Pro-russische kriminelle Hacker nehmen Feinde Putins ins Visier – das musst du wissen
Ransomware-Banden sind eine zunehmende Bedrohung für die kritische Infrastruktur westlicher Länder. Zu diesem auch aus Schweizer Sicht alarmierenden Schluss kommen Sicherheitsexperten in einer aktuellen Analyse.
In einem am Montag vom Cyber Threat Intelligence Team von Accenture (ACTI) veröffentlichten Bericht heisst es, dass sich «finanziell motivierte Bedrohungsakteure» zunehmend «entlang ideologischer Fraktionen aufspalten».
Schlimmer noch: Wegen des Ukraine-Kriegs nehmen pro-russische Hacker angeblich vermehrt den Westen ins Visier.
Aber tun sie das nicht sowieso? Dieser Beitrag geht den wichtigsten Fragen aus Schweizer Sicht auf den Grund, mit Einschätzungen des IT-Sicherheitsexperten Marc Ruef.
Die explosive Ausgangslage
Einige der wichtigsten Untergrund-Foren im Darknet, in denen sich kriminelle Hacker austauschen, sind russischsprachig. Aus Russland stammen auch die meisten sowie fähigsten und angesehensten Akteure, was Cyberkriminalität im Allgemeinen und Ransomware im Speziellen betrifft.
Diese Untergrund-Foren, in denen Jobs ausgeschrieben und Insider-Wissen verkauft und vermittelt werden, verfolgten früher eine strenge «Keine Arbeit in GUS-Staaten»-Politik. Die Hacker sollten also Russland und verbündete Staaten verschonen und ihre Attacken auf den Westen konzentrieren.
Nach Russlands Überfall auf die Ukraine am 24. Februar spaltete sich der kriminelle Online-Untergrund allerdings zunehmend in zwei Lager – die Hacker sympathisieren entweder mit Russland oder sind für die Ukraine.
Für Schlagzeilen sorgten die Querelen der berüchtigten Ransomware-Bande Conti, die in ein unerwartetes Leak mündeten: Ein pro-ukrainischer Sicherheitsforscher, der sich über eine pro-russische Verlautbarung der Gruppe ärgerte, veröffentlichte viele Gigabyte an internen Daten.
Das Cyber Threat Intelligence Team von Accenture warnt nun: Zum ersten Mal in mehr als 10 Jahren, in denen man die Aktivitäten im Darknet verfolge, sehe man, dass «finanziell motivierte Bedrohungsakteure» sich in ideologische Fraktionen aufgeteilt hätten. Sprich: Es geht den gefährlichen Hackern nicht mehr nur um möglichst viel Profit.
Akteure, die zuvor rein opportunistisch agierten, mit finanziellen Motiven und einer globalen Perspektive, verfolgten nun ein sehr gezieltes Angriffsmuster. Das heisst:
- Pro-ukrainische Akteure weigern sich, an russisch orientierte Akteure zu verkaufen, von ihnen zu kaufen oder mit ihnen zusammenzuarbeiten. Vielmehr versuchten sie zunehmend, russische Einrichtungen zu attackieren.
- Pro-russische Akteure hingegen richteten sich zunehmend auf «hacktivismusähnliche Aktivitäten» aus, vor allem gegen «Feinde Russlands», insbesondere westliche Einrichtungen, da sie dem Westen Kriegshetze vorwerfen.
Leider gelte das alte Motto «United we stand, divided we fall» («geeint stehen wir, geteilt fallen wir») nicht für die kriminellen Gruppierungen, halten die Sicherheitsexperten von Accenture in ihrem Bericht fest. Die Spaltung wegen des Ukraine-Krieges habe dazu geführt, dass sich pro-russische Akteure gegen westliche Ziele zusammenschliessen.
Damit ändert sich auch die Bedrohungslage für die Schweiz, denn sie steht auf der offiziellen Liste jener Staaten, die Russland als unfreundlich oder feindlich eingestuft hat.
Was sieht die konkrete Bedrohungslage aus?
In den vergangenen Wochen warnten mehrere IT-Sicherheitsexperten vor Cyberangriffen pro-russischer Akteure gegen westliche Unternehmen und Organisationen.
Die Accenture-Sicherheitsforscher schildern nun in ihrem Bericht Beobachtungen aus den Untergrund-Foren und ziehen daraus Schlüsse bezüglich der Bedrohungslage.
watson geht im Folgenden auf zwei aus Schweizer Sicht interessante Punkte ein und lässt den erfahrenen IT-Sicherheitsexperten Marc Ruef zu Wort kommen. Der Zürcher ist auch ein profunder Kenner des Online-Handels mit sogenannten Exploits, das sind Angriffswerkzeuge für Hacker.
1. Für westliche Angriffsziele werden riesige Beträge geboten
Laut Accenture ist es wahrscheinlich, dass pro-russische Akteure auf Angriffe gegen nicht-westliche Einrichtungen verzichten, um ihren Fokus und ihre Ressourcen zu bündeln. Dies sei insofern von Bedeutung, als seit 2020 der Handel mit Zugängen zu fremden Netzwerken zu einer zentralen Säule der Untergrund-Cyberkriminalität geworden sei.
Hierzu muss man wissen, dass es sogenannte «Initial Access Brokers» gibt, das sind Kriminelle, die sich auf die Kompromittierung von Unternehmens-Netzwerken spezialisiert haben, um sie an andere kriminelle Gruppierungen, häufig Ransomware-Gruppen, weiterzuverkaufen.
Solche Broker hätten es Ransomware-Gruppen ermöglicht, ihre Aktivitäten erheblich auszuweiten, schreibt Accenture. Und nun habe man einen klaren Anstieg und auch einzelne Preisexzesse im Handel mit Exploits festgestellt.
Demnach würden pro-russische Akteure vermehrt nach Zugängen zu «Kritischen Infrastrukturen» in Westeuropa/USA nachfragen. Es sollen bis zu 500'000 US-Dollar für einen Netzwerkzugang und bis zu 10 Millionen US-Dollar für Zero-Day-Exploits geboten werden in Hacker-Foren.
Dazu meint der IT-Sicherheitsexperte Marc Ruef, Mitinhaber der Schweizer IT-Sicherheitsfirma Scip AG:
Den Preis von 10 Millionen Dollar für einen einzelnen Exploit zu zahlen, ist jedoch jenseits von Gut und Böse. Das mag vielleicht das Jahresbudget einer Organisation sein, aber das ganze Budget für einen einzelnen Exploit auszugeben, halte ich für unsinnig.»
2. Die Ransomware-Gruppen sind gefährlicher als Hacktivisten
Das Hacktivisten-Kollektiv Anonymous hat einiges erreicht, seit der Kriegserklärung an Putin: Mit Server-Überlastungsangriffen wurden russische Websites vorübergehend offline genommen, dazu kamen Datendiebstähle und öffentlichkeitswirksame Protestaktionen, wie das Einblenden von unzensierten Informationen für russische Fernsehzuschauer.
Im Vergleich mit Hacktivisten sind Ransomware-Banden aber viel schlagkräftiger, sie nutzen bei ihren Angriffen unbekannte Software-Sicherheitslücken (One-Day- oder Zero-Day-Exploits), sie verfügen über ein relativ hohes technisches Niveau und grosse Budgets (in der Regel in Form von Bitcoin) und sie sind gut organisiert, sodass sie Unternehmen effizienter und über längere Zeiträume hinweg «stören» können.
Die Accenture-Sicherheitsexperten stiessen bei ihren Recherchen im Darknet auf mehrere Akteure, die ausdrücklich den Wunsch geäussert hätten, westliche kritische Infrastrukturen anzugreifen, um Russland zu unterstützen.
Dazu meint der IT-Sicherheitsexperte Marc Ruef:
Anders sieht es hingegen bei Organisationen aus, die politisch exponiert und mit den Konfliktparteien verbandelt sind. Diese werden sich mit sehr konkreten Angriffen auseinandersetzen müssen.»
Was die Gefährlichkeit der bekannten Ransomware-Banden wie Conti oder ALPHV betrifft, sagt Thomas Uhlemann von der slowakischen IT-Sicherheitsfirma Eset:
Ob es in den kommenden Wochen vermehrt zu Ransomware-Attacken auf staatliche Organisationen und wichtige Wirtschaftsunternehmen kommt, wird sich zeigen.
Tatsache ist, dass es auch so praktisch täglich neue Meldungen über Hackerangriffe sowie damit verbundene Datendiebstähle und Erpressungsversuche gibt.
Dazu Marc Ruef: