Eine bedeutende Cyberattacke auf indonesische Regierungsdienste hat das Thema Ransomware in den Fokus gerückt, besonders die Aktivitäten von kriminellen Gruppen, die unter verschiedenen Namen operieren. Am 20. Juni schloss eine Ransomware-Gruppierung, die unter dem Namen „Brain Cipher“ bekannt ist, Indonesiens nationale Datenzentrale. Dies führte dazu, dass sich stundenlange Warteschlangen bildeten, während Hafengeher auf die Rückkehr der Buchungssysteme warteten und internationale Ankünfte an Passkontrollstellen festhingen. Ingesamt waren über 200 nationale und lokale Behörden betroffen. Trotz einer geforderten Lösegeldzahlung von 8 Millionen Dollar entschied sich die Gruppe aufgrund des hohen Drucks, die Lösegeldforderung zurückzuziehen und veröffentlichte ihr Entschlüsselungswerkzeug kostenlos.
Die verschiedenen Identitäten von Brain Cipher
Die Tatsache, dass Brain Cipher in der Cyberkriminalität noch relativ neu ist, erhöht die Neugier auf die dahinterstehenden Strukturen. Forscher von Group-IB haben herausgefunden, dass Brain Cipher nicht nur eine eigenständige Gruppe ist, sondern in Verbindung mit mindestens drei anderen Ransomware-Gruppen steht. Diese Aktivitäten zeigen, dass sie unter unterschiedlichen Namen operieren, darunter Reborn Ransomware und EstateRansomware. Diese Namensvielfalt führt zu Überschneidungen in ihren Operationen, die weltweit verübt werden. So hat beispielsweise Reborn Opfer in China, Frankreich und Indonesien identifiziert, während andere Gruppen im Laufe der Zeit verschiedene Länder wie Hongkong, Libanon und die USA ins Visier genommen haben.
Gezielte Angriffe und Auswirkungen
Der Angriff auf Indonesien ist nicht der erste Vorfall, den Brain Cipher ausgelöst hat. Aber trotz der Breite ihrer Angriffe zeigt die Forschung, dass die verwendete Malware auf leaken Lockbit 3.0 Builder basiert und eine Variante von Babuk einsetzt. Diese Diversifizierung der Verschlüsselungstechnologie ermöglicht es, verschiedene Betriebssysteme und Umgebungen anzugreifen. Tara Gould von Cado Security betont, dass verschiedene Verschlüsselungsverfahren für unterschiedliche Betriebssysteme optimiert werden können, um eine größere Anzahl von potenziellen Zielen zu erreichen und den Einfluss zu maximieren.
Hintergründe und Motivation der Angreifer
Die Nachforschungen zeigen, dass Brain Cipher einige Schwächen in Bezug auf operative Sicherheit aufweist. Ihre Lösegeldankündigungen und die Kontaktdaten überschneiden sich mit den Informationen anderer angeblich eigenständiger Gruppen. Dies könnte darauf hinweisen, dass eine koordinierte Strategie hinter den Kulissen stattfindet, die darauf abzielt, die Auswirkungen ihrer Angriffe zu verschleiern. Sarah Jones, Analystin für Cyber-Bedrohungsintelligenz, erklärt, dass das Operieren unter vielen Namen den Angreifern erlaubt, ihre Aktivitäten zu verbergen und Sicherheitsforschern und Strafverfolgungsbehörden das Aufspüren ihrer Spuren erheblich erschwert.
Reaktion der Sicherheitsforscher
Die offensichtliche Inkonsequenz von Brain Cipher, Daten von den meisten ihrer Opfer zu exfiltrieren, zeigt ein weiteres Problem im Umgang mit diesen Cyberangriffen. Group-IB befürchtet, dass die Gruppe keine Daten abzieht, obwohl sie dies verspricht, was zu einem Mangel an Vertrauen in die von ihnen angebotenen Dienstleistungen führt. Dennoch präsentiert sich die Gruppe effizient, unter anderem durch die Bereitstellung einer professionellen Kundenbetreuung und eines Portals für Opfer, um Lösegeldforderungen zu verfolgen.
Die Zukunft der Ransomware-Gruppen
Die Dynamik hinter dem Vorgehen von Brain Cipher und ähnlichen Gruppen könnte der Öffentlichkeit einen tieferen Einblick in die Strategien der Cyberkriminalität geben und die Bedrohung durch solche Angriffe aus einer langfristigen Perspektive beleuchten. In einer Zeit, in der der Schutz von Daten und kritischen Infrastrukturen zunehmend an Bedeutung gewinnt, bleibt es essenziell, ein Auge auf die sich entwickelnden Taktiken dieser Gruppierungen zu werfen und wie sie durch Tarnung und Anpassungsfähigkeit weiterhin aktiv bleiben.
