Ransomware-Banden sind eine zunehmende Bedrohung für die kritische Infrastruktur westlicher Länder. Zu diesem auch aus Schweizer Sicht alarmierenden Schluss kommen Sicherheitsexperten in einer aktuellen Analyse.
In einem am Montag vom Cyber Threat Intelligence Team von Accenture (ACTI) veröffentlichten Bericht heisst es, dass sich «finanziell motivierte Bedrohungsakteure» zunehmend «entlang ideologischer Fraktionen aufspalten».
Schlimmer noch: Wegen des Ukraine-Kriegs nehmen pro-russische Hacker angeblich vermehrt den Westen ins Visier.
Aber tun sie das nicht sowieso? Dieser Beitrag geht den wichtigsten Fragen aus Schweizer Sicht auf den Grund, mit Einschätzungen des IT-Sicherheitsexperten Marc Ruef.
Einige der wichtigsten Untergrund-Foren im Darknet, in denen sich kriminelle Hacker austauschen, sind russischsprachig. Aus Russland stammen auch die meisten sowie fähigsten und angesehensten Akteure, was Cyberkriminalität im Allgemeinen und Ransomware im Speziellen betrifft.
Diese Untergrund-Foren, in denen Jobs ausgeschrieben und Insider-Wissen verkauft und vermittelt werden, verfolgten früher eine strenge «Keine Arbeit in GUS-Staaten»-Politik. Die Hacker sollten also Russland und verbündete Staaten verschonen und ihre Attacken auf den Westen konzentrieren.
Nach Russlands Überfall auf die Ukraine am 24. Februar spaltete sich der kriminelle Online-Untergrund allerdings zunehmend in zwei Lager – die Hacker sympathisieren entweder mit Russland oder sind für die Ukraine.
Für Schlagzeilen sorgten die Querelen der berüchtigten Ransomware-Bande Conti, die in ein unerwartetes Leak mündeten: Ein pro-ukrainischer Sicherheitsforscher, der sich über eine pro-russische Verlautbarung der Gruppe ärgerte, veröffentlichte viele Gigabyte an internen Daten.
Das Cyber Threat Intelligence Team von Accenture warnt nun: Zum ersten Mal in mehr als 10 Jahren, in denen man die Aktivitäten im Darknet verfolge, sehe man, dass «finanziell motivierte Bedrohungsakteure» sich in ideologische Fraktionen aufgeteilt hätten. Sprich: Es geht den gefährlichen Hackern nicht mehr nur um möglichst viel Profit.
Akteure, die zuvor rein opportunistisch agierten, mit finanziellen Motiven und einer globalen Perspektive, verfolgten nun ein sehr gezieltes Angriffsmuster. Das heisst:
Leider gelte das alte Motto «United we stand, divided we fall» («geeint stehen wir, geteilt fallen wir») nicht für die kriminellen Gruppierungen, halten die Sicherheitsexperten von Accenture in ihrem Bericht fest. Die Spaltung wegen des Ukraine-Krieges habe dazu geführt, dass sich pro-russische Akteure gegen westliche Ziele zusammenschliessen.
Damit ändert sich auch die Bedrohungslage für die Schweiz, denn sie steht auf der offiziellen Liste jener Staaten, die Russland als unfreundlich oder feindlich eingestuft hat.
In den vergangenen Wochen warnten mehrere IT-Sicherheitsexperten vor Cyberangriffen pro-russischer Akteure gegen westliche Unternehmen und Organisationen.
Die Accenture-Sicherheitsforscher schildern nun in ihrem Bericht Beobachtungen aus den Untergrund-Foren und ziehen daraus Schlüsse bezüglich der Bedrohungslage.
watson geht im Folgenden auf zwei aus Schweizer Sicht interessante Punkte ein und lässt den erfahrenen IT-Sicherheitsexperten Marc Ruef zu Wort kommen. Der Zürcher ist auch ein profunder Kenner des Online-Handels mit sogenannten Exploits, das sind Angriffswerkzeuge für Hacker.
Laut Accenture ist es wahrscheinlich, dass pro-russische Akteure auf Angriffe gegen nicht-westliche Einrichtungen verzichten, um ihren Fokus und ihre Ressourcen zu bündeln. Dies sei insofern von Bedeutung, als seit 2020 der Handel mit Zugängen zu fremden Netzwerken zu einer zentralen Säule der Untergrund-Cyberkriminalität geworden sei.
Hierzu muss man wissen, dass es sogenannte «Initial Access Brokers» gibt, das sind Kriminelle, die sich auf die Kompromittierung von Unternehmens-Netzwerken spezialisiert haben, um sie an andere kriminelle Gruppierungen, häufig Ransomware-Gruppen, weiterzuverkaufen.
Solche Broker hätten es Ransomware-Gruppen ermöglicht, ihre Aktivitäten erheblich auszuweiten, schreibt Accenture. Und nun habe man einen klaren Anstieg und auch einzelne Preisexzesse im Handel mit Exploits festgestellt.
Demnach würden pro-russische Akteure vermehrt nach Zugängen zu «Kritischen Infrastrukturen» in Westeuropa/USA nachfragen. Es sollen bis zu 500'000 US-Dollar für einen Netzwerkzugang und bis zu 10 Millionen US-Dollar für Zero-Day-Exploits geboten werden in Hacker-Foren.
Dazu meint der IT-Sicherheitsexperte Marc Ruef, Mitinhaber der Schweizer IT-Sicherheitsfirma Scip AG:
Das Hacktivisten-Kollektiv Anonymous hat einiges erreicht, seit der Kriegserklärung an Putin: Mit Server-Überlastungsangriffen wurden russische Websites vorübergehend offline genommen, dazu kamen Datendiebstähle und öffentlichkeitswirksame Protestaktionen, wie das Einblenden von unzensierten Informationen für russische Fernsehzuschauer.
Im Vergleich mit Hacktivisten sind Ransomware-Banden aber viel schlagkräftiger, sie nutzen bei ihren Angriffen unbekannte Software-Sicherheitslücken (One-Day- oder Zero-Day-Exploits), sie verfügen über ein relativ hohes technisches Niveau und grosse Budgets (in der Regel in Form von Bitcoin) und sie sind gut organisiert, sodass sie Unternehmen effizienter und über längere Zeiträume hinweg «stören» können.
Die Accenture-Sicherheitsexperten stiessen bei ihren Recherchen im Darknet auf mehrere Akteure, die ausdrücklich den Wunsch geäussert hätten, westliche kritische Infrastrukturen anzugreifen, um Russland zu unterstützen.
Dazu meint der IT-Sicherheitsexperte Marc Ruef:
Was die Gefährlichkeit der bekannten Ransomware-Banden wie Conti oder ALPHV betrifft, sagt Thomas Uhlemann von der slowakischen IT-Sicherheitsfirma Eset:
Ob es in den kommenden Wochen vermehrt zu Ransomware-Attacken auf staatliche Organisationen und wichtige Wirtschaftsunternehmen kommt, wird sich zeigen.
Tatsache ist, dass es auch so praktisch täglich neue Meldungen über Hackerangriffe sowie damit verbundene Datendiebstähle und Erpressungsversuche gibt.
Dazu Marc Ruef:
Ein Exploit ist, wie im Artikel weiter unten korrekt beschrieben eine Sicherheitslücke. Ein Einbrecher würde ein gekipptes Fenster wohl als Gelegenheit aber nicht als Werkzeug bezeichnen.