Cyber-Eskalation im Nahen Osten: Von Hacktivismus zu ausgeklügelten Bedrohungsoperationen

Die Hacktivistenaktivität stieg am 13. Juni um 46 % über den Ausgangswert, ist seitdem jedoch um etwa 70 % gegenüber ihrem Höchststand zurückgegangen. + Die Analyse des Verhaltens in sozialen Netzwerken zeigt, dass acht wichtige Kanäle Hacktivisteninhalte innerhalb von 0 bis 15 Minuten konsequent verstärken. + 16 % der Inhalte wurden weitergeleitet oder verstärkt, während 84 % originär waren, was eine breite dezentrale Beteiligung widerspiegelt. + Die Kampagne folgt einem klassischen Hacktivisten-Zyklus: ein explosiver Start → eine kurze Plateauphase → ein zweiter Anstieg als Reaktion auf geopolitische Entwicklungen → und ein rascher Rückgang. + Mit Blick auf die Zukunft ist davon auszugehen, dass sich die Aktivitäten eher in Richtung kurzer, reaktiver Ausbrüche verlagern werden, die mit zukünftigen geopolitischen Ereignissen zusammenhängen, anstatt in Form von anhaltenden Kampagnen.

Kritische operative Bedrohungen

• Iranisch verbundene Akteure haben israelische Notfallwarnsysteme missbraucht und falsche Warnungen über Ammoniaklecks und Terroranschläge versandt, um Zivilisten während aktiver Raketenangriffe aus Schutzräumen zu locken.
• Regionale GPS-Spoofing-Vorfälle beeinträchtigten die See- und Luftfahrt in mehreren Ländern (Israel, Iran, Libanon und GCC).
• Die Ausnutzung ungeschützter israelischer IP-Kameras ermöglichte eine Echtzeit-Einschätzung der Kampfschäden und die Sammlung von Informationen für potenzielle zukünftige Angriffe.
• Die iranische Kryptowährungsbörse Nobitex wurde Opfer eines Datenlecks, bei dem interne Daten und Quellcode offengelegt wurden.

Einleitung

Angesichts der anhaltenden Eskalation im Nahen Osten hat die Threat Intelligence Unit von Group-IB die Cyberaktivitäten aller am Konflikt beteiligten Akteure – von staatlich gelenkten Operationen bis hin zu Hacktivisten-Netzwerken – genau beobachtet.

Während Hacktivisten durch Perception Warfare und Belästigungskampagnen für viel Aufsehen gesorgt haben, hat die erste Woche der verschärften Feindseligkeiten auch die Existenz ausgefeilterer Cyberoperationen mit direkten operativen Auswirkungen offenbart.

Dazu gehören elektronische Kriegsführung wie GPS-Spoofing, das regionale Navigationssysteme beeinträchtigt, die Ausnutzung von mit dem Internet verbundenen Kameras zur Informationsbeschaffung und die Manipulation von Notfallwarnsystemen, um Zivilisten in Gefahr zu bringen.

Dieser Bericht analysiert sowohl das breitere Ökosystem der Hacktivisten als auch die kritischen, fortgeschrittenen Operationen, die unmittelbare Risiken für die regionale Sicherheit und die Sicherheit der Zivilbevölkerung darstellen. Er enthält außerdem umsetzbare Empfehlungen für Organisationen, die ihre Widerstandsfähigkeit gegenüber diesen sich weiterentwickelnden Bedrohungen verbessern möchten.

Cyber-Eskalation: Zusammenfassung Woche 1

Zwischen dem 13. und 20. Juni beobachteten Forscher von Group-IB über 250 mutmaßliche Hacktivisten-Angriffe, darunter DDoS-Angriffe, Datenlecks und Website-Verunstaltungen. Diese Angriffe richteten sich in erster Linie gegen die Bereiche Regierung, Medien, Finanzdienstleistungen, Bildung, Transport, IT, Telekommunikation und Energie, die laut gemeldeten Vorfällen am häufigsten betroffen waren.

Entsprechend den zuvor beobachteten Taktiken versuchten die meisten Hacktivisten-Gruppen, Aufmerksamkeit zu erregen, indem sie Daten aus älteren Sicherheitsverletzungen wiederverwendeten und oft recyceltes Material als Beweis für neue Angriffe präsentierten.

Glaubwürdige Vorfälle mit hoher Auswirkung

Unabhängig von diesen Hacktivisten-Angriffen beobachteten die Forscher von Group-IB während der Eskalation mehrere glaubwürdige Cybervorfälle, die erhebliche operative Auswirkungen hatten. Im Gegensatz zu den weitgehend symbolischen Hacktivisten-Aktivitäten betrafen diese Vorfälle kritische Infrastrukturen, verursachten dokumentierte Dienstunterbrechungen und erforderten operative Reaktionen der betroffenen Organisationen.

Nobitex-Hack

Am 18. Juni bekannte sich der Hacker Predatory Sparrow zum Angriff auf Nobitex, eine bekannte iranische Kryptowährungsbörse. Die Gruppe drohte, den Quellcode und interne Daten der Plattform innerhalb von 24 Stunden zu veröffentlichen. In ihrer Erklärung beschuldigte Predatory Sparrow Nobitex, als Finanzkanal für das iranische Regime zu fungieren und Sanktionsumgehungen sowie Terrorismusfinanzierung zu erleichtern.

Die Blockchain-Analyse ergab, dass der Akteur offenbar rund 90 Millionen Dollar „verbrannt” hat. Verbrennen bedeutet, dass Kryptowährung an Adressen gesendet wird, die nachweislich nicht ausgegeben werden können, wodurch diese Token effektiv dauerhaft aus dem Umlauf genommen werden.

Nobitex reagierte zunächst mit der Erklärung, dass nur Hot Wallets betroffen seien und keine Kundengelder gefährdet seien. Der Angreifer eskalierte den Angriff jedoch am nächsten Tag und veröffentlichte den kompletten Quellcode von Nobitex – bestehend aus über 5.000 Verzeichnissen und 20.000 Dateien – zusammen mit mehr als 25 Screenshots aus der internen Dokumentation, wodurch die Auswirkungen der Sicherheitsverletzung auf den Ruf und den Betrieb des Unternehmens weiter verschärft wurden.

Die durchgesickerten Materialien enthüllten Blaupausen für kritische Infrastrukturen, Sicherheitsprotokolle, Wallet-Management-Code, Multi-Blockchain-Implementierungen, KYC-Prozesse und Integrationen mit iranischen Finanzinstituten. Dieser äußerst detaillierte Datenverstoß lieferte praktisch einen vollständigen Betriebsplan für die Aktivitäten der Börse.

GPS-Spoofing-Vorfälle in der gesamten Region

Parallel zum Konflikt zwischen Israel und dem Iran haben elektronische Störungen und GPS-Spoofing-Aktivitäten zugenommen und den Schiffsverkehr, den Flugverkehr und GPS-abhängige Technologien im gesamten Nahen Osten beeinträchtigt.

Seeverkehr: Störungen des Schiffsverkehrs im Persischen Golf und im östlichen Mittelmeer

Am 16. Juni gab die United Kingdom Maritime Trade Operations (UKMTO) eine Warnung vor „elektronischen Störungen” im Golf und in der Straße von Hormus heraus, nachdem mehrere Schiffe, die in diesem Gebiet unterwegs waren, entsprechende Meldungen gemacht hatten. Laut Daten von Windward waren zwischen dem 15. und 18. Juni durchschnittlich 972 Schiffe pro Tag von GPS-Störungen betroffen, wobei die Störungen am 16. Juni mit 1.155 Schiffen ihren Höhepunkt erreichten.

Zwischen dem 14. und 20. Juni wurden Fälle von GPS-Spoofing dokumentiert, wobei vor den Küsten von Haifa (Israel), Iran und Libanon unregelmäßige Positionsmeldungen beobachtet wurden.

Luftfahrtsektor: Bestätigte Störungen und Spoofing beeinträchtigen die Flugsicherheit

Laut Daten der IATA stieg die Zahl der GPS-Signalausfälle zwischen 2021 und 2024 um 220 %, wobei Behördenvertreter geopolitische Spannungen als treibenden Faktor nannten. Der aktuelle Konflikt verdeutlichte diesen Trend, da weitreichende GPS-Störungen den zivilen Luftverkehr im östlichen Mittelmeerraum und in der Golfregion beeinträchtigten.

Der automatische Terminalinformationsdienst (ATIS) und das Flugzeugkommunikations- und Berichterstattungssystem (ACARS) bestätigen anhaltende Spoofing-Aktivitäten, die sowohl den Seeverkehr als auch die Flugnavigationssysteme beeinträchtigen. Einige Flughäfen am Golf warnen Piloten ausdrücklich vor Störungen, während andere sie auf mögliche Störungen hinweisen. Die Europäische Agentur für Flugsicherheit (EASA) hat mehrere Sicherheitshinweise herausgegeben, in denen GPS-Störungen und Navigationsausfälle dokumentiert sind, die Flüge im östlichen Mittelmeerraum beeinträchtigen. Nachfolgend finden Sie ein Beispiel für eine solche Meldung:

In regionalen Luftfahrtmeldungen wurden seit Ende Mai ständige NOTAMs veröffentlicht, die Betreiber in der Region vor den zu erwartenden GNSS-Störungen warnen. Darüber hinaus wurden zwischen dem 14. und 21. Juni auf öffentlichen Luftfahrt-Tracking-Websites wie AvDelphi und Airframes.io mehr als 150 GPS-Störungswarnungen für Flugzeuge im Golfraum dokumentiert.

Digitale Desinformation: Gefälschte Warnmeldungen, Kamera-Missbrauch

Gefälschte SMS-Warnmeldungen zielen auf israelische Einwohner

Am 16. Juni berichteten mehrere Nachrichtenagenturen und offizielle Quellen, dass Einwohner in ganz Israel gefälschte SMS-Nachrichten erhalten hätten, die von offiziellen Notfallbehörden stammten.

Die Nachrichten schienen von „OREFAlert“, dem nationalen Warnsystem, zu stammen und wiesen die Bürger fälschlicherweise an, bis auf Weiteres außerhalb von Schutzräumen zu bleiben, wobei sie sich auf einen erfundenen „möglichen Terroranschlag in Schutzräumen“ beriefen.

Weitere falsche Warnmeldungen behaupteten, es gäbe Treibstoffengpässe in Israel, andere Nachrichten warnten vor einem Gasleck und wiesen die Einwohner an, „Haifa zu verlassen“, und enthielten angeblich einen Phishing-Link.

Die offiziellen Behörden haben am 15. und 16. Juni 2025 Warnungen vor diesen Nachrichten herausgegeben, wie in der folgenden Abbildung dargestellt.

Ausnutzung israelischer IP-Kameras zur Bewertung von Angriffen

Am 20. Juni berichtete Bloomberg über Aussagen des ehemaligen stellvertretenden Direktors der israelischen Cybersicherheitsbehörde INCD, Rafael Franco, der vor iranischen Cyberakteuren warnte, die versuchen, auf IP-Kameras in ganz Israel zuzugreifen. Das Ziel sei es, nach den jüngsten Angriffen auf Tel Aviv Bilder nach den Angriffen zu sammeln und die Genauigkeit der Raketen zu bewerten.

Diese Technik folgt einem bewährten Muster aus früheren Konflikten. So soll die Hamas beispielsweise vor und nach den Angriffen vom 7. Oktober auf Tausende von Überwachungskameras am Rande des Gazastreifens zugegriffen haben.

Untersuchungen von Group-IB zeigen, dass vor Ort weiterhin über 30.000 ungesicherte Kameras zugänglich sind, wobei pro-iranische Kanäle Zugangsdaten verbreiten, die mit den Methoden aus früheren Konflikten übereinstimmen.

Interessanterweise werden diese offenen Feeds nicht nur von böswilligen Akteuren genutzt. Open-Source-Analysten und andere haben diese Feeds für die Echtzeit-Konfliktüberwachung verwendet, was ihren bedeutenden Informationswert für verschiedene Parteien unterstreicht. Solche Feeds werden auf Plattformen wie Twitch und YouTube live gestreamt, wie der Screenshot unten zeigt (Abbildung 12).

Dies ist zwar keine neue Taktik, aber einer der wenigen Fälle, in denen ein betroffenes Land solche Angriffe in dieser Größenordnung offiziell anerkannt hat.

IRIB-Stream-Störung

Am 18. Juni wurde der Stream des iranischen Staatsfernsehens IRIB TV gekapert, um pro-israelische und anti-iranische Regierungsbilder zu zeigen, darunter Aufnahmen von den „Frau, Leben, Freiheit“-Protesten von 2022. In der Sendung war auch das Logo der Operation Rising Lion zu sehen. IRIB bestätigte den Vorfall und machte Israel dafür verantwortlich, während israelische Beamte Berichten zufolge eine Beteiligung dementierten.

Dieser Vorfall folgt auf eine frühere Entführung während der Proteste im Jahr 2022, als der Webstream von IRIB von einer Hacktivisten-Gruppe namens „Adalat Ali“ kompromittiert wurde, die mehrere Stunden lang ähnliche Inhalte sendete.

Hacktivistische Angriffe

Nach der Eskalation des Konflikts am 13. Juni mobilisierten hacktivistische Gruppen rasch über mehrere Plattformen hinweg, darunter Telegram und andere soziale Medien. Diese lose koordinierten Netzwerke verübten vor allem Website-Verunstaltungen und Distributed-Denial-of-Service-Angriffe (DDoS), wobei sie die Größe ihrer Community und die Verstärkung durch soziale Medien nutzten, um trotz begrenzter technischer Raffinesse eine maximale Wirkung zu erzielen.

Aktivitäten und zeitliche Analyse

In den sieben Tagen nach dem 13. Juni nahmen die Hacktivisten-Aktivitäten auf Telegram deutlich zu, wobei die tägliche Aktivität um 46 % über das Ausgangsniveau stieg. Ein einziger Mega-Kanal macht mittlerweile über 30 % der gesamten Nachrichtenreichweite aus. Die Analyse der Posting-Rhythmen und der Erstellung neuer Kanäle innerhalb kurzer Zeit deutet eher auf eine koordinierte Aktivierung als auf organische oder spontane Aktivitäten hin.

Tägliches Nachrichtenvolumen

Nach der ersten Eskalation des Konflikts stieg das Nachrichtenaufkommen der Hacktivisten von weniger als 100 Nachrichten am 12. Juni auf über 1500 Nachrichten am 13. Juni – ein Anstieg, der mit dem Beginn des Konflikts übereinstimmt.

Das Tempo der Operation folgte einem klassischen Hacktivisten-Wellenmuster: ein explosiver Start, eine kurze Stabilisierung (vom 14. bis 17. Juni durchschnittlich 576 Nachrichten pro Tag), ein zweiter Anstieg am 18. Juni, gefolgt von einem stetigen raschen Rückgang.

Zusammenfassung der Kanalentwicklung

• Erste Welle (13. Juni): 1.514 Nachrichten.
• Kurze Stabilisierung (14.–17. Juni): durchschnittlich 576 Nachrichten pro Tag.
• Zweite Welle (18. Juni): 1.166 Nachrichten.
• Rückgang nach der Welle: Kontinuierlicher Rückgang des Nachrichtenvolumens, das nun um ~70 % unter dem Spitzenwert liegt.

Bemerkenswert ist, dass die Aktivität ohne den Anstieg vom 13. Juni nie wieder das ursprüngliche Niveau erreicht hat. Selbst der Spitzenwert vom 18. Juni erreichte nur etwa 75 % des Volumens vom Starttag, was auf eine nachlassende Dynamik hindeutet. Group-IB geht davon aus, dass die künftigen Aktivitäten eher in kurzen, reaktiven Ausbrüchen im Zusammenhang mit geopolitischen Brennpunkten bestehen werden als in einer anhaltenden, koordinierten Kampagne.

Analyse des Kanalnetzwerks

• • Der am häufigsten zitierte Kanal war DieNet, der 79 Mal in anderen Telegram-Kanälen erwähnt wurde.
  • Etwa 16,16 % der Inhalte wurden weitergeleitet (aus anderen Quellen verstärkt), während die restlichen 83,84 % Originalinhalte waren, was auf eine breite, dezentrale Beteiligung hindeutet.
  • Insgesamt wurden zwischen dem 13. und 20. Juni mehr als 5.800 Nachrichten in den beobachteten Hacktivisten-Kanälen aufgezeichnet.

Die Analyse der Weiterleitungen von Nachrichten während des Konfliktzeitraums zeigt ein deutliches bimodales Muster im zeitlichen Verhalten. Die meisten Weiterleitungen lassen sich in zwei Kategorien einteilen: sofortige Reaktionen (26 % innerhalb von 0–15 Minuten) und verzögerte Reaktionen (50 % nach mehr als 12 Stunden).

• In den mittleren Zeiträumen war die Aktivität deutlich geringer – nur 8,5 % der Weiterleitungen erfolgten innerhalb von 15 bis 60 Minuten und nur 15,3 % innerhalb von 1 bis 12 Stunden. Die relativ geringe Aktivität in den mittleren Zeiträumen (15 Minuten bis 12 Stunden) deutet darauf hin, dass das Weiterleitungsverhalten eher um sofortige Reaktionen und verzögerte Entdeckungen herum gruppiert ist, als dass es sich um eine kontinuierliche Weitergabe über den Tag verteilt handelt.

Tageszeit-Aktivität

In der ersten Woche des Konflikts (13. bis 20. Juni) veränderten sich die Aktivitätsmuster der Hacktivistenkanäle im Vergleich zum Ausgangswert (12. Mai bis 12. Juni) dramatisch:

• Die Aktivität am frühen Morgen stieg im Vergleich zum Ausgangswert um 74,5 %
• Der Nachmittags-/Abend-Höhepunkt der Ausgangsaktivität brach während der Konfliktwoche mit einem Rückgang von 47 % ein
• Die Aktivität zwischen 04:00 und 07:00 UTC blieb in beiden Zeiträumen konstant niedrig.

Ein deutlicher Rückgang der Aktivität zwischen 04:00 und 07:00 UTC deutet darauf hin, dass die Beiträge nicht vollständig automatisiert verbreitet wurden, sondern von Menschen gesteuert wurden. Dieser Rhythmus entspricht den regionalen Arbeits- und Ruhezeiten und stützt die Einschätzung, dass trotz einer gewissen Automatisierung die manuelle Kuratierung nach wie vor eine zentrale Rolle bei der Verbreitung der Kampagneninhalte spielt.

Übertriebene oder falsche Behauptungen

Wie bereits in früheren Konflikten zu beobachten war, haben Hacktivisten-Gruppen mit angeblichen Cyberangriffen und Datenverstößen für viel Aufsehen gesorgt. Den meisten Behauptungen fehlen jedoch glaubwürdige Beweise und sie scheinen eher der Schikane und der Meinungsmanipulation zu dienen als operative Auswirkungen zu haben. Die folgenden Beispiele veranschaulichen die typischen Muster für übertriebene oder erfundene Vorfälle.

Falsche Behauptung: Kompromittierung ägyptischer Universitäten

Shadow Unit ist eine arabischsprachige Hacktivisten-Gruppe, die am 28. September 2024 auf Telegram auftauchte und seitdem etwa 1.240 Follower gewonnen hat. Anfänglich zeigte die Gruppe opportunistisches Zielverhalten und bekannte sich zu Website-Verunstaltungen und angeblichen Datenlecks. Es gab kaum Anzeichen für ein strategisches operatives Motiv oder Zielmuster. Im Oktober 2024 verlagerte die Gruppe ihren Fokus und bezog Israel in ihre Botschaften mit ein, wobei sie andere Hacktivisten-Teams zu koordinierten Cyberangriffen aufrief.

Nach den jüngsten regionalen Entwicklungen im Juni 2025 begann die Shadow Unit, die Verantwortung für DDoS-Angriffe und Datenlecks gegen Israel und Ägypten zu übernehmen.
Am 17. Juni behauptete die Hacktivisten-Gruppe, die Zugangsdaten von 12.000 Fakultätsmitgliedern und Studenten „renommierter ägyptischer Universitäten” kompromittiert zu haben (Abbildung 19).

Die Gruppe nannte zwar keine konkreten Ziele, aber Shadow Unit veröffentlichte ein Bild, das die angeblich kompromittierten Zugangsdaten zeigt (siehe unten).

Die Spezialisten von Group-IB haben die Behauptung von Shadow Unit analysiert und aufgrund mehrerer Faktoren als nicht glaubwürdig eingestuft. In der Vergangenheit haben sich Behauptungen von Hacktivisten-Gruppen über Sicherheitsverletzungen und Datenlecks häufig als wiederverwertete Daten aus früheren Sicherheitsverletzungen, Stealer-Protokollen oder Combolisten herausgestellt.

Combolists sind Dateien, die große Mengen an Login- und Passwort-Einträgen enthalten und häufig über illegale Kanäle wie Telegram und Dark-Web-Foren verbreitet werden. Diese Zusammenstellungen enthalten in der Regel eine Mischung aus alten, wiederverwendeten oder vollständig erfundenen Anmeldedaten und keine neu kompromittierten Daten.
Mithilfe der Threat Intelligence-Plattform von Group-IB konnten Analysten bestätigen, dass die von Shadow Unit angegebenen Anmeldedaten aus bereits bekannten Combolist-Dateien stammten und keine Hinweise auf eine kürzlich erfolgte Kompromittierung vorlagen.

Recycelte Daten fälschlicherweise als SAP-Israel-Leck dargestellt

RuskiNet ist eine Hacktivisten-Gruppe, die erstmals im Februar 2025 auf X (ehemals Twitter) beobachtet wurde. In vier Monaten hat die Gruppe die Verantwortung für Cyberangriffe auf Organisationen in Russland, den Vereinigten Staaten, Polen, Nigeria, Algerien, der Türkei, Indien und Israel übernommen.

Ihre Behauptungen umfassen DDoS-Angriffe, Website-Verunstaltungen und angebliche Datenlecks in mehr als 16 Branchen.

Die Analysten von Group-IB beobachten RuskiNet seit seiner Entstehung und stufen die Gruppe aufgrund von Datenlecks, die in ihren sozialen Medien und in Dark-Web-Foren behauptet werden und deren Glaubwürdigkeit gering ist, als wenig zuverlässig ein.

Am 13. Juni behauptete ein mit RuskiNet verbundener Nutzer, der unter dem Pseudonym „YK3“ auf dem Marktplatz DarkForums auftritt, Daten von 38.000 Mitarbeitern von SAP Israel veröffentlicht zu haben.

Während der Datensatz Einträge mit Bezug zu SAP Israel enthielt, identifizierten die Analysten von Group-IB zahlreiche Übereinstimmungen mit einer bereits bekannten Datenpanne aus dem Oktober 2023, die ursprünglich mit einer israelischen Plattform für digitale Zahlungen in Verbindung gebracht worden war.

Empfehlungen für Unternehmen

Um die Risiken zu mindern, die durch die jüngsten regionalen Cyber-Eskalationen im Nahen Osten entstehen, empfiehlt Group-IB folgende Maßnahmen:

1. DDoS-Angriffe
   • Nutzen Sie Group-IB Threat Intelligence, um über die Taktiken, Techniken und Verfahren (TTPs) von Hacktivisten, bevorstehende Kampagnenangriffe und die IP-Infrastruktur auf dem Laufenden zu bleiben.
   • Unsere maßgeschneiderten Bedrohungsinformationen bieten Unternehmen kontextspezifische Einblicke in die Bedrohungslage und relevante Risiken, individuelle Berichte und Frühwarnungen – weit über allgemeine Warnmeldungen hinaus, um die Reaktionszeit und die Effizienz von Abwehrmaßnahmen zu verbessern.
   • Viele Angreifer setzen automatisierte DDoS-Tools ein, um ihre Angriffe auszuführen. Diese Tools verwenden häufig vordefinierte Listen mit Proxy-Adressen. Diese Listen werden gesammelt, regelmäßig aktualisiert und von Threat Intelligence-Systemen bereitgestellt. Darüber hinaus verbergen einige Angreifer ihre tatsächlichen IP-Adressen mit Standardmethoden wie VPNs, Proxys oder TOR. Die Bedrohungsinformationen von Group-IB erfassen auch diese Informationen und können Listen mit verdächtigen IP-Adressen ergänzen, um die Blockierung eingehenden bösartigen Datenverkehrs zu erleichtern.
   • Aktivieren Sie den Anti-DDoS-Schutz und stellen Sie sicher, dass er aktiv ist. Diversifizieren Sie Ihre Anbieter: Verwenden Sie mehrere ISPs oder Cloud-Anbieter, um Redundanz zu gewährleisten. Wenn einer angegriffen wird, können Sie auf andere zurückgreifen.
   • Upstream-Filterung: Arbeiten Sie mit ISPs zusammen, die Filterung bösartigen Datenverkehrs anbieten, um diesen zu blockieren, bevor er Ihr Netzwerk erreicht.
   • Skalieren Sie Ressourcen: Skalieren Sie Ressourcen automatisch, um Traffic-Spitzen abzufangen, insbesondere mithilfe von Cloud-Diensten, die automatische Skalierung bieten.
   • Ratenbegrenzung: Begrenzen Sie die Anzahl der Anfragen, die ein Benutzer in einem bestimmten Zeitraum senden kann.
   • Bot-Schutz: Wenn Sie mit einem L7-DDoS-Angriff auf Webanwendungen konfrontiert sind und der aktuelle Anbieter Probleme hat, stellen Sie sicher, dass Ihr Unternehmen über einen Bot-Schutz verfügt.
   • Geofencing: Blockieren Sie den Zugriff von IP-Adressen außerhalb der Region auf kritische Anwendungen, wenn ein Angriff aktiv ist.
   • Verwenden Sie Blacklists und Whitelists.
   • Speichern Sie Protokolle während DDoS-Angriffen: Technische Informationen über den Angriff können Ihre Erkennungs- und Präventionsfähigkeiten nach einer eingehenden Analyse erheblich verbessern. Darüber hinaus liefern sie wertvolle Erkenntnisse für weitere Untersuchungen.
2. Defacements
   • Regelmäßige Backups: Speichern Sie Backups sowohl vor Ort als auch extern, damit Sie Ihre Website nach einer Defacement schnell wiederherstellen können.
   • CMS aktualisieren: Stellen Sie sicher, dass Ihr Content-Management-System (CMS) nicht über das Internet zugänglich ist und regelmäßig auf die neueste Version aktualisiert wird. Aktualisieren Sie alle Plugins, Themes und Erweiterungen. Veraltete Plugins können ein häufiger Angriffsvektor sein.
   • Aktualisieren Sie regelmäßig die Backend-Software des Webservers, um die Ausnutzung gängiger CVEs zu verhindern.
   • Web Application Firewall (WAF): Konfigurieren Sie eine WAF, um den eingehenden Datenverkehr zu überprüfen, bösartige Anfragen zu blockieren und Versuche, Schwachstellen auszunutzen, abzuwehren.
   • Beginnen Sie mit der Suche nach Ihren öffentlich zugänglichen Schatten-IT-Assets, um potenzielle Schwachstellen aufzudecken, die von Angreifern ausgenutzt werden können. Wir empfehlen Lösungen wie Attack Surface Management.
   • Schatten-IT einschränken: Begrenzen Sie Ihre Angriffsfläche, indem Sie nicht benötigte Dienste deaktivieren und keine Standard-URLs für die Anmeldung oder Admin-Panels verwenden.
   • CMS-Zugriff einschränken: Das Aufkommen von Untergrundmärkten hat potenziellen Angreifern, darunter auch Hacktivisten, das Vorgehen erheblich erleichtert. Diese illegalen Marktplätze bieten bereits kompromittierten CMS-Zugriff oder Web-Shells an, sodass Angreifer diese Systeme nicht mehr selbst knacken müssen. Nutzen Sie Threat-Intelligence-Plattformen, um Informationen über unbefugte Zugriffe zu erhalten, die möglicherweise zum Verkauf stehen. So können Sie potenzielle Bedrohungsaktivitäten verhindern und Risiken neutralisieren, bevor andere böswillige Akteure diesen Zugriff erwerben und ausnutzen.
   • Implementieren Sie Geofencing während der aktiven Phase eines Angriffs.
3. Datenlecks
   • Nutzen Sie Group-IB Threat Intelligence, um kompromittierte Unternehmenszugangsdaten Ihrer Mitarbeiter zu überwachen. Stellen Sie sicher, dass die Passwörter Ihrer Mitarbeiter regelmäßig aktualisiert werden und dass sie keine alten Passwörter wiederverwenden.
   • Stärken Sie Ihre Passwortrichtlinien. Stellen Sie sicher, dass die Passwörter Ihrer Mitarbeiter regelmäßig aktualisiert werden und dass sie keine alten oder gleichen Passwörter wiederverwenden. Unternehmen sollten nicht nur strenge Passwortrichtlinien festlegen, sondern diese auch regelmäßig aktualisieren, um mit den sich ständig weiterentwickelnden Bedrohungen und Sicherheitsbest Practices Schritt zu halten. Die Schulung der Mitarbeiter und die Durchsetzung dieser Richtlinien sind ebenso wichtig, um die Einhaltung der Vorschriften und die Datensicherheit zu gewährleisten.

Quelle: Group-IB-Blog

---