Share
Beitragsbild zu Trellix Threat Labs Report: ein Blick auf die russische Cyber-Kriminalität

Trellix Threat Labs Report: ein Blick auf die russische Cyber-Kriminalität

Russische Cyber-Kriminelle sind schon immer aktiv gewesen. Auch wenn im ersten Quartal die russischen Cyber-Attacken aufgrund des anhaltenden Konflikts in der Ukraine eine vergleichsweise geringe Dynamik zeigten und keine neuen Taktiken zu beobachten waren, bedeutet das höchstwahrscheinlich nur, dass anspruchsvollere Tools und Methoden noch zurückgehalten werden. Bei einer weiteren Eskalation werden wir jedoch mit hoher Wahrscheinlichkeit völlig neues Arsenal an Cyber-Waffen erleben.

Denn es zeichnet sich ein immer klareres Bild der veränderten Bedrohungslandschaft. Die Grenzen zwischen den kriminellen Akteuren – einzelne Angreifer vs. organisierte Cyber-Kriminalität vs. staatliche Kampagnen – verschwimmen zunehmend. Nutzen einzelne Hacker opportunistisch IT-Schwachstellen aus, um davon zu profitieren, so bündelt die organisierte Cyber-Kriminalität ihre Kräfte und hebelt ganze Sicherheitsstandards aus.

Cyber-Kriminalität mit staatlichem Backing

Seit langem gibt es Spekulationen über die Beteiligung von Nationalstaaten an der (organisierten) Cyber-Kriminalität. Dies ist im Allgemeinen schwer zu beweisen. Im Gegensatz zur organisierten Cyber-Kriminalität sind diese Gruppierungen mit staatlichem Backing in der Lage, Sicherheitslücken zu finden und ihre eigenen Exploits für diese Schwachstellen zu entwickeln, bevor die breite Öffentlichkeit davon erfährt.

Hinzu kommt, dass staatlich unterstützte Gruppen nicht immer direkt von ihren Aktivitäten profitieren wollen. Die Übernahme von Systemen durch Ransomware oder die Löschung mit einem Wiper verursacht Kosten bei den Opfern, da sie ihre Systeme wiederherstellen, Ausfallzeiten in Kauf nehmen und die Integrität der (scheinbar) unbeeinträchtigten Systeme sicherstellen müssen.

Seit Russland im Januar damit begonnen hat, Websites der ukrainischen Regierung ins Visier zu nehmen, wurden auf beiden Seiten mehrere Wiper-Familien beobachtet. Wenn sich Akteure für den Einsatz eines Wipers entscheiden, wissen sie, dass diese Waffe auch gegen sie eingesetzt werden kann. Abgesehen vom Schaden wird sie oft zu Propagandazwecken eingesetzt, um zu zeigen, wie „schwach“ die gegnerische Verteidigung ist.

Conti-Leaks liefern erstmalig eindeutige Beweise

Finanziell motivierte Akteure arbeiten seit jeher grenzüberschreitend zusammen und halten sich oft aus der Politik heraus. Der aktuelle Russland-Ukraine-Konflikt ist jedoch nicht zu ignorieren, auch nicht für Cyber-Kriminelle, da sie gezwungen sind, sich für eine Seite zu entscheiden.

Nachdem interne Chats der Ransomware-Gruppe Conti in Umlauf gebracht wurden, in denen sie ihre Verbundenheit mit Russland bekundet, scheint klar zu sein, dass die russische Regierung Cyber-Kriminelle aktiv unterstützt. Conti stand im Berichtszeitraum auf Platz 2 der Ransomware-Akteure. Das Durchsickern der Conti-Chats hat zum ersten Mal in der Geschichte einige handfeste Beweise für die Verbindungen der Gruppe zur russischen Regierung geliefert. Es kommt nicht oft vor, dass die ganze Welt einen Einblick in die Geschäftsabläufe einer hochrangigen kriminellen Gruppe erhält. Aufgrund der Schwere der Leaks besteht eine gute Chance, dass die Conti-Gruppe ihren Namen ändern oder ihre Mitglieder auf andere Ransomware-Familien verteilen wird.  Conti hat den Betrieb normal fortgesetzt und fügt ihrem Blog regelmäßig neue Opfer hinzu – trotz der geleakten Chats. Wir gehen davon aus, dass die Ransomware-Gruppe nach wie vor ihre Kampagnen und Operationen durchführt, bei denen sie Daten von Unternehmen auf der ganzen Welt verschlüsselt und sie zur Zahlung eines Lösegelds erpresst, um sich persönlich zu bereichern.

Weitere Beobachtungen

Von Februar bis März 2022 konnten wir sehen, wie die pro-russische Gamaredon-Gruppe ein Word-Dokument verwendete, das als legitimes Dokument des Außenministeriums ausgegeben wurde. Dieses Dokument war mit einem VBS-Skript hinterlegt, um eine persistente Datei herunterzuladen und auf dem Computer des Opfers zu installieren.

Im März beobachteten wir mehrere Phishing-Versuche, bei denen versucht wurde, sich als das Verteidigungsministerium der Ukraine auszugeben. Dies ist ein weiteres Beispiel dafür, wie Angreifer versuchen können, Anmeldeinformationen von Netzwerken ihrer Opfer zu erhalten.

Ebenfalls im März wurde ein Hacker dabei beobachtet, wie er versuchte, Informationen von einem Client-System zu erhalten und die Ausgabe des Befehls in die Datei „owafont_ua.css“ zu schreiben, die auf dem OWA Exchange-Webserver gehostet wird.

Im April 2022 beobachtete Trellix Labs Indikatoren, die das ukrainische CERT der russischen Bedrohungsgruppe UAC-0056 zuordnete. Der Angriff richtet sich in erster Linie gegen die ukrainische Regierung und den Energiesektor.

Am 18. April 2022 wurde auf einem unserer E-Mail-Gateways eine bösartige E-Mail mit dem Betreff „ua report“ identifiziert, die vermutlich von einem kompromittierten ukr[.]net-Konto stammt. Diese wird der in Russland ansässigen APT28 zugeschrieben.

Am 9. Mai 2022 erhielt ein Regierungskunde in der Ukraine eine Spear-Phishing-E-Mail an eine seiner allgemeinen E-Mail-Adressen. Die E-Mail enthielt eine Nachricht, die auf einen Katalog in einem Zip-Archiv verwies, das von Doupledrop stammte.

Zu den weiteren Aktivitäten von Gamaredon gehört das Vorhandensein eines UltraVNC Remote Admin Tools bei einem unserer ukrainischen Kunden. Remote-Admin-Tools werden häufig zur Umgehung von Sicherheitskontrollen eingesetzt.

Living Security – ein sicherer Ansatz für eine komplexe Bedrohungslage

Nationalstaatliche Akteure nutzen die Cyber-Kriegsführung, um ihre politischen, wirtschaftlichen und territorialen Ziele zu verfolgen. Die Ereignisse in der Ukraine sind nur das jüngste Beispiel. Zerstörerische Malware und digitale Schikanen beeinträchtigen die technologische Infrastruktur der Ukraine, während physische Panzer und Truppen Druck auf die ukrainischen Landesgrenzen ausüben. Unternehmen sollten daher unbedingt wachsam bleiben, denn bereits jetzt befinden sie sich im Visier der Angreifer. Mit veralteten Systemen und Technologien vergrößert sich die Angriffsfläche immens und Sicherheitsexperten werden jeden Tag aufs Neue vor große Herausforderungen gestellt. Angriffe werden komplexer, schneller und unvorhersehbarer. Mit einer XDR-Lösung können diese Attacken analysiert und Sicherheitstelemetrie-Daten über mehrere Kontrollen hinweg zusammengeführt werden. XDR hat das Potenzial, Unternehmen mit angereicherten, aggregierten und adaptiven Sicherheitsanalysefunktionen zu modernisieren, um Untersuchungen zu beschleunigen und Lösungen zu finden – oder Bedrohungen zu verhindern, bevor sie auftreten. Wir nennen diesen Ansatz auch: Living Security.

Vertiefende Informationen gibt es im aktuellen Threat Labs Report


Methodik

Der Threat Report: Summer 2022 nutzt neben proprietären Daten aus dem Trellix-Netzwerk mit mehr als eine Milliarde Sensoren auch Open-Source-Daten und Erkenntnisse des Lab-Teams zu aktuellen Bedrohungen wie Ransomware oder staatlich unterstützter Cyber-Kriminalität. Für den Nachweis von Bedrohungen werden auch Telemetriedaten herangezogen. Als Bedrohungsnachweis gilt die Aufdeckung und Meldung einer Datei, einer URL, einer IP-Adresse, einer verdächtigen E-Mail, eines Netzwerkverhaltens oder eines anderen Indikators über das Trellix-XDR-Ökosystem.

 

 

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden