[datensicherheit.de, 13.02.2023] Laut einer Umfrage mangelt es Organisationen in Deutschland im Kontext der Cyber-Sicherheit offenbar an Wissen über die unterschiedlichen Hacker-Gruppen und deren Vorgehensweisen. Die Nutzung vorhandener „Threat Intelligence“ gestalte sich in vielen Organisationen als Herausforderung, warnt Jens Monrad, „Head of Mandiant Intelligence, EMEA“ bei Google Cloud, in seiner aktuellen Stellungnahme.

Foto: Mandiant

Jens Monrad: Deutsche Organisationen sehen ganz ähnliche Herausforderungen in der Stärkung ihrer Cyber-Abwehr wie Cyber-Security-Verantwortliche weltweit…

40% der Organisationen in Deutschland in den letzten 12 Monaten Opfer eines Cyber-Angriffs

Der vorliegende Mandiant-Bericht „Global Perceptions on Threat Intelligence“ gibt demnach Aufschluss darüber, wie Organisationen mit der zunehmend komplexen Bedrohungslandschaft umgehen. Der Bericht basiert nach Mandiant-Angaben auf einer weltweiten Umfrage unter 1.350 Entscheidungsträgern für Cyber-Sicherheit in 13 Ländern, darunter 100 in Deutschland, und 18 Branchen, darunter Finanzdienstleistungen, Gesundheitswesen und Regierungsbehörden.

40 Prozent der Befragten aus Organisationen in Deutschland gäben an, dass ihre Organisation in den letzten zwölf Monaten Opfer eines Cyber-Angriffs geworden sei – sieben Prozentpunkte mehr als weltweit gesehen. „Dabei sehen deutsche Organisationen ganz ähnliche Herausforderungen in der Stärkung ihrer Cyber-Abwehr wie Cyber-Security-Verantwortliche weltweit“, so Monrad.

Mehrzahl der Entscheidungen hinsichtlich der Cyber Security ohne Informationen zu potenziellen Angreifern

Um sich besser gegen Angriffe verteidigen zu können, sei es 77 Prozent der deutschen Umfrageteilnehmer wichtig, Informationen über die Vorgehensweise potenzieller Angreifer zu kennen. Dennoch erklärten 81 Prozent der Befragten, „dass in ihrer Organisation alle oder die Mehrzahl der Entscheidungen hinsichtlich der Cyber Security ohne Informationen zu den potenziellen Angreifern getroffen werden“.

Nur 35 Prozent der Befragten in Deutschland seien der Meinung, dass ihre Organisation überhaupt über ein umfassendes Wissen über die unterschiedlichen Hacker-Gruppen und deren Taktiken, Techniken und Verfahren verfüge. Monrad ergänzt: „95 Prozent der deutschen Entscheidungsträger sind der Meinung, dass Cyber-Security-Strategien bei Verfügbarkeit neuer ,Threat Intelligence’ nicht schnell genug an die Gefahren angepasst werden.“

Führungsebenen unterschätzen offenbar Cyber-Gefahren

Nur 32 Prozent der Befragten sähen einen Mangel an Talent und Expertise als Herausforderung in Bezug auf die Nutzung von „Threat Intelligence“. Bei den Befragten in Nordamerika sei diese Sorge größer (47%). Mehr als die Hälfte der deutschen Entscheidungsträger (60%) glaube zudem, dass ausreichend Budget vorhanden sei, um den Angreifern einen Schritt voraus zu sein. Monrad führt aus: „Dafür sehen beinahe zwei Drittel (64%) der Befragten das Problem in der Führungsriege ihrer Organisation, die Cyber-Gefahren unterschätzt. 62 Prozent fordern hier ein Umdenken und dass ihre Organisation mehr Zeit und Energie in die wichtigsten neuen Entwicklungen im Bereich ,Cyber Security’ investiert.“

Er mahnt: „Organisationen in Deutschland bleiben ein begehrtes Ziel für Cyber-Kriminelle. Angesichts einer Reihe an bedeutenden Sicherheitsvorfällen in diesem noch jungen Jahr sind sich die Sicherheitsexperten mehr denn je der Notwendigkeit besserer Sicherheitspraktiken bewusst.“ Oft hätten Sicherheitsteams jedoch Schwierigkeiten, mit der sich schnell verändernden Bedrohungslandschaft Schritt zu halten. Zudem sorgten sie sich darüber, „dass leitende Angestellte das Ausmaß der Bedrohung nicht vollständig begreifen“.

Abschließend rät er: „Sicherheitsteams sollten sich daher ,Threat Intelligence’ aneignen, die vertrauenswürdig, zeitig und verwertbar ist und relevante ,Intelligence’ (taktischer, operativer und strategischer Natur) regelmäßig mit den entsprechenden Interessengruppen bis hoch zur Führungsebene teilen.“ Dann könnten Organisationen Security- und Geschäftsentscheidungen mit Einblick in die potenziellen Angreifer treffen.

Weitere Informationen zum Thema:

MANDIANT (Google Cloud)
Global Perspectives on Threat Intelligence

[datensicherheit.de, 12.05.2022] Am 12. Mai 2017 wurde der Nordkorea zugeschriebene Ransomware-Angriff „WannaCry“ ausgeübt. Jens Monrad, „Head of Threat Intelligence, EMEA“ bei Mandiant, geht in seiner aktuellen Stellungnahme auf diese Schadsoftware ein, welche wichtige Daten auf infizierten Systemen verschlüsselt, um von den Opfern Geld zu erpressen. „WannaCry“ hatte hierfür eine Zero-Day-Sicherheitslücke im „Windows“-Betriebssystem ausgenutzt, welche daraufhin mit einem Patch von „Microsoft“ behoben wurde. In seinem Kommentar erläutert Monrad die Entwicklung der Cyber-Fähigkeiten Nordkoreas in den letzten fünf Jahren seit diesem Vorfall:

Foto: Mandiant

Jens Monrad rät, proaktive Verteidigung zu ermöglichen!

WannaCry – einer der bisher am meisten zerstörerischen Ransomware-Angriffe

„,WannaCry‘ war nicht nur einer der am weitesten verbreiteten und zerstörerischsten Ransomware-Angriffe, sondern auch ein Wendepunkt für die vom nordkoreanischen Staat unterstützten Cyber-Operationen. Er zeigte die Fähigkeiten und die Bereitschaft des isolierten Regimes, anderen Nationen Schaden zuzufügen, um nationale Interessen zu verfolgen“, sagt Monrad.
Nordkorea habe wenig Anreiz gehabt, „nach den Regeln zu spielen“. Diese Entwicklung setze sich auch fünf Jahre später fort:
„Das Regime nutzt seine Cyber-Fähigkeiten, um sowohl politische als auch nationale Sicherheitsprioritäten zu unterstützen und finanzielle Ziele zu erreichen.“

WannaCry als warnendes Synonym für die Lazarus-Gruppe

Heutzutage werde die „Lazarus“-Gruppe zwar häufig als Überbegriff für nordkoreanische Cyber-Akteure verwendet, in Wirklichkeit gebe es jedoch mehrere verschiedene Gruppierungen, welche als eigenständige Cyber-Einheiten operierten und unterschiedliche Ziele für den Staat verfolgten.
Die Spionageoperationen des Landes beispielsweise spiegelten vermutlich die unmittelbaren Anliegen und Prioritäten des Regimes wider.
„Diese konzentrieren sich derzeit wahrscheinlich auf die Beschaffung finanzieller Ressourcen durch Krypto-Raubüberfälle, Angriffe auf Medien, Nachrichten und politische Instanzen sowie auf Informationen über Auslandsbeziehungen und nukleare Informationen“, so Monrad.

WannaCry-Vorfall als Mahnung: Angriffsmuster erkennen!

Gleichzeitig deuteten Überschneidungen bei der Infrastruktur, der Schadsoftware und den Taktiken, Techniken und Verfahren der nordkoreanischen Gruppen darauf hin, dass es gemeinsame Ressourcen für die Cyber-Operationen und somit eine übergreifende Koordination gebe.
„Unseren Erkenntnissen zufolge werden die meisten Cyber-Operationen Nordkoreas, einschließlich Spionage, zerstörerischer Operationen und Finanzverbrechen, in erster Linie von Elementen des Generalbüros für Aufklärung durchgeführt“, führt Monrad aus.
Ein halbes Jahrzehnt nach „WannaCry“ stellten nordkoreanische Gruppen nach wie vor eine ernsthafte Bedrohung dar. „Wir müssen weiterhin ,Intelligence‘ über ihre Strukturen und Fähigkeiten sammeln, um Angriffsmuster zu erkennen, die eine proaktive Verteidigung ermöglichen.“

Weitere Informationen zun Thema:

MANDIANT, Michael Barnhart / Michelle Cantos / Jeffery Johnson / Elias Fox / Gary Freas / Dan Scott, 23.03.2022
Blog / Not So Lazarus: Mapping DPRK Cyber Threat Groups to Government Organizations

datensicherheit.de, 27.06.2018
Studie: WannaCry ließ Bewusstsein für Cyber-Risiken wachsen / Angst vor finanziellen Schäden durch Ransomware bewirkt Budgeterhöhungen und Zunahme an Mitarbeiterschulungen

datensicherheit.de, 18.05.2017
WannaCry: Cyber-Attacke sollte Initialzündung für Taten sein / TeleTrusT kritisiert derzeitiges IT-Sicherheitsniveau in Deutschland

datensicherheit.de, 16.05.2017
WannaCry-Attacken: Verantwortung übernehmen statt Schuld zuweisen / Die Weisheit „Der Krug geht so lange zum Brunnen, bis er bricht.“ hat mit den Vorfällen vom 12. Mai 2017 nun ihre für alle wahrnehmbare digitale Entsprechung gefunden

[datensicherheit.de, 09.11.2021] Laut einer aktuellen Stellungnahme von Mandiant haben in einer international koordinierten Operation Ermittler mehrere Affiliate-Partner der Ransomware-as-a-Service „REvil“ festgenommen, Sanktionen verhängt und Lösegeld in Höhe von 6,1 Millionen US-Dollar beschlagnahmt. Auch deutsche Ermittler seien an der „GoldDust“ genannten Operation beteiligt gewesen. Unter den Festgenommenen sei der Ukrainer Yaroslav Vasinskyi, „der für den Angriff auf das Unternehmen Kaseya und dessen Kunden verantwortlich sein soll“.

Foto: Mandiant

Kimberly Goody: Cyber-Kriminalität kennt keine Landesgrenzen!

REvil sehr aktive Ransomware-Bedrohung

„Diese jüngsten Ereignisse zeigen, wie wichtig es ist, bei der Bekämpfung von Ransomware-Bedrohungen einen differenzierten Ansatz zu verfolgen und mit internationalen Partnern zusammenzuarbeiten“, kommentiert Kimberly Goody, „Director of Financial Crime Analysis“ bei Mandiant. Denn Cyber-Kriminalität kenne keine Landesgrenzen.
„REvil“ habe sich seit dem ersten Auftreten im Mai 2019 als sehr aktive Ransomware-Bedrohung erwiesen. Mehr als 300 Unternehmen seien auf der Ransomware-Shaming-Website der Gruppe aufgetaucht. Die Opfer verteilten sich über 40 Länder.

REvil agierte mit Ransomware-as-a-Service-Modell

Goody erläutert: „REvil agierte mit einem Ransomware-as-a-Service-Modell und mehrere der jüngsten Verhaftungen und Sanktionen zielten auf Affiliate-Partner ab. Dies ist insofern bemerkenswert, dass Hacker in anderen Fällen, in denen eine Ransomware abgeschaltet wurde oder Störungen auftraten, zu anderen Ransomware-Affiliate-Programmen wechselten.“
Maßnahmen, die auf diese Partner abzielten, könnten sich stärker auf die Gesamtzahl der Angriffe auswirken. Denn im Vergleich zur Ransomware selbst seien die erforderlichen Fähigkeiten, um Ransomware in den Umgebungen der Opfer zu verbreiten und erfolgreich einzusetzen, im Darknet sehr gefragt.

Jüngste Ermittlungserfolge im Revil-Fall werden nicht alle Ransomware-Hacker abschrecken

Die jüngsten Maßnahmen gegen „REvil“-nahe Akteure seien zwar bedeutsam, jedoch ändere dies nichts daran, dass einige Länder aus strategischen Gründen Ransomware-Tätigkeiten tolerierten und ungehindert gewähren ließen, solange sich diese nicht gegen eigene nationale Interessen richteten.
„Dies bedeutet, dass die jüngsten Ermittlungserfolge nicht alle Ransomware-Hacker abschrecken werden“, befürchtet Goody. Insbesondere angesichts der Tatsache, wie lukrativ diese Form der Kriminalität geworden sei. Die Erhöhung der Kosten durch Verhaftungen und Sanktionen sei deshalb wichtig, um die Kosten-Nutzen-Analyse der Ransomware-Hacker negativ zu beeinflussen.

Weitere Informationen zum Thema:

datensicherheit.de, 10.07.2021
Kaseya-Vorfall: Unternehmen reagierten schnell / Anteil der anfälligen Kaseya-Server nach „REvil“-Angriff vom 2. Juli 2021 um 96 Prozent gesunken

datensicherheit.de, 09.07.2021
Kaseya als Fanal: Unternehmen sollten Security-Strategie auf moderne Angriffstechniken abstellen / Richard Werner erläutert am Beispiel des Kaseya-Vorfalls Besonderheiten eines Supply-Chain-Angriffs

datensicherheit.de, 08.07.2021
Kaseya-Vorfall zeigt Notwendigkeit der Netzwerküberwachung auch in KMU / Angreifer missbrauchten offenbar Zero-Day-Schwachstelle in Unified-Management-Software VSA von Kaseya

[datensicherheit.de, 18.08.2021] Mandiant geht in einer aktuellen Meldung auf Details zur kritischen Sicherheitslücke bei IoT-Geräten – „wie mit dem Internet verbundenen Kameras, Babymonitoren und digitalen Videorekordern“ – ein.

Offenbar Millionen von Smart-Home-Geräten potenziell gefährdet

Angreifer könnten solche Geräte über die Schwachstelle aus der Ferne kompromittieren und unter anderem:

• Live Audio abhören
• Videodaten in Echtzeit ansehen
• Dateninformationen für weitere Angriffe auf der Grundlage der Funktionen des gehackten Gerätes kompromittieren

Diese Schwachstelle betrifft nach Mandiants Erkenntnissen „Millionen von Smart-Home-Geräten, die das ThroughTek-,Kalay‘-Netzwerk nutzen“. Zum Zeitpunkt der Veröffentlichung könne Mandiant keine umfassende Liste der betroffenen Geräte erstellen. ThroughTek habe aber selbst auf seiner Website von mehr als 83 Millionen möglicherweise betroffenen IoT-Geräten berichtet.

Verbraucher mit Smart-Home-Geräten sollten diese und deren Anwendungen stets auf dem neuesten Stand halten

„Wir empfehlen Verbrauchern mit Smart-Home-Geräten dringend, ihre Geräte und Anwendungen auf dem neuesten Stand zu halten. Außerdem sollten sie komplexe, einzigartige Passwörter für alle mit diesen Geräten verbundene Konten erstellen. Auch wenn es wie eine lästige Pflicht erscheinen mag, ist das keine schlechte Vorgehensweise: Nehmen Sie sich jeden Monat ein wenig Zeit für die Aktualisierung Ihrer Haushaltsgeräte, so wie Sie sich auch für jede andere Aufgabe im Haushalt Zeit nehmen würden“, empfiehlt Jake Valetta, „Director of Professional Services“ bei Mandiant.
In einem Blog-Beitrag hat Mandiant nach eigenen Angaben die über Monate gesammelten Daten und Untersuchungsergebnisse sowie Empfehlungen für Smart-Geräte-Nutzer zusammengefasst.

Weitere Informationen zum Thema:

FIREEYE, Jake Valletta & Erik Barzdukas & Dillon Franke, 17.08.2021
Threat Research Blog / Mandiant Discloses Critical Vulnerability Affecting Millions of IoT Devices

ThroughTek, August 2021
Please Update the SDK Version to Minimize the Risk of Sensitive Information Being Accessed by Unauthorized Third-Party

datensicherheit.de, 04.02.2021
Smart-Home-Geräte: Avast rät zu mehr Sicherheit in 7 Schritten / Bereits 37% der Deutschen haben Smart-Home-Anwendungen im Haushalt

datensicherheit.de, 30.03.2021
Erneut wurden IoT-Geräte zum Einfallstor für Hacker / Kriminelle konnten Tesla, Cloudfare und Gefängnisse über IoT-Sicherheitskameras ausspähen

[datensicherheit.de, 12.07.2021] Die Schlagzeilen der vergangenen Monate zeigen ein deutliches Bild: Ransomware-Angriffe gehören mittlerweile offensichtlich zum Alltag und nehmen weiter zu. Dies bestätigten auch die Analysen von FireEye. Als starke Industrienation sei Deutschland ein attraktives Ziel für Hacker-Gruppen, aber die Gefahr bestehe branchenübergreifend. Gleichzeitig würden die Angriffe der Hacker immer gezielter und entwickelten so ein besonders großes Schadenspotenzial. „Um dieser Entwicklung Einhalt zu gebieten, muss die Politik endlich aktiv werden“, fordert Jens Monrad, „Director, Head of Mandiant Intelligence, EMEA“, bei FireEye, in seiner aktuellen Stellungnahme.

Foto: FireEye

Jens Monrad: Politik muss ein Zeichen setzen!

Ransomware-Angriffe haben während COVID-19-Pandemie europaweit zugenommen

Ransomware-Angriffe hätten während der „COVID-19-Pandemie“ europaweit zugenommen. Zwischen Februar 2020 und Mitte Mai 2021 seien mehr als 600 europäische Organisationen von „Datenklau-Bekanntmachungen im Rahmen von Ransomware-Angriffen“ betroffen gewesen.
Dies ergäben Analysen des IT-Sicherheitsspezialisten FireEye. Verglichen mit dem ersten Quartal 2020 sei die Anzahl der von Ransomware-Betreibern genannten Opfer im ersten Quartal 2021 damit um 422 Prozent angestiegen.

Großbritannien, Frankreich und Deutschland beliebteste Ziele innerhalb Europas für Ransomware-Attacken

Jede Branche und jedes Land seien von Ransomware-Angriffen betroffen. Mit knapp 20 Prozent sei die Fertigungsindustrie allerdings am häufigsten Ziel der Hacker – dicht gefolgt von juristischen und fachlichen Dienstleistern und dem Einzelhandel.
Die beliebtesten Ziele innerhalb Europas seien Großbritannien, Frankreich und Deutschland. Das lasse sich darauf zurückführen, dass auch Hacker-Gruppen globalen wirtschaftlichen Trends folgten. Alle drei seien Industrieländer und hätten eine starke Volkswirtschaft – „was erklärt, weshalb die drei Länder häufiger ins Visier genommen werden als andere europäische Länder“.

Ransomware-Angreifer immer skrupelloser

„In der zweiten Hälfte von 2019 entwickelten sich Ransomware-Angriffe von auf schiere Masse ausgerichtete Bedrohungen zu deutlich gezielteren und raffinierteren Angriffen“, berichtet Monrad. Heutzutage würden Organisationen vollständig handlungsunfähig gemacht, „bis sie das geforderte Lösegeld zahlen oder ihre IT-Infrastruktur erfolgreich über ein Back-up wiederherstellen“.
Ein Beispiel sei die im August 2020 von FireEye entdeckte Ransomware „DARKSIDE“, mit der in über 15 Ländern und verschiedenen Branchen Angriffe ausgeführt worden seien. Eine Besonderheit von „DARKSIDE“ sei, dass diese Ransomware wahlweise ein gesamtes Netz oder einzelne Personen befallen könne. Monrad führt aus: „Dafür verschafft sie sich in einem mehrstufigen Prozess Zugriff auf Daten und kopiert diese, während sie lokal verschlüsselt werden. Anschließend werden die Opfer mit der Veröffentlichung der gestohlenen Daten erpresst.“

Ransomware-Aktivitäten im Cyberspace mit deutlichen Auswirkungen auf unseren Alltag

Dabei handelten Ransomware-Gruppen und -Betreiber zunehmend ohne Rücksicht auf das Ausmaß ihrer Taten auf die betroffenen Unternehmen oder die gesamte Gesellschaft. Vorfälle aus der Vergangenheit zeigten, dass Aktivitäten im sogenannten Cyberspace auch deutliche Auswirkungen auf unseren Alltag haben könnten. Ein eindringliches Beispiel sei der Hacker-Angriff auf die Colonial-Pipeline, „die von der Ransomware ,DARKSIDE‘ betroffen war und von der rund 50 Millionen Bürger, wichtige Flughäfen und Häfen an der Ostküste der USA abhängig sind“.
Jeder Einzelne und jedes Unternehmen könne im Kampf gegen die Cyber-Kriminalität etwas leisten, „indem er sich und seine Organisation schützt“. IT-Sicherheit habe nie eine größere Rolle gespielt als heutzutage. FireEye z.B. entwickele deshalb gezielt intelligence-basierte Sicherheitslösungen wie „Mandiant Security Validation“. Diese validierten kontinuierlich die Cyber-Sicherheitsmaßnahmen eines Unternehmens, um deren Effektivität zu bewerten. „So werden Schwachstellen in den jeweiligen Systemen oder Tools offengelegt, um diese gezielt schließen zu können.“

Ransomware-Gruppen entwickeln sich rasant weiter und stellen globale Herausforderung dar

Monrad betont seine Forderung: „Doch auch auf höherer Ebene besteht Handlungsbedarf. Solange cyber-kriminelle Bedrohungen nicht auf politischer Ebene angegangen werden, wird sich der Trend fortsetzen. Cyber-Kriminalität ist zwar ein globales Problem, doch gibt es Länder, die Kriminellen eine Art sicheren Hafen bieten oder kriminelle Aktivitäten tolerieren, solange sie diese nicht selbst betreffen. Dagegen muss die Politik ein Zeichen setzen.“
Erste Schritte würden unternommen. „Viele Institutionen und Organisationen erkennen die Gefahr der Cyber-Angriffe auf globaler Ebene.“ So habe die EU-Kommission in den vergangenen Wochen eine gemeinsame Cyber-Einheit vorgeschlagen, welche zum 30. Juni 2022 ihre Arbeit aufnehmen solle. Ziel sei es, für mehr Cyber-Sicherheit in der EU zu sorgen. Monrad kommentiert: „Dies ist ein wichtiger Schritt, denn Ransomware-Gruppen entwickeln sich rasant weiter und stellen eine globale Herausforderung dar.“

Weitere Informationen zum Thema:

FIREEYE
learnings from the frontlines / RANSOMWARE SERIES

datensicherheit.de, 09.07.2021
Ransomware-Attacken: Was wir heute von gestern für morgen lernen können / Ed Williams kommentiert aktuelle Hacker-Angriffe mit Ransomware, zeigt Trends auf und gibt Tipps

datensicherheit.de, 05.07.2021
Ransomware-Angriff: Folgen weltweit zu spüren / Zahlreiche IT-Dienstleister, deren Kunden und weitere Unternehmen Opfer von Ransomware geworden