Kurzzeitig hatten Beobachtende und (potenziell) Betroffene zuletzt aufatmen können: Ransomware-Gangs wie die berüchtigte REvil-Gruppe waren durch konzertierte Aktionen von Strafverfolgungsbehörden unter Druck geraten. In der Folge hatten die Cyberkriminellen bestimmte Aktivitäten eingestellt; die sogenannte „victim shaming“-Site von REvil, auf der die gehackten Organisationen samt einem Teil ihrer gestohlenen Daten präsentiert wurden, um den Druck zur Zahlung des Lösegelds zu erhöhen, ging offline.
Nun scheint in den letzten Wochen eine Verlagerung der Aktivitäten und Anpassung der „Geschäftsmodelle“ stattgefunden zu haben. Die Kampagne „Conti“ etwa ist laut Informationen auf ihrer eigenen Website dazu übergegangen, neben den bisherigen Standbeinen „Lösegeld für Entschlüsselung“ und „Lösegeld oder wir leaken die Daten“, zusätzlich Zugriff in die Netze der gehackten Organisationen zum Kauf anzubieten.
Noch wird spekuliert, was der wirkliche Grund für diesen „Pivot“ ist. Einerseits würde dieser Schritt FIN12 – der Gruppe hinter Conti und Ryuk – eine zusätzliche Einnahmequelle ermöglichen. Zum anderen scheint das verlässliche und systematische Leaken von Daten, ohne das die Erpressung nicht wirken kann, die Gruppen vor erhebliche Herausforderungen zu stellen – technisch sowie hinsichtlich der Strafverfolgung. Denn Tor-/Onion-Sites im „Darknet“ haben eine geringe Bandbreite, während öffentliche Downloadseiten im Internet schneller gesperrt werden können. Es bleibt also zu beobachten, in welche Richtung sich die Marktbereinigung und Reorganisation weiterentwickelt und ob die Schläge von FBI und Co. am Ende eine positive Auswirkung hatten.
https://krebsonsecurity.com/2021/10/conti-ransom-gang-starts-selling-access-to-victims/