Von der Ransomnote bis zum Decryptor: die Verhandlung mit Lösegelderpressern

In meiner Abteilung für Digitale Forensik und Incident Response häuft sich mit der stetigen Zunahme von Ransonware-Attacken auch eine Aufgabe, die über die rein technische Betreuung eines solchen Angriffs hinaus geht: das Verhandeln und Übergeben von Lösegeld zur Entschlüsselung der verschlüsselten Daten.

Mein letzter Fall einer Ransomware-Verhandlung begann wie fast jedes Mal mit einem betroffenen Unternehmen vor einem Scherbenhaufen: Weite Teile der IT-Infrastruktur waren verschlüsselt, die Produktion stand still, die Backups waren vernichtet und unser Kunde hatte ein Erpesserschreiben mit einer Lösegeldforderung auf dem Screen. Meine erste Aufgabe in solch einer Situation ist es, für Ruhe und Besonnenheit zu sorgen. Denn bevor man überstürzt handelt, gilt es, mit einem klaren Blick die Gesamtsituation zu bewerten. Gemeinsam mit dem Kunden überlege ich:

•  Gibt es nicht doch noch eine Möglichkeit zur Wiederherstellung?
•  Können wir die Produktion manuell bedienen?
•  Können wir die verlorenen Daten reproduzieren?

Die Entscheidung, mit Erpressern überhaupt zu kommunizieren und womöglich eine Zahlung zu leisten, wird nie leichtfertig gefällt. Ich bin überzeugt: Nur wenn wirklich keine andere Wahl bleibt, sollte diese Option erwogen werden.

Haben wir uns dafür entschieden, mit den Erpressern zu kommunizieren, startet Phase 1.

Phase 1: Die Verhandlung mit den Erpressern

Sobald klar ist, dass alle Alternativen ausgeschöpft sind und das betroffene Unternehmen eine Zahlung in Betracht zieht, definiere ich gemeinsam mit dem Kunden einen festen Preisrahmen. Ich gehe niemals in eine Verhandlung, ohne ein klares Ziel vor Augen zu haben. Geht es nur um den Decryptor, mit dem die verschlüsselten Daten wiederhergestellt werden können, oder verlangt der Kunde auch eine formale Zusage zur Löschung der abgeflossenen Daten? Von Letzterem rate ich ab – für die Integrität solcher „Löschversprechen“ gibt es keine Garantie.

Danach baue ich eine Identität auf, mit der ich in die Verhandlung gehe. Ist es ein verzweifelter IT-Admin, der seine Fehler vertuschen möchte? Handelt es sich um einen Sales-Experten, der knallhart Preise verhandelt? Da es in diesem Fall nur noch um den Preis geht und die Verhandlung so schnell wie möglich abgeschlossen werden soll, trete ich als der neue Leiter der Abteilung Sales auf, der das Unternehmen zwar noch nicht gut kennt, jedoch genügend Autorität besitzt, um die finanzielle Bedeutung abzuschätzen und Preiszusagen zu machen.

Erst dann beginnt die erste Kontaktaufnahme. Im Erpresserschreiben finden sich die Kontaktdaten der Angreifer, die auch dieses Mal ins Tor-Netz zeigen. Unter der .onion-URL öffnet sich eine Website mit Chat, genau wie man es schon oft im Internet gesehen hat. Ich werde höflich begrüßt, "Hi" schreibt der Angreifer, der als Anzeigename "Support" gewählt hat. Anders als in Businessverhandlungen gibt es aber keine Floskeln und keinen Small Talk. Es geht direkt zur Sache. 

Nach etwas Hin und Her haben wir uns auf einen Preis geeinigt, der 30 % unter dem Maximum meines Kunden und bei 20 % der initial geforderten Summe liegt. Im Gegenzug erhalten wir den Decryptor. Auf andere Versprechen, etwa dass die Angreifer die Daten gegen Bezahlung nicht veröffentlichen, lassen wir uns nicht ein. Denn als Responder bin ich überzeugt, dass die Angreifer die Daten nicht löschen, sondern nur die Veröffentlichung verzögert wird. Um sicherzustellen, dass der Angreifer eingehende Zahlungen sieht und Zugriff darauf hat, überweise ich einen kleinen Betrag („Satoshi“) als Testzahlung. Damit kann ich sicherstellen, dass die Gegenseite Zugriff auf die genannte Wallet hat. Zudem sende ich dem Angreifer einige verschlüsselte Dateien, die er entschlüsselt und zurücksendet. Nur wenn dieser Proof of Concept funktioniert, kommt ein Deal in Frage.

Mit diesem Ergebnis obliegt die Entscheidung nun final unserem Kunden, ob er den Deal annehmen möchte oder eine bessere Lösung gefunden hat. Schweren Herzens (aber froh über 30 % weniger) entscheidet der Kunde, den Decryptor zu kaufen.

Wir treten ein in Phase 2.

Phase 2: Kauf und Verwaltung von Kryptowährung

Die Entscheidung und die Summe lasse ich mir von unserem Kunden explizit und schriftlich bestätigen, damit wir später dem Finanzamt klar darlegen können, dass es sich nicht um Gewinn, sondern eine treuhänderische Weitergabe handelt. Auch mein Kunde ist glücklich, denn er führt eine Überweisung an ein deutsches Konto durch und erhält einen Nachweis über die Verwendung des Geldes. Währenddessen organisiere ich den Erwerb der benötigten Kryptowährung – dieses mal wieder Bitcoin – in der ausgehandelten Höhe. Sobald das Geld via SEPA Instant Payment bei uns eingegangen ist, bin ich bereit, das Lösegeld an die Kriminellen zu übergeben.

Damit sind wir in Phase 3.

Phase 3: Übergabe des Lösegelds und Entschlüsselung der Daten

Wenn alles bereit ist, beginnt die nervenaufreibendste Stunde des gesamten Prozesses. Ich sende das Geld ab und verzeichne den Zahlungseingang auf der Bitcoin-Wallet des Angreifers. Jetzt warte ich gespannt auf die Bestätigung des Angreifers, der seinerseits darauf wartet, dass mindestens drei Blöcke nach meiner Transaktion auf die Blockchain geschrieben wurden. Nach zwei Bestätigungen erhalte ich schon ein verschlüsseltes Archiv mit dem Decryptor, etwa fünf Sekunden nach der dritten Bestätigung steht das Passwort dazu im Chat. Obwohl ich es gewöhnt sein sollte, teste ich mit zittrigen Händen den Decryptor zunächst in einer isolierten, abgesicherten Laborumgebung. Funktioniert die Entschlüsselung wie zugesagt und gibt es keine ungewünschten Nebeneffekte, übergebe ich den Decryptor an das IT-Team unseres Kunden zur Rettung des Unternehmens.  

Nun beginnt eine ganz neue Phase.

Die Wiederherstellung übernahm der Kunde selbst. Zehn Tage später telefonieren wir und er berichtet, dass sie sofort mit der Rettung der Daten begannen. Diese wurden auf neu installierte Systeme kopiert, da der Decryptor keine Bereinigung vornimmt. Am dritten Tag liefen bereits die kritischsten internen Systeme wieder und die Mitarbeitenden konnten schrittweise wieder zurück an die Arbeit. Inzwischen arbeitet wieder ein Großteil der Belegschaft, auch wenn die Auswirkungen noch an vielen Stellen zu spüren sind. Doch der Betrieb geht weiter und die größte Krise, die das Unternehmen je hatte, konnte überwunden werden.