DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Vom FBI gesuchter Hacker. IT-Sicherheitsfachleute warnen, dass es russischen Ransomware-Kriminellen nicht mehr nur um Profit gehe. Einige wollten mit Angriffen Putin unterstützen.
Vom FBI gesuchter Hacker. IT-Sicherheitsfachleute warnen, dass es russischen Ransomware-Kriminellen nicht mehr nur um Profit gehe. Einige wollten mit Angriffen Putin unterstützen.Bild: keystone
Analyse

Pro-russische kriminelle Hacker nehmen Feinde Putins ins Visier – das musst du wissen

IT-Sicherheitsforscher, die seit Jahren Hacker-Foren im Darknet beobachten, schlagen Alarm: Pro-russische Kriminelle würden sich zusammentun, um gegen wichtige Ziele im Westen loszuschlagen. Eine Einordnung.
20.03.2022, 06:0121.03.2022, 09:30

Ransomware-Banden sind eine zunehmende Bedrohung für die kritische Infrastruktur westlicher Länder. Zu diesem auch aus Schweizer Sicht alarmierenden Schluss kommen Sicherheitsexperten in einer aktuellen Analyse.

In einem am Montag vom Cyber Threat Intelligence Team von Accenture (ACTI) veröffentlichten Bericht heisst es, dass sich «finanziell motivierte Bedrohungsakteure» zunehmend «entlang ideologischer Fraktionen aufspalten».

Schlimmer noch: Wegen des Ukraine-Kriegs nehmen pro-russische Hacker angeblich vermehrt den Westen ins Visier.

Aber tun sie das nicht sowieso? Dieser Beitrag geht den wichtigsten Fragen aus Schweizer Sicht auf den Grund, mit Einschätzungen des IT-Sicherheitsexperten Marc Ruef.

Die explosive Ausgangslage

Einige der wichtigsten Untergrund-Foren im Darknet, in denen sich kriminelle Hacker austauschen, sind russischsprachig. Aus Russland stammen auch die meisten sowie fähigsten und angesehensten Akteure, was Cyberkriminalität im Allgemeinen und Ransomware im Speziellen betrifft.

Diese Untergrund-Foren, in denen Jobs ausgeschrieben und Insider-Wissen verkauft und vermittelt werden, verfolgten früher eine strenge «Keine Arbeit in GUS-Staaten»-Politik. Die Hacker sollten also Russland und verbündete Staaten verschonen und ihre Attacken auf den Westen konzentrieren.

Nach Russlands Überfall auf die Ukraine am 24. Februar spaltete sich der kriminelle Online-Untergrund allerdings zunehmend in zwei Lager – die Hacker sympathisieren entweder mit Russland oder sind für die Ukraine.

Für Schlagzeilen sorgten die Querelen der berüchtigten Ransomware-Bande Conti, die in ein unerwartetes Leak mündeten: Ein pro-ukrainischer Sicherheitsforscher, der sich über eine pro-russische Verlautbarung der Gruppe ärgerte, veröffentlichte viele Gigabyte an internen Daten.

Das Cyber Threat Intelligence Team von Accenture warnt nun: Zum ersten Mal in mehr als 10 Jahren, in denen man die Aktivitäten im Darknet verfolge, sehe man, dass «finanziell motivierte Bedrohungsakteure» sich in ideologische Fraktionen aufgeteilt hätten. Sprich: Es geht den gefährlichen Hackern nicht mehr nur um möglichst viel Profit.

Akteure, die zuvor rein opportunistisch agierten, mit finanziellen Motiven und einer globalen Perspektive, verfolgten nun ein sehr gezieltes Angriffsmuster. Das heisst:

  • Pro-ukrainische Akteure weigern sich, an russisch orientierte Akteure zu verkaufen, von ihnen zu kaufen oder mit ihnen zusammenzuarbeiten. Vielmehr versuchten sie zunehmend, russische Einrichtungen zu attackieren.
  • Pro-russische Akteure hingegen richteten sich zunehmend auf «hacktivismusähnliche Aktivitäten» aus, vor allem gegen «Feinde Russlands», insbesondere westliche Einrichtungen, da sie dem Westen Kriegshetze vorwerfen.

Leider gelte das alte Motto «United we stand, divided we fall» («geeint stehen wir, geteilt fallen wir») nicht für die kriminellen Gruppierungen, halten die Sicherheitsexperten von Accenture in ihrem Bericht fest. Die Spaltung wegen des Ukraine-Krieges habe dazu geführt, dass sich pro-russische Akteure gegen westliche Ziele zusammenschliessen.

Damit ändert sich auch die Bedrohungslage für die Schweiz, denn sie steht auf der offiziellen Liste jener Staaten, die Russland als unfreundlich oder feindlich eingestuft hat.

Im Januar ging der russische Inlandsgeheimdienst FSB medienwirksam gegen angebliche Mitglieder der Ransomware-Bande «REvil» vor. Russland gilt als wichtigste Operationsbasis solcher Banden. Es ist unklar, wie weit der Staat die Hintermänner gewähren lässt.
Im Januar ging der russische Inlandsgeheimdienst FSB medienwirksam gegen angebliche Mitglieder der Ransomware-Bande «REvil» vor. Russland gilt als wichtigste Operationsbasis solcher Banden. Es ist unklar, wie weit der Staat die Hintermänner gewähren lässt.bild: fsb

Was sieht die konkrete Bedrohungslage aus?

In den vergangenen Wochen warnten mehrere IT-Sicherheitsexperten vor Cyberangriffen pro-russischer Akteure gegen westliche Unternehmen und Organisationen.

Die Accenture-Sicherheitsforscher schildern nun in ihrem Bericht Beobachtungen aus den Untergrund-Foren und ziehen daraus Schlüsse bezüglich der Bedrohungslage.

watson geht im Folgenden auf zwei aus Schweizer Sicht interessante Punkte ein und lässt den erfahrenen IT-Sicherheitsexperten Marc Ruef zu Wort kommen. Der Zürcher ist auch ein profunder Kenner des Online-Handels mit sogenannten Exploits, das sind Angriffswerkzeuge für Hacker.

1. Für westliche Angriffsziele werden riesige Beträge geboten

Laut Accenture ist es wahrscheinlich, dass pro-russische Akteure auf Angriffe gegen nicht-westliche Einrichtungen verzichten, um ihren Fokus und ihre Ressourcen zu bündeln. Dies sei insofern von Bedeutung, als seit 2020 der Handel mit Zugängen zu fremden Netzwerken zu einer zentralen Säule der Untergrund-Cyberkriminalität geworden sei.

Hierzu muss man wissen, dass es sogenannte «Initial Access Brokers» gibt, das sind Kriminelle, die sich auf die Kompromittierung von Unternehmens-Netzwerken spezialisiert haben, um sie an andere kriminelle Gruppierungen, häufig Ransomware-Gruppen, weiterzuverkaufen.

Einige Akteure wie «Integra» und «FlawlessMarble» verfügten über Budgets von 5 bis 10 Mio. Dollar, was es ihnen ermögliche, fast jedes gewünschte Tool zu erwerben.
Einige Akteure wie «Integra» und «FlawlessMarble» verfügten über Budgets von 5 bis 10 Mio. Dollar, was es ihnen ermögliche, fast jedes gewünschte Tool zu erwerben.screenshot: accenture.com

Solche Broker hätten es Ransomware-Gruppen ermöglicht, ihre Aktivitäten erheblich auszuweiten, schreibt Accenture. Und nun habe man einen klaren Anstieg und auch einzelne Preisexzesse im Handel mit Exploits festgestellt.

Demnach würden pro-russische Akteure vermehrt nach Zugängen zu «Kritischen Infrastrukturen» in Westeuropa/USA nachfragen. Es sollen bis zu 500'000 US-Dollar für einen Netzwerkzugang und bis zu 10 Millionen US-Dollar für Zero-Day-Exploits geboten werden in Hacker-Foren.

Dazu meint der IT-Sicherheitsexperte Marc Ruef, Mitinhaber der Schweizer IT-Sicherheitsfirma Scip AG:

«In illegalen Foren wird gerne viel geschrieben. Nicht selten finden sich Wichtigtuer und Scammer, die sich durch extreme Aussagen beliebt machen wollen. Ein Zugang für 500'000 Dollar ist zwar teuer, aber grundsätzlich denkbar.

Den Preis von 10 Millionen Dollar für einen einzelnen Exploit zu zahlen, ist jedoch jenseits von Gut und Böse. Das mag vielleicht das Jahresbudget einer Organisation sein, aber das ganze Budget für einen einzelnen Exploit auszugeben, halte ich für unsinnig.»
Was heisst «kritische Infrastruktur»?
Als kritische Infrastrukturen werden Bauten und Anlagen bezeichnet, aber auch Versorgungssysteme und Dienstleistungen, die für einen Staat und die Gesellschaft überlebenswichtig sind. Schwerwiegende Ausfälle, wie beispielsweise ein landesweiter Strom-Blackout, können gravierende volkswirtschaftliche Schäden verursachen und die Bevölkerung massiv belasten, wie das Bundesamt für Bevölkerungsschutz (BABS) schreibt. Der Bundesrat hat 2012 eine erste nationale Strategie zum Schutz der kritischen Infrastrukturen verabschiedet und 2017 aktualisiert.

2. Die Ransomware-Gruppen sind gefährlicher als Hacktivisten

Das Hacktivisten-Kollektiv Anonymous hat einiges erreicht, seit der Kriegserklärung an Putin: Mit Server-Überlastungsangriffen wurden russische Websites vorübergehend offline genommen, dazu kamen Datendiebstähle und öffentlichkeitswirksame Protestaktionen, wie das Einblenden von unzensierten Informationen für russische Fernsehzuschauer.

Im Vergleich mit Hacktivisten sind Ransomware-Banden aber viel schlagkräftiger, sie nutzen bei ihren Angriffen unbekannte Software-Sicherheitslücken (One-Day- oder Zero-Day-Exploits), sie verfügen über ein relativ hohes technisches Niveau und grosse Budgets (in der Regel in Form von Bitcoin) und sie sind gut organisiert, sodass sie Unternehmen effizienter und über längere Zeiträume hinweg «stören» können.

Die Accenture-Sicherheitsexperten stiessen bei ihren Recherchen im Darknet auf mehrere Akteure, die ausdrücklich den Wunsch geäussert hätten, westliche kritische Infrastrukturen anzugreifen, um Russland zu unterstützen.

Dazu meint der IT-Sicherheitsexperte Marc Ruef:

«Die gegenwärtigen politischen Entwicklungen haben nur geringfügigen Einfluss auf nicht exponierte Firmen in der Schweiz. Es ist zwar mit einer Zunahme an Ukraine-gestützten Phishing-Kampagnen zu rechnen. Zielgerichtete Angriffe dürften jedoch ausbleiben.

Anders sieht es hingegen bei Organisationen aus, die politisch exponiert und mit den Konfliktparteien verbandelt sind. Diese werden sich mit sehr konkreten Angriffen auseinandersetzen müssen.»

Was die Gefährlichkeit der bekannten Ransomware-Banden wie Conti oder ALPHV betrifft, sagt Thomas Uhlemann von der slowakischen IT-Sicherheitsfirma Eset:

«Realistisch betrachtet ist es so, dass die meisten erfolgreichen Attacken von den späteren Opfern selbst erst ermöglicht werden. Und so ähneln und gleichen sich die Angriffswege, über Mail und Phishing etwa, immer wieder und müssen gar nicht allzu raffiniert designt sein.»

Ob es in den kommenden Wochen vermehrt zu Ransomware-Attacken auf staatliche Organisationen und wichtige Wirtschaftsunternehmen kommt, wird sich zeigen.

Tatsache ist, dass es auch so praktisch täglich neue Meldungen über Hackerangriffe sowie damit verbundene Datendiebstähle und Erpressungsversuche gibt.

Dazu Marc Ruef:

«Es ist zwar zu beobachten, dass sich Cyberkriminelle in die politischen Entwicklungen in der Ukraine einmischen. Das ist aber höchstens ein ‹Dienst am Vaterland›. Und wir wagen zu bezweifeln, dass diese Liaison lange und bedingungslos anhält. Am Schluss diktiert bei ihnen immer das Geld und vermeintlich ehrenwerte Ziele werden diesem weichen.»

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.

Ransomware – Angriff der Verschlüsselungstrojaner

1 / 22
Ransomware – Angriff der Verschlüsselungstrojaner
quelle: screenshot: youtube
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Russland begeht grossflächige Cyberattacke

Video: srf

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

37 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
PeteZahad
20.03.2022 06:52registriert Februar 2014
"Der Zürcher ist auch ein profunder Kenner des Online-Handels mit sogenannten Exploits, das sind Angriffswerkzeuge für Hacker."

Ein Exploit ist, wie im Artikel weiter unten korrekt beschrieben eine Sicherheitslücke. Ein Einbrecher würde ein gekipptes Fenster wohl als Gelegenheit aber nicht als Werkzeug bezeichnen.
7111
Melden
Zum Kommentar
avatar
Beat 69,3
20.03.2022 07:47registriert Februar 2015
Man weiss seit langem, dass Gruppen der Cyberkriminalität mit Bitcoins bezahlt werden.
Vielleicht müsste man den Bitcoin Handel mit Sanktionen belegen. Mit Bitcoins wirde ja generell versucht die westlichen Sanktionen zu umgehen. Die Bitcoins Fans werden mich jetzt zwar blitzen, trotzdem könnte der "Geld-Hahn" zugedreht werden.
8835
Melden
Zum Kommentar
avatar
benn
20.03.2022 08:55registriert September 2019
Ja, die russischen Hacker profitieren natürlich von einem Staat, der das nicht wirklich eng sieht und selber im höchsten Grad kriminell ist!
538
Melden
Zum Kommentar
37
SwissID-Zwang bei der Post: Grosse Verwirrung und laute Kritik gegen Umstellung
Wer sein Post-Onlinekonto im Herbst noch nutzen können will, muss sich beeilen: Die SwissID wird zur Pflicht, der Wechsel muss in drei Wochen erfolgen. Das Vorgehen sorgt für Kritik.

Die schweizerische Post verschickt nicht nur Briefe, sie ist auch zu einer grossen Dienstleistungsanbieterin im Internet geworden. So gehört der PostCard Creator zu einem der beliebtesten Services, bei fleissigen Online-Shoppern dürfte auch der Paketautomat My Post 24 bekannt sein. All diese Angebote haben eines gemeinsam: Man benötigt ein Post-Login, um sie nutzen zu können.

Zur Story