Ein unscheinbarer Facebook-Post der amerikanischen Ridgeview Krankenhäuser zeigt das Ergebnis der Arbeit russischer Hacker. Im Oktober 2020 machte sich Trickbot die Corona-Notlage zu Nutze und griff die Systeme der Kliniken an. Das Ziel: Möglichst viel Geld für die Freischaltung erpressen und unsichtbar verschwinden. Wie gut das Geschäft läuft, zeigt die Statistik sogenannter Ransomware-Attacken für das vergangene Jahr: Unglaubliche 20 Milliarden Euro betrug der Schaden, den Gruppen wie REvil oder eben Trickbot verursacht haben. Und trotzdem weiß man sehr wenig über die Menschen hinter den Aktionen, Verhaftungen erfolgen oft nur nach jahrelanger Ermittlung.
Abschreckend wirkt die Inhaftierung einer Gruppe wie REvil aber nicht auf die Szene – sie dienen eher als Ansporn, entstandene Lücken möglichst schnell zu besetzen, wie aus Unterhaltungen der Hacker zu lesen ist, die Wired vorliegen. Das US-Magazin berichtet von Dokumenten, die einen seltenen Einblick in das Wirken der oftmals wie Konzerne agierenden Gruppen ermöglichen.
"Das gibt Panik" – Trickbot
Aus den Chats der Hacker und aus Gesprächen mit Experten geht hervor, dass die Gruppen organisiert sind wie eine echte Firma. Es gibt einen CEO, Verwaltungsfachangestellte, Abteilungsleiter und sogar Büros. Die Verdienstmodelle setzen sich aus Grundgehältern und hohen Provisionen zusammen. Alles andere läuft jedoch weniger parallel zur legalen Geschäftswelt. Echte Namen tauchen nicht auf, Stellenausschreibungen gibt's im Darknet und die Arbeit ist moralisch oftmals schwer verdaulich.
Am oberen Ende der Organisation stehen nach Aufzeichnungen von Ermittlern und internen Dokumenten offenbar sechs Individuen. Jede Person bringt dabei wichtige Fähigkeiten mit ein, die das digitale Erpressungsgeschäft ermöglichen. Dazu zählen Manager, die Entwickler anleiten oder eine Art Einsatzleitung für das Ausspielen schadhafter Software bei den Opfern. Chef der Operation ist eine Person, die sich Stern nennt.
Viel ist über den Boss nicht bekannt. "Stern ist der Chef", erklärt Alex Holden, Inhaber der IT-Sicherheitsfirma Hold Security, gegenüber Wired. "Er befasst sich nicht mit der technischen Seite des Geschäfts. Stern will Reports und Zahlen. Er ist verantwortlich für wichtige Entscheidungen, den Rest erledigen andere."
Aus Chats hochrangiger Mitglieder mit Stern geht auch hervor, wie professionell die Hacker-Gruppe organisiert sein muss. Im August 2020 schrieb Target seinem Chef über eine bevorstehende Expansion. "Wir erwarten 6 Büros und 50 bis 80 Leute bis Ende September", schreibt er. Insgesamt schätzen Experten die Mitarbeiterzahl auf bis zu 400 Personen. Kimberly Goody, Direktorin für Cybercrime bei der Sicherheitsfirma Mandiant, erklärt Wired, dass die Bande womöglich aus St. Petersburg agiert, Russlands zweitgrößter Stadt.
Verhaftung in Russland unwahrscheinlich
An Anspielungen auf eine Zusammenarbeit mit der russischen Regierung, oder zumindest einer Duldung von ganz oben, fehlt es nicht. Einige Chats vom Chef der Organisation handeln von der Gründung eines Büros für Regierungsangelegenheiten, wieder andere Unterhaltungen zwischen Hackern und ihrem Chef Target legen offen, dass die Hacker nach Ansicht der Vorgesetzten wohl keine Angst vor einer Verhaftung in Russland haben müssten. Der Personenkreis ist jedoch offenbar nicht beschränkt auf Russland – als wegen der Aufstände in Weißrussland das Internet abgeschaltet wurde, war in den Chats von Stern zu lesen, dass ein Entwickler wegen der Situation im Nachbarland nicht arbeiten könne.
Das erkläre auch, so Alex Holden, warum es in Russland kaum zu Ransomware-Attacken kommt. "Die Hacker wollen sich nicht mit der Regierung anlegen", erklärt er Wired. Tatsächlich wollen Sicherheitsexperten herausgefunden haben, dass die bloße Installation einer kyrillischen Tastatur oder die Verwendung russischer Sprache in den Chats dazu führen kann, dass eine Attacke umgehend aufhört und eventuell befallene Systeme ohne Gegenleistung wieder freigeschaltet werden. Der Rest der Welt ist offenbar zum Abschuss freigegeben.
Denn statt sich für die Angriffe auf das überlastete Gesundheitssystem zu schämen, brüstet man sich intern mit der Wahl der Opfer. "Siehst du, wie schnell die Kliniken sich melden?", fragt ein hochrangiges Trickbot-Mitglied einen Kollegen, "der Rest meldet sich auch innerhalb der kommenden Tage", heißt es weiter. Die Arbeitsaufträge lesen sich ähnlich rücksichtslos: "Mach die Krankenhäuser in den USA diese Woche fertig. Das gibt Panik.", schrieb ein Hacker namens Target. Anbei schickte er eine Liste mit 428 möglichen Zielen.
Der Druck wächst
Einsichten wie sie Wired nun hatte, sind auch das Ergebnis von Verhaftungen und Gerichtsdokumenten, da Behörden weltweit, darunter häufig das FBI und Europol, jede Chance nutzen, den Hackern das Handwerk zu legen. Bei Trickbots größtem Konkurrent REvil scheint es vor allem dieser internationale Druck gewesen zu sein, der letztlich dazu führte, dass 14 mutmaßliche Mitglieder im Januar 2022 verhaftet worden sind. Warum Trickbot sich weiterhin in Sicherheit wiegt, weiß wohl nur die Bande selbst.
Quellen: KrebsOnSecurity, Wired, Wiwo, Brian Krebs
