürlich unangenehm, aber es ist Wettbewerb. Das bedeutet, dass wir sicherstellen müssen, dass die Leute zurückkommen. Gib ihnen, was andere nicht tun.
DS: Einige Bands spenden einen Prozentsatz ihres Einkommens für wohltätige Zwecke. Wie ist Ihre Meinung dazu? Wem möchten Sie eine Million spenden?
UNK: Kostenlose Projekte zur Entwicklung von Anonymisierungstools.
DS: Wie hat sich Ihre Interaktion mit Opferorganisationen seit Beginn der Pandemie verändert?
UNK:Viel hat sich verändert. Die Krise ist zu spüren, sie können nicht die Beträge bezahlen, die vorher waren. Mit Ausnahme von Pharmaunternehmen. Ich denke, sie sollten mehr Aufmerksamkeit erhalten. Es geht ihnen gut. Wir müssen ihnen helfen.
DS: Zielen Ihre Betreiber auf Organisationen mit Cyber-Versicherung ab?
UNK: Ja, das ist eines der leckersten Gerichte. Vor allem, wenn Sie Versicherer zum ersten Mal hacken - holen Sie sich ihren Kundenstamm und arbeiten Sie zielgerichtet. Und nachdem Sie die Liste durchgesehen haben, können Sie den Versicherer selbst übernehmen.
DS: Wie stehen Sie zu den Ransomware-Unterhändlern? Ist es einfacher mit Fachleuten umzugehen? Helfen oder erschweren sie die Aufgabe?
UNK:70% werden benötigt, um den Preis zu senken. Sie erschweren oft die Aufgabe. Nun, zum Beispiel hat das Unternehmen einen Umsatz von 1 Milliarde US-Dollar. Sie werden 1 Million Dollar erpresst. Ein Unterhändler kommt und sagt: Es ist uns egal, wir werden nicht mehr als 15.000 Dollar geben. Reduzierung des Preises auf 900.000 US-Dollar. Er bietet 20.000 Dollar an. Nun, dann erkennen wir, dass es bedeutungslos ist, mit ihm zu sprechen, und wir beginnen, Daten zu veröffentlichen, damit die Eigentümer des Netzwerks ihn für solche Verhandlungen in den Kopf schlagen. Und natürlich steigt der Preis nach solchen Tricks nur noch. Anstelle von 1 Million Dollar zahlen sie eineinhalb. Niemand mag Hucksters, besonders bei Show-Offs. Meistens richten sie also mehr Schaden an. Sie helfen nur beim Kauf von BTC oder Monero. Alles andere ist schädlich.
DS:Empfehlen Sie kompromittierten Unternehmen bestimmte Verhandlungsführer oder suchen sie selbst einen? Nicht jeder hat 100 BTC, um Daten zurückzukaufen, und es ist nicht einfach, sie in kurzer Zeit zu erhalten.
UNK: Wir schreiben an anständige Vermittler, damit diese den Zweck kennen und einen Dialog aufbauen können. Wir geben guten Wiederverkäufern gute Rabatte, damit sie einen kleinen Gewinn erzielen und die Unternehmen weniger zahlen. Was das Timing betrifft, können wir immer zusätzliche Zeit zuweisen. Wenn Sie verstehen, dass Sie zahlen müssen, aber nicht so viel, werden wir im Allgemeinen eine gemeinsame Sprache finden. Aber wenn wir verrückte Nachrichten wie "Kein Geld" oder "Wir zahlen ein Zehntel" erhalten, haben Sie nur sich selbst die Schuld.
Links zu REvil-Angriffen werden aus privaten und geheimen Quellen zusammengestellt. Mit freundlicher Genehmigung von Recorded Future.
DS: Sie sagten, dass Sie mit DDoS zusätzlichen Druck ausüben möchten. Wie effektiv ist dieses Schema?
UNK: Im Gegensatz zu Anrufen verwenden wir es nicht oft. Anrufe zu tätigen ergibt ein sehr gutes Ergebnis. Wir nennen jedes Ziel sowie deren Partner und Journalisten - der Druck steigt deutlich an. Und danach, wenn Sie anfangen, Dateien zu veröffentlichen, ist das einfach großartig. Aber die Beendigung von DDoS bringt das Unternehmen um. Buchstäblich. Ich denke, wir werden die Strafverfolgung von CEOs und / oder Gründern von Unternehmen übernehmen. Persönliche OSINT, Mobbing. Ich denke, das wird auch eine sehr interessante Option sein. Die Opfer müssen jedoch verstehen, dass wir umso mehr zahlen müssen, je mehr Ressourcen wir ausgeben, bevor das Lösegeld ausgezahlt wird.
DS: Erzähl mir ein Geheimnis.
UNK:Als Kind kramte ich in Mülleimern und rauchte Zigarettenkippen. Ich bin 10 km zur Schule gelaufen. Ich trug sechs Monate lang die gleichen Kleider. In meiner Jugend habe ich zwei oder drei Tage lang nicht in einer Gemeinschaftswohnung gegessen. Jetzt bin ich Millionär.