FBI fordert eine halbe Million an Ransomware-Zahlungen zurück

Druckfreundlich, PDF & E-Mail

Das US Department of Justice (DoJ) hat rund eine halbe Million Dollar an Ransomware-Zahlungen zurückerlangt, gezahlt an nordkoreanische Cyberkriminelle, die Unternehmen im Gesundheitswesen angreifen. Dies ist ein weiteres Zeichen dafür, dass Strafverfolgungsbehörden zumindest effektiver werden, Cyberangreifer daran zu hindern, ihre illegalen Gewinne zu genießen.

Die Cyberkriminellen greifen seit mindestens Mai 2022 Unternehmen im Gesundheitssektor mit der Malware Maui an. Diese installiert eine binäre Schlüsseldatei namens „maui.exe“, die eine Kombination aus Advanced Encryption Standard (AES) -, RSA- und XOR-Algorithmen verwendet, um den Zugriff auf bestimmte Dateien zu verhindern.

Maui verschlüsselt Zieldateien zuerst mit 128-Bit AES-Verschlüsselung, wobei jeder Datei ein eindeutiger AES-Schlüssel zugewiesen wird. Eine benutzerdefinierte Kopfzeile, die in jeder Datei enthalten ist und den ursprünglichen Pfad der Datei enthält, ermöglicht Maui die Identifizierung zuvor verschlüsselter Dateien. Die Kopfzeile enthält auch verschlüsselte Kopien des AES-Schlüssels. Anschließend kodiert Maui jeden AES-Schlüssel mit RSA-Verschlüsselung. Der öffentliche (maui.key) und der private (maui.evd) RSA-Schlüssel werden im selben Verzeichnis geladen, in dem Maui selbst sich befindet. Anschließend kodiert die Malware den öffentlichen RSA-Schlüssel (maui.key) unter Verwendung von XOR-Verschlüsselung mit einem XOR-Schlüssel, der aus Festplatteninformationen generiert wird.

Schließlich erstellt Maui mit GetTempFileNameW() eine temporäre Datei für jede Datei. Diese wird von der Malware verschlüsselt und dann als verschlüsselte Ausgabe verwendet. Maui erstellt dann maui.log, die die Ausgabe der Maui-Ausführung enthält, die exfiltriert werden kann.

Nachdem Maui mit der Verschlüsselung von Dateien begonnen hat, kann nicht mehr viel getan werden. Das Federal Bureau of Investigations (FBI) in den USA hat jedoch eng mit einem der Opfer eines Maui-Angriffs zusammengearbeitet, um Zahlungen zurückzuerlangen. Nach der Benachrichtigung des FBI zahlte ein Krankenhaus in Kansas etwa 100.000 USD in Bitcoin, um wieder Zugriff auf seine Dateien zu erhalten. Das FBI führte diese Zahlungen dann auf eine Geldwäscheoperation in China zurück, wo es eine Bitcoin-Zahlung von ungefähr 120.000 USD fand, die von dem Krankenhaus in Kansas auf ein Kryptowährungskonto geleistet wurde. Das FBI stellte außerdem fest, dass ein medizinischer Dienstleister in Colorado gerade ein Lösegeld bezahlt hatte, nachdem er von Angreifern mit der gleichen Maui-Ransomware gehackt wurde. Das FBI beschlagnahmte die Guthaben von zwei Kryptowährungskonten mit dem Ziel, diese Gelder schließlich an die Opfer der Ransomware zurückzugeben.

Während das FBI allgemein für seine Bemühungen gelobt wird, gibt es auch Bedenken darüber, was als nächstes kommen könnte. Es ist offensichtlich, dass Strafverfolgungsbehörden bei der Nachverfolgung illegale Kryptowährungstransaktionen und der Zurückerlangung dieser Gelder auch in Ländern, in denen sie keine offizielle Gerichtsbarkeit haben, versierter werden. Cyberkriminelle werden unweigerlich nach anderen Zahlungsmethoden suchen, die nicht so einfach zu verfolgen oder zurückzuerlangen sind. Einige Cyberkriminelle beabsichtigen beispielsweise einen Umstieg von Bitcoin auf alternative, datenschutzbasierte digitale Währungen wie Monero.

Unabhängig von der Zahlungsmethode werden sich Ransomware-Transaktionen wahrscheinlich tiefer in den Untergrund verschieben, um nicht entdeckt zu werden. Infolgedessen wird der gesamte Zahlungsprozess wohl oder übel wahrscheinlich um einiges komplexer werden. Dadurch wird es vermutlich viel länger dauern, die Schlüssel zum Entschlüsseln von Dateien zu erlangen, was den Stress für alle Beteiligten erhöht.

Der beste Weg, diesen Stress zu beseitigen, besteht darin, immer eine makellose Kopie der Daten zur Verfügung zu haben.  Fehlen diese kritischen Fähigkeiten, liegt es an jedem Unternehmen, im Voraus zu bestimmen, wie man mit den Nuancen aller Arten von Kryptowährungen umgehen kann, die bald häufiger eingesetzt werden.

Nach oben scrollen
Twittern
Teilen
Teilen