Dieser Bericht untersucht die unausgesprochenen Verbindungen zwischen der Russischen Föderation (in Form von russischen Geheimdiensten oder dem Kreml) und Cyberkriminellen in Russland und Osteuropa. Zu den Quellen gehören die Aufgezeichnete Zukunftsplattform® sowie andere Darknet- und Open-Source-Quellen. Der Bericht wird sowohl für Bedrohungsforscher als auch für Strafverfolgungs-, Regierungs- und Verteidigungsorganisationen von Interesse sein.

Executive Summary

Die Überschneidungen zwischen Einzelpersonen aus der russischen Cyberkriminalität und Beamten der russischen Regierung – typischerweise aus den nationalen Strafverfolgungs- oder Geheimdiensten – sind zwar gut bekannt, jedoch höchst diffus. Die Beziehungen in diesem Ökosystem basieren auf ausgesprochenen und unausgesprochenen Vereinbarungen und umfassen fließende Assoziationen.

Recorded Future hat anhand historischer Aktivitäten und Verbindungen sowie jüngster Ransomware-Angriffe drei Arten von Verbindungen zwischen den russischen Geheimdiensten und der russischen kriminellen Unterwelt identifiziert: direkte Verbindungen, indirekte Zugehörigkeiten und stillschweigende Übereinkunft.

Selbst in Fällen mit erkennbaren, direkten Verbindungen zwischen cyberkriminellen Bedrohungsakteuren und dem russischen Staat deuten indirekte Verbindungen auf eine Zusammenarbeit hin, und ein Mangel an sinnvollen Strafmaßnahmen zeigt, dass diese Bemühungen entweder toleriert oder stillschweigend gebilligt werden. Bei dieser Einschätzung wird berücksichtigt, dass die russische Regierung über einen robusten Überwachungsapparat verfügt und mit cyberkriminellen Elementen interagiert. Sie hat daher Einblick in viele der von diesen Bedrohungsakteuren verwendeten Ressourcen, wenn nicht sogar die Kontrolle darüber und kann diese bei Bedarf abschalten.

Wichtige Urteile

• Aufgrund historischer Aktivitäten ist es sehr wahrscheinlich, dass zwischen den russischen Geheimdiensten und Strafverfolgungsbehörden seit Langem ein stillschweigendes Einverständnis mit kriminellen Bedrohungsakteuren besteht. In einigen Fällen ist es fast sicher, dass die Geheimdienste eine etablierte und systematische Beziehung zu kriminellen Bedrohungsakteuren unterhalten, sei es durch Verbindung oder Anwerbung.
• Präzedenzfälle lassen darauf schließen, dass derartige Aktivitäten und Verbindungen mit ziemlicher Sicherheit in absehbarer Zukunft fortbestehen werden. Allerdings werden sich diese Verbindungen wahrscheinlich so anpassen, dass sie eine bessere Möglichkeit zur Abstreitbarkeit bieten und weniger offene, direkte Verbindungen zwischen beiden Gruppen bestehen.
• Die offene Behauptung von US-Präsident Joe Biden, russische Cyberkriminelle würden durch die russische Regierung geschützt, hat den russischen Präsidenten Wladimir Putin in die Defensive gedrängt. Die russischen Strafverfolgungsbehörden sind nun gezwungen, nachzuweisen, dass sie hart gegen die Betreiber von Ransomware vorgehen.
• Nach dem Verschwinden von Ransomware-Betreibern wie REvil treten nun andere Gruppen an ihre Stelle und bekennen sich öffentlich zu einer Reform ihrer Operationen. Dazu gehört auch die Weigerung, kritische Infrastrukturziele anzugreifen. Dies kann als erstes Zeichen dafür gesehen werden, dass das Ultimatum der Biden-Regierung an Russland erfolgreich war. Doch ist es noch zu früh, um abzuschätzen, wie groß seine langfristigen Auswirkungen sein werden.
• Wenn es der Biden-Regierung gelingt, den Kreml davon zu überzeugen, dass es in seinem besten Interesse ist, die Aktivitäten der Cyberkriminalität in irgendeiner Form unter Kontrolle zu bringen – etwa durch Sanktionserleichterungen, verstärkte Zusammenarbeit oder Wirtschaftsabkommen –, könnten diese sofortigen Reformen substanziell und nachhaltig sein.

Anmerkung der Redaktion: Dieser Beitrag war ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, Klicken Sie hier um den Bericht als PDF herunterzuladen.