[datensicherheit.de, 21.02.2024] Strafverfolgungsbehörden bekämpfen Ransomware-Gruppierungen auf einem „Schlachtfeld“, auf dem sich Zerschlagung und Auferstehung cyber-krimineller Vereinigungen abscheinend zyklisch wiederholen. In der Vergangenheit konnten schon viele Gruppen erfolgreich bekämpft werden – welche dann aber kurz darauf unter anderem Namen mit angepassten Techniken ihre Aktivitäten wieder aufnehmen konnten. Anlässlich der Zerschlagung der „LockBit“-Gruppe erinnert Richard Cassidy, „Field CISO“ bei Rubrik, in seinem Kommentar daran, dass jede Zerschlagung eine willkommene Nachricht sei – „aber der Zyklus endet nicht, solange die grundlegenden Probleme nicht gelöst werden“. Zu diesen zählen demnach: Die finanziellen Anreize für Ransomware-Gruppierungen, die relative Anonymität von Transaktionen mit „Krypto-Währungen“ sowie die unzähligen regelmäßig bekannt werdenden, jedoch nicht behobenen Schwachstellen. Insbesondere die Gruppierung „LockBit“ dürfte laut Cassidys Einschätzung der Strafverfolgung finanziell überlegen sein: Dadurch sei diese Gruppe bestens mit dem Geld ausgestattet, um sich neu aufzustellen und notfalls unter anderem Namen weiterzumachen.

Richard Cassidy: Der Zyklus von Zerschlagung und Wiederauftreten bei Ransomware-Gruppierungen wird auf unabsehbare Zeit weitergehen…

Der Kampf gegen Ransomware-Gruppierungen ist noch lange nicht gewonnen

Cassidy betont: „Zweifellos ist die Nachricht, dass die Aktivitäten von ,LockBit’ zerschlagen wurden, eine willkommene Entwicklung auf dem Schlachtfeld der Ransomware. Aber der Kampf ist noch lange nicht gewonnen. Auch wenn die Operationen von ,LockBit’ für einen unbestimmten Zeitraum beeinträchtigt sind, sollten wir die Anpassungsfähigkeit der Gruppe nicht unterschätzen.“

Diese cyber-kriminellen Gruppierungen hätten stets eine bemerkenswerte Fähigkeit bewiesen, sich an die Maßnahmen der Strafverfolgung anzupassen, ihre Taktiken weiterzuentwickeln und ihre Operationen fortzusetzen – manchmal unter einem neuen Namen.

Die Vergangenheit zeigte, wie widerstandsfähig Ransomware-Gruppen sind

Cassidy berichtet: „Wir konnten in der Vergangenheit sehen, wie widerstandsfähig Ransomware-Gruppen sind, die von den Strafverfolgungsbehörden zerschlagen wurden. Darunter waren zum Beispiel ,Hive’, ,ALPHV/BlackCat’ und der Wandel von ,DarkSide’ zu ,BlackMatter’, die zeigen, dass die Gruppierungen von Cyber-Kriminellen in der Lage sind, sich zu erholen, sich umzubenennen sowie in neue oder bestehende Netzwerke zu integrieren und dabei die Unterstützung durch das Ransomware-as-a-Service-Ökosystem zu nutzen.“

Man müsse sich fragen, ob die finanziellen Ressourcen von Gruppen wie „LockBit“ nicht umfangreicher sind als jener, mit ihrer Zerschlagung beauftragten Strafverfolgungsbehörden. „LockBit“ sei durch den Erfolg ihrer Aktivitäten finanziell extrem gut aufgestellt und habe unter anderem allein von US-Organisationen rund 91 Millionen US-Dollar eingetrieben. Dadurch hätten sie die wirtschaftliche Macht, sich neu zu gruppieren und neue Taktiken, Techniken und Verfahren zu entwickeln, um aus den Fehlern, die zu ihrer Zerschlagung geführt haben, zu lernen und sich anzupassen sowie ihren Ansatz – falls notwendig – neu zu erfinden.

Zyklische Zerschlagung und erneutes Aufleben der Ransomware-Gruppen verweist auf großes Problem

„Die zyklischen Zerschlagungen durch die Strafverfolgung und das erneute Aufleben dieser Ransomware-Gruppen zeigen das große Problem im ,Ökosystem’ der Cyber-Kriminalität auf“, so Cassidy. Das grundlegende Problem seien die Triebkräfte hinter Ransomware-Angriffen.

Dazu zählten die finanziellen Anreize, die relative Anonymität von Transaktionen mit „Krypto-Währungen“ und die regelmäßig bekannt werdenden, aber nicht behobenen Schwachstellen. Cassidy prognostiziert abschließend: „Bis diese Probleme gelöst wurden, können wir davon ausgehen, dass der Zyklus von Zerschlagung und Wiederauftreten auf unabsehbare Zeit weitergehen wird.“

Weitere Informationen zum Thema:

Deutschlandfunk, 21.02.2024
Internationale Aktion / Hackernetzwerk LockBit zerschlagen / Internationale Ermittler haben das weltweit agierende Hacker-Netzwerk LockBit zerschlagen

Cybersecurity and Infrastructure Security Agency, 14.06.2023
UNDERSTANDING RANSOMWARE THREAT ACTORS: LockBit

datensicherheit.de, 22.02.2024
LockBit-Zerschlagung: Strafverfolgungsbehörden senden klare Botschaft an andere Malware-Betreiber / Ransomware-Gruppierung LockBit hatte auch Krankenhäuser bzw. Kritische Infrastrukturen attackiert

datensicherheit.de, 22.02.2024
LockBit versuchte durch Innovation die Oberhand zu behalten / Reihe von logistischen, technischen und rufschädigenden Problemen forderte LockBit-Ransomware-Gruppierung heraus

datensicherheit.de, 23.01.2024]
Lockbit-Gruppe: Ransomware-Angriff per RaaS auf Subway / Richard Werner kommentiert Medienberichte zu jüngster Ransomware-Attacke einer der gefährlichsten RaaS-Akteure

datensicherheit.de, 11.11.2022
LockBit 3.0: BlackBerry kom mentiert Cyber-Angriff auf Continental / Cyber-Angriff auf den Dax-Konzern nur ein Beispiel der Aktivitäten rund um die RaaS-Gruppe LockBit

datensicherheit.de, 28.06.2022]
LockBit 3.0: Cyber-Kriminelle starten erstes Ransomware-Bug-Bounty-Programm / Tenable kommentiert Anpassungen Cyber-Krimineller an wachsenden Verfolgungsdruck

[datensicherheit.de, 04.04.2023] Trend Micro hat eine neue Studie darüber veröffentlicht, „wie kriminelle Gruppierungen mit zunehmender Größe beginnen, ähnliche Prozesse wie in legalen Unternehmen zu entwickeln“. Dies sei jedoch mit den entsprechenden Kosten und Herausforderungen verbunden.

Bericht unterscheidet drei Arten krimineller Unternehmen – basierend auf deren Größe

Große kriminelle „Unternehmen“ wenden demnach 80 Prozent ihrer Betriebskosten für Gehälter auf, so der vorliegende Bericht von TREND MICRO. Bei kleineren kriminellen Gruppierungen sei der Anteil mit 78 Prozent ähnlich hoch. Weitere gängige Ausgaben fielen für Infrastruktur (wie Server, Router und VPNs), virtuelle Maschinen und Software an. Der Bericht von Trend Micro unterscheidet drei Arten von kriminellen „Unternehmen“ basierend auf deren Größe. Als Beispiele dienten den Forschern nach eigenen Angaben ausgewählte Gruppen, die anhand von Daten der Strafverfolgungsbehörden sowie Insider-Informationen dargestellt werden:

Kleine kriminelle „Unternehmen“ („z.B. der Counter-Antiviren-Dienst Scan4You“):

• Kleinere kriminelle „Unternehmen“ hätten in der Regel eine eigene Management-Ebene, zwischen einem und fünf Mitarbeitern und einen Jahresumsatz von weniger als 500.000 Euro.
• Mitarbeiter übernähmen oft mehrere Aufgaben innerhalb der Gruppierung und ginge zusätzlich zu dieser „Arbeit“ noch einem Hauptberuf nach.
• Sie bildeten die Mehrheit der kriminellen „Unternehmen“ und arbeiteten oft mit anderen kriminellen Gruppierungen zusammen.

Mittelgroße kriminelle „Unternehmen“ („z.B. der ,Bulletproof Hoster’ MaxDedi“):

• Diese kriminellen „Unternehmen“ hätten oft zwei Führungsebenen, sechs bis 49 Mitarbeiter und einen Jahresumsatz von bis zu 50 Millionen Euro.
• Ihre Struktur sei pyramidenartig und hierarchisch mit einer einzigen Person als Gesamtverantwortlichen.

Große kriminelle „Unternehmen“ („z.B. die Ransomware-Gruppe Conti“):

• Große kriminelle „Unternehmen“ hätten normalerweise drei Managementebenen, mehr als 50 Mitarbeiter und einen Jahresumsatz von über 50 Millionen Euro.
• Sie verfügten über eine relativ große Anzahl an Mitarbeitern der unteren Führungsebene und Teamleitern.
• Sie implementierten effektive OPSEC (Operations Security) und arbeiteten mit anderen kriminellen Organisationen zusammen.
• Die Verantwortlichen seien erfahrene Cyber-Kriminelle und stellten mehrere Entwickler, Administratoren und Penetrationstester ein – teilweise auch nur als befristete freie Mitarbeiter.
• Sie verfügen teilweise über unternehmensähnliche Abteilungen (z.B. „IT“, „HR“) und führten sogar regelrechtes Personalmanagement inklusive Leistungsbeurteilungen durch.

Größere Cybercrime-Unternehmen schwierig zu handhaben und mittlerweile auch ein hohes Maß an Bürokratie

„Wie die Studie zeigt, kann das Wissen um die Größe und Komplexität einer kriminellen Gruppierung den Ermittlern wichtige Ansätze für ihre Arbeit liefern.“ Einen Anhaltspunkt stellten beispielsweise die Datentypen dar, nach denen sie suchen müssten. Größere kriminelle Organisationen speicherten außerdem Mitarbeiterlisten, Jahresabschlüsse, Handbücher und Tutorials. Dazu gehörten auch Fusions- und Akquisitionsdokumente, Details zu den Krypto-Wallets der Mitarbeiter und sogar gemeinsam genutzte Kalender. „Wenn die Strafverfolgungsbehörden die Größe krimineller Gruppierungen kennen, können sie zudem besser entscheiden, welche sie vorrangig verfolgen.“

„Der kriminelle Untergrund professionalisiert sich zusehends – mit Gruppierungen, die seriösen Unternehmen in ihren Prozessen immer ähnlicher werden. Außerdem nimmt mit steigender Mitgliederzahl und wachsenden Einnahmen die Komplexität zu“, erläutert Richard Werner, „Business Consultant“ bei Trend Micro. Er führt aus: „Größere Cybercrime-Gruppierungen sind schwierig zu handhaben und haben mittlerweile ein hohes Maß an Bürokratie. Wie bei jedem Unternehmen gehören dazu auch schwache Leistungsträger und Vertrauensprobleme. Unser Report zeigt, wie wichtig es für Ermittler ist, die Größe der kriminellen Gruppierung zu verstehen, mit der sie es zu tun haben.“

Weitere Informationen zum Thema:

TREND MICRO, 03.04.2023
Size Matters: Unraveling the Structure of Modern Cybercrime Organizations

[datensicherheit.de, 30.01.2023] „Die gemeinsame Aktion des FBI in Abstimmung mit deutschen und niederländischen Behörden ist ein Erfolg gegen die ausgefeilten Techniken von ,Hive‘ zu einem kritischen Zeitpunkt im Kampf gegen Ransomware-Gruppen“, so
Chris Dobrec, „VP Product & Industry Solutions“ bei Armis. Allein in Deutschland seien bereits mehr als 70 Unternehmen von den Cyber-Kriminellen gehackt worden. Die Ermittlungen seien auch ein entscheidender Schritt in Richtung einer verstärkten internationalen Zusammenarbeit, um Bedrohungsakteure zum Nutzen aller an der Ausübung ihrer Tätigkeit zu hindern.

Foto: Armis

Chris Dobrec: Nicht der richtige Zeitpunkt für Unternehmen sich auszuruhen!

Wirtschaftlichen Situation erlaubt immer weniger Unternehmen, Ransomware-Lösegeld zu zahlen

„Neben diesem Erfolg der Strafverfolgungsbehörden stehen Ransomware-Gruppen unter Druck, weil sich aufgrund der wirtschaftlichen Situation immer weniger Unternehmen in der Lage befinden werden, das geforderte Lösegeld auch zu bezahlen“, betont Dobrec und warnt jedoch: „Diese Entwicklungen sind jedoch nicht der richtige Zeitpunkt für Unternehmen sich auszuruhen.“

Untersuchungen wie der „Cyberwarfare-Report“ zeigten, dass 54 Prozent der Unternehmen weltweit zwischen Mai und Oktober 2022 einen Anstieg der Bedrohungsaktivitäten im Vergleich zu den sechs Monaten davor verzeichnet hätten. Die vorübergehende Pause in den Aktivitäten der „Hive“-Gruppe bedeute nämlich keineswegs einen Rückgang der Angriffe auf breiter Front.

Unternehmen sollten den Zeitpunkt der Strafverfolgungs-Aktion zum Anlass nehmen, ihre Bemühungen, um ein proaktives Verständnis ihrer gesamten Angriffsfläche zu erneuern. Dobrec erläutert: „Sie müssen Schwachstellen in ihrer Umgebung bewerten, die Priorisierung von Abhilfemaßnahmen zu verwalten und ihre Sicherheitsabwehr von innen nach außen zu stärken. Sie können dies auch nutzen, um ihre Politik zur Zahlung von Lösegeld zu bewerten.“

IT-Experten uneinig, ob Ransomware-Lösegeld gezahlt werden sollte

Der gleichen Studie zufolge seien IT-Fachleute weltweit geteilter Meinung darüber, ob Lösegeld gezahlt werden soll: „24 Prozent der Befragten gaben an, dass ihr Unternehmen immer zahlt. 31 Prozent sagten, dass ihr Unternehmen nur zahlt, wenn Kundendaten gefährdet sind. 26 Prozent wiederum waren der Meinung, dass ihr Unternehmen nie zahlt. Weitere 19 Prozent gaben an, dass es im Zweifelsfall darauf ankommt.“

In den USA hätten die zuständigen Behörden den betroffenen Unternehmen inzwischen unter Strafandrohungen untersagt das Lösegeld zu zahlen. Es bleibe abzuwarten, „ob nicht auch andere europäische Länder diesem Beispiel folgen werden“.

Ransomware zwingt Sicherheitsteams, über statische Bestandsaufnahme ihrer Assets hinauszugehen

Trotz des Risikos ständiger Cyber-Angriffe steuerten viele IT- und OT-Sicherheitsexperten in der sogenannten DACH-Region ihre Sicherheitstools in gewissem Maße manuell. Die Ergebnisse zeigten, dass weniger als die Hälfte (47%) der Unternehmen über automatisierte Sicherheitssoftware zur Erkennung von APTs (Advanced Persistent Threats) verfüge – und dass, obwohl diese Bedrohungen als die gefährlichste Gruppe gälten und oft von nationalstaatlichen Angreifern unterstützt würden. Im Gegenteil: „44 Prozent dieser Unternehmen suchen manuell und mithilfe vordefinierter Warnungen nach verdächtigem Verhalten.“

Tools zur Bestandsaufnahme konzentrierten sich zumeist auf Transparenz, lieferten jedoch keine Informationen über Cyber-Bedrohungen. Dies erfordere, dass Unternehmen mit modernen hybriden Umgebungen separate Tools zur Bestandsaufnahme und Risikobewertung implementierten. Unternehmen mangele es an einem vollständigen Bild ihrer „Assets“ – „sie kennen den wichtigen Risikokontext nicht und es klaffen Sicherheitslücken, die von Cyber-Kriminellen ausgenutzt werden können“. Deshalb benötigten Sicherheitsteams eine Möglichkeit, über die statische Bestandsaufnahme all ihrer „Assets“ hinauszugehen und auch deren Sicherheitskontext zu verstehen.

Weitere Informationen zum Thema:

ARMIS
THE STATE OF CYBERWARFARE

datensicherheit.de, 30.01.2023
Hive: Zerschlagung des-Hacker-Netzwerks erheblicher Rückschlag für gefährliche kriminelle Organisation / Früherer FBI Cyber Special Agent Adam Marrè, heute CISO bei Arctic Wolf, kommentiert den Hive-Fall

datensicherheit.de, 27.01.2023
Hive: Ransomware-Gang vom FBI und deutschen Sicherheitsbehörden aus dem Spiel genommen / Eine der aktivsten Ransomware-Bande namens Hive heimlich gehackt und zerschlagen

[datensicherheit.de, 30.01.2023] Das Hacker-Netzwerk „Hive“ soll wichtige Daten der Opfer verschlüsselt sowie Unternehmen und Organisationen mit selbstentwickelten Erpressungstools unter Druck gesetzt und mit der Veröffentlichung von sensiblen Daten gedroht haben. Das FBI und deutsche Behörden haben nach eigenen Angaben diese Ransomware-Gruppe zerschlagen. „Hive“ hat demnach in den vergangenen Jahren mehr als 100 Millionen US-Dollar (rund 92 Millionen Euro) an Lösegeldzahlungen erbeutet. Der frühere „FBI Cyber Special Agent“ Adam Marrè, heute „CISO“ bei Arctic Wolf, ordnet in seiner aktuellen Stellungnahme diese Fall ein:

Foto: Arctic Wolf

Adam Marrè: Bleibt zu hoffen, dass Durchbruch der Strafverfolgungsbehörden als Abschreckung dient…

Hive-Operation gutes Beispiel, wie umfassender Zugang Aktivitäten Cyber-Krimineller vereiteln kann

Marrè führt aus: „Strafverfolgungsbehörden nutzen geheime Zugänge zu den Netzwerken und Systemen von Bedrohungsakteuren, um Beweise für strafrechtliche Ermittlungen zu unterschiedlichsten Arten von Cyber-Kriminalität zu sammeln – einschließlich Ransomware.“ Die aktuelle Operation sei nun ein gutes Beispiel dafür, „wie ein umfassender Zugang zum Erfolg führen kann, um die Aktivitäten von Cyber-Kriminellen zu vereiteln“.

Leider sei dies so nicht immer möglich. Teilweise stützetn sich – ebenfalls erfolgreiche – Ermittlungen auch auf geringere Zugangsmöglichkeiten. Ermittlungsfortschritte hingen dann häufig allein von Informanten ab und stützten sich nicht auf einen direkten technischen Zugriff.

Anzunehmen, dass CyberCrime-Markt in irgendeiner Form Ersatz für Hive hervorbringen wird

„Die Zerschlagung des ,Hive‘-Hacker-Netzwerks bedeutet einen erheblichen Rückschlag für diese gefährliche kriminelle Organisation, die es auf Gesundheitssysteme abgesehen hat und damit letztlich eine Bedrohung für Leib und Leben darstellte“, betont Marrè. Auch wenn dieser Vorstoß die Menge der Ransomware-Aktivitäten in ihrer Gesamtheit nicht wesentlich reduziere, so sei es doch ein Signal an diejenigen, „die solche Aktivitäten noch durchführen oder planen, es zu tun“.

Auch wenn anzunehmen sei, dass der CyberCrime-Markt, in irgendeiner Form einen Ersatz für den „Hive-Dienst“ hervorbringen werde, bleibe zu hoffen, dass dieser Durchbruch der Strafverfolgungsbehörden „als Abschreckung für diejenigen dient, die Angriffe auf Kritische Infrastrukturen wie Krankenhäuser ermöglichen“.

Denkbar, dass einige Hive-Mitglieder bereits vor Zerschlagung des Netzwerks bekannt waren

Die Art dieses speziellen Zugriffs werde wahrscheinlich zu Verhaftungen führen oder dazu, „dass die Strafverfolgung die beteiligten Personen überzeugt, als Informanten für weitere Ermittlungen mit ihr zusammenzuarbeiten“.

Es sei durchaus denkbar, dass einige Mitglieder der Ransomware-Gruppe „Hive“ bereits vor der Zerschlagung dieses Netzwerks bekannt gewesen seien – „die Strafverfolgungsbehörden jedoch noch nicht bereit waren oder die Zerschlagung über den technischen ,Access‘ nicht mit Verhaftungsaktionen gefährden wollten“.

Weitere Informationen zum Thema:

tagesschau, 26.01.2023
Deutschland und USA / Hackernetzwerk „Hive“ zerschlagen

datensicherheit.de, 30.01.2023
Nach Erfolg gegen Hive: Ransomware-Gruppen unter Druck / Ransomware-Bedrohung unterstreicht dennoch Priorität in Fragen der Visibilität

datensicherheit.de, 27.01.2023
Hive: Ransomware-Gang vom FBI und deutschen Sicherheitsbehörden aus dem Spiel genommen / Eine der aktivsten Ransomware-Bande namens Hive heimlich gehackt und zerschlagen

[datensicherheit.de, 27.01.2023] Tenable meldet in einer aktuellen Stellungnahme, dass am späten 26. Januar 2023 Berichte kursierten, wonach das FBI und deutsche Sicherheitsbehörden eine der aktivsten Ransomware-Bande namens „Hive“ heimlich gehackt und zerschlagen haben soll. Mit diesem Manöver sei es den Behörden gelungen zu verhindern, „dass die Gruppe mehr als 130 Millionen Dollar an Ransomware-Forderungen von mehr als weiteren 300 Opfern erpressen konnte“. Satnam Narang, „Senior Staff Research Engineer“ bei Tenable, kommentiert diesen Vorfall:

Foto: Tenable

Satnam Narang: Ransomware stellt für die meisten Unternehmen heute ständig die größte Bedrohung dar!

Schlag gegen Hive beispielloser Schritt im Kampf gegen Ransomware

„Die von den Sicherheitsbehörden ergriffenen Maßnahmen, um den Betrieb der ,Hive‘-Ransomware-Gruppe von innen heraus zu stören, sind ein beispielloser Schritt im Kampf gegen Ransomware, die für die meisten Unternehmen heute ständig die größte Bedrohung darstellt“, unterstreicht Narang.

Dies könnte zwar das Ende der „Hive“-Ransomware-Gruppe bedeuten, aber seine Mitglieder und Partner stellten weiterhin eine Bedrohung dar. Narang warnt: „Wenn wir aus vergangenen Störaktionen gegen Ransomware-Gruppen etwas gelernt haben, dann dass andere Gruppen aufstehen werden, um die hinterlassene Lücke zu füllen.“

Aber: Hive-Affiliates könnten leicht zu anderen Affiliate-Programmen von Ransomware-Gruppen wechseln

Sogenannte Affiliates, „die normalerweise für die Durchführung der meisten dieser Angriffe verantwortlich sind“, könnten leicht zu anderen Affiliate-Programmen von Gruppen wechseln, „die weiterhin betriebsbereit sind, und Mitglieder von Ransomware-Gruppen können ihr Wissen ebenfalls an diese Gruppen weitergeben“.

Narang führt aus: „Einer der wichtigsten Wege, wie Ransomware-Gruppen Aufmerksamkeit und Bekanntheit erlangen, ist die Veröffentlichung ihrer erfolgreichen Angriffe auf Datenleck-Sites im DarkWeb.“ Es würde ihn demnach nicht überraschen, „wenn Ransomware-Gruppen die Bedrohung sehen, die durch die Wartung dieser Sites entsteht, und aufhören, diese Angriffe öffentlich aufzulisten in einem Versuch, unter dem Radar zu bleiben“.

Weitere Informationen zum Thema:

Frankfurter Allgemeine Zeitung, Gustav Theile, 27.01.2023
Zerschlagene Hackergruppe Hive: Wenn das FBI schwäbischen Polizisten dankt

WDR, 27.01.2023
Hacker-Netzwerk „Hive“ zerschlagen – was steckt dahinter?

datensicherheit.de, 26.08.2021
Ransomware Groups to Watch: Emerging Threats / Aktuelle Analyse von Palo Alto Networks zu Ransomware-Gruppen

[datensicherheit.de, 15.07.2019] „Turla“, ein russischsprachiger Bedrohungsakteur, hat laut kaspersky sein Portfolio an Bedrohungswerkzeugen umfassend modifiziert: Die Hacker-Gruppe habe ihre bekannte „JavaScript-KopiLuwak“-Malware um einen neuen Dropper namens „Topinambour“ erweitert, der von Cybersecurity-Experten in zwei ähnlichen Versionen und in anderen Sprachen identifiziert worden sei. Diese Malware werde jetzt unter anderem über infizierte Software-Installationspakete zur Umgehung von Internetzensur verbreitet. Die Sicherheitsexperten glauben, dass diese Maßnahmen darauf abzielten, das Erkennungsrisiko ihrer Schadprogramme zu minimieren und die Auswahl idealer Zielopfer zu präzisieren. „Topinambour“ sei Anfang 2019 bei einer Kompromittierungsaktion gegen Regierungsstellen entdeckt worden.

Abbildung: kaspersky

Infographik: „Topinambour“-Infektionsprozess

Turla: Äußerst innovative Hacker-Gruppe

Bei „Turla“ handele es sich um einen bekannten russischsprachigen Bedrohungsakteur, der sich auf Cyber-Spionageaktivitäten gegen staatliche und diplomatische Ziele spezialisiert habe. Diese Gruppe gelte als äußerst innovativ und sei durch ihre charakteristische „KopiLuwak“-Malware – erstmals Ende 2016 beobachtet – bekannt geworden.
2019 haben nun kaspersky-Forscher nach eigenen Angaben neue, von „Turla“ entwickelte Tools und Techniken entdeckt, mit denen der Tarnungsgrad ihrer Malware erhöht und infolgedessen die Erkennungswahrscheinlichkeit minimiert werde.
„Topinambour“ (benannt nach dem Gemüse Topinambur) sei eine neue, von „Turla“ verwendete „.NET-Datei“, um das JavaScript „KopiLuwak“ mittels infizierter Installationspakete für legitime Softwareprogramme (etwa VPNs zur Umgehung von Internetzensur) zu streuen.

Cyber-Kriminelle reduzieren Erkennungsrisiko

„KopiLuwak“ sei zum Zwecke der Cyber-Spionage konzipiert worden und „Turlas“ neu entwickelter Infektionsprozess beinhaltee Funktionalitäten, die der Malware helfen würden, eine Erkennung zu vermeiden.
So verfüge etwa die Command-and-Control-Infrastruktur über IPs, die gewöhnliche LAN-Adressen imitierten. Darüber hinaus agiere diese Malware fast vollständig „fileless“. Die letzte Phase des Infektionsprozesses, bei der ein verschlüsselter Trojaner die Fernverwaltung übernehme, sei komplett in die Registry des Computers eingebettet. Die Malware könne, sobald sie bereit ist, auf diese zugreifen.
Die beiden neu entdeckten „KopiLuwak“-Versionen, der „.NET-RocketMan“-Trojaner und der „PowerShell-MiamiBeach“-Trojaner seien ebenfalls für Cyber-Spionage konzipiert. Die kaspersky-Forscher sind der Ansicht, dass diese Varianten „gegen Ziele mit installierter Sicherheitssoftware eingesetzt werden, die in der Lage ist, ,KopiLuwak‘-Trojaner zu erkennen“. Nach erfolgreicher Installation seien alle drei Versionen in der Lage:

• Die individuellen Spezifika (Fingerprint targets) infizierter Zielrechner umfassend zu analysieren.
• Gespeicherte Informationen über System- und Netzwerkadapter zu sammeln.
• Daten zu stehlen.
• Zusätzliche Malware herunter zu laden und auszuführen.

„MiamiBeach“ darüber hinaus fähig, Screenshots zu machen

„In diesem Jahr zeigt sich ,Turla‘ mit überarbeitetem Toolset an Schadprogrammen und mit mit einer Reihe neuer Funktionen, die eine Erkennung durch Sicherheitslösungen und Forscher erschweren. Dazu gehören eine Reduzierung des digitalen Fingerabdrucks der Malware und zwei neue, nach ähnlichem Design konzipierte Versionen der bekannten ,KopiLuwak‘-Malware“, erläutert Kurt Baumgartner, leitender Sicherheitsforscher bei kaspersky.
„Der Missbrauch von Installationspaketen für VPN-Software, die Internetzensur umgehen können, deutet darauf hin, dass sich die Angreifer klar definierte Cyber-Spionageziele für diese Tools gesetzt haben“, so Baumgartner. Die kontinuierliche Weiterentwicklung des „Turla“-Portfolios unterstreiche die Notwendigkeit, Threat-Intelligence-Lösungen und geeignete Sicherheitssoftware einzusetzen, die vor den neuesten Tools und Techniken von APTs (Advanced Persistence Threats) schützen.
Beispielsweise würde ein Endpunktschutz und die Überprüfung von Datei-Hashes nach dem Herunterladen von Installationssoftware helfen, um sich vor Bedrohungen wie „Topinambour“ entsprechend zu schützen.

kaspersky-Tipps für mehr Sicherheit vor komplexen Gefahren:

Um das Risiko zu verringern, Opfer komplexer Cyber-Spionageoperationen zu werden, empfiehlt Kaspersky folgende Maßnahmen:

• IT-Security-Schulungen für Unternehmensmitarbeiter, um das Sicherheitsbewusstsein zu stärken und potenziell schädliche Anwendungen oder Dateien zu erkennen und zu vermeiden. So sollten Mitarbeiter beispielsweise keine Anwendungen oder Programme aus nicht vertrauenswürdigen oder unbekannten Quellen herunterladen und starten.
• Implementierung einer EDR-Lösung (wie z.B. „Kaspersky Endpoint Detection and Response“) zur Erkennung, Untersuchung und rechtzeitigen Behebung von Vorfällen auf Endpoint-Ebene.
• Integration einer unternehmensweiten Sicherheitslösung, die komplexe Bedrohungen auf Netzwerkebene frühzeitig erkennt (etwa die „Kaspersky Anti Targeted Attack Platform“).
• Permanenter Zugang des „Security Operation Center“ (SOC) auf aktuelle Bedrohungsinformationen, um über die neuen und aufkommenden Tools, Techniken und Taktiken von Cyber-Kriminellen auf dem Laufenden zu bleiben.

Weitere Informationen zum Thema:

kaspersky SECURELIST, 15.07.2019
Turla renews its arsenal with Topinambour

kaspersky SECURELIST, 02.02.2017
KopiLuwak: A New JavaScript Payload from Turla

kaspersky
Kaspersky Security Awareness

datensicherheit.de, 29.05.2019
Turla: Neue Angriffswerkzeuge der Spionagegruppe enttarnt

datensicherheit.de, 20.03.2017
KASPERSKY lab warnt: IT-Sicherheitsbranche übersieht potenzielle Nachwuchskräfte

[datensicherheit.de, 13.07.2019] Der von ESET am 10. Juli 2019 gemeldete „Zero-Day-Exploit“ in „Microsoft Windows“, sei „für gezielte Angriffe in Osteuropa eingesetzt“ worden. Hinter den Attacken stecke die berüchtigte Gruppe „Buhtrap“, die sich auf Spionageoperationen in Osteuropa und Zentralasien spezialisiert habe.

Schwierig, eine Attacke einem bestimmten Akteur zuzuordnen

Zum ersten Mal haben ESET-Forscher nach eigenen Angaben gesehen, „wie die Cyber-Kriminellen einen ,Zero-Day-Exploit‘ im Rahmen eines Angriffs auf eine Regierungseinrichtung ausnutzen“. Ihre Ergebnisse haben die Analysten auf der Website „WeLiveSecurity“ veröffentlicht.
„Es ist schwierig, eine Attacke einem bestimmten Akteur zuzuordnen. In diesem Fall ist es uns aber geglückt“, erläutert Thomas Uhlemann, „Security Specialist“ bei ESET.

Finanzielle Bereicherung und neuerdings auch Spionage

„Die gleichen Personen, die hinter den ersten Angriffen durch ,Buhtrap‘ auf Unternehmen und Banken beteiligt waren, sind auch an der aktuellen Attacke auf staatliche Institutionen involviert. Warum ein oder mehrere Mitglieder den Fokus ihrer Aktivitäten verändert haben, ist derzeit noch unklar“, so Uhlemann.
Die „Buhtrap“-Gruppe sei bekannt dafür, Finanzinstitute und Unternehmen in Russland zu attackieren. Seit Ende 2015 sehen die ESET-Sicherheitsexperten demnach „jedoch eine interessante Veränderung der traditionellen Ziele der Gruppe“: Ausgehend von einer rein kriminellen Gruppe, die Cyber-Kriminalität zur finanziellen Bereicherung betreibe, sei ihr Instrumentarium um Schadprogramme zur Durchführung von Spionage erweitert worden.

Weitere Informationen zum Thema:

welivesecurity by eseT, 11.07.2019
Buhtrap-Gruppe nutzt Zero-Day-Exploit für E-Spionage / ESET-Untersuchungen zeigen, dass die berüchtigte Buhtrap-Gang in den letzten fünf Jahren auch E-Spionage-Kampagnen durchführte

datensicherheit.de, 10.07.2019
ESET-Forscher warnen vor Zero-Day-Exploit in Windows / Sicherheitslücke im Betriebssystem für gezielte Angriffe ausgenutzt

[datensicherheit.de, 01.04.2019] Symantec hat neue Erkenntnisse zur Angriffsgruppe „Elfin“ veröffentlicht: Diese Hackergruppe, die auch unter dem Namen „APT33“ bekannt sei, greife eine Vielzahl an Organisationen aus unterschiedlichen Branchen im Nahen Osten an. Sie sei derzeit eine der aktivsten Hackergruppen in dieser Region.

Hackergruppe erstmals im Dezember 2018 aufgetreten

Erstmals sei diese Gruppe im Dezember 2018 in Zusammenhang mit einer neuen Welle von „Shamoon“-Malware-Angriffen in die Wahrnehmung der Öffentlichkeit gerückt.
Obwohl sie sich Hackergruppe auf Ziele im Nahen Osten fokussiere, seien auch Unternehmen in den USA, Belgien, Großbritannien, in den Vereinigten Arabischen Emiraten, China sowie Thailand ins Visier der Angreifer geraten.

Taktiken werden kontinuierlich überarbeitet

Bei den Angriffen nutzt „Elfin“ demnach eine breite Palette an Tools, die von benutzerdefinierter Malware bis hin zu Standard-RATs (remote administration tools) reichten.
Dies zeige die Bereitschaft, die Taktiken kontinuierlich zu überarbeiten und alle notwendigen Werkzeuge zu finden, um die nächste Gruppe von Opfern anzugreifen.

Weitere Informationen zum Thema:

Symantec. Blogs / Threat Intelligence, 27.03.2019
Elfin: Relentless Espionage Group Targets Multiple Organizations in Saudi Arabia and U.S.

datensicherheit.de, 16.08.2018
RAT-Trojaner Orcus beliebt bei Cyber-Kriminellen

[datensicherheit.de, 04.04.2017] KASPERSKY lab hat laut einer eigenen Meldung die Ergebnisse einer mehr als einjährigen Untersuchung der Aktivitäten der „Lazarus“-Gruppe vorgestellt. Diese berüchtigte Hackergruppe wird demnach für den Diebstahl von 81 Millionen US-Dollar von der Zentralbank in Bangladesch im Jahr 2016 verantwortlich gemacht. Über eine forensische Analyse von Artefakten in den Systemen südostasiatischer und europäischer Banken hat KASPERSKY lab demnach tiefe Einblicke darüber gewinnen, welche schädlichen Werkzeuge diese Gruppe verwendet und wie ihre weltweiten Angriffe auf Finanzinstitutionen, Spielcasinos, Software-Entwickler für Anlagegesellschaften sowie Unternehmen im Kryptowährungsbereich ablaufen. Mit Hilfe dieser Erkenntnisse seien nun „mindestens zwei weitere Operationen und damit der Diebstahl hoher Geldsummen bei Finanzinstituten“ vereitelt worden.

Einer der größten und erfolgreichsten Cyber-Überfälle

Im Februar 2016 habe eine damals noch nicht identifizierte Gruppe von Hackern versucht, 851 Millionen US-Dollar zu stehlen. Es sei ihr gelungen, eine Überweisung in Höhe von 81 Millionen US-Dollar von einem Konto der Zentralbank von Bangladesch zu tätigen – und damit einen Coup zu landen, der als einer der größten und erfolgreichsten Cyber-Überfälle gelte.
Die Experten mehrerer IT-Sicherheitsfirmen – darunter auch KASPERSKY lab – hätten herausgefunden, dass hinter dem Angriff mit hoher Wahrscheinlichkeit die Gruppe „Lazarus“ stecke: Eine berüchtigte Cyber-Spionage- und -Sabotage-Gruppe, die bereits seit 2009 weltweit für ganze Serien von wiederholten und verheerenden Angriffen auf Produktionsunternehmen, Medien und Finanzinstitute in mindestens 18 Ländern bekannt sei.

Operative Tätigkeit in Richtung Europa verlagert

Obwohl man nach dem Angriff in Bangladesch mehrere Monate nichts mehr von dieser Gruppe gehört habe, sei „Lazarus“ weiter aktiv gewesen und habe sich auf neue Operationen für den Gelddiebstahl bei anderen Banken vorbereitet.
So habe diese Gruppe bereits einen Fuß bei einem südostasiatischen Finanzinstitut in der Tür gehabt. Nachdem die Lösungen von KASPERSKY lab und die anschließende Untersuchung den Cyber-Einbruch hätten vereiteln können, habe sich die Gruppe erneut monatelang zurückgezogen, um dann ihre operative Tätigkeit in Richtung Europa zu verlagern. Auch dort seien Angriffe durch die Sicherheitslösungen von KASPERSKY lab entdeckt und mit Hilfe einer schnellen Vorfallreaktion (Incident Response), forensischer Analyse sowie „Reverse Engineering“ der Experten von KASPERSKY lab verhindert worden.

Vorgehensweise der Gruppe

Die Ergebnisse der forensischen Analyse durch KASPERSKY lab deuteten auf folgende Vorgehensweise der Gruppe hin:

• Erstkompromittierung: Zunächst werde in ein einzelnes System innerhalb der Bank eingedrungen – und zwar entweder über einen Code mit Schwachstellen (zum Beispiel auf einem Webserver) oder mit Hilfe eines „Wasserlochangriffs“ über ein Exploit, das auf einer legitimen Webseite implantiert werde, auf welche die Opfer (in diesem Fall die Bankangestellten) mit ihren Computern zugriffen. Dabei werde Malware heruntergeladen, die weitere Komponenten nachladen könne.
• Hintertür: Danach wandere die Gruppe zu den weiteren Hosts der Bank und installiere dort langlebige Backdoors, also Malware, die ein beliebiges Kommen und Gehen der Angreifer zulasse.
• Erkundung: Anschließend untersuche die Gruppe über Tage und Wochen das Netzwerk und identifiziere die für sie wertvollen Ressourcen. Das könne ein Backup-Server mit dort abgelegten Authentifizierungsinformationen, ein Mail-Server beziehungsweise der komplette „Domain Controller“ mit den Schlüsseln zu „jeder Tür“ im Unternehmen oder ein Server mit Prozessaufzeichnungen der Finanztransaktionen sein.
• Diebstahl: Schließlich installiere die Gruppe eine spezielle Malware, welche die internen Sicherheitsfunktionen der Finanzsoftware umgehe und ihre betrügerischen Transaktionen im Namen der Bank ausführe.

Vermutlich monatelang unbemerkt operiert

Die von KASPERSKY lab untersuchten Angriffe hätten mehrere Wochen gedauert. Doch vermutlich hätten die Angreifer monatelang unbemerkt operiert.
So sei von den Experten beispielsweise während der Analyse des Vorfalls in Südostasien entdeckt worden, dass die Hacker das Netzwerk der Bank bereits sieben Monate vor jenem Tag der Anforderung der Vorfallreaktion durch das Sicherheitsteam der Bank attackiert hätten – tatsächlich habe dieser Zeitpunkt noch vor dem Vorfall in Bangladesch gelegen.
Gemäß den Aufzeichnungen von KASPERSKY lab seien seit Dezember 2015 Aktivitäten von „Lazarus“-Malware-Samples bei Finanzinstituten, Spielcasinos, bei Software-Entwicklern für Anlagegesellschaften sowie Unternehmen im Kryptowährungsbereich in Korea, Bangladesch, Indien, Vietnam, Indonesien, Costa Rica, Malaysia, Polen, Irak, Äthiopien, Kenia, Nigeria, Uruguay, Gabun, Thailand und verschiedenen anderen Staaten aufgetaucht. Die jüngsten Samples habe KASPERSKY lab im März 2017 entdeckt – die Angreifer seien also weiter aktiv.

Verräterischer Test des Command-and-Control-Servers

Auch wenn die Angreifer so vorsichtig gewesen seien, ihre Spuren zu verwischen, hätten sie bei einem von ihnen im Rahmen einer anderen Kampagne penetrierten Server einen Fehler begangen und dort ein wichtiges Artefakt hinterlassen.
Zur Vorbereitung ihrer Operationen sei dieser als Command-and-Control-Center für die Malware konfiguriert worden. Am Tag der Konfiguration seien die ersten Verbindungen zu einigen wenigen VPN- beziehungsweise Proxy-Servern aufgebaut worden, was auf einen Test für den Command-and-Control-Server hindeute. Allerdings habe es an diesem Tag auch eine kurze Verbindung zu einer IP-Adresse in einem sehr selten genutzten Adressbereich in Nordkorea gegeben. Dies könnte laut den Experten bedeuten, dass

• die Angreifer sich von dieser IP-Adresse aus Nordkorea verbunden hätten,
• ein anderer Akteur unter „falscher Flagge“ die Operation sorgfältig geplant habe
• oder jemand in Nordkorea versehentlich die Command-and-Control-URL besucht habe.

Die „Lazarus“-Gruppe sei sehr darauf bedacht, immer wieder neue Varianten ihrer Malware zu erzeugen. Monatelang hätten sie versucht, ein Set schädlicher Tools aufzubauen, welches von Sicherheitslösungen nicht erkannt werden sollte. Jedoch sei es den Experten von KASPERSKY lab jedes Mal gelungen, auch die neuen Samples aufzuspüren – und zwar über einige typische Merkmale, die bei der Erzeugung des Codes verwendet worden seien.

Abbildung: KASPERSKY lab

„Lazarus“-Gruppe: Taktiken, Techniken und Prozeduren der Angriffe auf Finanzinstitute

***„Lazarus“ wird wohl bald zurückkommen***

„Wir sind sicher, dass ,Lazarus‘ bald zurückkommen wird“, warnt Vitaly Kamluk, „Head of Global Research and Analysis Team (GReAT) APAC“ bei KASPERSKY lab. Angriffe wie die der „Lazarus“-Gruppe machten deutlich, wie sich geringfügige Fehler in der Konfiguration zu „massiven Sicherheitsvorfällen ausweiten“ und bei betroffenen Unternehmen möglicherweise Schäden in Höhe von Hunderten von Millionen Dollar anrichten könnten. Man hoffe, dass weltweit die Verantwortlichen von Banken, Spielcasinos und Anlagegesellschaften beim Namen „Lazarus“ misstrauisch werden, so Kamluk.
An alle Organisationen richtet KASPERSKY lab daher „die dringende Bitte“, ihre Netzwerke sorgfältig auf Anzeichen von „Lazarus“-Malware zu durchsuchen. Sollten diese entdeckt werden, müsse die Infektion im System beseitigt werden. Außerdem seien die Strafverfolgungsbehörden und Vorfallreaktions-Teams zu verständigen.

Weitere Informationen zum Thema:

KASPERSKY lab auf YouTube, 03.04.2017

Chasing Lazarus: A Hunt for the Infamous Hackers to Prevent Large Bank Robberies

datensicherheit.de, 24.02.2016
Cyberspionage und -sabotage: Lazarus-Gruppe in Asien verortet

[datensicherheit.de, 24.02.2016] Im Rahmen der „Operation Blockbuster“ hat KASPERSKY lab nach eigenen Angaben mit Novetta und anderen Branchenpartnern zusammengearbeitet, um die Aktivitäten der sogenannten „Lazarus-Gruppe“ zu beenden, welche für Datensabotage und weltweite Cyberspionage-Aktivitäten gegen zahlreiche Unternehmen verantwortlich gemacht wird.

Verheerende Angriffen auf Sony Pictures Entertainment

So soll diese Gruppe von Cyberkriminellen für die Angriffe auf die Filmproduktion Sony Pictures Entertainment (SPE) im Jahr 2014 und die Operation „DarkSeoul“ gegen Medien und Finanzinstitute im Jahr 2013 verantwortlich sein.
Nach den „verheerenden Angriffen“ auf SPE hätten die KASPERSKY-Experten im Jahr 2014 mit einer Inspektion der Samples der damals unter dem Namen „Destover“ bekannten Malware begonnen. Daran habe sich eine breitere Untersuchung einer Reihe ähnlicher Kampagnen im Bereich Cyberspionage und -sabotage angeschlossen, die sich unter anderem gegen Finanzinstitute, Medien und Hersteller gerichtet hätten.

Einkreisung des Angreifers

Durch dabei festgestellte Parallelen hätten die Sicherheitsexperten Dutzende von bislang als eigenständig geltenden Attacken ein und demselben Angreifer zuordnen können. Dies hätten auch die Analysen der anderen Beteiligten an der „Operation Blockbuster“ bestätigt.
Die „Lazarus-Gruppe“ sei demnach bereits Jahre vor dem Angriff auf SPE aktiv gewesen – und sei es wohl auch bis zum heutigen Tag geblieben. Neben der Verbindung zu SPE sehe man Zusammenhänge zu Malware aus Kampagnen wie den Operationen „DarkSeoul“ gegen in Seoul ansässige Banken und Medien sowie „Troy“ gegen die Streitkräfte Südkoreas.

Angreifer in Asien vermutet

Die in der „Operation Blockbuster“ zusammengeschlossenen Partner hätten durch die Analyse diverser Samples aus verschiedenen Cybersicherheits-Vorfällen mit Hilfe spezieller Mechanismen eine ganze Reihe von Angriffen der „Lazarus-Gruppe“ zuordnen können.
Ein wichtiges, bei der Analyse gefundenes Bindeglied sei die Wiederverwendung von Code-Fragmenten in verschiedenen Schadprogrammen gewesen. Darüber hinaus habe es Ähnlichkeiten bei der Vorgehensweise gegeben. Dropper, also Dateien zur Installation verschiedener Varianten von schädlichen Nutzdaten, trügen diese in Passwort-geschützten Zip-Archiven. Das Passwort sei bei verschiedenen Angriffen identisch und zudem im jeweiligen Dropper selbst hart kodiert gewesen. Eigentlich solle über den Passwortschutz verhindert werden, dass automatische Systeme die Nutzdaten extrahieren und analysieren. In diesem Fall habe er aber den Experten geholfen, die Angreifer zu identifizieren.
Weitere Hinweise habe eine spezielle Technik geliefert, mit der die Angreifer ihre Spuren in den infizierten Systemen hätten verwischen wollen, sowie Methoden, um einer Erkennung durch Anti-Virussoftware zu entgehen. So habe man Dutzende von zuvor nicht identifizierbaren Angriffen ein und demselben Aggressor zuordnen können.
Analysiere man die Zeitpunkte der Kompilierung der Samples, so zeige sich, dass die ersten bereits 2009 entstanden seien, also fünf Jahre vor dem unrühmlichen Vorfall bei SPE. Seit 2010 nehme die Anzahl der Samples stark zu. Die „Lazarus-Gruppe“ gelte damit als „stabiler Aggressor mit langem Atem“. Die Metadaten der Samples ließen erkennen, dass die meisten davon zu typischen Bürozeiten in Asien kompiliert worden seien.

Warnung vor Malware als kriegstaugliche Cyberwaffe

Wie von ihnen vorhergesagt, steige die Anzahl der „Wiper-Angriffe“ stetig an. Die Malware erweise sich damit als „hocheffektive Cyberwaffe“, warnt Juan Guerrero, „Senior Security Researcher“ bei KASPERSKY lab. Wer auf Knopfdruck Tausende von Rechner lahmlegen könne, hinter dem stecke vermutlich ein spezielles Team für das Eindringen in Computernetzwerke, das sich der Desinformation und Zerstörung der angegriffenen Unternehmen verschrieben habe. In einem hybriden Kriegsszenario wären „Wiper-Attacken“, die mit physischen Angriffen auf die Infrastruktur eines Landes kombiniert würden, eine starke Waffe. Was wie ein Gedankenexperiment klinge, liege womöglich näher an der Realität, als uns lieb sein könne.
Dieser Aggressor habe die notwendigen Fähigkeiten und die Entschlossenheit, um Cyberspionage-Operationen durchzuführen, die mit Datendiebstahl und -sabotage einhergingen. In Kombination mit Desinformations- und Deception-Techniken hätten die Angreifer in den vergangenen Jahren erfolgreich eine Reihe von Operationen durchführen können, sagt Jamie Blasco, „Chief Scientist“ bei AlienVault.

Branchenweiter Informationsaustausch zur Stärkung der Sicherheit

Die „Operation Blockbuster“ gebe Novetta, KASPERSKY lab und den anderen Partnern die Möglichkeit, die Aktivitäten global agierender Aggressoren massiv zu stören und zukünftige Schäden zu verhindern, ergänzt Andre Ludwig, „Senior Technical Director“ der Novetta Threat Research and Interdiction Group. Eine derart tiefgehende technische Analyse, wie mit der „Operation Blockbuster“ durchgeführt, sei selten. Dass die Ergebnisse mit anderen Partnern in der Branche geteilt würden, sei gar noch seltener. Alle könnten jetzt davon profitieren.

Weitere Informationen zum Thema:

KASPERSKY lab, 24.02.2016
Operation Blockbuster revealed / A glimpse at the spider web of the Lazarus Group APT campaigns

*OPERATION* BLOCKBUSTER
Private Industry Takes Action Against Global Cyber Threats