Analyse - Russische Ransomware-Angriffe auf die Ukraine durch undichte Stellen und Versicherungsprobleme gedämpft

Am 01. März 2022 um 21:58 Uhr

Warnungen, dass pro-russische Ransomware-Banden die Netzwerke in der Ukraine und ihren Verbündeten lahmlegen würden, haben sich bisher nicht bewahrheitet, da die kriminelle Unterwelt, die häufig hinter solchen Angriffen steckt, in Unordnung geraten ist und befürchtet, dass die Versicherer nicht zahlen würden.

Conti, eine der berüchtigtsten Cybercrime-Gruppen mit Sitz in Russland, die dafür bekannt ist, mit Ransomware Millionen von Dollar von US-amerikanischen und europäischen Unternehmen zu erpressen, kündigte letzte Woche ihre "volle Unterstützung" für die Regierung von Präsident Wladimir Putin an - eine Position, die sie später zurücknahm, als sie selbst Opfer eines Lecks wurden.

"Wir sind mit keiner Regierung verbündet und verurteilen den andauernden Krieg", sagte die Gruppe in einer späteren Erklärung auf ihrer Website.

Stunden später tauchte ein Twitter-Account namens "ContiLeaks" auf, der angeblich interne Chat-Protokolle der kriminellen Gruppe veröffentlichte.

Die geheimen Chats wurden von einem ukrainischen Cybersicherheitsforscher veröffentlicht, so Vitali Kremez, Geschäftsführer der in Florida ansässigen Cybersicherheitsfirma AdvIntel, und Alex Holden, Gründer der in Wisconsin ansässigen Firma Hold Security. Reuters konnte die Authentizität des Materials nicht unabhängig überprüfen.

Kremez und Holden sagten, sie stünden beide in Kontakt mit dem Forscher, der jedoch nicht mit den Medien sprechen wolle, da er sich noch in der Ukraine aufhalte.

Laut Kremez hatte der Forscher schon seit einiger Zeit Zugang zu den Protokollen, aber der Auslöser für die Veröffentlichung war Contis Entscheidung, Moskau die Treue zu schwören, als russische Truppen in die Ukraine einmarschierten.

"Er war beleidigt über das, was sie sagten", sagte er gegenüber Reuters.

In den Monaten vor Putins Einmarsch in die Ukraine warnten westliche Geheimdienste vor einem Chaos, das durch ein zerstörerisches "Übergreifen" möglicher russischer Cyberangriffe auf die nationale Infrastruktur der Ukraine verursacht würde.

Im vergangenen Monat war die Conti-Gruppe an öffentlichkeitswirksamen Angriffen auf KP Snacks, einen Hersteller beliebter britischer Salzgebäck-Snacks, und mindestens ein Öllagerunternehmen beteiligt, die zu Verzögerungen bei einigen europäischen Öllieferungen führten.

VERSICHERUNGSMÄNGEL

Der Vorsitzende des Geheimdienstausschusses des US-Senats, Mark Warner, sagte, dass die von den Vereinigten Staaten identifizierten russischen Top-Hackergruppen - das A-Team, wie er es nannte - seit der Invasion nicht mehr für einen größeren Cyberangriff eingesetzt worden seien. "Es sieht nicht so aus, als ob sie aktiviert worden wären", sagte er am Montag gegenüber Reuters.

Am Sonntag veröffentlichte eine zweite berüchtigte Ransomware-Gang namens Lockbit, von der Cybersecurity-Experten ebenfalls annehmen, dass sie Mitglieder in Russland hat, eine Erklärung, in der sie ihre Neutralität im Konflikt mit der Ukraine erklärte.

"Für uns ist das ein reines Geschäft und wir sind alle unpolitisch. Wir sind nur an Geld für unsere harmlose und nützliche Arbeit interessiert", erklärte die Gruppe auf ihrer Website.

"Wir werden uns unter keinen Umständen an Cyberangriffen auf kritische Infrastrukturen irgendeines Landes auf der Welt beteiligen oder in internationale Konflikte verwickelt sein."

Ein Grund dafür könnte ein Schlupfloch in Cybersecurity-Versicherungspolicen sein.

Experten und Branchenbeobachter sagen, dass die raffinierteren digitalen Erpresserbanden dazu neigen, sich auf versicherte Organisationen zu konzentrieren, weil die Opfer bereits über eine Police verfügen, um das Lösegeld zu zahlen, so dass es weniger wahrscheinlich ist, dass sie ein niedrigeres Lösegeld aushandeln oder die Zahlung verweigern.

Versicherungspolicen enthalten jedoch in der Regel Ausschlüsse für Ereignisse, die als "höhere Gewalt" bezeichnet werden - wie etwa Kriegshandlungen.

Der juristische Präzedenzfall, was das genau bedeutet, ist noch in der Entwicklung, aber ein Cyberangriff, der von einer Bande beansprucht wird, die mit einer kriegerischen Macht wie Russland verbündet ist, könnte leicht in diese Kategorie fallen, sagte Holden von Hold Security.

"Bei Ransomware-Angriffen rufen die meisten Unternehmen ihren Ransomware-Versicherer an", sagte er. "Sie können sich vorstellen, dass die Versicherer sagen würden: 'Höhere Gewalt' oder 'Dies ist ein Fall von Kriegsführung - wir werden das nicht abdecken'.

Es gibt auch noch andere Gründe. Viele Banden sind darauf aus, Geld zu verdienen, und selbst wenn ihre Mitglieder nicht daran interessiert sind, Russland zu verlassen, scheuen sie sich davor, die negative Aufmerksamkeit auf sich zu ziehen, die ein offener Schulterschluss mit einem feindlichen Staat mit sich bringt.

"Unsere Regierung würde sie als feindliche Kämpfer oder Terroristen bezeichnen", sagte Holden.

Zum Originalartikel.
Rechtliche Hinweise