Aus dem Schatten: Die Jagd nach Ransomware-Angreifern wird von BTW Media profiliert, weil veröffentlichte Belege es mit Internet-Infrastruktur, Governance, operativen Abhängigkeiten oder Marktsichtbarkeit in Verbindung bringen.
Aus dem Schatten: Die Jagd nach Ransomware-Angreifern wird als Internet-Infrastruktur-Institution im Ökosystem der Internet-Infrastruktur verfolgt.
Signale aus öffentlichen Quellen unterstützen die Überwachung mit mittlerer Auswirkung für Infrastruktursichtbarkeit und Abhängigkeitsanalyse.
Mehrere öffentliche Quellen
- Ransomware-Autoren verbergen ihre Identität hinter Verschlüsselungsebenen, VPNs und Tor-Netzwerken, was die Identifizierungsbemühungen erschwert.
- Die Unterschiede zwischen den Rechtssystemen, diplomatischen Protokollen und Auslieferungsverfahren der Länder behindern eine reibungslose Zusammenarbeit der Strafverfolgungsbehörden.
- Ransomware-Angreifer setzen raffinierte Taktiken ein, darunter Zero-Day-Exploits und polymorphe Malware, um der Erkennung zu entgehen.
Ransomware-Angriffe sind zu einer allgegenwärtigen Bedrohung in der heutigen digitalen Landschaft geworden, mit verheerenden Folgen für Einzelpersonen, Unternehmen und Regierungsstellen. Trotz der Bemühungen von Strafverfolgungsbehörden und Cybersicherheitsexperten, diese Cyberkriminalität zu bekämpfen, bleibt die Ergreifung von Ransomware-Tätern eine enorme Herausforderung.
Was ist Ransomware?
Ransomware, eine Form von Schadsoftware, ist darauf ausgelegt, Dateien, sensible Daten oder personenbezogene Daten (PII) zu stehlen und zu verschlüsseln, sodass sie für die Opfer unzugänglich werden, es sei denn, es wird ein Lösegeld gezahlt. Unter Ausnutzung von Erpressungstaktiken zielen Ransomware-Autoren in der Regel auf Einzelpersonen oder Organisationen mit laxen Sicherheitsmaßnahmen oder ungepatchten Schwachstellen ab, indem sie Schadsoftware in deren Computer oder Mobilgeräte einschleusen, um die Ransomware-Nutzlast auszuführen.
Verschlüsselte Dateien ohne Entschlüsselungsschlüssel wiederherzustellen, ist extrem schwierig, was schwerwiegende Folgen für Unternehmen hat, die auf verschlüsselte Daten für ihren täglichen Betrieb angewiesen sind. Die Nichteinhaltung von Lösegeldforderungen innerhalb einer bestimmten Frist kann zum dauerhaften Verlust von Dateien oder deren öffentlicher Offenlegung führen.
Derzeit verlangen viele Cyberkriminelle Kryptowährungen wie Bitcoin für Lösegeldzahlungen, wobei sie die dezentrale Natur nutzen, um Finanztransaktionen zu verschleiern. Trotz der Schwierigkeiten bei der Nachverfolgung von Lösegeldzahlungen auf der Blockchain ist dies dennoch möglich.
Lesen Sie auch:5 Hauptarten von Ransomware-Angriffen
Warum ist es so schwierig, Ransomware-Autoren zu fassen?
Ransomware-Angreifer agieren oft anonym und verbergen ihre Identität hinter Verschlüsselungsebenen und Anonymisierungstechnologien wie virtuellen privaten Netzwerken (VPNs) und Tor-Netzwerken. Die Verwendung von Kryptowährungen für Lösegeldzahlungen fügt eine weitere Anonymitätsebene hinzu, was die Rückverfolgung von Finanztransaktionen und die Identifizierung der Täter erschwert.
Ransomware-Angriffe stammen oft aus ausländischen Rechtsräumen, was den Ermittlungsprozess aufgrund internationaler jurisdiktioneller Herausforderungen erschwert. Rechtliche Hürden, diplomatische Protokolle und Unterschiede in den Rechtsrahmen der Länder behindern die Auslieferung von Verdächtigen und die Koordination zwischen Strafverfolgungsbehörden.
Ransomware-Angreifer setzen raffinierte Taktiken ein, um der Erkennung zu entgehen, darunter Zero-Day-Exploits, polymorphe Malware und Social-Engineering-Techniken. Fortschrittliche Verschlüsselungsmethoden erschweren es Cybersicherheitsexperten, Dateien zu entschlüsseln oder Schwachstellen im bösartigen Code zu identifizieren, was den Ermittlungsprozess verlängert.
Lesen Sie auch:Wichtige Folgen von Ransomware-Angriffen
Werden Ransomware-Autoren festgenommen?
Europol hat in Zusammenarbeit mit internationalen Strafverfolgungsbehörden ein Netzwerk von Cyberkriminellen zerschlagen, das seit 2019 für zahlreiche Ransomware-Angriffe verantwortlich war und über 1.800 Opfer in 71 Ländern anvisierte. Nach zweijährigen Ermittlungen wurden 2021 Razzien in der Ukraine und in der Schweiz gegen 12 Personen durchgeführt, die mit diesen Angriffen in Verbindung standen.
Die Kriminellen, die dafür bekannt waren, große Unternehmen anzugreifen, verwendeten Ransomware-Stämme wie LockerGoga, MegaCortex und Dharma sowie Malware wie TrickBot und Post-Exploitation-Tools, um der Erkennung zu entgehen und Schwachstellen in Computernetzwerken auszunutzen. Europol beschlagnahmte 52.000 US-Dollar Bargeld und fünf Luxusfahrzeuge, die der Gruppe gehörten.
Ende 2021 ging das US-Justizministerium gegen zwei ausländische Staatsangehörige vor, die an der Verbreitung der Ransomware Sodinokibi/REvil beteiligt waren, und beschuldigte sie, Angriffe auf Unternehmen und Regierungsstellen durchgeführt zu haben. Yaroslav Vasinskyi, ein 22-jähriger ukrainischer Staatsangehöriger, wurde angeklagt, Ransomware-Angriffe durchgeführt zu haben, darunter den Kaseya-Angriff im Juli 2021.
Darüber hinaus wurden 6,1 Millionen US-Dollar an Geldern beschlagnahmt, die mit Lösegeldzahlungen an Yevgeniy Polyanin, einen 28-jährigen russischen Staatsangehörigen, in Verbindung standen. Die beiden Angeklagten müssen sich wegen Verschwörung zum Betrug, Beschädigung geschützter Computer und Geldwäsche verantworten. Vasinskyi wurde in Polen festgenommen und wartet auf seine Auslieferung in die USA, während Polyanin sich weiterhin im Ausland aufhält.
Und im Mai 2024 wurde Vasinskyi in Texas zu mehr als 13 Jahren Gefängnis verurteilt.
Lesen Sie auch:Die 5 größten Ransomware-Angriffe der Geschichte
Im Februar 2024 führte eine koordinierte globale Strafverfolgungsaktion zur Zerschlagung der berüchtigten Ransomware-Gruppe LockBit, mit der Festnahme von zwei Personen und der Beschlagnahmung von 200 Kryptowährungskonten. Die von der britischen National Crime Agency (NCA) geleitete Operation zielte auf LockBit ab, das dafür bekannt war, Ransomware-Dienste für Partner bereitzustellen, die die Netzwerke der Opfer infizierten.
Die polnische und die ukrainische Polizei nahmen im Rahmen der Operation weitere Festnahmen vor. Die als „Operation Cronos“ bezeichnete Zerschlagung umfasste eine Koalition von 10 Ländern und führte zur Übernahme der Infrastruktur von LockBit und zur Offenlegung interner Daten über die Gruppe selbst. Die veröffentlichte Anklageschrift beschuldigt Artur Sungatov und Ivan Kondratyev, die Ransomware LockBit eingesetzt zu haben, um Opfer in verschiedenen Sektoren in mehreren Ländern anzugreifen.
Auf einen Blick
- Name: Aus dem Schatten: Die Jagd nach Ransomware-Angreifern
- Basis: Nordamerika
- Profilfokus:
Funktionsweise
- Öffentliche Aufzeichnungen unterstützen die Überwachung ihrer Rolle, Dienstleistungen und Schlüsselbeziehungen.
Warum es wichtig ist
- Signale aus öffentlichen Quellen unterstützen die Überwachung mit mittlerer Auswirkung für Infrastruktursichtbarkeit und Abhängigkeitsanalyse.
- Betriebskritikalität: Mittel
- Zeithorizont: Nächstes Quartal
Was ansehen?
- Das Monitoring konzentriert sich auf verifizierte Servicekontinuität, Governance-Änderungen und Beziehungssignale.
Verfolgen Sie bestätigte Quellenaktualisierungen, Rollenänderungen und aktuelle öffentliche Nachweise.
Signale aus öffentlichen Quellen unterstützen die Überwachung mit mittlerer Auswirkung für Infrastruktursichtbarkeit und Abhängigkeitsanalyse.
Die langfristige Relevanz hängt von verifizierten Betriebs-, Richtlinien- und Beziehungsänderungen ab.
Mitgliederbriefing
Tieferer Profilkontext
Melden Sie sich mit der richtigen Mitgliedschaftsstufe an, um das vollständige Briefing und die Quellennotizen freizuschalten.
Nur für Strategic Circle
Strategic Circle
Offen für alle Leser. Schalten Sie Profil-Briefings nach Beitritt und Anmeldung frei.
Strategic Circle beitretenNur für Leadership Alliance
Leadership Alliance
Für qualifizierte IP-Asset-Eigentümer und Management; melden Sie sich an, um Leadership-Alliance-Briefings freizuschalten.
Leadership Alliance beitreten
