Eine Ransomware-Gruppe namens AvosLocker meldete sich zu Wort, im Anschluss daran sie aus Versehen eine US-Polizeibehörde angegriffen hatte. In der Konsequenz wurde ein kostenloser Decryptor bereitgestellt. Die Angelegenheit zeigt; wie chaotisch digitale Angriffe ebenfalls für die Angreifer selbst verlaufen kann.
Chronologie des Vorfalls
Im November des vergangenen Jahres verschaffte sich AvosLocker Zugriff auf Daten einer US-Polizeibehörde. Systeme wurden verschlüsselt und Dateien gesichert.
Als die Betreiber erkannten wem ihr Ziel gehörte entschuldigten sie sich öffentlich. Ein kostenloser Decryptor wurde daraufhin angeboten sodass Betroffene ihre Daten wiederherstellen konnten.
Ein Sicherheitsforscher dokumentierte den Vorfall über einen Social-Media-Beitrag. Die Botschaft der AvosLocker-Kommunikation lautete sinngemäß, dass man den Fehler erkannt habe und die Entschlüsselung gratis ermögliche.
„Entschuldigung, ich habe festgestellt, dass es sich um eine US-Regierungsbehörde handelt. Wir werden Ihnen erlauben; kostenlos zu entschlüsseln. Refresh for the decryptor.“
Konsequenzen und Transparenz
Obgleich der Decryptor bereitstand verzichtete AvosLocker darauf eine Liste der gestohlenen Dateien zu veröffentlichen oder Details zum Einbruch zu liefern.
Eine weitere Benachrichtigung des Groups betonte: Es oft keinen festen Richtlinienrahmen gebe wen man angreife. In dem Fall ging es zunächst um eine Regierungsstelle jedoch die Angreifer führten an, dass Partner manchmal Netzwerke sperren, ohne dass dies im Voraus geprüft werde.
„Sie sollten jedoch beachten dass ein Partner gelegentlich ein Netzwerk sperrt ohne dass wir es zuerst überprüfen.“
Technische Merkmale der Attacke
AvosLocker verwendet ein gleichnamiges Tool um Systeme zu verschlüsseln. Die Schadsoftware verschlüsselt Benutzerdaten wie Fotos, Dokumente, Tabellen, Musik und Videos und fügt Dateien mit der Endung .avos2 hinzu. Die Gruppe fordert Lösegeld und hinterlegt oftmals eine Textdatei mit der Botschaft zur Zahlung.
Geschäftsmodell: Ransomware as a Service
Wie andere Großangriffe operiert AvosLocker nach dem Modell Ransomware as a Service (RaaS). Die Betreiber vermieten die Software an Dritte die die Angriffe realisieren. Die Betreiber übernehmen Infrastruktur, Updates und Abrechnung; die Affiliate-Partner verteilen die Malware an neue Opfer.
Ausblick aus der Forschung
Sicherheitsforschende Teams berichten. Dass AvosLocker schon seit 2021 im Fokus steht. Vorfälle wie der Angriff auf einen taiwanesischen Hersteller führten zu öffentlicher Aufmerksamkeit; Gigabyte stand im Mittelpunkt, nachdem erbeutete Daten angekündigt wurden.
Verbreitungsmethoden und Infrastrukturen
Die Gruppe setzt Techniken ein um Schutzmechanismen zu umgehen. Nach der Injektion wird das System möglicherweise in den abgesicherten Modus gegenwärtig gestartet, gefolgt von Remote-Verbindungstools. Dadurch bekommen Angreifer Kontrolle über kompromittierte Rechner.
Eine Kommunikation der Gruppe deutet darauf hin, dass politische Zielauswahl nicht strikt vorgegeben ist. Dennoch betonen sie · dass Regierungsbehörden und Krankenhäuser eher vermieden werden würden · vorausgesetzt nichts Unvorhergesehenes passiert.
Ein Beitrag eines Gruppenmitglieds hob hervor, dass Netzwerkbeschränkungen durch Partner manchmal ohne vorherige Prüfung passieren könnten. In einer weiteren Aussage hieß es, Steuergelder seien schwer zu erlangen was politische Zielsetzungen in den Hintergrund rücke.
Rechtliche Einordnung und internationale Repressalien
Internationale Strafverfolgungsmaßnahmen haben in jüngerer Zeit mehrere Mitglieder von Ransomware-Gruppen festgenommen. Bekannte Gruppen wie REvil, Egregor, Netwalker und Clop wurden ins Visier genommen. Die operative Verfolgung zeigt, dass Europa, Nordamerika und andere Regionen vernetzt handeln um Angriffe einzudämmen.
Kommentare