Anzeige

Anzeige

eCrime

eCrime gehört für Unternehmen inzwischen zu den größten Gefahren überhaupt. Allein 2020 gingen 79 % aller Cyberangriffe auf das Konto von eCrime-Akteuren. Die unterschiedlichen Gruppen sind im Verlauf der letzten Jahre immer enger zusammengewachsen und bilden mittlerweile ein sehr komplexes und vielschichtiges Ökosystem. 

Dieses eCrime-Netzwerk ist gleichzeitig stark und flexibel, wie ein Spinnennetz.

CrowdStrike verfolgt zahlreiche Angriffe weltweit und überwacht mittlerweile 149 verschiedene Angreifergruppen. Diese werden unter anderem nach Herkunft klassifiziert und erhalten ein Kryptonym zur Kategorisierung: So werden Angreifer des russischen Staatsapparats beispielsweise als “Bären” geführt, wie FANCY BEAR oder COZY BEAR, während chinesische Gruppen - egal ob aus dem militärischen oder aus dem nachrichtendienstlichen Milieu - als “Panda”, wie WICKED PANDA oder TURBINE PANDA, geführt werden. eCrime-Akteure hingegen eint der Deckname “Spinne”. Gruppen wie WIZARD SPIDER, MUMMY SPIDER oder DOPPEL SPIDER begegnet man häufig.

Niemand ist unersetzlich, auch nicht Emotet

Wie flexibel und gut organisiert das heutige eCrime-Ökosystem ist, zeigen die Entwicklungen, die sich nach der Zerschlagung der Emotet-Infrastruktur beobachten ließen. Emotet war bis zu diesem Zeitpunkt für zahlreiche Schäden in deutschen und internationalen Netzwerken verantwortlich. Da Emotet als sogenannte “Malware Delivery Platform” fungiert, wurden nach dem initialen Befall weitere Payloads wie Kryptotrojaner beim Opfer ausgerollt. Dass diese nachgelagerten Payloads oft im Auftrag anderer Gruppen verteilt wurden, ist typisch nicht nur für die Emotet-Infrastruktur, sondern für das komplette dahinter liegende Geschäftsmodell.

So wurde zum Beispiel oft beobachtet, wie die Emotet-Plattform weitere Software wie TrickBot im Auftrag von WIZARD SPIDER oder QakBot im Auftrag von MALLARD SPIDER nachlädt. Das heißt auch, dass MUMMY SPIDER als Betreiber von Emotet für den Zugang zu den gekaperten Netzwerken bezahlt wird. Um diesen Gruppen die Kontrolle über die jeweiligen Firmennetzwerke geben zu können, installiert MUMMY SPIDER über seine Emotet-Plattform proprietäre Werkzeuge anderer Gruppen, die damit den weiteren Prozess selber fortführen.

Es ist hierbei wichtig zu verstehen, dass das Ransomware-Universum in den letzten 18 Monaten signifikant expandiert ist. Auf die Zeiten, zu denen sich PCs noch eine Ransomware “eingefangen” haben, blicken wir so nostalgisch zurück wie auf  Folgen von Verbotene Liebe aus den 90er Jahren. Heutzutage wird Ransomware typischerweise hochprofessionell von Akteuren ausgerollt, die Verständnis vom IT- und Netzwerkbetrieb haben. Sie suchen gezielt die wichtigen Systeme, wie Domänencontroller und Sicherungsserver, und befallen diese, um möglichst große Betriebsstörungen zu verursachen. Nur so kommen sie an die hohen Lösegeldsummen, die heutzutage teilweise sechs- und siebenstellig sind.

Vor diesem Hintergrund kann sich die Justiz natürlich keinen Winterschlaf erlauben. Um den 25. Januar 2021 schaltete eine Gruppe internationaler Strafverfolger - angeführt vom BKA - die Infrastruktur von Emotet aus. Was ein durchschlagender Sieg sein sollte war jedoch nicht von Dauer: Innerhalb weniger Stunden nach der Zerschlagung hatten eCrime-Gruppen, die als “Kunden” das Emotet-Botnet nutzten, die jetzt fehlende Struktur durch andere Lieferanten ersetzt.

So setzte beispielsweise die kriminelle Gruppe WIZARD SPIDER bereits am 27. Januar auf die Services von SmokeBot und seinen Betreiber SMOKEY SPIDER. Die neue SmokeBot Verteilungsplattform verfügt über ähnliche Fähigkeiten wie Emotet und ermöglicht einen nahezu nahtlosen “Failover” im Betrieb für WIZARD SPIDER. Das versetzt die kriminellen Akteure in die Lage, weiterhin schädliche Aktionen gegen Opfer-Firmen durchzuführen.

Dass eCrime-Akteure innerhalb weniger Stunden nach einer Störung ihren Betrieb wieder aufnehmen können, zeigt, wie raffiniert und geschickt diese Gruppen agieren und vor allem wie gut vernetzt sie sind.

Könnte Ihr Unternehmen die Warenauslieferung oder die angebotene Dienstleistung innerhalb von zwei Tagen auf einen komplett neuen Subunternehmer umstellen?

Lesen Sie hier Teil 2: Ein Spinnennetz mit ausgeklügelter Struktur!

Chris Meidinger, Director Sales Engineering, Central & Northern Europe
Chris Meidinger
Director Sales Engineering, Central & Northern Europe, CrowdStrike

Artikel zu diesem Thema

Cybercrime
Mär 13, 2021

Die größten Cyber-Gefahren 2021

Das Ende des „Schadsoftware-Königs“ Emotet im Januar war zwar ein Erfolg im Kampf für die…
Emotet
Feb 11, 2021

EMOTET-Zerschlagung: Kriminelle Gruppen ersetzen in nur 24 Stunden ihre Tools

Die Zerschlagung des Emotet-Botnetzes ist für Unternehmen kein Grund zur Entwarnung, denn…
Ransomware
Jun 03, 2020

Ransomware: Gestern, heute und morgen

Vor drei Jahren trieb die Ransomware WannaCry ihr Unwesen und richtete große Verwüstungen…

Weitere Artikel

Hackerangriff

Hacker nutzen Schwachstellen von Pulse Connect Secure aus

Associated Press veröffentlichte die Nachricht, dass Hacker die Schwachstellen von Pulse Connect Secure ausgenutzt haben, um Verizon und die größte Wasserbehörde der USA sowie die New Yorker U-Bahn anzugreifen.
Phishing

Fax- und Scan-Phishing-Attacken nehmen zu

Dank der weltweiten Impferfolge und der sich langsam abschwächenden Fallzahlen kehren immer mehr Mitarbeiter in die ehemals gewohnte Büroumgebung zurück.
Hacker

Neue Welle von Ransom DDoS-Attacken durch Fancy Lazarus

Das Link11 Security Operations Center (LSOC) beobachtet neuerlich eine starke Zunahme von Ransom Distributed Denial of Service (RDDoS bzw RDoS)-Attacken.
Cyber Attacke

Immer wieder Ransomware: Cyberattacken auf kritische Sektoren nehmen zu

Im Jahr 2021 sehen wir weiterhin eine steigende Anzahl von Cyberangriffen auf Unternehmen, Organisationen und Behörden, die quasi wöchentlich in den Schlagzeilen der Medien landen.
Hacker

Plan B der Hacker: Nach dem Angriff ist vor dem Angriff

In den vergangenen Wochen erbeuteten Cyberkriminelle in den aufsehenerregendsten Hackerattacken der vergangenen Jahre mehrere Millionen Dollar.
Social Engineering

Social Engineering-Angriff? Erst Informationen sammeln, dann losschlagen!

Lassen sich Mitarbeitende eines Unternehmens so manipulieren, dass sie Informationen preisgeben, schädliche Links anklicken oder infizierte Anhänge öffnen? Ja, meinen die IT-Sicherheitsexperten der PSW GROUP.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.