Die Sicherheitsforscher von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ein weltweit führender Anbieter von Cybersicherheitslösungen, haben mit Dr. Shifro einen Ransomware-Entschlüsselungsservice entdeckt, der als Händler zwischen betroffenen Unternehmen und den Cyberkriminellen agiert. Cybercrime und besonders Ransomware sind für Kriminelle ein lukratives Geschäftsfeld; eines dieser besonders einträglichen Geschäfte ist die Verwaltung der Entschlüsselungscodes der verschiedenen im Umlauf befindlichen Ransomware-Schädlinge.
Die Sicherheitsforscher von Check Point stiessen bei Ihren Recherchen auf eine bestimmte „IT-Beratung“, die online als „Dr. Shifro“ beworben wurde. Sie bietet nur einen einzigen Service an – die Unterstützung von Ransomware-Opfern beim Entsperren ihrer Dateien. Dass ein IT-Berater nur einen einzigen Service anbietet, ist höchst ungewöhnlich und dadurch verdächtig. Darüber hinaus verspricht Dr. Shifro, schillernde Cyber- Zauberei zu vollbringen, um unter anderem Dateien freizuschalten, die von der Dharma-/Crisis-Ransomware (für die kein Entschlüsselungscode verfügbar ist) in Lösegeld gehalten werden. Dr. Shifro garantiert, Dateien freizuschalten, die keinen öffentlichen Schlüssel haben.
Nach einigen verdeckten Ermittlungen stellte sich bald heraus, dass Dr. Shifro tatsächlich Kontakt mit den Schöpfern der Lösegeldsoftware aufnahm und einen Deal mit ihnen abschloss, um die Dateien der Opfer gegen eine Lösegeldzahlung (1‘300 US-Dollar) freizuschalten. Dr. Shifro würde diese Kosten dann an das Opfer weitergeben, wobei seine eigene Gebühr zusätzlich erhoben wird (weitere 1‘000 US-Dollar). Durch die direkte Verbindung mit dem Bedrohungsakteur, um den Entschlüsselungscode gegen Bezahlung zu erhalten, fungiert Dr. Shifro einfach als Vermittler zwischen Opfer und Angreifer.
Es gibt zwar legitime IT-Beratungsunternehmen, die dabei helfen können, Systeme und Dateien nach einem Ransomware-Angriff wiederherzustellen. Aber diese werden in der Regel keine Versprechungen machen, die sie nicht halten können. Tatsächlich werden sie nur die bereits öffentlich zugänglichen Entschlüsselungs- codes anbieten, also lediglich Entschlüsselungsdienste für diejenigen durchführen, die möglicherweise nicht in der Lage sind, dies selbst zu tun.
Ransomware ist eine so verheerende und profitable Angriffsform, dass die Sicherheitsexperten sicher sind, dass die Entwicklung sowohl der Malware selbst als auch des Ökosystems, in dem sie betrieben wird, weitergeht. Neben der in den letzten Jahren entstandenen Ransomware-as-a-Service- und Ransomware- Affiliate-Industrie scheint die Kreativität der Cyberkriminelle eindeutig noch viel Potential zu haben. Tatsächlich ist das von Dr. Shifro geschaffene Geschäftsmodell ein attraktives, das von anderen unternehmerischen Betrugskünstlern leicht repliziert werden könnte und somit als Neuentwicklung der Ransomware-Industrie dient – Einzelpersonen wie auch Organisationen sollten hier zurückhaltend sein.