Gefährliche Allianz: Warum geopolitische Krisen staatliche und kommerzielle Hacker zusammenbringen und was das für Unternehmen bedeutet

Staatliche Cyberspione aus dem Iran und Nordkorea kooperieren verstärkt mit kommerziellen Ransomware-Gruppen, um Schaden in westlichen Firmennetzen anzurichten. Was schlecht für die Wirtschaft im Westen ist, ist gut für die Akteure und jene Staaten, für die sie arbeiten. Die Grenzen zwischen staatlich und kommerziell organisiertem Hacking verschwimmen, auch was deren Fähigkeiten und Ausstattung betrifft.

Die Forschungsgruppe Unit 42 von Palo Alto hat kürzlich in einem Bericht erklärt, dass die Hackergruppe Jumpy Pisces in einen Ransomware-Vorfall mit neuer Taktik verwickelt ist. Es scheint so, dass die Gruppe als so genannter Inital Access Broker (IAB) Zugriffe in Opfernetze beschafft und mit der kommerziell getriebenen Play Ransomgruppe teilt.

Die Gruppe Jumpy Pisces wird nach Angaben der Unit 42 vom nordkoreanischen Staat gefördert und steht in Verbindung mit dem Generalbüro für Aufklärung der koreanischen Volksarmee. Sie ist auch unter dem Namen Andariel und Onyx Sleet bekannt und war in der Vergangenheit an Cyberspionage, Finanzkriminalität und Ransomware-Angriffen beteiligt. Sie wurde vom US-Justizministerium bereits wegen des Einsatzes der individuell entwickelten Ransomware Maui angeklagt.

Das ist nun der zweite prominente Fall von Kooperation zwischen staatlichen Akteuren und kommerziellen Cyberkriminellen in kurzer Zeit. Bereits im August hat die amerikanische Cyber Defence Agency, kurz CISA, in einem Communique davor gewarnt, dass iranische Cyber-Akteure mit Nähe zur Regierung gezielt gegen amerikanische und andere westliche Organisationen vorgehen, indem sie in deren Netze einzudringen versuchen. Das FBI gab an, dass diese Gruppen mit der iranischen Regierung in Verbindung stehen. Sobald es diesen Akteuren gelingt, in ein Netz einzudringen, geben sie diese Zugänge an andere Ransomware-Gruppen weiter, damit diese die finale Attacke durchführen, um den Zielfirmen schaden zu können. Nach dem Motto: was schlecht ist für den Westen, ist gut für den Iran.

Fähigkeiten nähern sich an

Das Cyberrisiko für deutsche Firmen ist auch aus einem anderen Grund gewachsen. Bislang galten staatlich finanzierte Cyberhacker als die Elite in ihrem Metier, weil sie top ausgebildet sind, gut finanziert werden und in großen strukturierten Teams arbeiten konnten. Deren Königsdisziplin war es, Zero-Day-Schwachstellen zu finden und sie dann gezielt und möglichst lange gegen die Zielfirmen einzusetzen.

Doch die hohen Profite aus dem privaten Ransomware-Geschäft haben auch hier die Kräfteverhältnisse angeglichen. Die Analysen von Chainanalysis gehen davon aus, dass im Jahr 2023 rund 1 Milliarde US Dollar mit Ransomware umgesetzt wurde.

Die Ransomware-Gruppen haben sich professionalisiert und ihr Geschäft auf das hochskalierbare digitale ‚As a Service‘-Modell umgestellt. Kriminelle ohne großes technisches Vorwissen können nun in das Ransomware-Geschäft einsteigen und über diese zentralen Ransomware-As-a-Service-Plattformen (RaaS) Firmen und Privatpersonen angreifen. Ein vorgefertigtes Toolset aus digitalen Angriffspaketen hilft ihnen dabei. Finanziert werden diese Plattformen durch das Teilen von Gewinnen. Die Dienstnutzer müssen rund 20 Prozent ihres Umsatzes an die Plattformbetreiber abtreten.

Diese Summen wiederum fließen zurück in die Entwicklung neuer Angriffsverfahren und die Suche nach Zero-Day-Schwachstellen – Fehler in weit verbreiteten Programmen und Produkten, durch die ein Angreifer heimlich an allen Abwehrprogrammen vorbei in ein Netz eindringen kann. Dadurch haben sich die technische Ausstattung sowie die Fähigkeiten staatlicher und privater Akteure stark angenähert, weshalb eine Kooperation zwischen beiden auf einmal plausibler erscheint. Man begegnet sich immer öfter auf Augenhöhe.

Für Firmen bedeutet dies vor allem eines: Die Wahrscheinlichkeit, erfolgreich gehackt zu werden, ist weiter gewachsen. Daher sollten sich die Verantwortlichen stärker darauf konzentrieren, den Schaden erfolgreicher Angriff einzudämmen, statt ihn mit noch mehr Tools und Abwehrfunktionen verhindern zu wollen.

Wichtiger sind Prozesse und Fähigkeiten geworden, mit denen sich ein erfolgreicher Angriff untersuchen lässt, während er gerade läuft. Darunter fallen auch all jene essenziellen Mechanismen, mit denen die Verantwortlichen auf die Attacke reagieren, sie eindämmen und betroffene Daten sowie Systeme sicher und gehärtet zurück in den Betrieb spielen können.

James Blake, Head of Global Cyber ​​Resilience Strategy

Bild/Quelle: https://depositphotos.com/de/home.html