Deutschland de-anonymisiert 'UNKN': Die Entlarvung des mutmaßlichen Kopfes hinter REvil & GandCrab Ransomware

Deutschland de-anonymisiert 'UNKN': Die Entlarvung des mutmaßlichen Kopfes hinter REvil & GandCrab Ransomware

In einem bedeutenden Durchbruch für die internationale Cybersicherheits-Strafverfolgung haben die deutschen Behörden die Person, die zuvor nur unter dem schwer fassbaren Pseudonym „UNKN“ bekannt war, offiziell de-anonymisiert. Diese Person, nun als der 31-jährige russische Staatsbürger Daniil Maksimovich Shchukin identifiziert, soll der Drahtzieher hinter zwei der produktivsten und finanziell verheerendsten Ransomware-as-a-Service (RaaS)-Operationen gewesen sein: GandCrab und deren Nachfolger REvil (auch bekannt als Sodinokibi). Diese Entlarvung markiert einen entscheidenden Schritt bei der Zuweisung der Verantwortung für schätzungsweise 130 Fälle von Computersabotage und Erpressung allein in Deutschland zwischen 2019 und 2021, sowie unzählige weitere weltweit.

Aufstieg und Fall von Ransomware-Imperien: GandCrab und REvil

Die operativen Methoden sowohl von GandCrab als auch von REvil zeigten ein hochentwickeltes Verständnis der Cyberkriminalitätsökonomie und der technischen Ausführung. GandCrab tauchte 2018 auf und erlangte schnell Bekanntheit durch aggressives Marketing in Untergrundforen und sein lukratives Affiliate-Programm. Es war Pionier vieler RaaS-Elemente, indem es Ransomware-Binärdateien, Zahlungsinfrastruktur und Verhandlungsportale für Affiliates im Austausch für einen Prozentsatz des Lösegeldes bereitstellte. Seine allgegenwärtigen Verschlüsselungstechniken und die relativ einfache Bereitstellung machten es zu einem Favoriten unter technisch weniger versierten Cyberkriminellen, was zu weitreichenden Kompromittierungen in verschiedenen Sektoren führte.

Nach GandCrabs angeblichem „Ruhestand“ im Jahr 2019 stieg REvil schnell auf, übernahm und verfeinerte viele Taktiken seines Vorgängers und führte gleichzeitig neue Ebenen der Raffinesse ein. REvil wurde berüchtigt für sein Double-Extortion-Schema, bei dem nicht nur die Daten der Opfer verschlüsselt, sondern auch sensible Informationen exfiltriert und mit deren öffentlicher Veröffentlichung gedroht wurde, falls das Lösegeld nicht gezahlt würde. Diese Taktik erhöhte den Druck auf die Opfer erheblich und zwang sie oft zur Einhaltung, um Reputationsschäden und regulatorische Strafen zu vermeiden. Bemerkenswerte REvil-Angriffe umfassten jene gegen JBS Foods, Kaseya und Acer, was seine globale Reichweite und Auswirkungen auf kritische Infrastrukturen und Lieferketten demonstrierte.

Die technischen Grundlagen der Ermittlungen

Die erfolgreiche Zuordnung von „UNKN“ zu Daniil Maksimovich Shchukin ist ein Beweis für jahrelange akribische digitale Forensik, den Austausch von Informationen und internationale Zusammenarbeit. Strafverfolgungsbehörden nutzten eine Vielzahl von Ermittlungstechniken, um die Anonymität des RaaS-Betreibers Schicht für Schicht aufzudecken. Diese Bemühungen umfassen typischerweise:

• Kryptowährungsverfolgung: Verfolgung des Flusses erpresster Gelder mittels verschiedener Blockchain-Analyse-Tools, Identifizierung von Mustern und potenzieller Verknüpfung von Wallets mit realen Identitäten oder Diensten.
• Metadatenextraktion und -analyse: Untersuchung von geleakten Ransomware-Proben, Verhandlungschats und Forenbeiträgen auf eingebettete Metadaten, Sprachmuster oder Fehler in der operativen Sicherheit (OpSec), die die Identität des Akteurs verraten könnten.
• Netzwerkaufklärung: Kartierung der Command-and-Control (C2)-Infrastruktur, die von den Ransomware-Gruppen verwendet wird, Identifizierung von Hosting-Anbietern, Anomalien bei der Domainregistrierung und potenziellen Verbindungen zu anderen Cyberkriminalitätsaktivitäten.
• Social Engineering und verdeckte Operationen: Infiltration von Cyberkriminalitätsforen und Kommunikationskanälen, um Informationen über wichtige Akteure und deren Interaktionen zu sammeln.
• Analyse der Schwachstellen-Ausnutzung: Verständnis, welche spezifischen Schwachstellen für den initialen Zugriff genutzt wurden und wie diese Exploits erworben oder entwickelt wurden.

In der komplexen Landschaft der Cyberkriminalitätsermittlungen sind Tools, die bei der Erfassung erweiterter Telemetriedaten helfen, von unschätzbarem Wert. Zum Beispiel können Plattformen, die detaillierte Verbindungsdaten – wie IP-Adressen, User-Agent-Strings, ISP-Informationen und eindeutige Geräte-Fingerprints – von verdächtigen Links oder Interaktionen sammeln können, kritische Einblicke liefern. Ein Beispiel für ein solches Tool ist iplogger.org, das Forschern ermöglicht, Tracking-Pixel oder Links einzubetten, um erweiterte Telemetriedaten wie IP, User-Agent, ISP und Geräte-Fingerprints zu sammeln. Diese Art von Daten kann entscheidend sein, um Bedrohungsakteure zu profilieren, deren operatives Umfeld zu verstehen und letztendlich die De-Anonymisierungsbemühungen zu unterstützen, indem digitale Fußabdrücke mit realen Personen oder Standorten verknüpft werden.

Implikationen für globale Cybersicherheit und Bedrohungsakteurs-Attribution

Der Erfolg der deutschen Behörden bei der Identifizierung von Shchukin sendet eine starke Botschaft an Cyberkriminelle, die unter dem Schleier der Anonymität operieren. Er unterstreicht die zunehmende Fähigkeit der Strafverfolgungsbehörden, in hochentwickelte Cyberkriminalitätsnetzwerke einzudringen und Handlungen Einzelpersonen zuzuordnen. Diese Entwicklung wird voraussichtlich mehrere wichtige Auswirkungen haben:

• Erhöhte OpSec für Bedrohungsakteure: Cyberkriminelle könnten versuchen, ihre operative Sicherheit zu verbessern, was zukünftige Ermittlungen noch schwieriger machen würde.
• Abschreckung: Die öffentliche Entlarvung und mögliche Strafverfolgung hochkarätiger Bedrohungsakteure kann als Abschreckung dienen, insbesondere für diejenigen, die eine Beteiligung an RaaS-Operationen in Betracht ziehen.
• Verbesserte internationale Zusammenarbeit: Dieser Fall unterstreicht die Effektivität kollaborativer Bemühungen zwischen nationalen Strafverfolgungsbehörden, Geheimdiensten und privaten Cybersicherheitsunternehmen.
• Druck auf staatliche Sponsoren: Obwohl nicht explizit erwähnt, setzt die Identifizierung russischer Staatsbürger in großen Cyberkriminalitätsoperationen weiterhin Regierungen unter Druck, Cyberkriminalität, die von ihren Territorien ausgeht, zu bekämpfen.

Die Entlarvung von „UNKN“ stellt einen entscheidenden Moment im anhaltenden Kampf gegen Ransomware dar. Sie zeigt, dass selbst die schwer fassbarsten Cyberkriminellen der Gerechtigkeit nicht entgehen können, wenn engagierte internationale Anstrengungen unternommen werden. Dies wird zweifellos zur Entwicklung von Strategien in der Bedrohungsintelligenz, der Reaktion auf Vorfälle und der proaktiven Verteidigung gegen die allgegenwärtige Ransomware-Bedrohung beitragen.