Meinung |Könnte Ransomware zu einer geopolitischen Waffe werden?Die Spieltheorie sagt ja.

0

Am Wochenende hat die Ransomware-Gang REvil die Daten von mehr als 1.000 Unternehmen bei einem beispiellosen Supply-Chain-Angriff auf das Softwareunternehmen Kaseya gesperrt und fordert 70 Millionen US-Dollar für dieVeröffentlichung der Daten.Es ist zwar unklar, welches der einzelnen Unternehmen, wenn überhaupt, der Gruppe etwas bezahlt hat, aber vor nur einem Monat zahlten JBS und Colonial Pipeline fast 11 Millionen US-Dollar bzw. 5 Millionen US-Dollar, um den Betrieb nach einem Ransomware-Angriff wieder aufzunehmen.

Die Tatsache, dass Angreifer diese Angriffe so häufig durchführen und große Geldsummen von den Opfern erpressen können, zeigt, dass Verschlüsselung eine wirklich gute Möglichkeit ist, Geiseln zu halten.Was ist, wenn ein feindlicher Staat oder eine terroristische Gruppierung das gleiche Instrument einsetzt, um mehr als Geld zu verlangen?

Heute wird Ransomware hauptsächlich als kriminelles Problem behandelt, könnte aber bald auch ein geopolitisches Problem sein.Ich wende die Spieltheorie an, um Ransomware zu studieren, und ich habe auch untersucht, wie Gegner wie Nordkorea Cyber-Tools für strategische Ziele nutzen.Meine Forschungen legen nahe, dass es nur eine Frage der Zeit ist, bis Verschlüsselung für geopolitische Vorteile verwendet wird.Die in Ransomware-Angriffe eingebauten Anreize – sowohl für den Angreifer als auch für das Opfer – werden es kleineren, ärmeren Spielern erleichtern, Zugeständnisse von mächtigeren Gegnern zu erzwingen.Aber die gute Nachricht ist, dass zwei bei diesem Spiel mitspielen können: In Zukunft könnte Verschlüsselung auch eine Möglichkeit für Länder sein, proportional auf Cyberangriffe zu reagieren, ohne einen totalen Krieg im Cyberspace auszulösen.

Im Laufe der Geschichte haben staatliche und nichtstaatliche Akteure versucht, die wertvollen Vermögenswerte eines Feindes aufs Spiel zu setzen, um politische Gewinne zu erzielen.Landinvasionen, die Hauptstädte eroberten, wurden verwendet, um Regierungen zur Kapitulation zu zwingen, Drohungen mit der Schließung kritischer Engpässe auf der See wurden als Verhandlungsmasse verwendet und Geiseln genommen, um politische oder monetäre Zugeständnisse auszuhandeln.In anderen Fällen haben Gegner die Fürsten des anderen entführt oder die Städte des anderen mit Atomwaffen bedroht, wodurch gegenseitige Geiselbeziehungen geschaffen wurden, um sicherzustellen, dass keine Seite den Status quo durcheinander bringt.

Ransomware – oder der zugrunde liegende Verschlüsselungsalgorithmus, der Daten sperrt – ist nur eine weitere Schachfigur in diesem Spiel.Aber die Spieltheorie, die Angreifer und Opfer in einen Ransomware-Angriff treibt, kann dies manchmal zu einer attraktiveren Methode machen, den Feind zu zwingen, als Bombenanschläge, Blockaden oder nukleare Bedrohungen.

Die Art der Verschlüsselung erhöht die Anreize für Angreifer zum Angriff und für Opfer zum Eingeständnis.Erstens kann der Angreifer, sobald die Daten des Opfers gesperrt sind, diese so lange beibehalten, bis seine Anforderungen erfüllt werden, ohne zusätzlichen Aufwand oder Kosten.Vergleichen Sie dies mit anderen Methoden, um feindliche Vermögenswerte zu gefährden – eine Belagerung, die Blockierung eines Hafens –, deren Wartung für den Angreifer ebenso kostspielig sein kann wie für den Verteidiger.Auch nach Beginn einer Belagerung muss sich der Angreifer glaubhaft verpflichten, lange genug Gewalt anzuwenden, um den Verteidiger zum Einverständnis zu bewegen.

Wenn die Fähigkeit, den Vermögenswert in Gefahr zu halten, dadurch begrenzt ist, wie lange eine Armee angreifen kann oder wie viel Luftmacht das Militär besitzt, ist die Drohung des Angreifers, den Vermögenswert zu verletzen, möglicherweise nicht glaubwürdig.Der Verteidiger kann sich entscheiden, einfach abzuwarten und vorherzusagen, dass der Angreifer irgendwann nachgeben wird.Aber der Angreifer hat bei der Verwendung von Verschlüsselung kein solches Glaubwürdigkeitsproblem – es kostet nichts, die „Belagerung“ so lange wie nötig am Laufen zu halten.

Zweitens ist die Verschlüsselung reversibel, was es für das Opfer attraktiver macht, zuzugeben.Wie bei der Entführung ist es die Aussicht, die Geisel zurückzubekommen – in diesem Fall die Wiederherstellung von Daten und Systemen –, die Zugeständnisse attraktiv macht.Andererseits verursacht eine Bedrohung, die darauf beruht, einen Teil des Vermögenswerts zu zerstören, versunkene Kosten.Jede hingerichtete Geisel und jedes bombardierte Gebäude kürzt das, was der Angreifer versprechen kann, wenn das Opfer nachgibt.

Drittens sind Ransomware-Angriffe einfacher durchzuführen als andere Formen geopolitischer Nötigung.Im Vergleich zu einer konventionellen Militäroperation oder einem Nuklearprogramm ist die Eintrittsbarriere sehr niedrig.Verschlüsselungsalgorithmen sind leicht verfügbar und selbst faule Angreifer können hochgradig anpassbare Ransomware-as-a-Service (RaaS)-Abonnements für nur 40 US-Dollar pro Monat erwerben.

Verschlüsselung kann auch ohne geografische Beschränkungen weltweit Vermögenswerte gefährden.Ohne sich durch die Ardennen schlagen zu müssen, Langstreckenraketen zu erwerben oder strategische Engpässe zu Land und zu Wasser zu kontrollieren, kann ein Angreifer Geiseln nehmen.Es ist eine billige und einfache Möglichkeit, mehr Verhandlungsmasse zu generieren, wenn etwas ausgetauscht werden muss, aber nicht mit roher Gewalt genommen werden kann.

Natürlich hat die Verschlüsselung Grenzen.Da Ransomware darauf beruht, den Zugriff zu verweigern, kann die Verschlüsselung keine Kosten verursachen, wenn das Opfer das Verschlüsselte nicht schätzt oder das Asset relativ einfach ersetzen kann.Ein Verteidiger, der Offline-Backups in Echtzeit übernehmen kann, hat eine alternative Möglichkeit, seine Daten nach einem Ransomware-Angriff zurückzubekommen, was die Zwangsgewalt des Angreifers verringert.Diese Möglichkeit der Datensicherung ist für den Verteidiger ein einzigartiger Vorteil, im Gegensatz zu anderen Domänen.

Allerdings korreliert die Möglichkeit der nahtlosen Sicherung nicht immer mit der Bedeutung des Unternehmens.Beispielsweise wird ein Kraftwerk, das auf einem älteren Betriebssystem läuft, wahrscheinlich Probleme mit Backups haben, da es höchstwahrscheinlich kundenspezifische Lösungen erfordert.Daher ist ein Ransomware-Angriff in erster Linie ein Auswahlproblem: Ein Angreifer muss ein Opfer identifizieren, das entweder keine guten Backups hat oder das täglich so hohe Kosten hat, dass selbst eine Unterbrechung von ein oder zwei Wochen hohe Kosten verursacht.Aus diesem Grund hat sich Ransomware von der Ausrichtung auf Einzelpersonen auf Unternehmen wie Krankenhäuser oder Versorgungsunternehmen verlagert.Jetzt werfen Angreifer ein noch größeres Netz aus und verschlüsseln mehrere Unternehmen gleichzeitig, indem sie Lieferketten ausnutzen.

Ransomware und Verschlüsselung haben zusätzliche Einschränkungen, die sie mit anderen Formen der Nötigung teilen.Jeder Versuch, feindliche Vermögenswerte zu gefährden, kann zu Vergeltungsmaßnahmen und Eskalationen führen, und die Opfer können sich aus Angst, als leichtes Ziel einen Ruf zu erwerben, widersetzen, Zugeständnisse zu machen.Diese häufigen Probleme machen es im Allgemeinen schwierig, geopolitische Gegner zu zwingen, das zu tun, was Sie wollen.Da Verschlüsselung jedoch gewisse Glaubwürdigkeitsprobleme ausräumt, wird sie wahrscheinlich im Werkzeugkasten sowohl staatlicher als auch nichtstaatlicher Akteure auftauchen, wenn sie nach neuen Wegen suchen, um Gewinne zu erzielen, ohne offen zu Vergeltungsmaßnahmen aufzufordern.

Wann könnte angesichts dieser Faktoren Ransomware für geopolitische Zwecke eingesetzt werden, anstatt einfach Geld zu erpressen?Hier sind ein paar Möglichkeiten, wie es sich entwickeln könnte – und sie sind nicht alle schlecht.

Die schlechte Nachricht ist, dass Ransomware von allen staatlichen und nichtstaatlichen Akteuren als zusätzliches Werkzeug verwendet werden könnte, die zuvor versucht haben, Zugeständnisse zu erpressen, indem sie feindliche Vermögenswerte gefährden.Der Iran hat Amerikaner als Geiseln und beschlagnahmte Schiffe in der Straße von Hormus gehalten, um Staaten zu zwingen, iranische Finanzanlagen wieder aufzutauen, was die US-Sanktionen untergräbt.Es ist denkbar, dass der Iran versuchen könnte, mithilfe von Ransomware eine ähnliche Situation zu schaffen, während er mit neuen Wegen experimentiert, Cyberoperationen durchzuführen.Der Iran hat bereits seit letztem Jahr Ransomware als Teil einer destruktiven Cyber-Kampagne gegen Israel eingesetzt, und es ist möglicherweise nur eine Frage der Zeit, bis sie eine Gegenleistung verlangen, anstatt nur Zerstörung zu verursachen.

Nichtstaatliche Akteure wie jemenitische Rebellen haben Geiseln genommen um einen Gefangenenaustausch zu verhandeln, prorussische Aufständische haben Regierungsgebäude besetzt umein Referendum über die Sezession fordern, und der ISIL beschlagnahmte die größte Ölraffinerie des Irak.Da Ransomware die Besetzungskosten für den Angreifer erheblich reduziert und keine geografischen und militärischen Vorteile erfordert, kann sie eine praktikable Alternative zur physischen Besetzung von Gebäuden oder zur tatsächlichen Geiselnahme sein.

Der geopolitische Einsatz von Ransomware ist daher eine asymmetrische Bedrohung.Ärmere, weniger vernetzte staatliche und nichtstaatliche Akteure werden in der Lage sein, durch Verschlüsselung über ihr Gewicht zu schlagen und Zugeständnisse von mächtigeren Staaten zu erzwingen.

Nichtstaatliche Akteure wie Bürgerkriegsparteien und Terrorgruppen haben noch weniger zu verlieren, vorausgesetzt, die Technologie bleibt zu geringen Kosten überall verfügbar.Während die Durchführung von Ransomware-Angriffen grundlegende Schulungen zum Cyber-Betrieb und eine Internet-Infrastruktur erfordert, ist die Barriere zum Erwerb dieser Voraussetzungen relativ gering.Wir können davon ausgehen, dass einige dieser Akteure ihr Glück versuchen werden, jetzt, da allgemein bekannt ist, dass sich Ransomware auszahlt.

Die gute Nachricht ist, dass Verschlüsselung verwendet werden kann, um auf vollendete Tatsachen im Cyberspace zu reagieren.Wenn ein Gegner etwas Wertvolles genommen hat, sei es ein Stück Territorium oder eine Kryptowährung, die von einer Börse gestohlen wurde, besteht eine Möglichkeit, darauf zu reagieren, etwas zu nehmen, das er wiederum schätzt, um eine gegenseitige Geiselbeziehung zu schaffen, und dann über die Rückgabe beider Vermögenswerte zu verhandeln.Der schnellste Weg, Nordkorea zum Beispiel dazu zu bringen, seine gestohlene Kryptowährung zurückzugeben, besteht wahrscheinlich darin, einige seiner eigenen Vermögenswerte einzufrieren, anstatt einen langen Prozess zu versuchen, zwischengeschaltete Geldwäscher zu regulieren.Solche Maßnahmen können nützlich sein, wenn sich die Vereinigten Staaten nicht auf rein defensive Maßnahmen verlassen können, um solche Zugriffe von vornherein zu verhindern, oder sich auf internationale Strafverfolgungsbemühungen zur Festnahme von Hackern verlassen können.

Die Verwendung von Verschlüsselung zum Aufbau gegenseitiger Geiselnahmen könnte eine nützliche Lösung für das Dilemma darstellen, wie auf bösartige Cyberkampagnen proportional reagiert werden kann, ohne internationale Normen zu verletzen.Cyberpraktiker und Wissenschaftler diskutieren seit langem, wie auf Cyberoperationen und andere international unrechtmäßige Handlungen zu reagieren ist, die unter die Schwelle eines Krieges fallen.Die Verschlüsselung könnte ein geeignetes Werkzeug sein, da sie proportional kalibriert werden kann, ein begrenztes Verlustpotenzial hat und bei Einhaltung des Zielzustands rückgängig gemacht werden kann.Wenn Verschlüsselung als verhältnismäßigere und temporärere Methode der Cyber-Vergeltung akzeptiert wird, könnte sie widersinnigerweise dazu beitragen, internationale „Straßenregeln“ für den Cyberspace zu erstellen – ähnlich wie „ Letters of Marque “ für Anti– Piraterie-Bemühungen in den alten Tagen.

Es kann mehrere Jahre dauern, bis wir die erste Zwangsverschlüsselung in einem geopolitischen Kontext sehen.Ransomware wurde erstmals in den 1980er Jahren eingesetzt, aber erst vor einigen Jahren wurde sie zu einer allgegenwärtigen Bedrohung, als Kriminelle im Laufe der Zeit erfuhren und ihre Operationen verfeinerten.Die explodierenden Lösegeldforderungen und das Aufkommen neuer Taktiken wie das Verschlüsseln von Backups und das Ausnutzen von Lieferketten zeigen, dass dieses Lernen in vielerlei Hinsicht noch im Gange ist.Ebenso war der erste dokumentierte Fall von Cyberspionage 1986 , aber es dauerte Jahre, bis die Staaten dieses neue Mittel zur Durchführung von Spionage ernsthaft annahmen.

Angesichts dieser langen Zeitpläne ist die Vorstellung, dass Verschlüsselung eine weitere Schachfigur im größeren geopolitischen Spiel sein könnte, für Fachleute der nationalen Sicherheit, die eher an traditionelle Formen der Kriegsführung gewöhnt sind, wahrscheinlich noch relativ unklar.Immer mehr aufsehenerregende Ransomware-Vorfälle wie Kaseya und Colonial werden jedoch sowohl politische Entscheidungsträger als auch Gegner dazu bringen, immer mehr in diese Richtung zu denken.

Wenn sich die Quelle des Reichtums an einen anderen Ort verlagert – das heißt, wenn die wertvollsten Vermögenswerte der Länder vom physischen in den virtuellen Bereich verlagert werden – werden sich auch die Waffen entsprechend anpassen.Verschlüsselung ist ein hervorragendes Werkzeug, um solche verbundenen Vermögenswerte zu gefährden, und bald werden Akteure lernen, dieses Werkzeug zu verwenden, um mehr als nur Geld zu gewinnen.

.

Share.

Leave A Reply