Nach etwa zwei Jahren Ermittlungsarbeit haben internationale Strafverfolgungsbehörden erfolgreich gegen die Ransomware-Bande Blackcat/ALPHV interveniert. Richard Werner, Business Consultant bei Trend Micro, beurteilt die Auswirkungen.
Für die Opfer der Gruppe ist der Takedown eine hervorragende Nachricht. Nicht nur gelang es, viele Entschlüsselungskeys zu sichern, auch aktive Operationen dürften unterbrochen worden sein. Durch die genauen Kenntnisse der Vorgänge der Gruppe können auch Sicherheitsmechanismen angepasst werden, sodass ein Großteil der kriminellen Software an Wirkung verlieren dürfte. Die Auswirkungen beschränken sich aber nicht nur auf die ‚Guten‘. Im Cyberuntergrund gibt es aktuell etwa 50 aktive RaaS Gruppen mit mehr oder weniger ausgefeilten Möglichkeiten. Wird ein ‚Großer‘ wie ALPHV ausgeschaltet oder angezählt, so kehren ihm zunächst Geschäftspartner (Affiliates) den Rücken. Bevor nicht sicher ist, wie viel die Polizei wirklich weiß, riskiert man andernfalls den Hals. Diese Gruppen werden aber nicht einfach Schluss machen. Sie werden sich schlicht und ergreifend anderen RaaS-Angeboten zuwenden. Ob sie jemals zurückgewonnen werden können, ist fraglich. Aber genauso hat dies Auswirkungen auf das Personal von ALPHV. Die Mitarbeiter werden sich andere Arbeitgeber suchen. Für ALPHV bedeutet dieser Takedown einen Reputationsverlust, der ein Ende der ‚Unternehmung‘ darstellen kann. Allerdings hängt sehr viel davon ab, wie hoch der tatsächliche Schaden ist, den die Polizei der RaaS-Gruppe zufügen konnte. Nachdem nun klar ist, dass ihre Sicherheitswerkzeuge dem Takedown nicht standhielten, geht es für die Kriminellen um die Frage, inwieweit die Gruppe eine gewisse Resilienz aufgebaut hatte und ihre Operationen durch Backup-Maßnahmen oder Disaster Recovery Operationen wieder aufziehen kann. Auf jeden Fall wird sie eine Weile mit Ursachenforschung und Fehleranalyse zubringen. Ein Lob an die Polizei ist verdient. Dennoch sollte man nicht den Fehler begehen, ALPHV schon abzuschreiben. Noch ist nicht klar, wie hart der Schlag wirklich war. Die RaaS Gruppe kündigte an, sich rächen zu wollen. Das tun sie an dieser Stelle immer. Im Prinzip bedeutet es nur, dass die Täter weiter machen möchten. Es ist ein Signal an ihre Geschäftspartner à la ‚wir sind nicht pleite‘. Wie schlagkräftig sie tatsächlich noch sind, werden sie möglichst bald unter Beweis stellen wollen. Da es sich hier um Experten handelt, die nicht festgenommen wurden, sollte das ernst genommen werden. Es ist deshalb dringend anzuraten, die näheren Informationen des FBI zu beachten und sich entsprechend zu schützen. Auch das ‚Ende von ALPHV‘ wäre in diesem Zusammenhang nur ein temporärer Fortschritt. Fachkräfte ihres Kalibers werden in andere RaaS-Gruppierungen aufgehen. Wie eine Hydra reicht es nicht einen Kopf abzuschlagen. Man muss ihnen den Nährboden entziehen. Was angesichts des gegenwärtigen politischen Klimas leider nicht sehr wahrscheinlich ist.
