Das Erziehungsdepartement Basel-Stadt sah sich mit einer Kompromittierung durch die Ransomware-Gang BianLian konfrontiert. Die Hintergründe und das Vorgehen der Angreifer sind in vielerlei Hinsicht unüblich. In einem umfangreichen Interview bespricht Marc Ruef die Facetten mit dem Journalisten Daniel Schurter für Watson.

Was wissen wir über die technischen Fähigkeiten der BianLian-Hacker, bzw. wie schätzt du die Gruppe und ihr Gefahrenpotenzial ein?

BianLian hat früher ein klassisches Ransomware-Modell umgesetzt, bei dem Daten verschlüssel und so Geld erpresst wurde. Jüngst wurde bekannt, dass man sich nur noch auf die Exfiltration, also den Datendiebstahl, konzentrieren möchte.

Dadurch hat die Gruppierung die Komplexität ihrer Angriffe verringert. Aber auch den eigenen Hebel im Erpressungs-Ansatz verringert. Sie spekulieren darauf, dass eine Veröffentlichung der Daten schmerzhaft genug sein wird, um eine Zahlung durch die Opfer zu erzwingen.

Das Vorgehen von BianLian ist in seinen Grundzügen sehr professionell und effizient. Die erbeuteten Daten umfassen oft mehrere Terabyte und kommen einer vollumfänglichen Kompromittierung gleich.

Die BianLian-Ransomware soll ja in Go programmiert sein. Ist das sehr ungewöhnlich und was bringt das den Kriminellen?

Go ist eine Programmiersprache die sich zunehmender Beliebtheit erfreut. Sie ist relativ einfach zu erlernen, klar strukturiert und bietet eine Vielzahl vorgefertigter Module (z.B. Verschlüsselung).

Der langfristige Vorteil von Go ist, dass sich Programme einfach auf verschiedene Betriebssysteme kompilieren lassen. Es würde also nicht erstaunen, wenn die Gruppierung auch andere Plattformen wie Linux und macOS ins Visier nehmen werden. Momentan scheint man sich aber, wie die meisten anderen Ransomware-Gangs auch, auf Windows zu fokussieren.

Wenn ich das richtig verstehe, ist BianLian keine grosse RaaS-Gruppe wie etwa Lockbit, oder doch?

Nein, BianLian scheint seinen Code und seine Dienste nicht anderen Gruppierungen zur Verfügung zu stellen.

Weiss man etwas über die Herkunft der Kriminellen?

BianLian gilt als relativ junge Gruppierung, die Ende 2022 das erste Mal von sich reden machte. Im Gegensatz zu vielen anderen Ransomware-Gangs scheint es sich nicht um eine Neuformierung durch Mitglieder anderer Gangs zu handeln. Ihr Verhalten zu Anfangszeiten war relativ ungestüm und durch “Anfängerfehler” begleitet: Fehlerhafte Netzwerkzugriffe, träge Verhandlungen mit Opfern und eine schlechte Erreichbarkeit ihrer Tor-Seite.

Über die Herkunft wird noch immer gerätselt. Gewisse Sicherheitsfirmen meinen Verbindungen zu Nordkorea identifiziert zu haben. Unsere eigenen Abklärungen zeigen Überlappungen mit Akteuren aus Russland, China, Deutschland und Spanien. Gefestigte Attributionen sind momentan noch nicht möglich.

Du schreibst: «858 ZIP-Dateien werden bereitgestellt, wobei pro Datei ein kompromittiertes Windows-System gegeben ist». Könntest du das noch etwas ausführen?

Die Angreifer haben jeweils einen Datensatz eines Windows-Systems heruntergeladen. Diesen haben sie dann in eine ZIP-Datei gepackt, wodurch die Daten einzelner Systeme unkompliziert und effizient ausgetauscht werden können. Dieses Vorgehen ist nicht üblich, da die Leaks traditionell als ein grosses Archiv angeboten werden.

Die auf der Leak-Site veröffentlichten Links funktionieren, die Test-Downloads werden aber alle unterbrochen. Wieso?

BianLian ist seit jeher für eine schlechte Infrastruktur bekannt. Das Herunterladen ist langwierig und nervenaufreibend. Es braucht verschiedene Anläufe.

Was kannst du sonst noch zu den geleakten Daten sagen?

BianLian behauptet, dass HR-, Finanz-, Buchhaltungs-, Studenten- und Mitarbeiterdaten enthalten sind. Die Pfadstrukturen deuten auf Mitarbeiter, Lehrer und Schüler hin. Es finden sich ebenso gewisse Vertragsinformationen und NDAs mit externen Partnern.

Stichproben zeigen, dass hier die Desktop- und Datei-Ordner von einzelnen Personen erbeutet wurden. Es scheinen also Arbeitsplatzrechner kompromittiert worden zu sein oder die Netzwerkfreigaben, auf denen die Benutzerdatenaten abgelegt sind (ist auf den ersten Blick nicht ganz klar).

Dort finden sich dann die lokal abgelegten Dokumente. Die Datenmenge ist stark davon abhängig, welcher Benutzer wie viele Dokumente, Bilder, OneNote-Notizen, etc. gespeichert hat. Inhalte des Windows-Papierkorbs sind ebenfalls vorhanden. Ebenfalls finden sich im Browser gespeicherte Passwörter und Formulardaten. Wir haben nur die Pfadstrukturen analysiert und vereinzelte Plausibilisierungen vorgenommen. Wegen unseren ethischen Grundsätzen sowie aus Datenschutzgründen schauen wir keine persönlichen Daten an.

Die Attacke auf das Basler Erziehungsdepartement fand Ende Januar statt, seit Mitte Januar gab es einen Decryptor (von Avast) und die Gruppe soll sich seither auf Extortion konzentrieren. Wie beurteilst du dieses Vorgehen? Und ist das sehr speziell?

Komplexität ist immer der Feind der IT. Durch das Vereinfachen ihres Geschäftsmodells kann ihre Ransomware simpler strukturiert werden und ist dadurch weniger fehleranfällig. Dass eine Gruppierung das Prinzip der Double-Extortion aufgibt, ist sehr ungewöhnlich. Aber falls der Erfolg ihnen Recht gibt, könnten andere Ransomware-Gangs diesem Beispiel folgen.

Die Gruppe hat seit gestern zahlreiche neue Opfer angekündigt. Weiss man schon etwas zur Angriffsmethode/ausgenutzten Schwachstellen?

Die Opfer finden sich hauptsächlich in Nordamerika, Westeuropa, Australien und Indien. Südamerika, Afrika und Euroasien stehen vorerst nicht im Fokus. Ob das an geopolitischer Ausrichtung, sprachlichen oder kulturellen Hürden liegt, kann momentan nicht gesagt werden.

Historisch gesehen nutzt die Gruppe die “Schwergewichte” publizierter Schwachstellen. Also solche, die sehr grosse, bekannte und exponierte Produkte betreffen. Das sind genau jene Schwachstellen, die in der Cybersecurity-Branche sofort zu reden geben und es manchmal selbst in die Tagespresse schaffen.

Dies zeigt sehr konkret, dass man das Thema Cybersecurity ernst nehmen und neue Schwachstellen schnellstmöglich adressieren sollte. Nur so kann das Zeitfenster für erfolgreiche Angriffe minimiert werden. Wer das nicht tut, könnte schon morgen ein lohnendes Opfer von BianLian oder einer anderen Ransomware-Gang werden.

Links

• https://vuldb.com/de/?actor.bianlian
• https://www.ed.bs.ch
• https://www.watson.ch/digital/schweiz/272397491-bianlian-das-steckt-hinter-dem-massiven-hackerangriff-auf-basel-stadt

Tags