[datensicherheit.de, 20.05.2022] Laut Medienberichten soll es in den vergangenen Tagen zu fortlaufenden Ransomware-Attacken der cyber-kriminellen Hacker-Gruppe „Conti“ auf die Regierung Costa Ricas gekommen sein. Alex Hinchliffe, „Threat Intelligence Analyst“ bei der „Unit42“ von Palo Alto Networks, geht in seiner aktuellen Stellungnahme auf diesen Vorfall ein:

Foto: Palo Alto Networks

Alex Hinchliffe: Wir haben bereits gesehen, wie Conti Angriffe auf Krankenhäuser, Rettungsdienste und Strafverfolgungsbehörden durchführte…

Conti gilt seit 2020 als eine der rücksichtslosesten Ransomware-Gangs

„Dass die Hacker-Gruppe ,Conti‘ eine ganze Regierung ins Visier genommen hat, ist nun nicht unbedingt eine Überraschung. Wir haben bereits gesehen, wie ,Conti‘ Angriffe auf Krankenhäuser, Rettungsdienste und Strafverfolgungsbehörden durchführte und dabei doppelte Erpressungstechniken einsetzte, um Opfer dazu zu bringen, ein Lösegeld zu zahlen“, berichtet Hinchliffe.

„Conti“ habe sich seit ihrer Entstehung im Jahr 2020 immer als eine der rücksichtslosesten Ransomware-Gangs hervorgetan. Sie operierten ohne einen „Ehrenkodex“, den einige andere Hacker-Gruppen zu beachten behaupteten, wenn es darum geht, lebenswichtige oder besonders gefährdete Opfer anzugreifen.

Geld offenbar der Conti-Motivationsfaktor für solche Angriffe

Geld sei der Motivationsfaktor für solche Angriffe. Hinchliffe: „Sie haben ihre Forderungen schnell und deutlich erhöht und belaufen sich im Jahresdurchschnitt auf rund 1,78 Millionen US-Dollar – ihre höchste anfängliche Zahlungsanforderung betrug drei Millionen US-Dollar.“

In diesem Fall hätten die Angreifer 20 Millionen US-Dollar gefordert – eine Verdoppelung der vorherigen Forderung von zehn Millionen US-Dollar. „Anscheinend bot ,Conti‘ an, das Lösegeld zu verringern, und sagte, wenn die Regierung zahlt, werden sie aufhören, private Institutionen in der Region anzugreifen.“

Conti als organisiertes kriminelles Unternehmen mit geschäftsähnlichen Strukturen

Hinchliffe führt weiter aus: „In der Vergangenheit haben wir einen Anstieg der Techniken der Doppelten Erpressung gesehen – das Herausschleusen von Daten, um sie als Druckmittel gegen die Opferorganisation zu verwenden, um Gelder zu erpressen – und so etwas wie das, was hier gemeldet wird, könnte eine weitere Wendung sein, um Angriffe gegen andere anzudrohen, es sei denn, das Opfer zahlt.“ Dies spiegele wider, wie sehr „Conti“ als organisiertes kriminelles Unternehmen mit geschäftsähnlichen Strukturen agiere. Diese seien aufgedeckt worden, als „Conti“ einen eigenen Leak erlitten habe, „der sehr gut organisierte Teamstrukturen und definierte Rollen offenbarte“.

Typischerweise arbeite „Conti“ sehr opportunistisch und nutze bekannte Schwachstellen aus, um in Systeme einzudringen und sich seitlich über interne Geräte zu bewegen. „Wir wissen bereits, dass sie ,CVE-2021-34473‘, ,CVE-2021-34523‘ und ,CVE-2021-31207‘ (,ProxyShell‘) bei ihren Ransomware-Angriffen verwendet haben und dann im Dezember 2021 erfolgreich mit der Ausnutzung von ,CVE-2021-44228‘, bekannt als ,Log4Shell‘, begonnen haben”, ergänzt Hinchliffe abschließend.

Weitere Informationen zum Thema:

golem.de, Lennart Mühlenmeier, 10.05.2022
Conti-Gang: Costa Rica ruft wegen Ransomware den Notstand aus

datensicherheit.de, 18.05.2021
HSE-Ransomware-Attacke: Hacker-Gruppe Conti mutmaßlicher Täter / Ende der 19. KW 2021 wurde die irische Gesundheitsbehörde HSE Opfer eines Angriffs mit Ransomware – durch die Hacker-Gruppe Conti, meldet Palo Alto Networks

[datensicherheit.de, 26.01.2022] Laut einer aktuellen Meldung des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) begann mit einer digitalen „Kick-off“-Veranstaltung am 25. und 26. Januar 2022 die intensive Vorbereitungsphase der „LÜKEX 22“ mit dem Szenario eines Cyber-Angriffs auf das Regierungshandeln: In dieser neunten strategischen Länder- und Ressortübergreifenden Krisenmanagementübung optimieren Bund, Länder und Betreiber Kritischer Infrastrukturen (KRITIS) demnach erneut ihre Krisenbewältigungsstrukturen. Vorbereitet, geplant, durchgeführt und ausgewertet wird die „LÜKEX“ vom BBK. Alle 16 Bundesländer sowie über 30 Bundesbehörden seien daran beteiligt. „Sie festigen dadurch gemeinsam ihre Krisenmanagementstrukturen und trainieren die ebenen- und bereichsübergreifende Zusammenarbeit zum Schutz der Bevölkerung.“ Dafür sei ein fiktives „Worst-case“-Szenario nötig, welches mit allen teilnehmenden Institutionen vor der Übung abgestimmt werde. Fachlicher Partner des BBK für die Szenario-Entwicklung sei das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Erkenntnisse aus der Corona-Pandemie flossen in die LÜKEX-22-Vorbereitung ein

In die Vorbereitung der „LÜKEX 22“ flössen Erkenntnisse aus der „Corona-Pandemie“ sowie die Entwicklung des Krisenmanagements in Deutschland ein. Nachdem die Durchführung der „LÜKEX“ aufgrund der „Corona-Pandemie“ habe verschoben werden müssen, werde sie nun am 23. und 24. November 2022 stattfinden. Danach würden die dann gewonnenen Erkenntnisse sorgfältig ausgewertet, die Ergebnisse festgehalten und darauf aufbauend Handlungsempfehlungen formuliert. „So wird gewährleistet, dass die ,LÜKEX‘ nachhaltig wirkt und konkret zu Verbesserungen des Krisenmanagements führt.“
Zudem wird die Übungsserie selbst zum Untersuchungsgegenstand – zur Weiterentwicklung der „LÜKEX“ werde ein Team des „Lehrstuhls für Wissensmanagement und Geschäftsprozessgestaltung“ der Universität der Bundeswehr München im Zuge der „Prozessanalyse KNOW“ die gesamte „LÜKEX 22“ begleiten und die Übungsanlage evaluieren.

Auch LÜKEX-22 umfasst 4 Phasen: Planung, Vorbereitung, Durchführung und Auswertung

Der Zyklus jeder „LÜKEX“ umfasse die vier Phasen Planung, Vorbereitung, Durchführung und Auswertung. In der Planungsphase werde zunächst die Thematik der Übung festgelegt. Mit der digitalen „Kick-off“-Veranstaltung der „LÜKEX 22“ beginne für die Akteure jetzt die intensive Vorbereitungsphase, in welcher die realitätsnahe Simulation genauer ausgearbeitet und in einem gemeinsamen Abstimmungsprozess sukzessive das Drehbuch erstellt werde.
Zudem könnten die Teilnehmer auf zahlreichen gemeinsamen Tagungen, Workshops und Treffen auf der Arbeitsebene wichtige Erkenntnisse zur Verbesserung des nationalen Krisenmanagements in den Themenbereichen der Übung gewinnen.

LÜKEX-22-Zielsetzung: Notfallmechanismen der Cyber-Sicherheitsstrukturen…

Im Fokus dieser Übung stünden dieses Mal die Notfallmechanismen der Cyber-Sicherheitsstrukturen und Maßnahmen zur Aufrechterhaltung der Staats- und Regierungsfunktionen. In der Übungsserie „LÜKEX“ gehe es auch immer darum, „dass ganz unterschiedliche Akteure vernetzt werden und zu einer gemeinsamen Sprache und Bewertung einer Krisenlage kommen“.
Geübte Krisenmanager müssten sich dieses Mal in die „Cyber-Welt“ hineindenken, wie auch Fachleute für IT die Bedürfnisse von Krisenstäben kennenlernten. Damit werde eine gute Grundlage für zielführende Abstimmungen und Entscheidungen in zukünftigen Notlagen gelegt.

Weitere Informationen zum Thema:

BBK Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
LÜKEX Krisenübung für den Bevölkerungsschutz

[datensicherheit.de, 24.06.2016] Die Regierung Singapurs plant laut Medienberichten, ihre Beamten ab Mai 2017 ohne Internetzugang arbeiten zu lassen. Dieser „radikale Schritt“, so Palo Alto Networks, sei beschlossen worden, um gefährliche Cyber-Angriffe zu verhindern.

Innovations-Kehrtwende in Singapur

Über 100.000 Computer von Ministerien, Behörden und weiteren Institutionen sollten im Zuge der Pläne vom Netz genommen werden. Damit vollzieht Singapur nach Ansicht von Palo Alto Networks eine Kehrtwende, denn noch im Jahr 2014 habe der Premierminister eine Initiative gestartet, um Singapur zur „Smart Nation“ zu machen – womit das Land und seine Menschen durch neue technische Lösungen, Netzwerke und „Big Data“ einen deutlichen Entwicklungsschritt machen sollten.
Die Computer der Beamten in Singapur sollten nun über ein Intranet vernetzt werden – eine Lösung für den E-Mail-Verkehr gebe es jedoch laut Medienberichten noch nicht. Singapurs Ministerpräsident, Lee Hsien Loong, sei laut eines Medienberichts zuversichtlich, dass die Verwaltung weiterhin effizient arbeite.

Regierungen in der Pflicht

Regierungen und Industrie müssten dagegen gemeinsam eine „leistungsfähige, automatisierte Architektur zum Austausch von Informationen“ aufbauen – diese müsse in der Lage sein, aus Bedrohungsindikatoren nahezu in Echtzeit großräumig zu verteilende Sicherheitsmaßnahmen zu generieren, kommentiert Josip Benkovic, „Public Sector Director“ bei Palo Alto Networks.
„Regierungen sollten dafür sorgen, dass adäquate Maßnahmen zum Schutz von Daten in Kraft sind“, betont Benkovic. Deren Aufgabe sei die Erkennung, Prävention und Reaktion im Falle von Cyber-Bedrohungen, Sicherheitslücken und bösartigen Kampagnen. Je eher Unternehmen und Behörden Details über Cyber-Angriffe teilen könnten, desto besser könnten Organisationen einander schützen und die Kosten einer Cyber-Attacke zurück zum Angreifer verlagern. Die Gesetzgebung sollte laut Benkovic entsprechend konzipiert sein, um Angriffe zu identifizieren und verhindern zu können.