{"id":252449,"date":"2021-04-25T00:05:00","date_gmt":"2021-04-24T22:05:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=252449"},"modified":"2022-09-07T22:02:19","modified_gmt":"2022-09-07T20:02:19","slug":"sicherheitsforscher-dringen-in-struktur-einer-ransomware-gruppe-ein","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/04\/25\/sicherheitsforscher-dringen-in-struktur-einer-ransomware-gruppe-ein\/","title":{"rendered":"Sicherheitsforscher dringen in Struktur einer Ransomware-Gruppe ein"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/?p=19669\" target=\"_blank\" rel=\"noopener\">English<\/a>]Sicherheitsforschern von CyberNews ist es gelungen, sich bei einer Ransomware-Gang, die arbeitsteilig arbeitet, um einen Job zu bewerben. Bei den Gespr\u00e4chen wurden einige Details zu deren Arbeitsabl\u00e4ufen offen gelegt, die die Sicherheitsforscher nun dokumentiert haben.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/95a6499dc2fb4c3aa826cea2a868a78b\" alt=\"\" width=\"1\" height=\"1\" \/>Die Informationen hat mir CyberNews bereits vor einigen Tagen zukommen lassen &#8211; dachte, das ist ein sch\u00f6nes Sonntagsthema. Es geht darum, dass ein CyberNews-Experte es geschafft hat, in die Strukturen der Ransomware-Gruppe Ragnar Locker einzudringen. Der Experte war undercover unterwegs und wurde zu einem vermeintlichen Job-Interview eingeladen.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.imgur.com\/Jd1hno1.png\" width=\"590\" height=\"295\" \/><br \/>\n(Quelle: CyberNews)<\/p>\n<p>Der Experte hat die am Interview Beteiligten dann dazu gebracht, Informationen zur L\u00f6segeldauszahlungsstruktur, Auszahlungspl\u00e4ne und Zielerfassungsstrategien zu enth\u00fcllen. Denn diese Gruppen arbeiten mit Ransomware-as-a-service wo man arbeitsteilig vorgeht und mit Beteiligungsmodellen an den erbeuteten L\u00f6segeldsummen arbeitet. Die Gruppe war der vermeintlichen Ansicht, einen potentiell wertvollen Mitarbeiter f\u00fcr die Rang rekrutieren zu k\u00f6nnen.<\/p>\n<p>Die Leute von CyberNews schreiben, dass die Ransomware-Gruppen inzwischen versuchen, ihren \"Arbeitskr\u00e4ftemangel\" zu beheben, indem sie neue Mitglieder in Hacker-Foren rekrutieren, die von erfahrenen und aufstrebenden Cyberkriminellen gleicherma\u00dfen frequentiert werden. Aber Cyberkriminelle sind dort nicht die einzigen Nutzer, die dort unterwegs sind &#8211; denn dort tummeln sich auch Sicherheitsforscher.<\/p>\n<p>Im Juni 2020 stie\u00dfen die Leute beim Sammeln von Informationen in einem beliebten Hackerforum auf eine merkw\u00fcrdige Rekrutierungsanzeige, die scheinbar von einer Ransomware-Gruppe ver\u00f6ffentlicht wurde. Um wertvolle Einblicke in die Strukturen und Perspektiven der Ransomware-Gruppe zu erhalten, beschlossen die Sicherheitsforscher, sich als russischer Cyberkrimineller auszugeben und antworteten auf die besagte Anzeige.<\/p>\n<p>Zur gro\u00dfen \u00dcberraschung wurden die Sicherheitsforscher in einen privaten qTox-Chatraum zu einem \"Vorstellungsgespr\u00e4ch\" eingeladen. Die anwesenden mit Personen behaupteten, mit einer ber\u00fcchtigten Ransomware-Gruppe verbunden zu sein. Anwesend waren auch Hacker, die Bedrohungsakteure, die angeblich seit mehr als 10 Jahren f\u00fcr den Betrieb eines Ablegers der Ransomware-Gang verantwortlich waren. Im rahmen des vermeintlichen Rekrutierungsinterviews legte die Gruppe so einiges offen.<\/p>\n<p><img decoding=\"async\" title=\"Ransomware-Beteiligungen\" src=\"https:\/\/i.imgur.com\/0pyxRj0.png\" alt=\"Ransomware-Beteiligungen\" \/><br \/>\n(Quelle: CyberNews)<\/p>\n<p>In der Anzeige wurde damit gelockt, dass der Partner, wenn er das Angebot annimmt, bis zu 70-80 % des erfolgreich gezahlten L\u00f6segelds erhalte, w\u00e4hrend REvil selbst die anderen 20-30 % kassieren w\u00fcrde. Obiges Bild zeigt das betreffende Angebot, wer mehr als eine Million US-$ pro Woche an L\u00f6segeldzahlungen macht, kommt auf 80% Beteiligung. Aber die Undercover-Leute waren sich nicht sicher, wirklich mit Mitgliedern der ReEvil-Gruppe zu verhandeln (es k\u00f6nnte ja auch eine Undercover-Aktion der Strafverfolgungsbeh\u00f6rden gewesen sein).<\/p>\n<p>Um zu beweisen, dass das Job-Posting legitim war, zahlten die Anwerber der Ransomware-Gang \u00f6ffentlich einsehbar Bitcoins im Wert von 1 Million Dollar in ihre Foren-Wallet ein. Ab da waren die Sicherheitsforscher \u00fcberzeugt, mit den Cyber-Kriminellen zu verhandeln. Auf die Frage \"Seid ihr Gangster?\" kam die Antwort \"Nein, wir sind Russen.\"<\/p>\n<p>\u00dcberraschenderweise war das Vorhandensein der richtigen F\u00e4higkeiten und Erfahrungen nur ein Teil des Bewerbungsprozesses. Der Anwerber der Ganz bestand darauf, dass potenzielle Partner auch russischer Muttersprachler sein mussten. Um Schwindler in diesem Bereich auszusortieren, wollten die Interviewer die Identit\u00e4t der Kandidaten feststellen, indem sie sie \u00fcber russische Trivialit\u00e4ten ausfragte. Das umfasste auch russische und ukrainischer Geschichte sowie Volks-\/Stra\u00dfenwissen, das \"nicht gegoogelt werden kann\".<\/p>\n<p>Die Sicherheitsforscher waren wohl \u00fcberzeugend, da die Interviewer viele Details offen legten. So konnten bei einem Raubzug die f\u00fcnf Beteiligten 2,5 Millionen US-Dollar einstreichen. Das Ganze wurde auf russisch gef\u00fchrt, die Sicherheitsforscher haben das Ganze dann in English in <a href=\"https:\/\/web.archive.org\/web\/20220812235550\/https:\/\/cybernews.com\/security\/how-we-applied-to-work-with-ransomware-gang\/\">diesem Blog-Beitrag<\/a> ver\u00f6ffentlicht.\u00a0 Dort lassen sich Details nachlesen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sicherheitsforschern von CyberNews ist es gelungen, sich bei einer Ransomware-Gang, die arbeitsteilig arbeitet, um einen Job zu bewerben. Bei den Gespr\u00e4chen wurden einige Details zu deren Arbeitsabl\u00e4ufen offen gelegt, die die Sicherheitsforscher nun dokumentiert haben.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-252449","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252449","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=252449"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252449\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=252449"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=252449"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=252449"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}