Kardiologe soll nebenberuflich Ransomware entwickelt haben
Ein Kardiologe aus Venezuela soll hinter der berüchtigten Ransomware Thanos stecken. Der Arzt habe Unternehmen nicht selbst angegriffen, sondern ein Cybercrime-Ökosystem aufgebaut. Die nötigen Programmierkenntnisse habe er im Selbststudium gelernt.
Die USA haben einen 55-jährigen Kardiologen in Venezuela angeklagt: Er soll der Entwickler hinter den Erpresserprogrammen Thanos und Jigsaw sein, wie das Justizministerium der Vereinigten Staaten von Amerika mitteilt. Wenn er nicht gerade Patienten behandelte, soll der Multitasking-Arzt Ransomware entwickelt, und von einem globalen Cybercrime-Ökosytem profitiert haben.
Als Ransomware bezeichnet man ein Schadprogramm, das nach der Infektion eines Rechners die Dateien darauf verschlüsselt. Das Opfer erhält anschliessend einen Erpresserbrief, in dem ein Lösegeld gefordert wird. Zahlt das Opfer, erhält es den Code, mit dem sich die Dateien wieder entschlüsseln lassen. Eine Lösegeldzahlung ist allerdings keine Garantie, dass man seine Daten wieder zurückkriegt, wie Sie hier lesen.
Fiese Software mit extra fiesen Features
Jigsaw war die erste Ransomware des Entwicklers. Das Schadprogramm hatte einen eingebauten "Doomsday"-Zähler. Dieser zählte, wie oft ein Opfer versuchte, die Ransomware zu tilgen. Geschah dies zu oft, war dies ein Anzeichen, dass das Opfer kein Lösegeld zahlen wird und folglich löschte die Malware alle Daten auf dem infizierten Laufwerk.
Thanos kam Ende 2019 auf den Markt. Der Name ist eine Anspielung auf den Bösewicht aus den Superheldenfilmen von Marvel, der für die Auslöschung der Hälfte allen Lebens im Universum verantwortlich war.
Das gleichnamige Schadprogramm ist nicht ganz so zerstörerisch, aber trotzdem reichlich schädlich. Thanos kann Daten stehlen, Testumgebungen - wie sie von Sicherheitsforschern genutzt werden - erkennen und sich selbst zerstören. Bei jedem Neustart eines infizierten Geräts löschte die Ransomware 1000 Dateien als Strafe.
Cyber-Erpressung ausgelagert
Seine Schadprogramme erhielten jeweils gute Bewertungen. Denn statt selbst Unternehmen zu hacken und erpressen, habe der Kardiologe diese Arbeit ausgelagert. So konnten Cyberkriminelle etwa eine Lizenz erwerben. 500 US-Dollar für eine Standard-Lizenz, 800 für eine Lizenz mit allen Optionen.
Alternativ konnten die Cyberkriminellen auch einem Partnerprogramm beitreten: Die Hacker erhielten direkten Zugriff auf die Ransomware und beteiligten dafür den Arzt an den Erlösen aus dem Erpressungsgeschäft. Gemäss einem Forumsbeitrag habe der Arzt bis zu 20 Partner zugleich gehabt - manchmal aber auch nur 5.
Die Ransomware Thanos ermöglichte es Partnern, ihre eigene Ransomware zu entwickeln. Diese konnten die Cyberkriminellen selbst verwenden oder weiter vermieten. Streng genommen also Ransomware-as-a-Service-as-a-Service.
Support und Cybercrime-Schulungen
Seine Programmierleistungen ergänzte der französisch-venezolanische Doppelbürger mit einem umfassenden Support: Gemäss der Anklageschrift schulte der Arzt Cyberkriminelle darin, wie man Opfer erpresst. Dabei gab er auch für Cyberkriminelle praktische Tipps: So solle man etwa ein Firmennetzwerk gar nicht verschlüsseln, wenn man ein Backup im System entdeckt. In solchen Fällen sollen man lediglich Daten stehlen und die Opfer damit erpressen, schreibt der Ransomware-Entwickler in einem Forum. Verschlüsselt man jedoch ein Netzwerk ohne Backups, würden die Firmen fast immer zahlen.
Die Angaben zu dem Vorgehen und dem Partnerprogramm erhielt die Justizbehörde unter anderem von einem Spitzel. Dieser habe Mitte 2020 versucht, dem Partnerprogramm beizutreten - ohne Erfolg. Der Informant kam aber ins Gespräch mit dem Ransomware-Entwickler. Dieser nutzte in den vergangenen Jahren verschiedene Decknamen: "Aesculapius", der griechische Gott der Heilkunst, oder "Nosophoros", was laut Mitteilung "krankheitstragend" bedeutet.
Ende 2021 lies er die antike griechische Welt hinter sich: Er wechselte seinen Namen zu "Nebuchadnezzar" - einer der letzten Könige Babylons. Den Namenswechsel begründete er damit, dass er "die operative Sicherheit wahren" musste, denn Malware-Analysten seien ihm auf den Fersen gewesen.
Hinweise von Verwandten
Anfang Mai 2022 interviewten die Strafverfolgungsbehörden eine in Florida lebende und mit dem Arzt verwandte Person - auf freiwilliger Basis. Ein Paypal-Konto dieser Person fand Verwendung bei den cyberkriminellen Aktivitäten, die nun dem Arzt vorgeworfen werden. Gemäss diesem Verwandten hatte sich der Beschuldigte das Programmieren selbst beigebracht.
Sollte der Kardiologe verurteilt werden, droht ihm eine Freiheitsstrafe von bis zu fünf Jahren. "Der Kampf gegen Ransomware ist eine der obersten Prioritäten des Justizministeriums und dieses Amtes" lässt sich Breon Peace, Staatsanwalt der Vereinigten Staaten für den östlichen Bezirk von New York, in der Mitteilung zitieren. "Wenn Sie von Ransomware profitieren, werden wir Sie finden und Ihre bösartigen Operationen zerschlagen."
In der Schweiz ist Ransomware auf dem Formarsch. Diesen Trend beobachtete das Nationale Zentrum für Cybersicherheit (NCSC) im zweiten Halbjahr 2021. Welche weiteren Cyberbedrohungen die Schweiz heimsuchten, können Sie hier nachlesen.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Gil Shwed über Rücktritt, Cybercrime und KI
Bitdefender startet Förderprogramm für Start-ups
Protonmail lanciert Dark Web Monitoring
Schweizer Strafverfolger überwachen etwas weniger, holen aber mehr Auskünfte ein
Update: Fast 34 Millionen Roblox-Zugangsdaten landen im Darknet
Update: Cloud-Anbieter nach Ransomware-Angriff Konkurs
Scammer kommen via Phishing-Mail an Facebook-Bezahldaten
Hamster entrinnt dem Regenbogen-Labyrinth
Wieso man nicht ziellos herumirren sollte beim Telefonieren
