#RSAC: Aktuelle Trends bei Bedrohungen durch Nationalstaaten und Ransomware-Banden

  • Sean Taylor, VP of Threat Defense bei Forescout, gab während einer Sitzung auf der RSA Conference 2022 Einblicke in die jüngsten Cyber-Bedrohungsaktivitäten.

    Taylor erklärte einleitend, dass es bei der internationalen Bedrohungsaufklärung darauf ankommt, den Gegner zu verstehen“.

    Dann hob er die Angriffe hervor, die von russischen, staatlich unterstützten Angreifern vor der Invasion in der Ukraine durchgeführt wurden. Ende 2021 und im Januar 2022 handelte es sich dabei in erster Linie um die Verunstaltung von Websites der ukrainischen Regierung mit düsteren Botschaften wie „Habt Angst und wartet auf das Schlimmste“.

    Bis Mitte Februar bestanden die Vorfälle hauptsächlich aus DDoS-Angriffen auf ukrainische Banken und Regierungsseiten. Am 23. Februar schließlich, am Vorabend der Invasion, wurden mehrere Wiper-Malware-Kampagnen gegen die ukrainische Regierung und kritische Infrastrukturorganisationen gestartet. Dazu gehörten WhisperGate und Hermetic Wiper.

    Taylor wies auch darauf hin, wie die Aktivitäten von Hacktivisten und cyberkriminellen Gruppen mit dem Russland-Ukraine-Konflikt verbunden sind. Dazu gehört die Conti-Ransomware-Bande, die sich schnell mit Russland verband und jedes Land bedrohte, das die Ukraine unterstützt. In ähnlicher Weise hat die von Russland unterstützte Hacktivistengruppe Killnet europäische Länder, die die Ukraine unterstützen, ins Visier genommen.

    Darüber hinaus beobachtete Taylor, dass zahlreiche nicht mit Russland verbundene Cyberkriminelle den Krieg nutzten, um Angriffe zu starten. Diese sind:

    • El Machete – eine Gruppe, die es auf Finanz-/Behördendienste in Lateinamerika abgesehen hat
    • Lyceum – eine Gruppe, die es auf Energieunternehmen in Israel und Saudi-Arabien abgesehen hat
    • SideWinder – eine Gruppe, die es auf Pakistan und andere zentralasiatische Länder abgesehen hat

    Interessanterweise haben alle diese Gruppen E-Mail-Phishing-Köder mit Betreffzeilen verwendet, die „etwas mit der Ukraine zu tun“ haben.

    Ein weiterer Trend, den Taylor ansprach, war das Wachstum und die Entwicklung von Ransomware. Er stellte fest, dass es bei Ransomware-Angriffen vor drei Jahren „nur um die Verschlüsselung von Daten“ ging. Jetzt geht es darum, Daten zu exfiltrieren und dann zu verschlüsseln – so genannte Ransomware mit doppelter Erpressung (double-extortion ransomware). „Letztendlich gibt es diese fortschrittlicheren Ransomware-Familien“, fügte Taylor hinzu.

    Darüber hinaus sind die Einstiegshürden für Ransomware-Angreifer mit dem Aufkommen von Ransomware-as-a-Service deutlich niedriger. „Letztendlich gehen wir davon aus, dass sich Ransomware weiter entwickeln wird“, sagte er.

    Dies wird wahrscheinlich durch zwei Faktoren vorangetrieben:

    • Die Verbreitung von IoT-Geräten
    • Die Konvergenz von IT- und OT-Geräten

    Ransomware IoT ist ein „Game-Changer, dem jeder in der Branche Aufmerksamkeit schenken muss“, so Taylor. Denn diese Ransomware der nächsten Generation wird wahrscheinlich IoT-Geräte ausnutzen, die IT verschlüsseln und die OT stören.

    Taylor betonte jedoch, dass es derzeit sehr gut möglich ist, die meisten Ransomware-Angriffe zu entschärfen. Er sagte, dass dabei drei Schlüsselfaktoren berücksichtigt werden sollten:

    • Die Angriffe erfolgen nicht sofort oder vollständig automatisiert
    • Cybercrime-as-a-Service bedeutet, dass Hunderte von sehr ähnlichen Angriffen stattfinden
    • Die meisten Tools und Techniken, die sie verwenden, sind bekannt

    Das bedeutet, dass es Informationen darüber gibt, wie Angreifer vorgehen. „Schauen Sie sich an, wie sie vorgehen, wie sie sich den ersten Zugang verschaffen, und arbeiten Sie sich dann zurück und setzen Sie diese Verteidigungsmaßnahmen um“, riet er.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com