The Gentlemen RaaS-Gruppe nach eigenem Datenleck gestürzt – Veri Sızıntısı
Live
Suche
Unternehmen
Über uns Gründernotiz Presse & Medien Datenschutzerklärung Nutzungsbedingungen FAQ Brand Kit
Produkte
HUBOne HUBCorp Demnächst Veri Sızıntısı Android Demnächst Veri Sızıntısı iOS Demnächst Veri Sızıntısı Huawei Demnächst Breach Radar Argus Flow Argus Engine LivePlatform
Technologien
Was ist Argus AI? In HUBOne ausprobieren Was ist Argus Flow? Was ist Argus Engine?
Blog Kontakt

Ransomware-Gruppe The Gentlemen durch Datenleck gestürzt

Die Tische haben sich in der Welt der Cyberkriminalität gedreht. Die berüchtigte Ransomware-Bande 'The Gentlemen' erlitt aufgrund eines eigenen Fehlers in der operativen Sicherheit (OPSEC) ein massives Datenleck, das die Geheimnisse hinter ihrem schnellen Aufstieg aufdeckt.

Ransomware-Gruppe The Gentlemen durch Datenleck gestürzt

Zusammenfassung des Vorfalls

Die Cybersicherheitswelt erlebt einen seltenen Moment, in dem der Jäger zum Gejagten wird. 'The Gentlemen', eine bekannte Ransomware-Bande, die in letzter Zeit zahlreiche Organisationen ins Visier genommen hat, hat ihre eigenen Daten aufgrund eines kritischen Fehlers in der operativen Sicherheit (OPSEC) preisgegeben. Dieser Vorfall, der am 14. Mai 2024 ans Licht kam, hat ein beispielloses Fenster in die internen Abläufe, die Organisationsstruktur und die Taktiken der Gruppe geöffnet. Das Leck zeigt, wie verwundbar Cyberkriminelle selbst in der digitalen Welt sein können und wie schon der kleinste Fehler ein ganzes Imperium zum Einsturz bringen kann.

Der Vorfall ereignete sich, als ein von der Gruppe genutzter Command-and-Control-Server (C2) falsch konfiguriert und somit öffentlich zugänglich gemacht wurde. Diese von Sicherheitsforschern entdeckte Schwachstelle legte die gesamte interne Kommunikation, die Quellcodes, Affiliate-Informationen und Opferdaten der Gruppe offen. Die 'The Gentlemen'-Bande war besonders für ihr 'Ransomware-as-a-Service' (RaaS)-Modell bekannt. Bei diesem Modell vermietet die Kerngruppe, die die Ransomware entwickelt, diese an andere Cyberkriminelle und erhält einen Anteil an den Einnahmen aus den Angriffen. Das Leck beweist, wie profitabel und attraktiv dieses RaaS-Modell war.

Geleakte Daten und deren Umfang

Der Umfang und der Inhalt des Lecks sind eine wahre Fundgrube für Sicherheitsforscher und Strafverfolgungsbehörden. Die geleakten Daten umfassen äußerst sensible und kritische Informationen:

Wurde Ihre E-Mail geleakt? Kostenlos prüfen — Ergebnis in Sekunden.

Jetzt Prüfen →
  • Quellcodes: Die vollständigen Quellcodes für den Verschlüsseler (Encryptor) und den Entschlüsseler (Decryptor) der 'The Gentlemen'-Ransomware wurden geleakt. Dies könnte ein Hoffnungsschimmer für die früheren und aktuellen Opfer der Gruppe sein. Sicherheitsfirmen können diese Codes analysieren, um potenziell einen kostenlosen Entschlüsseler zu entwickeln, der es den Opfern ermöglicht, ihre Daten ohne Lösegeldzahlung wiederherzustellen.
  • Interne Kommunikationsprotokolle: Tausende Stunden an Chat-Protokollen zwischen den Mitgliedern der Gruppe und ihren Partnern (Affiliates) wurden aufgedeckt. Diese Aufzeichnungen offenbaren detailliert die hierarchische Struktur, die Entscheidungsprozesse, die Kriterien für die Zielauswahl und die Umsatzbeteiligungsmodelle der Gruppe.
  • Affiliate-Informationen: Eine Liste der Affiliates, die das Rückgrat des RaaS-Modells bilden, wurde geleakt, einschließlich ihrer Pseudonyme, Kryptowährungs-Wallet-Adressen und Erfolgsquoten. Dies bietet den Strafverfolgungsbehörden eine bedeutende Gelegenheit, zahlreiche Cyberkriminelle weltweit zu identifizieren und festzunehmen.
  • Opferdatenbank: Eine Liste der von der Gruppe angegriffenen Unternehmen, die geforderten Lösegeldsummen, welche davon gezahlt haben, und Details der Verhandlungsprozesse waren ebenfalls unter den geleakten Daten. Dies birgt ein ernstes Krisenpotenzial für Unternehmen, die den Angriff nicht öffentlich gemacht haben.

Die technische Dimension des Angriffs

Was diesen Vorfall so faszinierend macht, ist, dass die 'The Gentlemen'-Bande nicht Opfer einer anderen Gruppe wurde, sondern ihrer eigenen Nachlässigkeit. Operative Sicherheit (OPSEC) ist der Prozess, durch den eine Organisation oder Einzelperson Handlungen vermeidet, die sensible Informationen einem Feind oder Konkurrenten preisgeben könnten. Genau hier hat 'The Gentlemen' versagt.

Technisch gesehen war die Quelle des Lecks eine falsch konfigurierte Firewall-Regel auf einem Server, auf dem alle operativen Daten der Gruppe gespeichert waren. Dieser Fehler führte dazu, dass bestimmte Verzeichnisse und Datenbanken auf dem Server vollständig im Internet exponiert waren. Ein solcher Fehler ist oft das Ergebnis von Eile, Unerfahrenheit oder einfacher Fahrlässigkeit und zeigt, dass selbst die anspruchsvollsten Cyberkriminalitätsgruppen grundlegende Sicherheitsprinzipien übersehen können.

Das technische Modell hinter dem Erfolg der Gruppe war RaaS. Ransomware-as-a-Service (RaaS) kann als das 'Franchise'-Modell der Cyberkriminalität betrachtet werden. Kernentwickler wie 'The Gentlemen' erstellen die komplexe Ransomware, verwalten die Infrastruktur und bieten technischen Support. Affiliates wiederum nutzen diesen 'Service', um Ziele zu infiltrieren, die Ransomware zu verbreiten und Verhandlungen zu führen. Die Einnahmen werden in der Regel zwischen der Kerngruppe und dem Affiliate in Verhältnissen wie 80/20 oder 70/30 aufgeteilt. Die geleakten Daten zeigen, dass 'The Gentlemen' ein sehr großzügiges Beteiligungsmodell mit Anteilen von bis zu 85 % anboten, was es ihnen ermöglichte, in kurzer Zeit eine große Anzahl talentierter Cyberkrimineller anzuziehen.

Wer sind die Betroffenen

Dieses Leck betrifft, anders als üblich, nicht direkt Endnutzer oder ein einzelnes Unternehmen, sondern das Ökosystem der Cyberkriminalität selbst. Die betroffenen Parteien lassen sich wie folgt auflisten:

  • Die 'The Gentlemen'-Bande und ihre Affiliates: Sie sind die Hauptopfer des Lecks. Ihre Identitäten, Methoden und Finanzinformationen sind nun offengelegt. Dies erhöht nicht nur das Risiko, von den Strafverfolgungsbehörden gefasst zu werden, sondern macht sie auch zu Zielen für konkurrierende Cyberkriminalitätsgruppen.
  • Frühere Opfer: Für Unternehmen, die ein Lösegeld gezahlt oder deren Daten verschlüsselt wurden, könnte dieses Leck eine gute Nachricht sein. Ein aus den geleakten Quellcodes entwickelter Entschlüsseler könnte es ihnen ermöglichen, ihre Daten wiederzuerlangen.
  • Potenzielle Opfer: Mit dem Zusammenbruch der Gruppe ist die Bedrohung durch diese spezielle Bande zumindest für eine Weile neutralisiert. Es ist jedoch wahrscheinlich, dass die Affiliates der Gruppe zu anderen RaaS-Plattformen wechseln werden.
  • Die Cybersicherheits-Community: Für Forscher ist dieses Leck eine unschätzbare Gelegenheit, die Anatomie einer modernen RaaS-Operation zu studieren. Durch die Analyse der Taktiken, Techniken und Prozeduren (TTPs) der Gruppe können effektivere Abwehrmechanismen gegen ähnliche Angriffe in der Zukunft entwickelt werden.

Was Sie tun sollten

Dieser Vorfall erinnert uns erneut daran, wie kritisch Cybersicherheit für beide Seiten ist. Hier sind die Lehren, die zu ziehen sind, und die Schritte, die von Organisationen und Einzelpersonen unternommen werden sollten:

Für Organisationen:

  • Grundlegende Sicherheitshygiene pflegen: Selbst die komplexesten Angriffe nutzen oft eine grundlegende Sicherheitsschwäche aus. Starke Passwortrichtlinien, Multi-Faktor-Authentifizierung (MFA) und regelmäßige Systemupdates sind von entscheidender Bedeutung.
  • Asset-Management und Konfigurationskontrolle: Seien Sie sich all Ihrer internetexponierten Assets bewusst und überprüfen Sie regelmäßig deren Sicherheitskonfigurationen. Der Fehler der 'The Gentlemen'-Bande könnte jedem Unternehmen passieren.
  • Angriffsfläche reduzieren: Machen Sie es potenziellen Angreifern schwerer, indem Sie unnötige Ports und Dienste schließen.
  • Backup- und Wiederherstellungsplan: Implementieren Sie die 3-2-1-Backup-Regel (3 Kopien Ihrer Daten, auf 2 verschiedenen Medien, mit 1 Kopie außer Haus). Dies ist der einzige Weg, um Ihre Daten bei einem Ransomware-Angriff wiederherzustellen, ohne das Lösegeld zu zahlen.

Für frühere Opfer:

Wenn Sie von 'The Gentlemen' angegriffen wurden, behalten Sie die Cybersicherheits-Nachrichten und die Blogs seriöser Sicherheitsfirmen im Auge. Es besteht eine hohe Wahrscheinlichkeit, dass in den kommenden Tagen oder Wochen ein kostenloser Entschlüsseler veröffentlicht wird.

Die Reaktion der Cybersicherheitswelt

Wie erwartet gab es keine offizielle Erklärung von der 'The Gentlemen'-Bande. Cyberkriminelle Gruppen tauchen in solchen Situationen normalerweise unter, schalten ihre Infrastruktur ab und versuchen, ihre Spuren zu verwischen. Diskussionen in Dark-Web-Foren deuten jedoch auf weit verbreitete Panik und gegenseitige Schuldzuweisungen innerhalb der Gruppe hin. Affiliates werfen den Kernentwicklern Inkompetenz vor, und der Ruf und die Glaubwürdigkeit der Gruppe sind vollständig zerstört. Dieses Ereignis hat auch die Vertrauensdynamik innerhalb des RaaS-Ökosystems tief erschüttert.

Zusammenfassend lässt sich sagen, dass das 'The Gentlemen'-Leck als warnendes Beispiel in die Geschichte eingehen wird, das zeigt, dass die Welt der Cyberkriminalität nicht unantastbar ist und dass selbst die scheinbar mächtigsten Akteure durch einen einfachen Fehler zu Fall gebracht werden können.

Kaynak

https://www.darkreading.com/threat-intelligence/gentlemen-raas-gang-data-leak

Artikel teilen
X LinkedIn WhatsApp
← Vorheriger Beitrag Datenleck bei OpenLoop Health betrifft 716.000 Personen Nächster Beitrag → Canvas-Eigentümer Instructure einigt sich nach Ransomware-Angriff

Wöchentlicher Newsletter

Kuratierte Datenpannennews jede Woche in Ihrem Posteingang.