Ransomware-Gruppierung LockBit hatte auch Krankenhäuser bzw. Kritische Infrastrukturen attackiert

[datensicherheit.de, 22.02.2024] Zur Zerschlagung der „LockBit“-Ransomware-Gruppierung betont Christian Have, „CTO“ bei Logpoint, in seiner Stellungnahme, dass diese Bedrohungsakteure im Gegensatz zu vielen anderen Cyber-Kriminellen sogar Angriffe auf Krankenhäuser bzw. Kritische Infrastrukturen (KRITIS) gerichtet hatten. Mit der nun erfolgten Verhaftung laufenden Ermittlungen senden die Strafverfolgungsbehörden demnach eine klare Botschaft an andere Malware-Betreiber – nämlich dass Cyber-Kriminalität erhebliche Konsequenzen nach sich ziehe.

Foto: Logpoint

Christian Have: Ausschaltung der beiden größten Ransomware-Banden – LockBit und BlackCat – hat das Potenzial, die Bedrohungslandschaft nachhaltig zu verändern…

Schlag gegen diese Ransomware-Gruppe LockBit bedeutender Fortschritt im Kampf gegen organisierte Cyber-Kriminalität

„Wie Anfang dieser Woche bekannt gegeben wurde, ist es den europäischen und amerikanischern Strafverfolgungsbehörden gelungen, zwei Mitglieder der berüchtigten ,LockBit’-Gruppierung festzunehmen“, berichtet Have. Dieser wichtige Schlag gegen diese Ransomware-Gruppe stelle einen bedeutenden Fortschritt im Kampf gegen organisierte Cyber-Kriminalität dar.

„LockBit“ sei einer der bekanntesten Bedrohungsakteure gewesen, welcher im Gegensatz zu vielen seiner Konkurrenten dreist selbst Krankenhäuser und andere KRITIS angegriffen habe. „Mit der Verhaftung von zwei Personen und den nun laufenden Ermittlungen gegen die Entwickler und Partner der Gruppe senden die Strafverfolgungsbehörden eine klare Botschaft an andere Malware-Betreiber“, so Have und er betont: „Cyber-Kriminalität zieht erhebliche Konsequenzen nach sich!“

Cybercrime-Gruppen zunehmend entlarvt: Vor LockBit wurde BlackCat aus dem Spiel genommen

Die aktuelle Festnahme sei nur eine von vielen in den letzten Monaten – sie verdeutliche die positive Entwicklung im Bereich der strafrechtlichen Verfolgung Cyber-Krimineller. Have führt aus: „Erst im Dezember beschlagnahmte das FBI gemeinsam mit internationalen Strafverfolgungsbehörden die Server und die Leak-Site von ,BlackCat’. Letzte Woche fing das FBI die ,Mooboot’-Malware ab, die von ,Fancy Bear’ auf ,Ubiquiti’-Routern eingesetzt wurde. Die Firewall der Router wurde neu konfiguriert, damit die Angreifer keinen erneuten Zugriff erhielten.“ Die Einbeziehung des FBI in die Bemühungen, „LockBit“ auszuschalten, zeige, wie proaktiv das FBI und andere Strafverfolgungsbehörden gegen Cyber-Bedrohungen vorgingen.

Have unterstreicht abschließend: „Die Ausschaltung der beiden größten Ransomware-Banden – ,LockBit’ und ,BlackCat’ – hat das Potenzial, die Bedrohungslandschaft nachhaltig zu verändern, indem sie die Fragmentierung und Dezentralisierung von Cybercrime-Gruppen weiter vorantreibt.“ Dies verdeutliche die Notwendigkeit für Sicherheitsteams, sich von traditionellen Methoden zur Erkennung von Sicherheitsverstößen auf der Grundlage bekannter Kompromissindikatoren (Indicators Of Compromise / IOC) zu lösen. Ein Ansatz, der sich auf die Erkennung von Taktiken, Techniken und Verfahren (TTPs) konzentriere, sei nachhaltiger, da er die dynamischen Methoden der Bedrohungsakteure und neu auftretende Bedrohungen mit einbeziehe.

Weitere Informationen zum Thema:

datensicherheit.de, 22.02.2024
LockBit versuchte durch Innovation die Oberhand zu behalten / Reihe von logistischen, technischen und rufschädigenden Problemen forderte LockBit-Ransomware-Gruppierung heraus

datensicherheit.de, 21.02.2024
LockBit zerschlagen – Phönix aus der Asche als Ransomware-Bedrohungsszenario / Richard Cassidy kommentiert Ransomware-Gruppen im Zyklus von Zerschlagung und Auferstehung

heise online, Dr. Christopher Kunz, 20.02.2024
Ransomware: Lockbit durch Ermittler zerschlagen – zwei Festnahmen / Operation Cronos: Je eine Verhaftung in Polen und der Ukraine…

Laut BKA bundesweite Durchsuchungen bei 58 Beschuldigten

[datensicherheit.de, 05.04.2023] Die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das Bundeskriminalamt (BKA) sowie weitere Strafverfolgungsbehörden der Bundesländer sind nach BKA-Angaben am 4. April 2023 mit einer gemeinsamen Aktion gegen Cyber-Kriminelle der „Underground Economy“ vorgegangen. Hierzu hätten Strafverfolgungsbehörden aller Bundesländer in einer konzertierten Aktion 62 Objekte von 58 Beschuldigten durchsucht sowie zahlreiche elektronische Datenträger sichergestellt.

Abbildung: BKA

Sicherstellungsbanner der „Operation Cookie Monster“

Koordinierung der Maßnahmen in Deutschland durch BKA und ZIT

Den Beschuldigten werden demnach eine Vielzahl von Betrugsdelikten im Online-Handel sowie weitere Vorbereitungs- und Verwertungstaten wie etwa Ausspähen von Daten, Fälschung beweiserheblicher Daten, Datenhehlerei und Geldwäsche vorgeworfen.

Den nun durchgeführten Maßnahmen seien gemeinsame Ermittlungen der Cybercrime-Dienststellen des Bundes und der Länder sowie der ZIT gegen kriminelle Akteure verschiedener Plattformen der „Underground Economy“ im Internet vorausgegangen.

Die entsprechenden Ermittlungsverfahren seien von den örtlich zuständigen Staatsanwaltschaften der Bundesländer übernommen worden, welche die strafprozessualen Maßnahmen in eigener Verantwortung durchgeführt hätten. Die Koordinierung der Maßnahmen sei durch das BKA und die ZIT erfolgt.

Bei Ermittlungen u.a. enge Zusammenarbeit BKA mit FBI

„Bei einer der Plattformen, die im Fokus der Ermittlungen standen, handelt es sich um die kriminelle Verkaufsplattform ,Genesis Market’.“ Bei den Ermittlungen hierzu habe das BKA eng mit dem US-amerikanischen Federal Bureau of Investigation (FBI), der niederländischen National High Tech Crime Unit (NHTCU), dem Europäischen Polizeiamt (Europol) sowie mit weiteren internationalen Partnern kooperiert.

Über „Genesis Market“ seien unter anderem gestohlene Zugangsdaten zu verschiedensten E-Commerce- und Online-Zahlungs-Diensten zum Kauf angeboten worden. Diese Plattform sei die größte ihrer Art gewesen und habe seit 2018 bestanden. Sie sei nun am 4. April 2023 von US-amerikanischen Behörden beschlagnahmt und abgeschaltet worden. Auf deutscher Seite seien Staatsanwaltschaften aus allen Bundesländern beteiligt gewesen – insgesamt werde gegen 58 Beschuldigte ermittelt.

Über die Service-Website „‘;–have i been pwned?“ können Betroffene laut BKA überprüfen, ob eigene Zugänge ausgespäht und auf „Genesis Market“ zum Verkauf angeboten wurden.

Weitere Informationen zum Thema:

‚;–have i been pwned?
Check if your email or phone is in a data breach

Ransomware-Bedrohung unterstreicht dennoch Priorität in Fragen der Visibilität

[datensicherheit.de, 30.01.2023] „Die gemeinsame Aktion des FBI in Abstimmung mit deutschen und niederländischen Behörden ist ein Erfolg gegen die ausgefeilten Techniken von ,Hive‘ zu einem kritischen Zeitpunkt im Kampf gegen Ransomware-Gruppen“, so
Chris Dobrec, „VP Product & Industry Solutions“ bei Armis. Allein in Deutschland seien bereits mehr als 70 Unternehmen von den Cyber-Kriminellen gehackt worden. Die Ermittlungen seien auch ein entscheidender Schritt in Richtung einer verstärkten internationalen Zusammenarbeit, um Bedrohungsakteure zum Nutzen aller an der Ausübung ihrer Tätigkeit zu hindern.

Foto: Armis

Chris Dobrec: Nicht der richtige Zeitpunkt für Unternehmen sich auszuruhen!

Wirtschaftlichen Situation erlaubt immer weniger Unternehmen, Ransomware-Lösegeld zu zahlen

„Neben diesem Erfolg der Strafverfolgungsbehörden stehen Ransomware-Gruppen unter Druck, weil sich aufgrund der wirtschaftlichen Situation immer weniger Unternehmen in der Lage befinden werden, das geforderte Lösegeld auch zu bezahlen“, betont Dobrec und warnt jedoch: „Diese Entwicklungen sind jedoch nicht der richtige Zeitpunkt für Unternehmen sich auszuruhen.“

Untersuchungen wie der „Cyberwarfare-Report“ zeigten, dass 54 Prozent der Unternehmen weltweit zwischen Mai und Oktober 2022 einen Anstieg der Bedrohungsaktivitäten im Vergleich zu den sechs Monaten davor verzeichnet hätten. Die vorübergehende Pause in den Aktivitäten der „Hive“-Gruppe bedeute nämlich keineswegs einen Rückgang der Angriffe auf breiter Front.

Unternehmen sollten den Zeitpunkt der Strafverfolgungs-Aktion zum Anlass nehmen, ihre Bemühungen, um ein proaktives Verständnis ihrer gesamten Angriffsfläche zu erneuern. Dobrec erläutert: „Sie müssen Schwachstellen in ihrer Umgebung bewerten, die Priorisierung von Abhilfemaßnahmen zu verwalten und ihre Sicherheitsabwehr von innen nach außen zu stärken. Sie können dies auch nutzen, um ihre Politik zur Zahlung von Lösegeld zu bewerten.“

IT-Experten uneinig, ob Ransomware-Lösegeld gezahlt werden sollte

Der gleichen Studie zufolge seien IT-Fachleute weltweit geteilter Meinung darüber, ob Lösegeld gezahlt werden soll: „24 Prozent der Befragten gaben an, dass ihr Unternehmen immer zahlt. 31 Prozent sagten, dass ihr Unternehmen nur zahlt, wenn Kundendaten gefährdet sind. 26 Prozent wiederum waren der Meinung, dass ihr Unternehmen nie zahlt. Weitere 19 Prozent gaben an, dass es im Zweifelsfall darauf ankommt.“

In den USA hätten die zuständigen Behörden den betroffenen Unternehmen inzwischen unter Strafandrohungen untersagt das Lösegeld zu zahlen. Es bleibe abzuwarten, „ob nicht auch andere europäische Länder diesem Beispiel folgen werden“.

Ransomware zwingt Sicherheitsteams, über statische Bestandsaufnahme ihrer Assets hinauszugehen

Trotz des Risikos ständiger Cyber-Angriffe steuerten viele IT- und OT-Sicherheitsexperten in der sogenannten DACH-Region ihre Sicherheitstools in gewissem Maße manuell. Die Ergebnisse zeigten, dass weniger als die Hälfte (47%) der Unternehmen über automatisierte Sicherheitssoftware zur Erkennung von APTs (Advanced Persistent Threats) verfüge – und dass, obwohl diese Bedrohungen als die gefährlichste Gruppe gälten und oft von nationalstaatlichen Angreifern unterstützt würden. Im Gegenteil: „44 Prozent dieser Unternehmen suchen manuell und mithilfe vordefinierter Warnungen nach verdächtigem Verhalten.“

Tools zur Bestandsaufnahme konzentrierten sich zumeist auf Transparenz, lieferten jedoch keine Informationen über Cyber-Bedrohungen. Dies erfordere, dass Unternehmen mit modernen hybriden Umgebungen separate Tools zur Bestandsaufnahme und Risikobewertung implementierten. Unternehmen mangele es an einem vollständigen Bild ihrer „Assets“ – „sie kennen den wichtigen Risikokontext nicht und es klaffen Sicherheitslücken, die von Cyber-Kriminellen ausgenutzt werden können“. Deshalb benötigten Sicherheitsteams eine Möglichkeit, über die statische Bestandsaufnahme all ihrer „Assets“ hinauszugehen und auch deren Sicherheitskontext zu verstehen.

Weitere Informationen zum Thema:

ARMIS
THE STATE OF CYBERWARFARE

datensicherheit.de, 30.01.2023
Hive: Zerschlagung des-Hacker-Netzwerks erheblicher Rückschlag für gefährliche kriminelle Organisation / Früherer FBI Cyber Special Agent Adam Marrè, heute CISO bei Arctic Wolf, kommentiert den Hive-Fall

datensicherheit.de, 27.01.2023
Hive: Ransomware-Gang vom FBI und deutschen Sicherheitsbehörden aus dem Spiel genommen / Eine der aktivsten Ransomware-Bande namens Hive heimlich gehackt und zerschlagen

Früherer FBI Cyber Special Agent Adam Marrè, heute CISO bei Arctic Wolf, kommentiert den Hive-Fall

[datensicherheit.de, 30.01.2023] Das Hacker-Netzwerk „Hive“ soll wichtige Daten der Opfer verschlüsselt sowie Unternehmen und Organisationen mit selbstentwickelten Erpressungstools unter Druck gesetzt und mit der Veröffentlichung von sensiblen Daten gedroht haben. Das FBI und deutsche Behörden haben nach eigenen Angaben diese Ransomware-Gruppe zerschlagen. „Hive“ hat demnach in den vergangenen Jahren mehr als 100 Millionen US-Dollar (rund 92 Millionen Euro) an Lösegeldzahlungen erbeutet. Der frühere „FBI Cyber Special Agent“ Adam Marrè, heute „CISO“ bei Arctic Wolf, ordnet in seiner aktuellen Stellungnahme diese Fall ein:

Foto: Arctic Wolf

Adam Marrè: Bleibt zu hoffen, dass Durchbruch der Strafverfolgungsbehörden als Abschreckung dient…

Hive-Operation gutes Beispiel, wie umfassender Zugang Aktivitäten Cyber-Krimineller vereiteln kann

Marrè führt aus: „Strafverfolgungsbehörden nutzen geheime Zugänge zu den Netzwerken und Systemen von Bedrohungsakteuren, um Beweise für strafrechtliche Ermittlungen zu unterschiedlichsten Arten von Cyber-Kriminalität zu sammeln – einschließlich Ransomware.“ Die aktuelle Operation sei nun ein gutes Beispiel dafür, „wie ein umfassender Zugang zum Erfolg führen kann, um die Aktivitäten von Cyber-Kriminellen zu vereiteln“.

Leider sei dies so nicht immer möglich. Teilweise stützetn sich – ebenfalls erfolgreiche – Ermittlungen auch auf geringere Zugangsmöglichkeiten. Ermittlungsfortschritte hingen dann häufig allein von Informanten ab und stützten sich nicht auf einen direkten technischen Zugriff.

Anzunehmen, dass CyberCrime-Markt in irgendeiner Form Ersatz für Hive hervorbringen wird

„Die Zerschlagung des ,Hive‘-Hacker-Netzwerks bedeutet einen erheblichen Rückschlag für diese gefährliche kriminelle Organisation, die es auf Gesundheitssysteme abgesehen hat und damit letztlich eine Bedrohung für Leib und Leben darstellte“, betont Marrè. Auch wenn dieser Vorstoß die Menge der Ransomware-Aktivitäten in ihrer Gesamtheit nicht wesentlich reduziere, so sei es doch ein Signal an diejenigen, „die solche Aktivitäten noch durchführen oder planen, es zu tun“.

Auch wenn anzunehmen sei, dass der CyberCrime-Markt, in irgendeiner Form einen Ersatz für den „Hive-Dienst“ hervorbringen werde, bleibe zu hoffen, dass dieser Durchbruch der Strafverfolgungsbehörden „als Abschreckung für diejenigen dient, die Angriffe auf Kritische Infrastrukturen wie Krankenhäuser ermöglichen“.

Denkbar, dass einige Hive-Mitglieder bereits vor Zerschlagung des Netzwerks bekannt waren

Die Art dieses speziellen Zugriffs werde wahrscheinlich zu Verhaftungen führen oder dazu, „dass die Strafverfolgung die beteiligten Personen überzeugt, als Informanten für weitere Ermittlungen mit ihr zusammenzuarbeiten“.

Es sei durchaus denkbar, dass einige Mitglieder der Ransomware-Gruppe „Hive“ bereits vor der Zerschlagung dieses Netzwerks bekannt gewesen seien – „die Strafverfolgungsbehörden jedoch noch nicht bereit waren oder die Zerschlagung über den technischen ,Access‘ nicht mit Verhaftungsaktionen gefährden wollten“.

Weitere Informationen zum Thema:

tagesschau, 26.01.2023
Deutschland und USA / Hackernetzwerk „Hive“ zerschlagen

datensicherheit.de, 30.01.2023
Nach Erfolg gegen Hive: Ransomware-Gruppen unter Druck / Ransomware-Bedrohung unterstreicht dennoch Priorität in Fragen der Visibilität

datensicherheit.de, 27.01.2023
Hive: Ransomware-Gang vom FBI und deutschen Sicherheitsbehörden aus dem Spiel genommen / Eine der aktivsten Ransomware-Bande namens Hive heimlich gehackt und zerschlagen

Eine der aktivsten Ransomware-Bande namens Hive heimlich gehackt und zerschlagen

[datensicherheit.de, 27.01.2023] Tenable meldet in einer aktuellen Stellungnahme, dass am späten 26. Januar 2023 Berichte kursierten, wonach das FBI und deutsche Sicherheitsbehörden eine der aktivsten Ransomware-Bande namens „Hive“ heimlich gehackt und zerschlagen haben soll. Mit diesem Manöver sei es den Behörden gelungen zu verhindern, „dass die Gruppe mehr als 130 Millionen Dollar an Ransomware-Forderungen von mehr als weiteren 300 Opfern erpressen konnte“. Satnam Narang, „Senior Staff Research Engineer“ bei Tenable, kommentiert diesen Vorfall:

Foto: Tenable

Satnam Narang: Ransomware stellt für die meisten Unternehmen heute ständig die größte Bedrohung dar!

Schlag gegen Hive beispielloser Schritt im Kampf gegen Ransomware

„Die von den Sicherheitsbehörden ergriffenen Maßnahmen, um den Betrieb der ,Hive‘-Ransomware-Gruppe von innen heraus zu stören, sind ein beispielloser Schritt im Kampf gegen Ransomware, die für die meisten Unternehmen heute ständig die größte Bedrohung darstellt“, unterstreicht Narang.

Dies könnte zwar das Ende der „Hive“-Ransomware-Gruppe bedeuten, aber seine Mitglieder und Partner stellten weiterhin eine Bedrohung dar. Narang warnt: „Wenn wir aus vergangenen Störaktionen gegen Ransomware-Gruppen etwas gelernt haben, dann dass andere Gruppen aufstehen werden, um die hinterlassene Lücke zu füllen.“

Aber: Hive-Affiliates könnten leicht zu anderen Affiliate-Programmen von Ransomware-Gruppen wechseln

Sogenannte Affiliates, „die normalerweise für die Durchführung der meisten dieser Angriffe verantwortlich sind“, könnten leicht zu anderen Affiliate-Programmen von Gruppen wechseln, „die weiterhin betriebsbereit sind, und Mitglieder von Ransomware-Gruppen können ihr Wissen ebenfalls an diese Gruppen weitergeben“.

Narang führt aus: „Einer der wichtigsten Wege, wie Ransomware-Gruppen Aufmerksamkeit und Bekanntheit erlangen, ist die Veröffentlichung ihrer erfolgreichen Angriffe auf Datenleck-Sites im DarkWeb.“ Es würde ihn demnach nicht überraschen, „wenn Ransomware-Gruppen die Bedrohung sehen, die durch die Wartung dieser Sites entsteht, und aufhören, diese Angriffe öffentlich aufzulisten in einem Versuch, unter dem Radar zu bleiben“.

Weitere Informationen zum Thema:

Frankfurter Allgemeine Zeitung, Gustav Theile, 27.01.2023
Zerschlagene Hackergruppe Hive: Wenn das FBI schwäbischen Polizisten dankt

WDR, 27.01.2023
Hacker-Netzwerk „Hive“ zerschlagen – was steckt dahinter?

datensicherheit.de, 26.08.2021
Ransomware Groups to Watch: Emerging Threats / Aktuelle Analyse von Palo Alto Networks zu Ransomware-Gruppen

Hinter dem Cyber-Angriff auf die Krypto-Bridge Horizon im Juni 2022 soll die Lazarus-Gruppe (APT38) stecken

[datensicherheit.de, 26.01.2023] „Nach mehreren Berichten unter anderem bei ,Bleeping Computer’ machte das FBI bekannt, dass hinter dem Cyber-Angriff auf die Krypto-Bridge ,Horizon’ des Unternehmens Harmony im Juni 2022 die Gruppe ,APT38‘ steckt“, führt Kevin Bocek, „VP Security Strategy & Threat Intelligence“ bei Venafi, in seiner aktuellen Stellungnahme aus. Damals seien „Alt-Coins im Wert von 100 Millionen US-Dollar entwendet“ worden.

Foto: Venafi

Kevin Bocek: Keine Überraschung, dass der Angriff auf Harmony „Lazarus“ zugeschrieben wird…

Lazarus-Gruppe dafür bekannt, Krypto-Währungen zu stehlen

Die „Lazarus“-Gruppe bzw. „APT38“ sei dafür bekannt, sogenannte Krypto-Währungen zu stehlen – indem Maschinenidentitäten ausgenutzt würden. Bocek kommentiert: „Daher ist es keine Überraschung, dass der Angriff auf Harmony diesem Unternehmen zugeschrieben wird. Bei der Offenlegung der Sicherheitsverletzung lieferte Harmony Beweise dafür, dass seine privaten Schlüssel – eine Kernkomponente der Maschinenidentität – kompromittiert wurden, was ,Lazarus, die Tür öffnete und es der Gruppe ermöglichte, Daten zu entschlüsseln und Gelder abzuschöpfen.“ Dies zeige, welchen Einfluss Maschinenidentitäten hätten – „wenn sie in die falschen Hände geraten“.

Die Untersuchungen von Venafi hätten auch gezeigt, dass Angriffe von nordkoreanischen Bedrohungsgruppen – wie „Lazarus“ – oft finanzieller Natur seien. Cyber-kriminelle Aktivitäten seien „zu einem wesentlichen Bestandteil der Finanzierung des nordkoreanischen Staates geworden und ermöglichen, internationale Sanktionen zu umgehen und seine Waffenprogramme zu finanzieren“. Nordkoreanische APT-Gruppen hätten zahllose Cyber-Angriffe in über 30 Ländern durchgeführt, wobei das Volumen der Aktivitäten seit 2017 Berichten zufolge um 300 Prozent gestiegen sei.

APT-Gruppen wie Lazarus können eigene Schadsoftware als legitime Software eines echten Entwicklers ausgeben

Bocek berichtet: „Die Angriffskampagnen richteten sich gegen verschiedene Sektoren, darunter Energie, Finanzen, Regierung, Industrie, Technologie und Telekommunikation.“ Seit Januar 2020 hätten nordkoreanische Bedrohungsakteure diese Sektoren in Argentinien, Australien, Belgien, Brasilien, Kanada, China, Dänemark, Estland, Deutschland, Hongkong, Ungarn, Indien, Irland, Israel, Italien, Japan, Luxemburg, Malta, den Niederlanden, Neuseeland, Polen, Russland, Saudi-Arabien, Singapur, Slowenien, Südkorea, Spanien, Schweden, der Türkei, Großbritannien, der Ukraine und den Vereinigten Staaten von Amerika angegriffen.

„Die Verwendung von Code-Signing-Maschinenidentitäten macht es besonders schwer, die Attacken der APT abzuwehren.“ Durch den Diebstahl von Code-Signatur-Maschinenidentitäten seien nordkoreanische Cyber-Kriminelle in der Lage, ihre eigene Schadsoftware als legitime Software eines echten Entwicklers auszugeben.

Ohne bessere Koordinierung und Zusammenarbeit zwischen Unternehmen und Regierungen haben cyber-kriminelle Akteure wie Lazarus leichtes Spiel

Außerdem könnten sie damit „verheerende Angriffe auf die Lieferkette“ durchführen. „Das Problem ist, dass es derzeit nicht genügend Bewusstsein und Sicherheit für die Bedeutung von Maschinenidentitäten gibt“, warnt Bocek. Dieser Mangel an Aufmerksamkeit ermögliche es nordkoreanischen Cyber-Kriminellen, „einen ernsthaften blinden Fleck in der Software-Lieferkette auszunutzen“. Er betont: „Jedes Unternehmen, dass ein finanziell lohnendes Ziel bietet, wird deshalb auf kurz oder lang angegriffen werden.“

Ohne eine bessere Koordinierung und Zusammenarbeit zwischen Unternehmen und Regierungen, um die Taktiken nordkoreanischer Cyber-Krimineller zu bekämpfen, würden diese Bedrohungen nur noch schlimmer werden – „und andere globale Parias werden ihre eigenen Möglichkeiten erkennen“. Da Gruppen wie „Lazarus“ immer wieder Maschinenidentitäten ausnutzten, sollten Unternehmen eine Kontrollebene für die Verwaltung von Maschinenidentitäten einrichten. Bocek erläutert abschließend: „Dadurch erhalten sie den nötigen Einblick, die Konsistenz und die Belastbarkeit, die sie benötigen, um das Risiko von Sicherheitsverstößen zu reduzieren.“

Weitere Informationen zum Thema:

BLEEPING COMPUTER, Bill Toulas, 24.01.2023
FBI: North Korean hackers stole $100 million in Harmony crypto hack

Venafi, Brooke Crothers, 24.08.2022
Machine Identity Management / North Korea Cyber Threat Group ‘Lazarus’ Targets M1 Mac with Signed Executables

Harmony, Matthew Barrett, 14.06.2022
Harmony’s Horizon Bridge Hack

Venafi, Yana Blachman, 24.06.2021
Machine Identity Management / North Korean Cyberattacks Can Inspire Other Rogue Nations

Log4Shell-Schwachstelle in ungepatchtem VMware- Horizon-Server ausgenutzt

[datensicherheit.de, 17.11.2022] Die CISA (CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY) und das FBI (Federal Bureau of Investigation) haben am 16. November 2022 einen gemeinsamen Bericht veröffentlicht, wonach vom Iran gesponserte Angreifer die IT einer US-Bundesbehörde erfolgreich attackiert haben sollen – eine „Log4Shell“-Schwachstelle in einem ungepatchten „VMware Horizon“-Server ausnutzend. Die Angreifer hätten dann Krypto-Mining-Software installiert und sich seitlich zum Domänen-Controller bewegt, um Anmeldeinformationen zu kompromittieren. Bob Huber, „Chief Security Officer“ bei Tenable, kommentiert in seiner aktuellen Stellungnahme den Vorfall:

Foto: Tenable

Bob Huber: Fast drei von vier Organisationen immer noch anfällig für Angriffe durch Log4Shell-Sicherheitslücke

Tenable wird Warnung veröffentlichen, in der Auswirkungen von Log4Shell untersucht werden

„Der Angriff gegen eine US-Regierungsbehörde ist realistischerweise einer der vielen Verstöße, die ans Licht kommen werden, wenn Kriminelle ,Log4Shell’ erfolgreich ausnutzen“, so Huber.

In den kommenden Tagen werde Tenable eine Warnung veröffentlichen, „in der die Auswirkungen von ,Log4Shell’ untersucht werden, in der wir festgestellt haben, dass fast drei von vier Organisationen immer noch anfällig für Angriffe durch diese Sicherheitslücke sind“.

Vollständige Behebung von Log4Shell schwierig zu erreichen

Die Realität sei, dass eine vollständige Behebung von „Log4Shell“ angesichts seiner Verbreitung und der Tatsache, dass jedes Mal, wenn ein Unternehmen neue Assets hinzufügt, es die Schwachstelle erneut einführen könnte, schwierig zu erreichen sei.

Abschließend betont Huber: „Der beste Weg, um Angreifer zu vereiteln ist es, bei den Sanierungsbemühungen fleißig und konsequent zu bleiben.“

Weitere Informationen zum Thema:

CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY, 16.11.2022
CISA and FBI Release Advisory on Iranian Government-Sponsored APT Actors Compromising Federal Network

[datensicherheit.de, 03.09.2021] Laut einem neuen Report der US-amerikanischen Bundespolizei FBI nehmen Hacker jetzt auch den Landwirtschaftssektor verstärkt mit Ransomware-Attacken ins Visier. Malwarebytes weist in einer aktuellen Stellungnahme darauf hin, dass durch die stets wachsende Technisierung auch der Agrarbranche diese, ähnlich wie Kritische Infrastrukturen (KRITIS), durch Ransomware empfindlich getroffen werden könne. So mache die Landwirtschaft weltweit zunehmend Gebrauch von IoT-Geräten und biete dadurch eine breitere Angriffsfläche für Cyber-Kriminelle.

White-Hat-Hacker wiesen Verletzlichkeit von John Deere nach

Größere Unternehmen würden aufgrund ihrer vermeintlichen Fähigkeit, höhere Lösegelder zu zahlen, besonders attackiert. Kleinere Unternehmen hingegen gälten als leichtes Ziel, „insbesondere diejenigen, die sich noch in der Anfangsphase ihrer Digitalisierung befinden“.
Allerdings seien auch die Großen der Branche keineswegs vor Cyber-Angriffen gefeit. So hätten Cybersecurity-Spezialisten von Malwarebytes kürzlich Details zu einer Schwachstelle beim Landmaschinen-Produzenten John Deere diskutiert: „Eine Gruppe von weniger als zehn Personen war in der Lage, sich in das ,Operations Center‘ von John Deere einzuklinken, das mit allen Konnektivitätsdiensten von Drittanbietern verbunden ist.“ Die Gruppe um den White-Hat-Hacker „Sick Code“ habe auf die gesamten Daten jedes Betriebes, der an das System von John Deere angeschlossen ist, zugreifen können.

Ransomware-Angriffe nehmen erkennbar zu

Ransomware sei eine zunehmend größere Bedrohung für Unternehmen. Die Zahl entdeckter krimineller Übergriffe auf landwirtschaftliche Systeme sei von 2019 auf 2020 um gewaltige 600 Prozent gestiegen.
„Im gleichen Zeitraum verdoppelten sich die durchschnittlichen Lösegeldforderungen.“ Mit der Zahlung des Lösegeldes sei die Gefahr trotzdem nicht gebannt: Mehrere Studien hätten herausgefunden, „dass 50 bis 80 Prozent der Opfer, die gezahlt haben, erneut Opfer von Ransomware-Angriffen wurden – oft noch von denselben Akteuren“.

Optimal auf mögliche Hacker-Angriffe vorbereiten

Das FBI empfiehlt Organisationen demnach die folgenden Maßnahmen, um sich vor Hacker-Attacken zu schützen:

• Regelmäßig Sicherungskopien der eigenen Daten anlegen und diese auch offline mit Passwort ablegen. Darüber hinaus sicherstellen, dass kritische Dateien nicht von dem System aus gelöscht werden können, auf dem sie auch gespeichert wurden.
• Eine Netzwerksegmentierung vornehmen.
• Einen Wiederherstellungsplan pflegen und mehrere Kopien sensibler Daten an physisch getrennten und sicheren Orten speichern, z.B. auf Festplatten, Speichergeräten oder in der „Cloud“.
• Betriebssysteme, Firmware und Software auf dem neuesten Stand halten.
• Nach Möglichkeit eine mehrstufige Authentifizierung mit starken Passwörtern einrichten, dabei niemals das gleiche Passwort mehrfach verwenden.
• Ungenutzte Fernzugriffs-/RDP-Port deaktivieren und aktive überwachen.
• Administratorrechte für die Installation von Software erforderlich machen.
• Aktuelle Benutzerkonten mit Admin-Rechten im Auge behalten.
• Nur sichere Netzwerke nutzen, kein öffentliches Wi-Fi.
• Hyperlinks in empfangenen E-Mails deaktivieren, eventuell auch E-Mail-Banner hinzufügen für E-Mails, die von außerhalb der eigenen Organisation kommen.
• Mitarbeiter regelmäßig zum Thema Cybersecurity schulen.

Das Malwarebytes-Fazit zu den FBI-Tipps gegen Bedrohung durch Hacker

„Obwohl Ransomware derzeit auf dem Vormarsch ist, können Unternehmen in der Landwirtschaft vieles tun, um das Risiko einer Cyber-Attacke zu minimieren.“
Eine gute Vorbereitung könne im Falle eines Angriffs die Schäden massiv reduzieren und dabei helfen, Ausfälle zu minimieren – so bestehe die Chance, eine Ransomware-Attacke relativ glimpflich zu überstehen.

Weitere Informationen zum Thema:

FEDERAL BUREAU OF INVESTIGATION, CYBER DIVISION, 01.09.2021
Cyber Criminal Actors Targeting the Food and Agriculture Sector with Ransomware Attacks

Malwarebytes LABS, 30.08.2021
Hackers, tractors, and a few delayed actors. How hacker Sick Codes learned too much about John Deere: Lock and Code S02E16

datensicherheit.de, 24.08.2021
Sophos: Ransomware-Report 2021 mit Fakten, Auswirkungen und Trends / Unternehmen, öffentliche Einrichtungen und andere Organisationen weiterhin fest im Griff der Ransomware

datensicherheit.de, 04.10.2019
Ransomware-Attacken: FBI gibt seltene Warnung heraus / Amit Serper empfiehlt, jeden Anhang einer E-Mail mit Vorsicht zu betrachten

FBI bestätigt Attacke auf Colonial Pipeline durch Hacker-Gruppe DarkSide

[datensicherheit.de, 11.05.2021] Die US-amerikanische Bundespolizei FBI hat am 10. Mai 2021 bestätigt, dass Colonial Pipeline von der Hacker-Gruppe „DarkSide“ angegriffen wurde. Auf dem Nachrichtendienst „Twitter“ wurde folgende Mitteilung gepostet: „Das FBI bestätigt, dass die Darkside-Ransomware für die Kompromittierung der Netzwerke von Colonial Pipeline verantwortlich ist. Wir arbeiten weiterhin mit dem Unternehmen und unseren Regierungspartnern an den Ermittlungen.“ Malwarebytes LABS geht in einer aktuellen Stellungnahme auf diesen Vorfall ein.

Abbildung: FBI

Screenshot der FBI-Mitteilung v. 10.05.2021

Colonial Pipeline liefert Erdölprodukte in den Süden und Osten der USA

Ransomware hat laut Malwarebytes LABS in der 18. Kalenderwoche 2021 für große Schwierigkeiten gesorgt, als der bekannte Betreiber Colonial Pipeline Opfer einer verheerenden Cyber-Attacke wurde. Dessen Pipeline-Netz liefert Benzin und andere Erdölprodukte in den Süden und Osten der USA – von Texas bis nach New Jersey.
Die Pipeline gilt insgesamt als die größte ihrer Art in den USA und transportiert Berichten zufolge fast die Hälfte des an der Ostküste verbrauchten Kraftstoffs.
Malwarebytes LABS kommentiert: „Das ist ein unglaubliches Volumen von Angebot und Nachfrage, und alles, was schief geht, könnte katastrophal sein. Es gibt genug, worüber man sich Sorgen machen muss, auch ohne die Gefahr, dass Menschen böswillig in die Systeme eindringen.“ Doch genau dies sei nun passiert.

Vor Angriff auf Colonial Pipeline vermeintliche Robin-Hood-Akte

Ransomware hat demnach am 7. Mai 2021 dort alles zum Stillstand gebracht. Laut Analysen handele es sich bei den Übeltätern wahrscheinlich um eine als „DarkSide“ bekannte Gruppe, welche im Jahr 2020 durch dubiose Spenden an Wohltätigkeitsorganisationen bekannt bekanntgeworden sei: „In Anlehnung an den Robin-Hood-Gedanken haben sie Unternehmen bestohlen und das Geld an Organisationen weitergegeben, die es ihrer Meinung nach verdient haben.“
Natürlich wollten Wohltätigkeitsorganisationen aber nicht, „dass ein Haufen gestohlenes Geld auf ihren Bankkonten zirkuliert“. Wohltätigkeits-Treuhänder könnten dadurch in alle möglichen Schwierigkeiten geraten: Nicht nur Wohltätigkeitsorganisationen, sondern „jede Organisation könnte in einer verblüffenden Abfolge von Geldwäsche-Schwindeleien enden, wenn sie nicht aufpasst“.
Es habe auch den Verdacht gegeben, dass diese angebliche „barmherzige Samaritertat“ ein Weg gewesen sei, „die Tatsache zu verschleiern, dass sie immer noch Kriminelle sind und Geld stehlen“. Die Gruppe habe dann diese Botschaft wohl verstanden – die „Robin-Hood-Wohltätigkeitsaktion“ sei verschwunden und die Frage habe sich gestellt, was diese kriminelle Gruppe als nächstes tun würde.

Nach Angriff auf Colonial Pipeline Notstand ausgerufen

Damit komme man nun zum aktuellen Vorfall: „Wenn die Ermittler richtig liegen, ist dies um mehrere Größenordnungen ernster als alles, was sich die Leute vorstellen konnten.“
Die US-Regierung habe den Notstand ausgerufen und Notstandsbefugnisse aktiviert, um die Versorgung der Menschen mit Kraftstoff weiterhin sicherzustellen. Diese Notstandsbefugnisse ermöglichten den Fahrern mehr Flexibilität beim Transport von Mineralölprodukten zu verschiedenen Orten.
So habe die Federal Motor Carrier Safety Administration (FMCSA) eine vorübergehende Ausnahmeregelung zu den Betriebszeiten erlassen, welche für den Transport von Benzin, Diesel, Kerosin und anderen raffinierten Erdölprodukten nach Alabama, Arkansas, District of Columbia, Delaware, Florida, Georgia, Kentucky, Louisiana, Maryland, Mississippi, New Jersey, New York, North Carolina, Pennsylvania, South Carolina, Tennessee, Texas und Virginia gelte.

Digitale und physische Auswirkungen des Angriffs auf Colonial Pipeline

Die realen Folgen dieses Angriffs seien eindeutig und erstreckten sich in mehrere Richtungen. Es gebe die unmittelbaren Risiken des Treibstofftransports über 5.500 Meilen und die Gefahr, dass die Menschen keine Vorräte hätten. Es gebe auch eine potenzielle Gefahr auf den Straßen, da der Straßenverkehr zunehme und die Fahrer dafür längere Fahrzeiten in Kauf nehmen müssten. Die Treibstoffpreise scheinen laut Malwarebyte LABS in der Folge gestiegen zu sein, obwohl die Versorgung wahrscheinlich für ein paar Tage ausfallen müsste, um signifikante Auswirkungen zu haben.
Schließlich sei da noch das Problem der Abschaltung selbst. Es stellten sich die Fragen: „Wie viele Systeme sind gefährdet? Wie hoch ist der Schaden? Können sie garantieren, dass alle Spuren der Infektion verschwunden sind?“
Sollte sich herausstellen, dass es sich bei der Gruppe tatsächlich um „DarkSide“ handelt, dann zerstöre dies sicherlich ihren „Robin-Hood-Ansatz“. Laut einer kürzlich über „DarkTracer“ verbreiteten Nachricht mache die Gruppe dieses Mal auch keinen Hehl daraus: „Unser Ziel ist es, Geld zu verdienen.“

Beispiel Colonial Pipeline zeigt: 2021 könnte Superjahr für Ransomware werden

2021 zeichne sich bereits ab, dass es ein „Superjahr für Ransomware“ werden könnte. Ransomware-Banden könnten jetzt auf jahrelange Erfahrung und Werkzeuge zurückgreifen, hätten Geldreserven und einen Kryptowährungs-Boom, von dem sie profitieren könnten. Es sei schwer vorstellbar, dass der Status quo bestehen bleibe – „und es scheint unvermeidlich, dass die Regierungen stark reagieren werden“.
Vor dem Angriff habe das US-Justizministerium bereits eine 120-tägige Überprüfung seines Ansatzes zur Bekämpfung von Cyber-Bedrohungen angekündigt, welche eine Analyse darüber beinhalten werde, wie Kryptowährungen Cyber-Kriminalität ermöglichten. Dies spiegele die Bedenken wider, die in einem kürzlich von der Ransomware Task Force erstellten strategischen Plan zur Bekämpfung von Ransomware geäußert worden seien: Neben vielen anderen Empfehlungen werde gefordert, Ransomware als nationale Sicherheitsbedrohung zu behandeln und Kryptowährungen stärker zu regulieren.
Doch zurück zur Gegenwart: „Für den Moment bleiben uns die Versorgungsleitungen, die ins Taumeln geraten sind. Ein paar Megabyte Code, vielleicht eine verirrte E-Mail mit einem dubiosen Anhang oder vielleicht auch nur eine Server-Schwachstelle, die nicht rechtzeitig gepatcht wurde.“

Marcin Kleczynskis Stellungnahme zum Vorfall bei Colonial Pipeline

Marcin Kleczynski, „CEO“ von Malwarebytes, fasst in seinen Kommentar die Situation zusammen: „Viele werden sich an ,DarkSides‘ dubiose Spenden von 10.000 gestohlenen Dollar an bekannte Wohltätigkeitsorganisationen im Oktober 2020 erinnern. Ursprünglich behauptete diese Bande, sie wolle ,die Welt zu einem besseren Ort machen‘, aber in ihrer Stellungnahme zum Colonial-Pipeline-Angriff teilen sie mit, dass ihr ,einziges Ziel darin besteht, Geld zu verdienen‘“ – von den sprichwörtlich „guten Samaritern“ sei diese Bande somit weit entfernt. Es handele sich hierbei um ein weiteres Beispiel für den alarmierenden Trend verheerender Cyber-Angriffe auf die US-Infrastruktur.
Dieser jüngste Vorfall verschärfe die Spannungen zwischen Russland und den USA aufgrund von Cyber-Angriffen zusehends, „unabhängig davon, ob er vom Kreml sanktioniert wurde oder nicht“.
In Übereinstimmung mit der jüngsten Empfehlung der Ransomware Taskforce müsse Ransomware als nationale Sicherheitsbedrohung behandelt werden. Die bevorstehende Exekutivanordnung von US-Präsident Biden zur Stärkung der Cyber-Abwehr müsse die Schwachstellen in den Cyber-Abwehrsystemen der Nation beheben und strenge Regeln umfassen. Dies gelte nicht nur dafür, „wie wir auf Angriffe reagieren, sobald sie geschehen sind, sondern auch dafür, wie Unternehmen, sowohl private als auch öffentliche, an der aktiven Abwehr dieser Angriffe arbeiten“. Es sei an der Zeit, mehr zu tun, als nur zu reden oder Anordnungen zu schreiben – „wir müssen entsprechende Maßnahmen ergreifen!“

Weitere Informationen zum Thema:

FBI auf Twitter, 10.05.2021
FBI Statement on Compromise of Colonial Pipeline Networks

Malwarebytes LABS, 10.05.2021
Ransomware attack shuts down Colonial Pipeline fuel supply

datensicherheit.de, 12.05.2021
Lehren aus dem Ransomware-Angriff auf Colonial Pipeline für Kritis-Betreiber / Edgard Capdevielle erläutert in seiner Stellungnahme, wie sich Kritis-Betreiber absichern können

datensicherheit.de, 12.05.2021
DarkSide: RaaS-Attacke gegen Colonial Pipeline / Junge Ransomware-Familie DarkSide erstmals im August 2020 aufgetreten

datensicherheit.de, 12.05.2021
Ransomware-Angriff auf Colonial Pipeline nur Teil einer neuen Welle / Betreiber einer der größten Treibstoff-Pipelines der USA musste Betrieb nach Attacke mit DarkSide-Ransomware vorübergehend einstellen

datensicherheit.de, 10.05.2021
Colonial Pipeline: Massiver Ransomware-Angriff auf Betreiber / Tenable kommentiert Folgen für die Betriebstechnik durch IT-Ausfall nach Ransomware-Befall

[datensicherheit.de, 07.01.2021] Laut einer aktuellen Meldung von Vectra AI hat das FBI kürzlich eine „Private Industry Notification“ herausgegeben, dass Cyber-Angreifer den webbasierten E-Mail-Clients der Opfer automatische Weiterleitungsregeln zuwiesen, um ihre Aktivitäten zu verschleiern. Angreifer nutzten dann diese reduzierte Sichtbarkeit, um die Wahrscheinlichkeit einer erfolgreichen Kompromittierung von Geschäfts-E-Mails (Business Email Compromise, BEC) zu erhöhen. Dies ist eine „ernste Angelegenheit“, so Vectra AI.

Auch E-Mail-Client in „Outlook“ bedroht

Im vergangenen Jahr habe das Internet Crime Complaint Center (IC3) weltweit Verluste von mehr als 1,7 Milliarden US-Dollar durch BEC-Akteure gemeldet. Es gebe nun Cyber-Bedrohungen, die es auf „Microsoft Office 365“-Konten abgesehen hätten, zu denen der „Outlook-Mail-Client“ und „Exchange-Mail-Server“ gehörten. Mit mehr als 200 Millionen monatlichen Abonnenten sei „Office 365“ ein ergiebiges Ziel für Cyber-Kriminelle. Jeden Monat würden 30 Prozent der Unternehmen, die es nutzen, Opfer von Angreifern.
Obwohl „Office 365“ den nun vielerorts verteilten Mitarbeitern eine primäre Umgebung biete, in der sie ihre Geschäfte abwickeln könnten, schaffe es auch ein zentrales „Repository“ für Daten und Informationen, welches von Angreifern leicht ausgenutzt werden könne.

Weiterleitung von E-Mails bereitet Sorgen

Anstelle von Malware nutzten Angreifer die Tools und Funktionen, welche standardmäßig in „Office 365“ zur Verfügung stünden, und lebten so von der Fläche und blieben monatelang im Verborgenen. Das Weiterleiten von E-Mails sei nur eine von vielen Techniken, über die man sich Sorgen machen müsse. Nachdem Angreifer in einer „Office 365“-Umgebung Fuß gefasst haben, könnten mehrere Dinge passieren, darunter:

• Durchsuchen von E-Mails, Chatverläufen und Dateien auf der Suche nach Passwörtern oder anderen nützlichen Daten.
• Einrichten von Weiterleitungsregeln, um auf einen ständigen Strom von E-Mails zuzugreifen, ohne sich erneut anmelden zu müssen.
• Kapern eines vertrauenswürdigen Kommunikationskanals, z.B. das Versenden einer unzulässigen E-Mail vom offiziellen Konto des CEO, um Mitarbeiter, Kunden und Partner zu manipulieren.
• Einschleusen von Malware oder bösartigen Links in vertrauenswürdige Dokumente, um Personen dazu zu bringen, Präventionskontrollen zu umgehen, die Warnungen auslösen.
• Stehlen oder Verschlüsseln von Dateien und Daten gegen Lösegeld.

Verdächtige E-Mail-Weiterleitung achthäufigste bösartige Verhaltensweise

Eine Studie von Vectra zu den „Top 10“ der häufigsten Angriffstechniken gegen „Office 365“ habe ergeben, dass die verdächtige E-Mail-Weiterleitung die achthäufigste bösartige Verhaltensweise sei. „Es ist daher wichtig, den Missbrauch von Kontorechten für ,Office 365‘ im Auge zu behalten, da er in realen Angriffen am häufigsten vorkommt.“ Sicherheitsmaßnahmen wie Multifaktor-Authentifizierung (MFA) hielten Angreifer in dieser neuen Cyber-Sicherheitslandschaft nicht mehr auf.
„Office 365“ und andere SaaS-Plattformen seien ein sicherer Hafen für Angreifer. Daher sei es von entscheidender Bedeutung, den Missbrauch von Kontoprivilegien zu erkennen und darauf zu reagieren, wenn Benutzer auf Anwendungen und Dienste in Cloud-Umgebungen zugreifen. Genau dies leisteten moderne Plattformen, welche auf Maschinelles Lernen für effiziente Cyber-Sicherheit setzten. Eine solche Lösung versetze Sicherheitsteams in die Lage, versteckte Angreifer in SaaS-Plattformen wie „Office 365“ schnell und einfach zu identifizieren und zu entschärfen, „so dass diese nicht länger ein sicherer Hafen für Cyber-Kriminelle sind“.

Weitere Informationen zum Thema:

datensicherheit.de, 22.12.2020
Auf einem Auge blind: E-Mail im Fokus – SaaS ignoriert

FEDERAL BUREAU OF INVESTIGATION, CYBER DIVISION, 15.11.2020
Cyber Criminals Exploit Email Rule / Vulnerability to Invrease the Likelihood of Successful Business Email Compromise

VECTRA
O365 Security Spotlight Report – Report & Stats | Vectra AI