Cybercrime und besonders Ransomware sind für Kriminelle ein lukratives Geschäftsfeld. Eines dieser besonders einträglichen Geschäfte sind die Verwaltung der Entschlüsselungscodes der verschiedenen im Umlauf befindlichen Ransomware-Schädlinge.
Die Sicherheitsforscher von Check Point stießen bei Ihren Recherchen auf eine bestimmte „IT-Beratung“, die online als „Dr. Shifro“ beworben wurde. Sie bietet nur einen einzigen Service an - die Unterstützung von Ransomware-Opfern beim Entsperren ihrer Dateien.
Dass ein IT-Berater nur einen einzigen Service anbietet, ist höchst ungewöhnlich und dadurch verdächtig. Darüber hinaus verspricht Dr. Shifro, schillernde Cyber-Zauberei zu vollbringen, um unter anderem Dateien freizuschalten, die von der Dharma-/Crisis-Ransomware (für die kein Entschlüsselungscode verfügbar ist) in Lösegeld gehalten werden. Dr. Shifro garantiert, Dateien für Ransomware freizuschalten, die keinen öffentlichen Schlüssel haben.
Nach einigen verdeckten Ermittlungen stellte sich bald heraus, dass Dr. Shifro tatsächlich Kontakt mit dem Schöpfer der Lösegeldsoftware selbst aufnahm und einen Deal mit ihnen abschloss, um die Dateien des Opfers gegen die Lösegeldzahlung (1.300 US-Dollar) freizuschalten.
Dr. Shifro würde diese Kosten dann an das Opfer weitergeben, wobei seine eigene Gebühr zusätzlich erhoben wird (weitere 1.000 US-Dollar). Durch die direkte Verbindung mit dem Bedrohungsakteur, um den Entschlüsselungscode gegen Bezahlung zu erhalten, fungiert Dr. Shifro einfach als Vermittler zwischen Opfer und Angreifer.
Es gibt zwar legitime IT-Beratungsunternehmen, die dabei helfen können, die Systeme und Dateien nach einem Ransomware-Angriff wiederherzustellen, aber sie werden in der Regel keine Versprechungen machen, die sie nicht halten können.
Tatsächlich werden sie nur so zuversichtlich sein, was sie anbieten können, wie die bereits öffentlich zugänglichen Entschlüsselungsschlüssel, die lediglich diese Entschlüsselungsdienste für diejenigen durchführen, die möglicherweise nicht in der Lage sind, dies selbst zu tun.
Ransomware ist eine so verheerende und profitable Angriffsform, dass die Sicherheitsexperten sicher sind, dass die Entwicklung sowohl der Malware selbst als auch des Ökosystems, in dem sie betrieben wird, weitergeht. Neben der in den letzten Jahren entstandenen Ransomware-as-a-Service- und Ransomware-Affiliate-Industrie scheint die Kreativität der Cyberkriminelle eindeutig noch viel Dampf zu haben.
Tatsächlich ist das von Dr. Shifro geschaffene Geschäftsmodell ein attraktives Modell, das von anderen unternehmerischen Betrugskünstlern leicht repliziert werden könnte und somit als Neuentwicklung der Ransomware-Industrie dient, vor der Einzelpersonen und Organisationen zurückhaltend sein sollten.