Cybersicherheitsexperten, die eigentlich mit Ransomware-Angreifern verhandeln sollen, werden nun selbst damit beauftragt, Ransomware-Angriffe zu erleichtern. Das US-Justizministerium hat Anklage gegen zwei Mitarbeiter einer Verhandlungsfirma für Cybersicherheit und einen Mitverschwörer wegen Hacking und des Einsatzes von Ransomware erhoben.
Die Personen arbeiteten für DigitalMint, ein Unternehmen, das sich auf Verhandlungen mit Cyberkriminellen im Auftrag von Organisationen spezialisiert hat, die von Ransomware betroffen sind. Ein dritter Verdächtiger, der zuvor als Incident Response Manager bei einem anderen Unternehmen tätig war, wird beschuldigt, an dem System teilgenommen zu haben. In der Anklageschrift wird behauptet, dass die Verdächtigen Firmen gehackt, vertrauliche Unternehmensdaten gestohlen und Ransomware verwendet haben, die von der Gruppe ALPHV/BlackCat entwickelt wurde, um die Opfer zu erpressen.
Den Anklagen zufolge missbrauchten die Mitarbeiter von DigitalMint ihre vertrauenswürdige Rolle, indem sie in die Netzwerke der Opfer eindrangen, an sensible Informationen gelangten und dann Ransomware gegen dieselben Ziele starteten. Die Staatsanwaltschaft bezeichnet dies als schwerwiegenden Verrat an dem Vertrauen, das Organisationen in Cybersicherheitspartner setzen. Das DOJ stellte fest, dass das Verhalten “unbefugtes Hacking, Datendiebstahl und den Einsatz von Ransomware” unter dem Deckmantel von Verhandlungsdiensten umfasste.
Dieser Fall wirft ein Schlaglicht auf einen beunruhigenden Trend, da Akteure, die als defensive Berater oder Verhandlungsführer positioniert sind, in offensive Operationen verwickelt sind. Unternehmen, die Drittfirmen mit Verhandlungen mit Ransomware-Angreifern beauftragen, müssen möglicherweise ihre Abhängigkeiten und Kontrollen neu bewerten. Die Doppelrolle von Verteidiger und Angreifer erschwert das Vertrauen und die Aufsicht in der Cybersicherheitslieferkette.
Bei der Verhandlung von Ransomware steht von Natur aus viel auf dem Spiel. Opfer, die über Vermittler mit Angreifern in Kontakt treten, hoffen in der Regel, den Schaden zu minimieren, verschlüsselte Systeme wiederherzustellen und Datenlecks zu verhindern. Aber wenn die Verhandlungspartei sich an der Angriffskette mitschuldig macht, schafft sie einen Interessenkonflikt und birgt neue Risiken. Traditionelle Annahmen über vertrauenswürdige Mediatoren gelten nicht mehr immer.
Die Anklageschrift gibt weder die Zahl der Opferorganisationen noch die Gesamtverluste an, die durch das mutmaßliche System verursacht wurden. Es wird jedoch betont, dass die verwendete Ransomware-Variante, BlackCat/ALPHV, ein produktives Werkzeug für Großwildjagdkampagnen ist. Analysten haben den Konzern verfolgt, der Zahlungen in Höhe von mehreren Millionen Dollar erpresst und mit der Offenlegung von Daten droht, wenn die Forderungen nicht bezahlt werden.
Für Unternehmen, die bei Ransomware-Vorfällen auf Verhandlungsdienste angewiesen sind, ergeben sich mehrere Vorsichtsmaßnahmen. Erstens muss die Due Diligence von Verhandlungsunternehmen Bewertungen der Unabhängigkeit, der Zugriffsberechtigungen und der Incident-Response-Historie umfassen. Zweitens sollten vertragliche und technische Kontrollen den Zugang des Verhandlungsführers zu sensiblen Umgebungen einschränken, bis seine Rolle klar definiert und begrenzt ist. Drittens sollten Incident-Response-Pläne Szenarien berücksichtigen, in denen die Verhandlungsdienste selbst gefährdet sein könnten.
In einem größeren Kontext spiegelt die sich wandelnde Rolle von Verhandlungsfirmen wider, wie Ransomware-Ökosysteme immer komplexer werden. Angreifer verschlüsseln nicht einfach nur Daten und verlangen Zahlungen. Sie können sich nun auf vertrauenswürdige Partner, Insider oder externe Akteure verlassen, die sich als Verteidiger ausgeben, um sich ersten Zugang zu verschaffen, sich seitlich zu bewegen und Erpressungskampagnen zu starten. Dies erhöht das organisatorische Risiko, das über das anfängliche Eindringen hinausgeht und die zwischengeschaltete Lieferkette für die Reaktion auf Vorfälle und die Verhandlung umfasst.
Verteidiger müssen sich darauf konzentrieren, die Transparenz aller an einem Ransomware-Vorfall beteiligten Parteien zu verbessern, nicht nur des Angreifers, sondern auch des Netzwerks von Einsatzkräften und Verhandlungsführern. Dazu gehören die Überprüfung der Referenzen von Verhandlungsunternehmen, die Verfolgung ihrer Aktivitäten in Echtzeit und die Aufrechterhaltung von Incident-Governance-Strukturen, die die Verhandlungs- von den Zugriffs- und Behebungsrollen trennen.
Die Anklagen des DOJ unterstreichen die Notwendigkeit einer behördlichen Kontrolle und professioneller Standards im Bereich der Ransomware-Verhandlungen. Da die Rolle der verhandelnden Vermittler immer formalisierter wird, können sich Fragen zu Lizenzierung, Aufsicht und Ethik stellen. Der Fall könnte einen Präzedenzfall dafür schaffen, wie Regierungen und Industrie den breiteren Markt für Incident-Response regulieren.
Ransomware bleibt eine große Bedrohung, aber diese Entwicklung verlagert einen Teil der Bedrohungsfläche in den Bereich der vertrauenswürdigen Dienste. Unternehmen sollten Verhandlungsdienste als Teil des Incident-Response-Ökosystems behandeln, das das gleiche Maß an Überprüfung und Sicherheit erfordert wie jeder andere Anbieter mit privilegiertem Zugriff. Andernfalls kann eine Hilfsressource zu einem Bedrohungsvektor werden.