Anzeige

eCrime

Eins der größten Gefahren für Unternehmen ist e-Crime. 79 % aller Cyberangriffe im Jahr 2020 gingen auf das Konto von eCrime-Akteuren. Diese kriminellen Gruppen können innerhalb weniger Stunden nach einer Störung ihren Betrieb wieder aufnehmen. 

eCrime-Kartelle: gemeinsame PR

Das Emotet-Beispiel zeigt deutlich, wie agil und eng vernetzt die einzelnen Akteure untereinander sind. Auch eine engere Zusammenarbeit scheuen die SPIDER-Gruppen nicht, was die Bildung von selbst-bezeichneten “Kartellen” verdeutlicht.

Vor wenigen Monaten, im Juni 2020, wurde das sogenannte ,Maze-Kartell’ von einigen eCrime-Akteuren gegründet. Anführer ist nach eigener Aussage die Gruppe TWISTED SPIDER, die gemeinsam mit VIKING SPIDER und den Betreibern der LockBit-Ransomware kooperieren. TWISTED SPIDER behauptet zudem, dass auch der Betreiber von SunCrypt und WIZARD SPIDER Teil des Kartells seien, dies wurde jedoch nicht bestätigt.

 

Lesen Sie hier Teil 1 der eCrime-Ökosystem-Serie 

 

Wie dieses sogenannte “Kartell” kooperiert, veranschaulicht ihre gemeinsame PR- und Marketingstrategie: Ganz dem Trend nach veröffentlichte das Maze-Kartell erbeutete Daten aus ihren Operationen auf ihren sogenannten Data Leak Sites (DLS). Während allerdings die meisten der Spinnen-Akteure nur die eigenen, in mühevoller Handarbeit geklauten, Daten auf der eigenen Seite im Angebot haben, boten die Mitglieder des Kartells auch entwendete Daten von anderen Kartellmitgliedern an. Vermutlich konnten sie so ein breiteres Publikum mit dem Angebot erreichen.

Spannend hierbei ist die Kollusion: Der Vergleich zu legitimen Verkäufern, welche die gleiche Ware auf mehreren Online-Portalen anbieten, liegt auf der Hand. Werden analog dazu die gleichen Daten auf mehreren DLS zum Verkauf angeboten, werden gewissermaßen die “Marketing-Kosten” durch die “Partnerschaft” gesenkt. Ohne Mehrausgaben erreicht jeder Verkäufer mehr mögliche Käufer.

TWISTED SPIDER kündigte im November 2020 das Ende der Maze-Operationen an und erklärte, es hätte nie ein Maze-Kartell gegeben. Nach Einschätzung von CrowdStrike Intelligence hat sich die Gruppe vermutlich nur umbenannt und ist von der Maze Ransomware auf die neuere Ransomware Egregor gewechselt. Gestützt wird diese Vermutung durch die hohen Code-Überschneidungen zwischen Maze und Egregor, einem Anstieg der Egregor-Aktivitäten, die mit einem Rückgang der Maze-Infektionen zusammenfallen, sowie der Ähnlichkeit der Taktiken und des Layouts der dazugehörigen DLS (z. B. Daten des Opfers nach Prozentsätzen gestaffelt zu veröffentlichen).

Doppelte Erpressung: Lösegeldforderung mit Datenleak-Erpressung

Das Ende des “Maze-Kartells” war aber nicht das Ende der Kartell-Gedanken. Am 22. Dezember 2020 erschien ein neuer Beitrag auf der im Tor-Netzwerk gehosteten DLS der Ransomware MountLocker. Er trug den dem Titel „Cartel News“ und enthielt Einzelheiten über ein Opfer von VIKING SPIDERs Ransomware Ragnar Locker. Die Veröffentlichung deutet auf das ungebrochene Interesse solcher Gruppen hin, ihre Marketingaktivitäten zusammenzulegen, um mit vereinten Kräften eine größere Bekanntheit zu erlangen. Wahrscheinlich dient das Publizieren der gegenseitigen Operationen dazu, den Ruf dieser Big Game Hunting-Gruppen zu stärken. “Big Game Hunter”, kurz “BGH”, wörtlich Großwildjäger, nennt CrowdStrike jene eCrime-Akteure, die sich auf immer größere, komplexere Netzwerke spezialisiert haben, um immer höhere Lösegeldsummen fordern zu können.

Die BGH-Ransomware-Kampagnen waren 2020 die primäre eCrime-Bedrohung für Unternehmen auf der ganzen Welt und in allen Branchen: CrowdStrike Intelligence identifizierte mindestens 1.377 individuelle Infektionen durch BGH-Aktivitäten. Ebenfalls erwähnenswert für dieses Jahr ist auch der oben angesprochene, aber weiter zunehmende Trend, bei dem Ransomware-Betreiber ihren Opfern mit der Veröffentlichung von Daten drohen und diese Drohungen über ihre Data Leak Sites auch regelmäßig wahr machen. Durch diese Taktik sollen die Opfer höchstwahrscheinlich zur Zahlung gezwungen werden. Allerdings ist dieses Vorgehen wohl auch als Reaktion auf die verbesserten Sicherheitspraktiken der Unternehmen zu verstehen: Immer mehr Organisationen steuern der Fremdverschlüsselung ihrer Daten entgegen, indem sie ausgeklügeltere Backup-Konzepte betreiben (und regelmäßig testen!), um ihre Sicherungskopien im Ernstfall tatsächlich verwenden zu können.

Keine 10 Minuten – kurze Breakout time

Obwohl die meisten Ransomware-Operationen opportunistisch sind, identifizierte CrowdStrike Intelligence die höchste Zahl an Ransomware-Operationen mit Datenerpressung in diesem Jahr im Industrie- und Maschinenbausektor, dicht gefolgt vom produzierenden Gewerbe. Die Gefahr Ransomware wird in den kommenden Jahren nach aller Erwartung weiter eskalieren. Besonders folgenden Faktor sollten heutige Unternehmen bei eCrime-Akteuren nicht unterschätzen: ihre Geschwindigkeit.

Enorm kurze „Ausbruchszeiten“, also die Zeit, die ein Angreifer braucht, um vom ersten gekaperten Rechner tiefer ins Netzwerk einzudringen, wurden bei eCrime-Akteuren im vergangenen Jahr beobachtet. Das gilt insbesondere für den erfahrenen BGH-Ransomware-Angreifer WIZARD SPIDER. Die Gruppe hat teilweise eine Breakout-Time von weniger als zehn Minuten.

Diese bemerkenswerte Geschwindigkeit fordert die Sicherheitsapparate in Unternehmen massiv heraus. Sobald eCrime-Gruppen beginnen, nach ihrem Erstzugriff, der beispielsweise durch das Öffnen einer Schaddatei in einer E-Mail erfolgt, sich lateral von einem Endgerät zum nächsten zu bewegen, steigen die Kosten, Komplexität, und auch die benötigte Zeit immens, um den Vorfall vollständig einzudämmen. Die Grenze zum Major Incident (und täglich grüßt das ITIL-Tier!) wird schnell überschritten, dicht gefolgt von einer Bringschuld an die Datenschutzbehörden.

Dass ein schneller Angreifer eine schnelle Reaktion erfordert, ist klar. Wie schnell diese jedoch genau sein muss, ist oftmals unklar. Die Tatsache, dass heutige Akteure eine Breakout-Time von weniger als zehn Minuten haben, unterstreicht die Bedeutung der 1/10/60-Regel von CrowdStrike für die Praxis. Sie besagt, dass Sicherheitsteams maximal eine Minute brauchen sollten, um einen Angriff technisch zu erkennen, maximal 10 Minuten, um ihn menschlich zu verstehen (oder zumindest eine ordentliche Ersttriage durch einen Analysten durchzuführen) und 60 Minuten, um ihn wieder technisch einzudämmen. Die Ausbruchszeit ist für Verteidiger wichtig zu verstehen, da sie die Parameter des Wettlaufs zwischen Angreifern und Verteidigern definiert. Durch die Reaktion innerhalb des Breakout-Zeitfensters sind Verteidiger in der Lage, die von den Angreifern verursachten Kosten und Schäden zu minimieren. Wer die 1/10/60-Herausforderung nicht schafft, läuft jeden Tag Gefahr, die Schlagzeile von morgen zu sein.

Lesen Sie hier Teil 1: Ein Spinnennetz mit ausgeklügelter Struktur

Chris Meidinger, Director Sales Engineering, Central & Northern Europe
Chris Meidinger
Director Sales Engineering, Central & Northern Europe, CrowdStrike

Artikel zu diesem Thema

Ransomware
Mai 21, 2021

Ransomware: Ursachen statt Symptome behandeln

Da die Häufigkeit von Cyber-Angriffen im Zusammenhang mit der COVID-Pandemie zunimmt,…
Hacker
Mär 22, 2021

Schadsoftware Bereinigung: BKA installiert Emotet-Selbstzerstörer

Beim Schlag gegen die berüchtigte Schadsoftware Emotet Ende Januar hat das…
Cyberthreat
Dez 04, 2020

2021 das „Jahr der Erpressung“

Acronis hat mit dem Cyberthreats Report 2020 einen eingehenderen Bericht zur aktuellen…

Weitere Artikel

Cyberangriff

Cring-Ransomware nutzt uralte Version von Adobe ColdFusion aus

Vergessene, ungepatchte und veraltete Software bietet ein ideales Einstiegstor für Cyberkriminelle. So auch im aktuellen Fall einer Ransomware-Attacke, die eine 11 Jahre alte Software auf einem Server für sich ausnutzte.
Hacker

Hacker zielen verstärkt auf kritische Infrastrukturen

Kritische Infrastrukturen (KRITIS) sind für das reibungslose Funktionieren unserer Gesellschaft und Wirtschaft unerlässlich. Da diese Strukturen hochsensibel sind, stellen sie für Cyberkriminelle ein ganz besonderes Ziel dar und sie unternehmen große…
Ransomware

Die Ransomware-Krise braucht einen globalen Lösungsansatz

Ransomware hat sich mittlerweile zu einem globalen Problem entwickelt. Cyberkriminelle Gruppen operieren von Ländern aus, die ihnen einen sicheren Unterschlupf bieten und es ihnen ermöglichen, sogar raffinierteste Angriffe zu starten. Um eine Eskalation zu…
Facebook Hacker

Spionagekampagne gegen Kurden durch hinterhältige Facebook-Posts

ESET-Forscher haben eine mobile Spionagekampagne untersucht, die sich gezielt gegen Kurden richtet. Die Operation läuft mindestens seit März 2020 und verbreitet sich über spezielle Facebook-Profile. Hierüber werden zwei Android-Backdoors verteilt, die als 888…
Ransomware

Großteil der Unternehmen zweifelt an eigener Ransomware-Resilienz

Anhaltende Cyberbedrohungen und neue Technologien wie Cloud-native Anwendungen, Kubernetes-Container und Künstliche Intelligenz stellen Unternehmen weltweit bei der Datensicherung vor große Herausforderungen. Das zeigt der Dell Technologies 2021 Global Data…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.