
Radware hat zu Jahresbeginn neue Attacken der seit 2017 aktiven 8220 Gang festgestellt, einer gewinnorientierten Hackergruppe aus China, die vor allem öffentliche Cloud-Umgebungen angreift. Diese Angriffe führt die auch als 8220 Mining Group bekannte Gruppe mit einem speziell entwickelten Krypto-Miner und einem IRC-Bot durch und zielt damit insbesondere auf schlecht gesicherte Cloud-Anwendungen ab. Die 8220 Gang hat ihre Taktiken und Strategien seit 2017 weiterentwickelt, ihre Fähigkeiten sind jedoch nicht perfekt. So konnte Radware einen Angriffsversuch auf einen seiner Redis-Honeypots feststellen. Redis war nach dem Radware Threat Report 2022 im vergangenen Jahr der am vierthäufigsten gescannte und ausgenutzte TCP-Port, während er 2021 noch auf Platz 10 lag.
„Die Bedrohung durch Cloud-Umgebungen und unsichere Anwendungen stellt weiterhin ein Risiko für Unternehmen auf der ganzen Welt dar, insbesondere für solche, die schwache Anmeldeinformationen verwenden oder Schwachstellen nicht sofort patchen“, kommentiert Daniel Smith, Cyber Threat Intelligence Research Head bei Radware. „Aufgrund mangelnder Sicherheitshygiene sind auch relativ gering qualifizierte Gruppen wie die 8220 Gang in der Lage, einen erheblichen Schaden in den Zielsystemen anzurichten.“
Das Hauptziel der 8220 Gang ist es, schlecht gesicherte Cloud-Server mit einem speziell entwickelten Krypto-Miner und einem Tsunami IRC-Bot zu kompromittieren und die Unternehmen mit den Folgen zu konfrontieren. Das Hauptproblem bei Krypto-Mining-Malware ist, dass sie die Systemleistung stark beeinträchtigen kann. In elastischen Umgebungen kann solche Malware auch zur automatisierten und kostenpflichtigen Erweiterung von Ressourcen führen, die das Opfer des Angriffs dann zu bezahlen hat. Darüber hinaus kann sie Systeme weiteren Sicherheitsrisiken aussetzen, und sobald diese infiziert sind, können die Angreifer denselben Zugang nutzen, um andere Arten von Malware zu installieren. Dazu gehören Keylogger und Tools für den Fernzugriff, die dann genutzt werden können, um sensible Informationen zu stehlen, sich unbefugten Zugriff auf sensible Daten zu verschaffen oder Ransomware und Wiper zu installieren. Als Backdoor nutzt die 8220 Gang den Tsunami-Bot, der es ihr ermöglicht, Systeme aus der Ferne zu kontrollieren und DDoS-Angriffe (Distributed Denial of Service) zu starten.
Radware empfiehlt in einem Threat Advisory zur neuen Kampagne der 8220 Gang, für ein hohes Maß an Transparenz auch in der Public Cloud zu sorgen, zumal Public-Cloud-Anbieter meist nur begrenzte Sicherheitskontrollen anbieten, so dass es für Bedrohungsakteure einfacher ist, Schwachstellen zu finden und auszunutzen.
Fachartikel

Die 5 größten SAP-Sicherheitsrisiken und wie Sie diese mindern können

Vom Blocker zum Enabler: Wie Cybersicherheit geschäftlichen Mehrwert schafft

Forrester Unified Vulnerability Management (UVM) – Was es bedeutet und warum es wichtig ist

Supply-Chain-Angriff auf npm-Paket „rand-user-agent“: Malware entdeckt

LockBit gehackt: Der Fall des einst mächtigsten Ransomware-Syndikats
Studien

Princeton-Forscher warnen vor fatalen KI-Angriffen im Web3-Umfeld

Führungskräfte ohne KI-Wissen? Gartner-Umfrage offenbart Sorgen der CEOs

Schweigen über KI-Erfolge: Was eine neue Ivanti-Studie offenbart

IBM treibt den Einsatz generativer KI in Unternehmen mit hybrider Technologie voran

Weltweite Umfrage: Mehrheit der Technologieverantwortlichen spricht sich für Robotik im Arbeitsumfeld aus
Whitepaper

Group-IB präsentiert die zehn gefährlichsten Cybergruppen 2025

Cyberkriminelle nehmen 2025 verstärkt das Gesundheitswesen ins Visier

Cybersicherheit in KMUs: Alarmiert, aber schlecht gerüstet

Forescout warnt vor zunehmendem staatlich gefördertem Hacktivismus

Internationale KnowBe4-Umfrage: Über 90 Prozent halten Phishing-Tests für sinnvoll
Hamsterrad-Rebell

Sicherer SAP-Entwicklungsprozess: Onapsis Control schützt vor Risiken

Das CTEM-Framework navigieren: Warum klassisches Schwachstellenmanagement nicht mehr ausreicht

Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen

Anmeldeinformationen und credential-basierte Angriffe
