Radware hat zu Jahresbeginn neue Attacken der seit 2017 aktiven 8220 Gang festgestellt, einer gewinnorientierten Hackergruppe aus China, die vor allem öffentliche Cloud-Umgebungen angreift. Diese Angriffe führt die auch als 8220 Mining Group bekannte Gruppe mit einem speziell entwickelten Krypto-Miner und einem IRC-Bot durch und zielt damit insbesondere auf schlecht gesicherte Cloud-Anwendungen ab. Die 8220 Gang hat ihre Taktiken und Strategien seit 2017 weiterentwickelt, ihre Fähigkeiten sind jedoch nicht perfekt. So konnte Radware einen Angriffsversuch auf einen seiner Redis-Honeypots feststellen. Redis war nach dem Radware Threat Report 2022 im vergangenen Jahr der am vierthäufigsten gescannte und ausgenutzte TCP-Port, während er 2021 noch auf Platz 10 lag.
„Die Bedrohung durch Cloud-Umgebungen und unsichere Anwendungen stellt weiterhin ein Risiko für Unternehmen auf der ganzen Welt dar, insbesondere für solche, die schwache Anmeldeinformationen verwenden oder Schwachstellen nicht sofort patchen“, kommentiert Daniel Smith, Cyber Threat Intelligence Research Head bei Radware. „Aufgrund mangelnder Sicherheitshygiene sind auch relativ gering qualifizierte Gruppen wie die 8220 Gang in der Lage, einen erheblichen Schaden in den Zielsystemen anzurichten.“
Das Hauptziel der 8220 Gang ist es, schlecht gesicherte Cloud-Server mit einem speziell entwickelten Krypto-Miner und einem Tsunami IRC-Bot zu kompromittieren und die Unternehmen mit den Folgen zu konfrontieren. Das Hauptproblem bei Krypto-Mining-Malware ist, dass sie die Systemleistung stark beeinträchtigen kann. In elastischen Umgebungen kann solche Malware auch zur automatisierten und kostenpflichtigen Erweiterung von Ressourcen führen, die das Opfer des Angriffs dann zu bezahlen hat. Darüber hinaus kann sie Systeme weiteren Sicherheitsrisiken aussetzen, und sobald diese infiziert sind, können die Angreifer denselben Zugang nutzen, um andere Arten von Malware zu installieren. Dazu gehören Keylogger und Tools für den Fernzugriff, die dann genutzt werden können, um sensible Informationen zu stehlen, sich unbefugten Zugriff auf sensible Daten zu verschaffen oder Ransomware und Wiper zu installieren. Als Backdoor nutzt die 8220 Gang den Tsunami-Bot, der es ihr ermöglicht, Systeme aus der Ferne zu kontrollieren und DDoS-Angriffe (Distributed Denial of Service) zu starten.
Radware empfiehlt in einem Threat Advisory zur neuen Kampagne der 8220 Gang, für ein hohes Maß an Transparenz auch in der Public Cloud zu sorgen, zumal Public-Cloud-Anbieter meist nur begrenzte Sicherheitskontrollen anbieten, so dass es für Bedrohungsakteure einfacher ist, Schwachstellen zu finden und auszunutzen.
Fachartikel
Tag des Datenschutzes 2023: Widersprüchliche Trends in der Cybersicherheitspolitik drohen die Datenschutzbemühungen zu verwirren
Wenn der Datenschutz die Cybersicherheit zu schmälern droht
Cloud, SaaS und kritische Software-Lieferketten: Die wesentlichen Herausforderungen für Sicherheitsteams und Tipps, wie sie zu meistern sind
Wer ist für die Datensicherheit in der Cloud verantwortlich?
Warum Cybersecurity Ethical Hacking braucht
Studien
Accenture-Studie: Europäische Führungskräfte trotz aktuellem Gegenwind zuversichtlich
Zielgenaue und diversifizierte Cyberangriffe: Vier IT-Sicherheitstrends 2023
Studie: Managed Services weiter auf dem Vormarsch
Rund jedes dritte Unternehmen in den USA und Kanada Opfer von Ransomware-Attacken
Forsa-Studie: Öffentliche Verwaltung hinkt bei IT-Sicherheit eigenem Anspruch hinterher
Whitepaper
Aktuelle Cyberbedrohungen für die deutsche Wirtschaft – Group-IB Hi-Tech Crime Trends 2022/2023
Tag des Datenschutzes 2023: Widersprüchliche Trends in der Cybersicherheitspolitik drohen die Datenschutzbemühungen zu verwirren
Kompletter Leitfaden zur Auslagerung der Cybersicherheit für bessere Bedrohungsüberwachung und niedrigere Gesamtbetriebskosten
„State of DevOps Report 2023“: Plattform-Engineering als Schlüssel zum Erfolg von DevOps im Unternehmen
