In Russland ansässige Ransomware-Banden gehören zu den produktivsten und aggressivsten, teilweise dank eines scheinbar sicheren Hafens, den die russische Regierung ihnen anbietet. Der Kreml kooperiert nicht mit internationalen Ransomware-Ermittlungen und lehnt es in der Regel ab, im Land tätige Cyberkriminelle strafrechtlich zu verfolgen, solange sie keine inländischen Ziele angreifen. Eine lange offene Frage ist jedoch, ob diese finanziell motivierten Hacker jemals Anweisungen von der russischen Regierung erhalten und inwieweit die Banden mit den offensiven Hacking-Aktionen des Kreml in Verbindung stehen. Die Antwort wird allmählich klarer.
Neue Forschungsergebnisse, die heute auf der Cyberwarcon-Sicherheitskonferenz in Arlington, Virginia, vorgestellt wurden, untersuchen die Häufigkeit und Ausrichtung von Ransomware-Angriffen auf Organisationen mit Sitz in den Vereinigten Staaten, Kanada, dem Vereinigten Königreich, Deutschland, Italien und Frankreich im Vorfeld dieser Angriffe nationalen Wahlen der Länder. Die Ergebnisse deuten auf eine lockere, aber sichtbare Übereinstimmung zwischen den Prioritäten und Aktivitäten der russischen Regierung und Ransomware-Angriffen hin, die zu den Wahlen in den sechs Ländern führten.
Das Projekt analysierte einen Datensatz von über 4.000 Ransomware-Angriffen, die zwischen Mai 2019 und Mai 2022 gegen Opfer in 102 Ländern verübt wurden. Unter der Leitung von Karen Nershi, einer Forscherin am Stanford Internet Observatory und dem Center for International Security and Cooperation, zeigte die Analyse eine statistische deutliche Zunahme von Ransomware-Angriffen von in Russland ansässigen Banden gegen Organisationen in den sechs Opferländern vor ihren nationalen Wahlen. Diese Nationen erlitten die meisten Ransomware-Angriffe pro Jahr im Datensatz, etwa drei Viertel aller Angriffe.
„Wir haben die Daten verwendet, um den Zeitpunkt der Angriffe auf Gruppen zu vergleichen, von denen wir glauben, dass sie ihren Sitz in Russland haben, und Gruppen, die anderswo ansässig sind“, sagte Nershi WIRED vor ihrem Vortrag. „Unser Modell hat sich die Anzahl der Angriffe an einem bestimmten Tag angesehen, und was wir finden, ist diese interessante Beziehung, bei der wir für diese in Russland ansässigen Gruppen eine Zunahme der Anzahl der Angriffe sehen, die vier Monate vor einer Wahl beginnt und sich um drei, zwei bewegt , einen Monat später, bis zum Ereignis.“
Der Datensatz stammt von den Dark-Webseiten, die von Ransomware-Banden unterhalten werden, um Opfer zu benennen und zu beschämen und sie zur Zahlung zu zwingen. Nershi und sein Kollege Shelby Grossman, ein Wissenschaftler am Stanford Internet Observatory, konzentrierten sich auf beliebte sogenannte „doppelte Erpressungs“-Angriffe, bei denen Hacker in ein Zielnetzwerk einbrechen und Daten exfiltrieren, bevor sie Ransomware einschleusen, um Systeme zu verschlüsseln. Dann verlangen die Angreifer ein Lösegeld nicht nur für den Entschlüsselungsschlüssel, sondern auch, um die gestohlenen Daten geheim zu halten, anstatt sie zu verkaufen. Die Forscher haben möglicherweise nicht Daten von jedem einzelnen Doppelerpresser dort draußen erfasst, und Angreifer posten möglicherweise nicht über alle ihre Ziele, aber Nershi sagt, dass die Datenerfassung gründlich war und dass die Gruppen normalerweise ein Interesse daran haben, ihre Angriffe zu veröffentlichen.
Die Ergebnisse zeigten im Großen und Ganzen, dass nicht-russische Ransomware-Banden im Vorfeld der Wahlen keinen statistisch signifikanten Anstieg der Angriffe verzeichneten. Während beispielsweise zwei Monate vor einer nationalen Wahl die Forscher feststellten, dass Organisationen in den sechs Ländern mit den meisten Opfern an einem bestimmten Tag eine um 41 Prozent höhere Wahrscheinlichkeit hatten, einen Ransomware-Angriff von einer in Russland ansässigen Bande zu erleiden, verglichen mit dem Ausgangswert .