Radware hat zu Jahresbeginn neue Attacken der seit 2017 aktiven 8220 Gang festgestellt, einer gewinnorientierten Hackergruppe aus China, die vor allem öffentliche Cloud-Umgebungen angreift. Diese Angriffe führt die auch als 8220 Mining Group bekannte Gruppe mit einem speziell entwickelten Krypto-Miner und einem IRC-Bot durch und zielt damit insbesondere auf schlecht gesicherte Cloud-Anwendungen ab. Die 8220 Gang hat ihre Taktiken und Strategien seit 2017 weiterentwickelt, ihre Fähigkeiten sind jedoch nicht perfekt. So konnte Radware einen Angriffsversuch auf einen seiner Redis-Honeypots feststellen. Redis war nach dem Radware Threat Report 2022 im vergangenen Jahr der am vierthäufigsten gescannte und ausgenutzte TCP-Port, während er 2021 noch auf Platz 10 lag.
„Die Bedrohung durch Cloud-Umgebungen und unsichere Anwendungen stellt weiterhin ein Risiko für Unternehmen auf der ganzen Welt dar, insbesondere für solche, die schwache Anmeldeinformationen verwenden oder Schwachstellen nicht sofort patchen“, kommentiert Daniel Smith, Cyber Threat Intelligence Research Head bei Radware. „Aufgrund mangelnder Sicherheitshygiene sind auch relativ gering qualifizierte Gruppen wie die 8220 Gang in der Lage, einen erheblichen Schaden in den Zielsystemen anzurichten.“
Das Hauptziel der 8220 Gang ist es, schlecht gesicherte Cloud-Server mit einem speziell entwickelten Krypto-Miner und einem Tsunami IRC-Bot zu kompromittieren und die Unternehmen mit den Folgen zu konfrontieren. Das Hauptproblem bei Krypto-Mining-Malware ist, dass sie die Systemleistung stark beeinträchtigen kann. In elastischen Umgebungen kann solche Malware auch zur automatisierten und kostenpflichtigen Erweiterung von Ressourcen führen, die das Opfer des Angriffs dann zu bezahlen hat. Darüber hinaus kann sie Systeme weiteren Sicherheitsrisiken aussetzen, und sobald diese infiziert sind, können die Angreifer denselben Zugang nutzen, um andere Arten von Malware zu installieren. Dazu gehören Keylogger und Tools für den Fernzugriff, die dann genutzt werden können, um sensible Informationen zu stehlen, sich unbefugten Zugriff auf sensible Daten zu verschaffen oder Ransomware und Wiper zu installieren. Als Backdoor nutzt die 8220 Gang den Tsunami-Bot, der es ihr ermöglicht, Systeme aus der Ferne zu kontrollieren und DDoS-Angriffe (Distributed Denial of Service) zu starten.
Radware empfiehlt in einem Threat Advisory zur neuen Kampagne der 8220 Gang, für ein hohes Maß an Transparenz auch in der Public Cloud zu sorgen, zumal Public-Cloud-Anbieter meist nur begrenzte Sicherheitskontrollen anbieten, so dass es für Bedrohungsakteure einfacher ist, Schwachstellen zu finden und auszunutzen.
Fachartikel
Studien
Studie Cloud-Strategien: Von kleinen Schäfchenwolken zum Cumulus
IDC-Studie: 82 Prozent der deutschen Unternehmen nutzen die Cloud – umfassende Automatisierung der Workloads ist aber noch Zukunftsmusik
Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum
2023 State of the Cloud Report
Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen
Whitepaper
WatchGuard Internet Security Report: Enormer Anstieg von Endpoint-Ransomware, dafür weniger Netzwerk-Malware
5 Tipps für die SAP- und OT-Sicherheit: So haben Hacker keine Chance
Neuer Forrester-Report: Varonis als führender Anbieter von Datensicherheits-Plattformen ausgezeichnet
Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise
Aufkommende Trends in der externen Cyberabwehr
Unter4Ohren
Die aktuelle Bedrohungsentwicklung und warum XDR immer wichtiger wird
Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS
DDoS – der stille Killer
Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen
