[Webinar] Wie Cyber-Angriffsgruppen ein größeres Ransomware-Netz spinnen

  • Unternehmen haben heute bereits eine überwältigende Anzahl von Gefahren und Bedrohungen, auf die sie achten müssen – von Spam über Phishing-Versuche bis hin zu neuen Infiltrations- und Ransomware-Taktiken. Es gibt keine Chance, sich auszuruhen, da Angriffsgruppen ständig nach effektiveren Mitteln zum Infiltrieren und Infizieren von Systemen suchen.

    Heute gibt es Hunderte von Gruppen, die sich der Infiltration fast aller Branchen widmen und ständig ausgefeiltere Methoden entwickeln, um Unternehmen anzugreifen.

    Noch beunruhigender ist die Tatsache, dass einige Gruppen begonnen haben, zusammenzuarbeiten und komplexe und heimliche Taktiken zu entwickeln, die selbst die besten Sicherheitsteams vor Probleme stellen. Dies ist der Fall, den der XDR-Anbieter Cynet beobachtet hat, wie das Unternehmen in seinem neuesten Forschungs-Webinar feststellt (hier registrieren).

    Das Forschungsteam von Cynet hat festgestellt, dass zwei der berüchtigtsten Angriffsgruppen – Lunar Spider und Wizard Spider – begonnen haben, zusammenzuarbeiten, um Unternehmen mit Ransomware zu infizieren.

    Die Entwicklung ist sicherlich beunruhigend, und der Bericht zeigt, warum Sicherheitsteams und -experten stets das Gesamtbild im Blick haben müssen, nicht nur das Ergebnis eines Angriffs.

    Kombinierte Angriffe für größere Wirkung

    Die Forscher von Cynet bemerkten zum ersten Mal, dass etwas nicht stimmte, als sie die IcedID-Malware untersuchten, die von Lunar Spider entwickelt wurde. Ursprünglich wurde IcedID im Jahr 2017 in freier Wildbahn beobachtet. Es handelt sich um einen Banking-Trojaner, der es auf den Finanzsektor in den USA und Europa abgesehen hat. Nach seiner Entdeckung änderte Lunar Spider den Modus Operandi von IcedID so, dass er zusätzliche Nutzlasten wie Cobalt Strike bereitstellen konnte.

    Die Forscher untersuchten auch die CONTI-Ransomware, einen relativ neuen, von Wizard Spider entwickelten Angriffsansatz, der bereits im Fadenkreuz des FBI steht. Diese “Ransomware-as-a-Service” (RaaS) wurde in den USA und Europa gesichtet und hat bereits in vielen Organisationen und Netzwerken Schaden angerichtet.

    Cynet vermutete zuerst die Verbindung zwischen den beiden Organisationen, als es einen Fall von CONTI-Ransomware untersuchte, die viele bekannte Taktiken verwendete, wenn auch nicht solche, die traditionell von der Wizard Spider-Gruppe eingesetzt werden.

    Während der Untersuchung entdeckte das Team, dass CONTI über Malware-Kampagnen verbreitet wurde, die IcedID als Ausgangspunkt für den Angriff verwendeten. Nachdem sie sich auf den Geräten der Zielpersonen festgesetzt hatte, setzte IcedID eine CONTI-Ransomware-Variante ein, um das Netzwerk zu sperren.

    Verstehen der Risiken

    Das neue Cynet Research Webinar taucht tiefer in die Anatomie dieser Zusammenarbeit ein und erklärt, warum sie so beunruhigend ist, aber auch, wie sie erkannt und bekämpft werden kann. Das Webinar wird diskutieren:

    • Der Hintergrund der Angriffsgruppen. Sowohl Lunar Spider als auch Wizard Spider sind sehr bekannt und hochgefährlich. Ihre vorhandene Malware und andere Tools sind weit verbreitet und in vielen bemerkenswerten Sicherheitsverletzungen und Angriffen präsent. Bevor ihre Tools untersucht werden, wird das Webinar jede Gruppe aufschlüsseln.
    • Die zunehmende Popularität von Ransomware-Angriffen. Diese Taktik ist inzwischen weit verbreitet und wird Unternehmen in den nächsten zehn Jahren voraussichtlich Hunderte von Milliarden Dollar kosten. Um wirklich zu verstehen, wie man diese neue Angriffstaktik bekämpfen kann, lohnt es sich, die Funktionsweise von Ransomware und einige gängige Taktiken zu ermitteln.
    • Die Anatomie eines kombinierten IcedID- und CONTI-Angriffs. Im Webinar wird eine Fallstudie dieser neuen Angriffstaktik aufgeschlüsselt. Im Gegensatz zu einigen anderen Ransomware-Angriffen nutzt diese neue Methode Techniken aus beiden, um Persistenz zu erzeugen, die Entdeckung zu vermeiden und Systeme zu sperren, bevor Unternehmen reagieren können. Darüber hinaus verwenden sie zunehmend “doppelte Erpressungsmethoden”, die sowohl Daten sperren als auch mit Lecks drohen, wenn die Zahlung nicht erfolgt.

    Hier können Sie sich für das Webinar anmelden.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com