[datensicherheit.de, 26.02.2024] Nach eigenen Angaben hat Trend Micro globale Strafverfolgungspartner unter der Führung der britischen National Crime Agency (NCA) bei der Zerschlagung der Ransomware-Gruppe „LockBit“ unterstützt. „Langfristige Pläne der Gruppe konnten so verhindert werden.“ Demnach haben verdeckte Ermittlungen von Trend Micro die Veröffentlichung der neuesten Malware-Produktlinie der Gruppe vereitelt – „noch bevor die Akteure selbst ihre Tests abschließen konnten“. Kunden von Trend Micro seien automatisch geschützt.

LockBit-Verbündete nun erhöhtem Risiko der Strafverfolgung ausgesetzt

Ransomware stellt offensichtlich für Unternehmen eine der schwerwiegendsten Bedrohungen im Digitalen Raum dar: „Angriffe zielen auf alle Branchen und gefährden unter anderem Schulen, Krankenhäuser, Regierungen, Unternehmen sowie wichtige nationale Infrastrukturen.“ Lukrativ seien diese Angriffe auch für einige kleinere Cybercrime-Gruppen: „Im vergangenen Jahr zahlten Opfer über eine Milliarde US-Dollar an die Akteure und ihre Partner – ein Rekordwert. Dabei war ,LockBit’ für etwa 25 Prozent aller Ransomware-Leaks im Jahr 2023 verantwortlich und verursachte in den letzten vier Jahren bei Tausenden von Opfern Verluste in Milliardenhöhe.“

Hinter den Kulissen sei es bereits zu der Beschlagnahmung von „Krypto-Währungen“, Verhaftungen, Anklagen, der Verhängung von Sanktionen sowie der eingehenden technischen Unterstützung der Opfer gekommen. Die gemeinsam durchgeführte Operation habe darüber hinaus die Übernahme der „LockBit“-Leak-Seite, die Offenlegung persönlicher Identitäten und Informationen zu Gruppenmitgliedern sowie Details über ihre früheren kriminellen Aktivitäten umfasst. Mithilfe dieser Maßnahmen werde diese Gruppe in der Cybercrime-Community diskreditiert und damit als Untergrundunternehmen für Kriminelle unrentabel.

Auch wenn „LockBit“ zweifellos die größte und einflussreichste Ransomware-Operation weltweit gewesen sei, mache die nun erfolgte „Disruption“ deutlich, dass kriminelle Partner jede zukünftige Zusammenarbeit mit dieser Gruppe überdenken sollten – und dass sie sich durch Kooperationen einem erhöhten Risiko der Strafverfolgung aussetzten.

Verbrechergruppe LockBit wohl kaum komplett unschädlich, aber deutlich geschwächt

Die Maßnahmen der Operation gegen „LockBit“ führten laut Trend Micro zu folgenden Ergebnissen:

• Die Neutralisierung eines potenziell weit verbreiteten Ransomware-Stammes sowie die Verhinderung zukünftiger Angriffe.
• „Eine Strafverfolgungsoperation, die hoffentlich das Ende von ,LockBit’ bedeutet und die einen neuen Maßstab für die internationale Zusammenarbeit zwischen Strafverfolgungsbehörden und privaten Partnern setzt.“
• Die Eliminierung der Bedrohung durch eine neue Ransomware-Generation Dank der Analyse von Trend Micro.

„Wir bei Trend Micro sind stolz, dass wir mit unserer Bedrohungsforschung zu den Ermittlungen der globalen Strafverfolgungsbehörden beitragen konnten und Teil einer gemeinsamen Mission sind, um die Welt sicherer zu machen“, kommentiert Robert McArdle, Director „Forward Looking Threat Research Team“ bei Trend Micro, welcher sich demnach im regelmäßigen Austausch mit dem Federal Bureau of Investigation (FBI) und der National Crime Agency (NCA) befindet.

McArdles Fazit: „Letzte Woche hat Trend Micro weltweit Microsoft-Nutzer vor einer kritischen Schwachstelle geschützt; diese Woche konnten wir dabei unterstützen, die weltweit wichtigste Gruppe an Bedrohungsakteuren ihrer Führungsposition zu berauben. Nun sind Insider nicht so naiv anzunehmen, dass die Verbrechergruppe damit ausgelöscht sein wird. Einer Sache sind wir uns jedoch sicher: Kein vernünftiger Krimineller möchte noch einmal mit dieser Gruppe in Verbindung gebracht werden.“

Weitere Informationen zum Thema:

datensicherheit.de, 22.02.2024
LockBit versuchte durch Innovation die Oberhand zu behalten / Reihe von logistischen, technischen und rufschädigenden Problemen forderte LockBit-Ransomware-Gruppierung heraus

datensicherheit.de, 22.02.2024
LockBit-Zerschlagung: Strafverfolgungsbehörden senden klare Botschaft an andere Malware-Betreiber / Ransomware-Gruppierung LockBit hatte auch Krankenhäuser bzw. Kritische Infrastrukturen attackiert

datensicherheit.de, 21.02.2024
LockBit zerschlagen – Phönix aus der Asche als Ransomware-Bedrohungsszenario / Richard Cassidy kommentiert Ransomware-Gruppen im Zyklus von Zerschlagung und Auferstehung

NCA, 20.02.2024
National Crime Agency
International investigation disrupts the world’s most harmful cyber crime group

TREND MICRO, 15.02.2024
Millionen User betroffen: Trend Micro entdeckt aktiv ausgenutzte Microsoft-Schwachstelle / Trend Micros Zero Day Initiative entdeckt Bug, der es Angreifern ermöglicht, kritische Schutzmaßnahmen zu umgehen

[datensicherheit.de, 22.02.2024] Auch Trend Micro widmet einen aktuellen Kommentar der Zerschlagung der „LockBit“-Ransomware-Gruppierung: „Als kriminelle Gruppe war ,LockBit’ dafür bekannt, innovativ zu sein und neue Dinge auszuprobieren (auch wenn dies in letzter Zeit weniger der Fall war).“ So habe „LockBit“ im Laufe dieser innovativen Entwicklung mehrere Versionen seiner Ransomware veröffentlicht – von der Version „v1“ (Januar 2020) über „LockBit 2.0“ (Spitzname „Red“, ab Juni 2021) bis hin zu „LockBit 3.0“ („Black’, ab März 2022). Im Oktober 2021 habe der Bedrohungsakteur zudem „Linux“ eingeführt. Schließlich sei im Januar 2023 eine Zwischenversion „Green“ aufgetaucht – „die Code enthielt, der offenbar von der nicht mehr existierenden ,Conti’-Ransomware übernommen wurde“. Diese Version sei jedoch noch nicht eine neue Version „4.0“ gewesen.

Jüngste Herausforderungen und Niedergang der LockBit-Gruppierung

In letzter Zeit hatte die „LockBit“-Gruppe sowohl intern als auch extern mit Problemen zu kämpfen gehabt, „die ihre Position und ihren Ruf als einer der führenden RaaS-Anbieter gefährdeten“. Dazu zählten gefälschte Posts von Opfern sowie eine instabile Infrastruktur bei Ransomware-Operationen.

Fehlende Download-Dateien in angeblichen Veröffentlichungen und neue Regeln für Partner hätten die Beziehungen dieser Gruppe zudem weiter belastet. Auch die Versuche, Partner von konkurrierenden Gruppen anzuwerben sowie eine lange überfällige Veröffentlichung einer neuen „LockBit“-Version hätten auf den Attraktivitätsverlust der Gruppe hingedeutet.

LockBit 4.0 als mögliche Bedrohung am Horizont

„Kürzlich konnten wir ein Sample analysieren, das unserer Meinung nach eine in der Entwicklung befindliche Version einer plattformunabhängigen Malware von ,LockBit’ ist, die sich von früheren Versionen unterscheidet.“

Dieses füge verschlüsselten Dateien das Suffix „locked_for_LockBit“ hinzu, das Teil der Konfiguration sei und daher noch geändert werden könne. „Aufgrund des aktuellen Entwicklungsstandes nannten wir diese Variante ,LockBit-NG-Dev’, die unserer Meinung nach die Grundlage für ,LockBit 4.0‘ bilden könnte, an dem die Gruppe mit Sicherheit arbeitet.“

Grundlegende LockBit-Neuerungen laut Trend Micro:

• „LockBit-NG-Dev“ sei in „.NET“ geschrieben und mit „CoreRT“ kompiliert worden. „Wenn der Code zusammen mit der ,.NET’-Umgebung eingesetzt wird, ist er dadurch plattformunabhängig.“
• Die Codebasis sei durch die Umstellung auf diese Sprache völlig neu – „was bedeutet, dass wahrscheinlich neue Sicherheits-Patterns erstellt werden müssen, um sie zu erkennen“.
• „Im Vergleich zu ,v2‘ (,Red’) und ,v3‘ (,Black’) verfügt er zwar über weniger Funktionen, doch werden diese im Zuge der weiteren Entwicklung wahrscheinlich noch hinzugefügt.“ So wie es aussieht, handelt es sich laut Trend Micro „immer noch um eine funktionale und leistungsstarke Ransomware“.
• Die Fähigkeit zur Selbstverbreitung und zum Ausdrucken von Erpresserbriefen über die Drucker des Benutzers sei entfernt worden.
• Die Ausführung habe nun eine Gültigkeitsdauer, „indem sie das aktuelle Datum prüft, was den Betreibern wahrscheinlich dabei helfen soll, die Kontrolle über die Nutzung durch Affiliates zu behalten und es automatisierten Analysesystemen von Sicherheitsunternehmen schwerer zu machen“.
• Ähnlich wie „v3“ („Black“) verfüge diese Version immer noch über eine Konfiguration, „die Flags für Routinen, eine Liste der zu beendenden Prozesse und Dienstnamen sowie zu vermeidende Dateien und Verzeichnisse enthält“.
• Außerdem könnten die Dateinamen verschlüsselter Dateien nach wie vor in einen Zufallsnamen umbenannt werden.

Zukunft wird zeigen, ob Abgesang oder Warnung vor LockBit-Neustart geboten ist

Die cyber-kriminelle Gruppe hinter der „LockBit“-Ransomware habe sich in der Vergangenheit als erfolgreich erwiesen und während ihrer gesamten Tätigkeit stets zu den Ransomware-Gruppen mit den größten Auswirkungen gehört. „In den letzten Jahren scheinen sie jedoch eine Reihe von logistischen, technischen und rufschädigenden Problemen gehabt zu haben.“ Damit sei „LockBit“ gezwungen gewesen, Maßnahmen zu ergreifen und an einer neuen, mit Spannung erwarteten Version ihrer Malware zu arbeiten.

Angesichts der offensichtlichen Verzögerung bei der Markteinführung einer robusten Version und der anhaltenden technischen Probleme bleibe jedoch abzuwarten, „wie lange die Gruppe noch in der Lage sein wird, Top-Affiliates anzuziehen und ihre Position zu halten“. In der Zwischenzeit hofft Trend Micro, „dass ,LockBit’ die nächste große Gruppe ist, die die Vorstellung widerlegt, dass eine Organisation zu groß zum Scheitern ist“.

Weitere Informationen zum Thema:

TREND MICRO, Trend Micro Research, 22.02.2024
Ransomware / LockBit Attempts to Stay Afloat With a New Version

FRANKFURTER ALLGEMEINE ZEITUNG, Maximilian Sachse, 21.02.204
Gefürchtete Erpresserbande : Was die Zerschlagung von Lockbit für die Hackerwelt bedeutet

datensicherheit.de, 22.02.2024
LockBit-Zerschlagung: Strafverfolgungsbehörden senden klare Botschaft an andere Malware-Betreiber / Ransomware-Gruppierung LockBit hatte auch Krankenhäuser bzw. Kritische Infrastrukturen attackiert

datensicherheit.de, 21.02.2024
LockBit zerschlagen – Phönix aus der Asche als Ransomware-Bedrohungsszenario / Richard Cassidy kommentiert Ransomware-Gruppen im Zyklus von Zerschlagung und Auferstehung

Fast 24 Millionen Euro mittels vorgetäuschtem Chef in Hongkong ergaunert

[datensicherheit.de, 07.02.2024] Es sei nicht das erste Mal, dass ein „Deep-Fake Boss“ ein Unternehmen um Millionen betrügt: Fast 24 Millionen Euro (200 Millionen Hongkong-Dollar) seien es laut „Hong Kong Free Press“ diesmal. Noch handele es sich um Einzelfälle, anders als die artverwandte E-Mail-gestützte sogenannte Chef-Masche oder „BEC Fraud“ (Business E-Mail Compromise). Richard Werner, „Business Consultant“ bei Trend Micro, kommentiert angesichts des jüngsten Vorfalls die „Deep-Fake Boss“-Masche: „Im Prinzip ist das Vorgehen identisch. Ein Mitarbeiter, vorzugsweise in der Finanzabteilung, wird von der Unternehmensleitung, dem ,Boss’, aufgefordert, Geld zu überweisen. An irgendein Konto und natürlich vertraulich.“ Es gehe um den Abschluss eines Deals, eine Firmenübernahme oder im kleineren Maßstab – auch mal nur um das Budget für Weihnachtsgeschenke. Werner führt weiter aus: „Gemeinsam haben alle, dass es möglichst schnell gehen muss und man es möglichst keinem mitteilen soll. Aber wer wollte seinem Boss schon etwas abschlagen, wenn ihn dieser per Video-Konferenz dazu auffordert? …“

Foto: Trend Micro

Richard Werner: Die Chef-Masche zählt zu den Confidence-Scams – also Betrug, der mit der Überzeugung des Opfers zu tun hat

Chef-Betrug fokussiert auf Überzeugung des Opfers

Die „Chef-Masche“ zählt laut Werner zu den sogenannten Confidence-Scams – also Betrug, der mit der Überzeugung des Opfers zu tun hat. Dazu müssten „Story“ und Gesamteindruck stimmen.

Indes: „Schon eine E-Mail, welche vom Account der Unternehmensleitung abgeschickt wird (oder zu sein scheint), ist oft ausreichend.“ Im vorliegenden Fall sei aber angeblich ein „Deep-Fake“-Video eingesetzt worden. Nun sei es schon sehr überzeugend, die andere Person direkt zu sehen und von ihr, in deren bekannter Stimme zu hören, was zu tun ist.

„Als Mitarbeitender werden Sie auf Ansage (,Hören Sie zu, ich hab’ es eilig!‘) möglicherweise stillschweigend akzeptieren, was ihnen aufgetragen wird.“ So scheine es zumindest im vorliegenden Fall gewesen zu sein, denn eine echte Interaktion sei laut Artikel nicht zustande gekommen – dies genau sei aber entscheidend für den Erfolg besagter Methode.

Chef-Betrug – Abwehr erfordert Unternehmenskultur und klare Richtlinien

Der beste Schutz vor der „Boss-Masche“ (auch BEC) ist laut Werner, die internen Prozesse für Auszahlungen so zu gestalten, dass diese nicht per Bitte oder Anweisung bestimmter Personen möglich sind, sondern einen komplexeren Genehmigungsprozess durchlaufen müssen: „In der Vergangenheit sagte man hier auch oft das Prinzip der ,doppelten’ Bestätigung. Kam die Anweisung per Mail, rief man an und fragte nach. Kam sie per Telefon, forderte man eine E-Mail-Bestätigung.“ Das gelte auch heute noch.

Allerdings sollte man aus diesem „Deep-Fake“-Angriff lernen. „Die Video- und Audio-Bestätigung erfolgte – nur gab es keine Interaktion, der Angestellte hörte und sah nur zu“, berichtet Werner. Dadurch habe ein zuvor durch „Deep Fakes“ erstelltes Video eingespielt werden können. Der adressierte Mitarbeiter sei so getäuscht worden und habe das Geld überwiesen.

Werner rät abschließend dringend: „Will man derartige Attacken vermeiden, sollte man es den Mitarbeitern erlauben, – ja sie sogar dazu auffordern – ihre Chefs zu diesen Aktivitäten zu hinterfragen!“ Man mache es dadurch den Angreifern schwerer. Ganz auszuschließen sei es aber nicht, „wenn die grundsätzliche Möglichkeit bestehen bleiben soll, Geld auf Anweisung des Bosses auszuzahlen“.

Weitere Informationen zum Thema:

HKFP HONG KONG FREE PRESS, 05.02.2024
Multinational loses HK$200 million to deepfake video conference scam, Hong Kong police say / Police received a report of the incident on January 29, at which point some HK$200 million (US$26 million) had already been lost via 15 transfers

datensicherheit.de, 27.05.2021
CEO Fraud laut KnowBe4-Umfrage noch immer weitgehend unbekannt / Beim CEO Fraud gibt sich ein Cyber-Krimineller sich als Chef aus und ordnet Aktionen bzw. Transaktionen an

datensicherheit.de, 29.04.2020
CEO-Fraud: Whitepaper zur Erkennung und Vermeidung des Chefbetrugs / Präventive Maßnahmen gegen eine der erfolgreichsten Phishing-Attacken-Arten empfohlen

Ende Januar 2024 wurden in einem Untergrund-Webforum vorgebliche Daten von rund 50 Millionen Europcar-Kunden angeboten

[datensicherheit.de, 06.02.2024] Ende Januar 2024 sollen in einem Untergrund-Webforum angebliche Daten von rund 50 Millionen Europcar-Kunden angeboten worden sein. Udo Schneider, „Security Evangelist Europe“ bei Trend Micro, führt in seinem Kommentar hierzu aus: „Europcar reagierte schnell und bestritt, dass es sich um eine echte Datei handele. Weder seien die Daten in sich konsistent, noch seien insbesondere die E-Mail-Adressen bei Europcar überhaupt bekannt.“ Während Europcar die Vermutung geäußert habe, dass diese Daten mittels generativer KI (z.B. „ChatGPT“) erzeugt worden seien, seien andere Sicherheitsforscher indes der Meinung, dass hier keine KI am Werk gewesen sei. „Allen gemeinsam ist jedoch die Meinung, dass diese Daten maschinell generiert wurden“, berichtet Schneider. Auch im Webforum sei dann schnell der Verdacht aufgekommen, dass die zum Kauf angebotenen Daten nicht authentisch seien – „was schließlich dazu führte, dass der Verkäufer im Forum gesperrt wurde“.

Foto: Trend Micro

Udo Schneider: Ist das Unternehmen in der Lage (zeitnah) zu prüfen, ob die Daten echt sind oder nicht?

Daten-Raub als Geschäftsmodell Organisierter Cyber-Kriminalität

„So interessant die Geschichte auf den ersten Blick auch sein mag, ein Blick ,hinter die Geschichte’ offenbart weitere interessante Aspekte“, erläutert Schneider: Ein Narrativ im Ransomware-Umfeld der letzten Jahre sei die vermeintliche „Ehre“ der Cyber-Kriminellen: Wenn man für die Entschlüsselung zahlt, gebiete es diese „Ehre“ dieser Kriminellen, auch den Schlüssel herauszugeben – nur sei „Ehre“ hierbei wirklich nicht das richtige Wort.

Schneider betont: „Die Herausgabe des Schlüssels gegen Lösegeld hat nichts mit Ehre zu tun. Das ist schlicht und einfach der Geschäftstrieb von Kriminellen: Würde es sich herumsprechen, dass trotz Zahlung kein Schlüssel herausgegeben wurde, wäre das geschäftsschädigend, also reiner Eigennutz und keine ,Ehre’.“

Angeblicher Daten-Diebstahl zeigt: Cyber-Kriminelle betrügen sich doch auch gegenseitig

Auch die Meinung, dass Kriminelle sich untereinander nicht betrügen würden, sei eher einem verklärten Robin-Hood-Narrativ geschuldet als den Tatsachen: Denn im besagten Fall habe ein Krimineller versucht, andere Kriminelle zu betrügen. Man könne nur hoffen, dass es noch keine Käufer gab. „Und nur weil den Käufern der Weg über die offizielle Justiz versperrt ist, heißt das noch lange nicht, dass keine Konsequenzen zu befürchten sind.“

In der Vergangenheit hätten ähnliche Aktionen zu sehr unrühmlichen Ergebnissen geführt. Das „Doxing“ („die virtuelle Entlarvung des Betrügers durch Hacken des E-Mail-Accounts, Veröffentlichung der echten Adresse, Persoscans, Veröffentlichung von Referenzpersonen usw.“) sei dabei nur der Anfang. „,Doxing’-Informationen sind das, was man in den Foren sieht. Was ein möglicherweise betrogener Krimineller mit diesen Informationen in der realen Welt anstellt, sieht man nicht … vielleicht zum Glück.“

Unternehmen sollten unbedingt ihre eigenen Daten kennen

Der vielleicht interessantere Aspekt aus Sicht der Verteidigung sei aber die Reaktion von Europcar: „Europcar machte schnell und sehr deutlich klar, dass die Daten nicht echt waren.“ Dieser Vorfall zeige aber auch, dass Kriminelle sehr wohl gefälschte Daten produzierten – sei es, um diese zu verkaufen (wie in diesem Fall) oder auch, um potenzielle Opfer damit zu erpressen. Schneider kommentiert: „Und genau hier wird es spannend. Stellen Sie sich vor, ein Unternehmen erhält (z.B. nach einem Ransomware-Vorfall) eine weitere Erpressungsnachricht à la ,Wir haben Ihre Daten! Anbei ein Beispiel. Wenn Sie nicht wollen, dass diese veröffentlicht werden …‘.“

Laut Schneider stellt sich dann die entscheidende Frage: „Ist das Unternehmen in der Lage (zeitnah) zu prüfen, ob die Daten echt sind oder nicht? Je länger der Entscheidungsprozess dauert, desto nervöser kann das Management werden.“ Diese Nervosität erhöht aber u.U. die Wahrscheinlichkeit, dass gezahlt wird – „nur so als Fail-safe-Lösung“.

Szenario, mit (angeblich) gestohlenen Daten erpresst zu werden, als Teil der Risikobetrachtung

Daraus ergäben sich zwei wichtige Schlussfolgerungen für die Verteidigerseite. Erstens müsse dieses Szenario, mit (angeblich) gestohlenen Daten erpresst zu werden, in die Risikobetrachtung einbezogen werden. Zweitens sollten dementsprechend auch risikomindernde Maßnahmen bzw. Verifikationsmaßnahmen (Prozesse, Zugriffsrechte, Personen) im Vorfeld definiert werden.

Ansonsten könne es sehr schnell passieren, dass z.B. das beauftragte „Incident Response Team“ die Daten nicht schnell genug verifizieren kann, „weil z.B. die Datenbanken technisch nicht zugänglich sind“. Ein weiterer Aspekt gerade bei personenbezogenen Daten sei sicherlich die DSGVO: „Wie kann man in so einem Fall personenbezogene Daten verifizieren, ohne gegen die DSGVO zu verstoßen?“ Beides seien Dinge, die man „im Vorfeld“ relativ einfach definieren könne: Im Falle eines Falles könne dann der entsprechende Prozess geordnet durchlaufen werden. „Ist der Prozess nicht definiert, bricht oft das große Chaos und die Panik aus – mit dem Effekt, dass die Aussage, ob die Daten mit denen erpresst wird, nicht zeitnah getroffen werden kann“, warnt Schneider. Dies wiederum erhöhe die Wahrscheinlichkeit, dass die Erpressungs-Opfer zahlten.

Tipps zur Vorbereitung auf echten bzw. vorgeblichen Daten-Raubzug:

1. Mentale Vorbereitung auf den Fall der Fälle
„Bereiten Sie sich darauf vor, mit (angeblich) gestohlenen Daten erpresst zu werden!“

2. Technisch-organisatorische Vorbereitung auf den Erpressungsfall
„Definieren Sie vorab Prozesse, mit denen ,Incident Responder’ im Falle eines Falles schnell (technisch) und rechtlich sauber auf Daten (lesend) zugreifen können, um die Authentizität eines Dumps zu verifizieren!“

Weitere Informationen zum Thema:

golem.de, Marc Stöckel, 31.01.2024
Daten womöglich von ChatGPT / Cyberangriff auf Europcar entpuppt sich als Fälschung

heise online, Dirk Knop, 31.01.2024
Europcar: Das Datenleck, das keines war / In einem Untergrundforum bietet jemand rund 50 Millionen Datensätze angeblich von Europcar an. Sie sind offenbar gefälscht.

Richard Werner kommentiert Medienberichte zu jüngster Ransomware-Attacke einer der gefährlichsten RaaS-Akteure

[datensicherheit.de, 23.01.2024] Laut aktuellen Medienberichten soll „Lockbit“ – eine RaaS-Gruppe („Ransomware as a Service“) – wieder zugeschlagen haben: Das neueste Opfer ist demnach die Frenchise-Kette Subway. Daten seien gestohlen worden und mit denen werde das Unternehmen nun erpresst. „Überraschend ist das nicht“, kommentiert Richard Werner, „Business Consultant“ bei Trend Micro. „Lockbit“ gehöre zu den gefährlichsten aktuelle aktiven RaaS-Gruppen. Ihre Opfer seien primär in den USA und Europa zu finden – diese bestünden zu etwa 70 Prozent aus kleinen und mittelständischen Unternehmen (unter 500 Mitarbeiter). Pro Halbjahr seien zwischen 500 und 800 einzelne Opfer identifizierbar. „Dabei ist allerdings zu bemerken, dass wir nur die Opfer kennen, die sich zunächst weigern zu zahlen“, so Werner und erläutert ein paar Hintergründe zur Methode:

Foto: Trend Micro

Richard Werner rät prinzipiell zur Minimierung persönlicher Daten

Ransomware-Angriff – Methode der Doppelten Erpressung

Ein Ransomware-Angriff läuft laut Werner im Endeffekt so ab: „Die Täter breiten sich innerhalb des Opfer-Unternehmens aus und verschlüsseln alle im Zugriff befindlichen Systeme. Anschließend wird das Opfer mit der Verfügbarkeit der IT erpresst.“ Diese Methode wirke heutzutage nicht mehr annähernd so zuverlässig, wie noch vor vier oder fünf Jahren, denn die Opfer könnten heutzutage auf erfahrene Cyber-Verteidigungen zurückgreifen:

„Verschiedene Erkennungstechnologien sorgen dafür, dass die Täter, wenn überhaupt, nur noch Teilbereiche eines Unternehmens übernehmen können, bevor sie auffliegen. Backup-Systeme stellen auch diese wieder her.“

So sei dann das Argument der „Verschlüssler“ in vielen Fällen gar nicht mehr so groß, wie sie es gerne hätten. Hier nun komme die Komponente „Datendiebstahl“ ins Spiel: Das betroffene Unternehmen werde damit bedroht, diese Daten zu veröffentlichen. „Sind Kundendaten betroffen oder sogar Geschäftsgeheimnisse, ist ein Anreiz geschaffen, zu zahlen. Die Namen der so bedrohten Opfer sind diejenigen, die wir, wie oben beschrieben, identifizieren und damit statistisch erfassen können.“

Empfehlung an Ransomware-Opfer, kein Lösegeld zu zahlen

Gestohlene Daten könnten aber nicht zurückgekauft werden. „Anders als bei materiellen Gütern wechselt der Besitz der Güter nicht. Sie werden einfach nur kopiert.“ Dies bedeute, dass die gestohlenen Daten im Besitz der Täter verblieben.

„Zahlt man, um eine Veröffentlichung zu verhindern, beweist man damit lediglich, dass es sich hier um wertvolle, interessante Informationen handelt, nicht um irrelevanten Datenmüll.“

Für das Opfer sei es sinnvoller festzustellen, welche Daten entwendet wurden und die Eigentümer über den Verlust zu informieren. „Denn das muss ohnehin geschehen, will man nicht bis in alle Zukunft erpressbar bleiben oder sich den Klagen Geschädigter gegenübersehen.“

Große Menge gestohlener Daten für Normalmenschen ein Problem – Datensparsamkeit generell empfohlen

Weltweit scheine nur etwa ein Siebtel der Unternehmen (ca. 14%) aufgrund der sogenannten Zweifachen Erpressung zu zahlen. Dies müsse nicht einmal mit dieser Methode zusammenhängen, sondern könne auch bedeuten, „dass das Opfer eigentlich für die Entschlüsselung zahlt und deshalb die Erpressung mit den Daten zurückgenommen wird“.

Nur: „Die große Menge gestohlener Daten, über die – wie hier bei Subway auch – gesprochen wird, ist letztlich ein Verkaufsargument. Die Spekulation über mögliche Skandale oder wertvolle Inhalte soll vor allem Kaufinteressenten identifizieren.“ Denn damit werde das Geld gemacht, wenn das Opfer nicht zahlt. Die große Menge an gestohlenen Daten sei nun wiederum für uns Normalmenschen ein Problem. Denn an irgendeiner Stelle seien wir betroffen: „Eine geklaute Telefonnummer kann ein ,Enkeltrick’ werden. Auf die entwendete E-Mail-Adresse folgt ein Phishing-Angriff. An die physische Adresse werden Fake-Pakete gesendet und was mit Zahlungsinformationen passieren kann, muss niemandem erklärt werden.“

Werner unterstreicht abschließend: „All diese Daten kommen von solchen Diebstählen und je mehr davon passieren, desto genauer ist das Bild, welches über einzelne Personen gezeichnet werden kann.“ Eine Minimierung der persönlichen Daten wäre wünschenswert – außerdem, dass diese nicht ständig irgendwo eingesammelt und gespeichert werden, wenn man dann nicht in der Lage ist, sie sicher zu schützen. „Wenn es doch bloß sowas wie ein Gesetz dafür geben würde…“

Weitere Informationen zum Thema:

heise online, Dirk Knop, 22.01.2024
Datenklau: Lockbit erpresst Subway / Die Online-Bande Lockbit behauptet, bei der Fastfood-Kette Subway eingebrochen zu sein und sensible Daten kopiert zu haben

TREND MICRO, Trend Micro Research, 08.02.2022
LockBit

datensicherheit.de, 11.11.2022
LockBit 3.0: BlackBerry kommentiert Cyber-Angriff auf Continental / Cyber-Angriff auf den Dax-Konzern nur ein Beispiel der Aktivitäten rund um die RaaS-Gruppe LockBit

datensicherheit.de, 28.06.2022
LockBit 3.0: Cyber-Kriminelle starten erstes Ransomware-Bug-Bounty-Programm / Tenable kommentiert Anpassungen Cyber-Krimineller an wachsenden Verfolgungsdruck

datensicherheit.de, 14.08.2021
Accenture von LockBit-Ransomware-Angriff betroffen / LockBit-Ransomware seit September 2019 beobachtet

Trend Micro prognostiziert die vier bedrohlichsten Ransomware-Gruppen 2024

[datensicherheit.de, 26.11.2023] Es kann als Sicheres Ereignis angenommen werden, dass auch 2024 Ransomware zu den größten Gefahren für deutsche Unternehmen zählen wird. In einer aktuellen Stellungnahme führt Trend Micro aus, dass insbesondere das Aufkommen von „Ransomware-as-a-Service“ (RaaS) Bedrohungsakteure weltweit beflügelt, denn nun könnten auch Kriminelle ohne detailliertes technisches Verständnis modernste Technologie für Cyber-Angriffe nutzen. Laut Trend Micro werden es insbesondere vier Ransomware-Familien sein, welche anhand aktueller Bedrohungsanalysen 2024 eine herausragende Gefahr darstellen werden.

Abbildung: Trend Micro

Trend Micro: Verteilung erfolgreicher Angriffe von „LockBit“, „BlackCat“ und „Clop“ nach Unternehmensgröße der Opfer (I u. II/2023) – Datenquelle: Leak-Seiten der drei Gruppen sowie eigene OSINT-Forschung

Ransomware-Welt im stetigen Wandel

Die Welt der Ransomware sei im stetigen Wandel. Untersuchungen durch Trend Micro zeigten etwa, dass es viele Ransomware-as-a-Service-Gruppen nicht mehr nur auf „große Ziele“ abgesehen hätten. Stattdessen konzentrierten sie sich auf kleinere Unternehmen – „die weniger gut geschützt sind“. Dieser besorgniserregende Trend zu kleineren und „weicheren“ Zielen werde sich wohl auch ins nächste Jahr ziehen. Die aktuelle Bedrohungsanalyse lasse dabei den Schluss zu, dass insbesondere die bekannten Ransomware-Familien „LockBit“, „BlackCat“ und „Clop“ auch 2024 weiterhin sehr umtriebig sein werden. Zudem seien Newcomer wie die Gruppe „Akira“ auf dem Vormarsch. Letztere habe es erst kürzlich geschafft, mit einem Ransomware-Angriff auf die Südwestfalen-IT viele Kommunen in Nordrhein-Westfalen (NRW) lahmzulegen und sei so ins Rampenlicht getreten.

In der ersten Jahreshälfte 2023 entfiel demnach über ein Viertel aller von Trend Micro erfassten RaaS-Angriffe auf „LockBit“, während „BlackCat“ und „Clop“ jeweils für rund zehn Prozent aller Attacken verantwortlich waren. Damit Unternehmen in Zukunft vermeiden können, Opfer dieser höchst aktiven Cyber-Kriminellen zu werden, „braucht es ein besseres Verständnis des Modus Operandi der Bedrohungsakteure“.

Steckbrief der vier Ransomware-Gruppen LockBit, BlackCat, Clop und Akira

Trend Micro benennt in einem Steckbrief vier Ransomware-Gruppen, welche Unternehmen im nächsten Jahr, 2024, besonders im Auge behalten sollten:

1. LockBit
„LockBit“ sei bereits seit 2019 aktiv und nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik „aktuell die größte Ransomware-Bedrohung in Deutschland wie auch weltweit“.
Trend Micro meldete nach eigenen Angaben ganze 1.844 „LockBit“-Erkennungen in der ersten Hälfte des Jahres 2023, was sie zur am häufigsten erfassten Ransomware mache. „Eine Vielzahl von unterschiedlichen Malware-Versionen und Affiliates, die diese einsetzen, erschwert es Unternehmen, sich zu schützen.“ Die aktuellste, seit Januar 2023 im Umlauf befindliche Version, werde als „Lockbit Green“ bezeichnet.
Im April 2023 habe Trend Micro aufgedeckt, wie böswillige Akteure „LockBit“ als Schad-Payload bei der Ausnutzung von zwei Schwachstellen in der weit verbreiteten Druckverwaltungslösung „PaperCut“ eingesetzt hätten. Im Juni 2023 habe die „LockBit“-Bande einen Lieferanten des weltweit größten Auftrags-Chipherstellers TSMC ins Visier genommen und auf die Daten des Unternehmens zugegriffen. Die „LockBit“-Akteure hätten von TSMC ein Lösegeld in Höhe von 70 Millionen US-Dollar verlangt – „andernfalls drohten sie mit der Veröffentlichung der gestohlenen Daten“. Zuletzt habe die Gruppe mit dem erfolgreichen Angriff auf den US-Flugzeughersteller Boeing Schlagzeilen gemacht, infolgedessen sie viele Gigabyte mutmaßlich gestohlener Daten veröffentlicht habe.

2. BlackCat
„BlackCat“ (auch „ALPHV“) sei zunächst dadurch bekanntgeworden, „weil es die erste professionelle Ransomware-Familie war, die in der Programmiersprache ,Rust’ entwickelt wurde“. Diese Sprache gelte als besonders sicher und beherrsche die parallele Verarbeitung.
Besonders berüchtigt sei die „BlackCat“-Gruppe für ihre dreifache Erpressungstechnik. „Ransomware-Akteure, die die dreifache Erpressungstechnik anwenden, drohen nicht nur mit der Offenlegung exfiltrierter Daten, sondern kombinieren Datendiebstahl zudem mit Distributed-Denial-of-Service-Angriffen (DDos) auf die Infrastruktur ihrer Opfer.“ Dies erhöhe immens den Druck zur Zahlung des Lösegelds.
Mitte November 2023 hätten diese Cyber-Kriminellen erstmals einen neuen Weg beschritten, um ein Opfer zur Zahlung zu bewegen: „Sie reichten gegen den von ihnen angegriffenen Finanztechnologie-Anbieter MeridianLink Beschwerde bei der US-Finanzaufsicht SEC ein, da das Unternehmen seiner Meldepflicht für den Angriff nicht nachgekommen sei.“ Zwar seien für MeridianLink keine rechtlichen Konsequenzen zu erwarten, da die besagte Meldepflicht erst am 15. Dezember 2023 in Kraft trete. „Leider steht jedoch zu erwarten, dass dieses Vorgehen Schule macht und künftig häufiger zu beobachten sein wird, um angegriffene Unternehmen noch stärker unter Druck zu setzen.“ Zu weiteren prominenten Opfern von „BlackCat“ zählten neben den Hotelketten MotelOne und MGM Resorts auch die Kärntner Landesregierung sowie die Online-Plattform „Reddit“.

3. Clop
„Clop“, manchmal auch als „Cl0p“ bezeichnet, habe zuerst Berühmtheit erlangt, „weil die Gruppe mit mehrstufigen Erpressungstechniken hochrangige Organisationen in verschiedenen Branchen kompromittierte“. In jüngerer Zeit habe sie sich verstärkt auf den Diebstahl von Daten und damit verbundene Erpressungsmodelle konzentriert.
„Die Bedrohungsakteure hinter der Ransomware behaupten, 130 Organisationen unter Ausnutzung einer Sicherheitslücke in der ,GoAnywhere’-Dateiübertragungssoftware von Fortra kompromittiert zu haben. Zu den Opfern des Massenangriffs soll unter anderem die Stadt Toronto zählen.“
Die „Clop“-Gruppe sei auch für einen weit verbreiteten Datendiebstahl-Angriff verantwortlich, bei dem eine Zero-Day-Schwachstelle in „MOVEit Transfer“, einer Plattform für die sichere Datenübertragung, ausgenutzt worden sei. Dieser Angriff habe über 2.000 Unternehmen und mehr als 62 Millionen Kunden betroffen. „Berichten vom Juli zufolge sollen die Kriminellen im Rahmen dieser Angriffs-Serie mittlerweile über 100 Millionen Dollar erbeutet haben.“

4. Akira
„Mit dem verheerenden Angriff auf den Dienstleister Südwestfalen-IT, der seit Ende Oktober über 70 Kommunen in NRW lahmlegt, trat ,Akira’ ins Rampenlicht der Cybersecurity-Branche.“ Diese Cyber-Attacke habe die Verwaltung betroffener Behörden zum Stillstand gebracht, manche Bürgerbüros hätten komplett geschlossen werden müssen. Die Arbeiten zum Wiederaufbau liefen zwar, gingen aber nur langsam voran, weshalb in den betroffenen Kommunen noch immer zahlreiche staatliche Dienstleistungen eingeschränkt seien.
Die Bedrohungsakteure hinter diesem neuen Namen scheinen laut Trend Micro hingegen Altbekannte aus der Szene zu sein: „So lassen Prozess-Analysen des seit März 2023 zirkulierenden Schadcodes auf die früheren Strippenzieher von ,Conti’ schließen.“ Zu den Ähnlichkeiten mit „Conti“ gehörten etwa die Verschleierung von Strings, die Verschlüsselungsweise von Daten und das Vermeiden bestimmter Dateiendungen.
„Akira“ habe es bisher zumeist auf Ziele in Frankreich (53 Prozent) oder in den USA abgesehen, wobei vor allem kleine und mittlere Unternehmen (KMU) im Fokus stünden. Mit 508 Erkennungen im Monat sei die Angriffsrate im Juni 2023 deutlich angestiegen. Wie die meisten anderen Gruppen setze „Akira“ auf doppelte Erpressungstaktiken – „die Lösegeldforderungen liegen dabei zwischen 200.000 und mehreren Millionen Dollar“.

Prognose für 2024: Mehr Ransomware-Angriffe auf weichere Ziele

Cyber-Kriminellen weltweit professionalisierten sich und böten ihre Dienste als RaaS auch Bedrohungsakteuren mit weniger technischem Sachverstand an. Dies in Kombination mit einer Konzentrationsverschiebung auf „weiche“ Ziele führe dazu, dass Ransomware auch 2024 zu den größten wirtschaftlichen Bedrohungen für den deutschen Mittelstand zählen werde.

„Gerade altbekannte Akteure wie ,LockBit’ und Co. haben mittlerweile eine hochvernetzte und professionelle Infrastruktur, deren Zerschlagung noch in den Sternen steht. Und auch wenn Ransomware-Gruppen ausgeschaltet werden, so können sie sich einige Zeit später einfach neuformieren, wie etwa die ,Conti’-Ähnlichkeiten im ,Akira’-Code nahelegen.“ Unternehmen sollten sich dementsprechend gut vorbereiten und ihre derzeit bestehende Sicherheitsarchitektur dringend auf Schwachstellen überprüfen und nachbessern – „wo es noch geht“. Denn die Bedrohungsakteure planten sicherlich schon ihre nächsten Coups.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 14.06.2023
Analyse: Internationale Cyber-Sicherheitsbehörden nehmen Ransomware LockBit unter die Lupe

datensicherheit.de, 25.11.2023
Untersuchung zeigt: Neue Ransomware-Gruppen als Schrittmacher der Cyber-Angriffe / Die Anzahl neuer Ransomware-Gruppen in den ersten drei Quartalen 2023 ist laut WithSecure drastisch gestiegen

Offenkundig ein Paradigmenwechsel laut einer unter leitenden Angestellten aus den Bereichen IT und IT Security durchgeführten Befragung

[datensicherheit.de, 20.09.2023] Laut aktuellen Erkenntnissen von Trend Micro möchte die Mehrheit der deutschen Unternehmen eigene Digitalisierungsprojekte mittels Modernisierung der IT-Sicherheit vorantreiben. Grundlage ist demnach eine vom Marktforschungsunternehmen Mindfacts im Auftrag von Trend Micro unter 300 leitenden Angestellten aus den Bereichen IT und IT Security durchgeführte Befragung – in Unternehmen mit mehr als 250 Mitarbeitern. Diese gehörten verschiedenen Branchen an: „Je 30 Prozent der Teilnehmer stammen aus dem Gesundheitswesen und aus Behörden.“ Die Umfrage habe im September und Oktober 2022 stattgefunden – auf Basis der Ergebnisse sei vom Brandenburgischen Institut für Gesellschaft und Sicherheit (BIGS) eine empirische Analyse durchgeführt worden: Es habe Zusammenhänge untersucht und unter anderem ermittelt, „welche Faktoren zu eher strategischen oder reaktiven Investitionen in IT-Sicherheit führen“.

Abbildung: TREND MICRO

Studie zur Cyber-Sicherheit: „IT-SECURITY ALS WEGBEREITER“

Umfrage zur Risikowahrnehmung, Investitionsverhalten und Rolle der IT-Sicherheit

„Cybersecurity gilt einer Mehrheit der deutschen Unternehmen nicht länger als Hindernis, sondern wird zunehmend als Wegbereiter für die Digitalisierung und Geschäftsentwicklung wahrgenommen.“ Für die zugrundeliegende Studie seien Führungskräfte aus der „IT“ und „IT-Security“ zu ihrer Risikowahrnehmung, ihrem Investitionsverhalten und der Rolle der IT-Sicherheit in ihren Geschäftsmodellen befragt worden. Auf Basis dieser Daten habe das BIGS in einer empirischen Analyse Zusammenhänge ermittelt.

Cyber-Angriffe seien heute das größte Geschäftsrisiko. „Sich vor ihnen zu schützen, ist daher eine ökonomische Notwendigkeit.“ Mehr als drei Viertel (76%) der deutschen Unternehmen mit über 250 Mitarbeitern erachte die IT-Sicherheit als „wichtig“ für die Wirtschaft. Doch dabei gehe es nicht mehr nur darum, Schaden zu vermeiden. Zunehmend werde IT Security als Chance für die Geschäftsentwicklung wahrgenommen: So wollten zwei Drittel der Befragten (66%) Digitalisierungsprojekte durch Modernisierung der IT-Sicherheit vorantreiben. 79 Prozent der strategisch in IT Security investierenden Unternehmen, hielten dies für „relevant“, um neue Geschäftsmodelle zu entwickeln.

„Die Studie zeigt, dass sich die Wahrnehmung der IT-Sicherheit in wesentlichen Bereichen geändert hat“, erläutert Dr. Tim Stuchtey, Geschäftsführender BIGS-Direktor. In der Vergangenheit habe sie häufig noch als Innovationsbremse gegolten. Mittlerweile habe die Mehrheit der befragten Unternehmen erkannt, „dass IT-Security vielmehr die Voraussetzung für die Digitale Transformation schafft“. Sie eröffne neue Geschäftsfelder und lasse sich gewinnbringend in das eigene Geschäftsmodell integrieren. Dr. Stuchtey betont: „Cybersecurity wird nicht länger als Verhinderer betrachtet, sondern ist zum ,Enabler’ geworden.“

Strategische Investitionen in IT-Sicherheit sinnvoll

Zunehmend setze sich das Bewusstsein durch, dass Investitionen in die IT-Sicherheit wirtschaftlich profitabel seien: 64 Prozent der befragten Unternehmen finden demnach, dass IT Security einen „Mehrwert für den Kunden“ bringt, und 59 Prozent nutzen nach eigenen Angaben ihr IT-Sicherheitskonzept bereits für Marketingzwecke. Auch bei Verbrauchern wachse das Bewusstsein für das Thema. Sie erwarteten daher von Unternehmen, „dass sie Kundendaten bestmöglich schützen“. Folglich könne eine gute IT-Security eine Marke stärken. Umgekehrt wirkten sich unzureichende Sicherheitsmaßnahmen negativ auf den Ruf eines Unternehmens aus. Häufig sei der durch den Reputationsverlust entstehende Schaden am Ende deutlich höher als die für Präventivmaßnahmen anfallenden Kosten.

Grundsätzlich seien die Investitionen in die Cyber-Sicherheit in fast allen Branchen in den vergangenen 24 Monaten gestiegen. Aber wie Unternehmen dabei vorgehen – eher strategisch oder eher reaktiv? – zeige die Studie: „Wer schon einmal von einem Cyber-Angriff betroffen war oder Schaden durch künftige Attacken befürchtet, investiert vorwiegend strategisch in Security.“ Das Gleiche treffe auf Unternehmen zu, die in der IT-Sicherheit einen Beitrag zur Wertschöpfungskette und einen Mehrwert für ihre Kunden sehen. Reaktiv investierten dagegen eher diejenigen ohne bisherige Erfahrung mit Cyber-Angriffen, welche noch über ein geringes Risikobewusstsein verfügten und IT Security als „weniger relevant“ für die Wirtschaft erachteten.

„Die Erfahrung der vergangenen Jahre zeigt, dass strategische Investitionen in die IT-Sicherheit notwendig sind – und sich auszahlen“, unterstreicht Hannes Steiner, „Vice President Germany“ bei Trend Micro. Er stellt klar: „Cyber-Sicherheit ist zur Chefsache geworden!“ Unternehmen stehen Steiner zufolge vor der Herausforderung, ihre sensiblen Daten und Systeme vor den Bedrohungen durch Cyber-Kriminalität zu schützen. Die Verantwortung liege dabei sowohl bei den IT- und Geschäftsentscheidern. Gemeinsam müssten sie sicherstellen, „dass umfassende Cyber-Sicherheitsmaßnahmen in das ,Ökosystem’ integriert werden, um das Vertrauen der Kunden und Partner zu gewährleisten und Geschäftskontinuität zu sichern“.

Weitere Informationen zum Thema:

TREND MICRO
Studie zur Cybersicherheit / IT-SECURITY ALS WEGBEREITER

Richard Werner von Trend Micro warnt davor, vermeintlichen Headhuntern den Lebenslauf vorschnell zuzusenden

[datensicherheit.de, 06.07.2023] „Fast jeder, der sich auf der Suche nach einer neuen Stelle befindet, kennt wohl diese Situation: Man wird auf ,LinkedIn’ von einem Headhunter angeschrieben und das Stellenangebot klingt interessant“, so Richard Werner, „Business Consultant“ bei Trend Micro, einleitend in seiner aktuellen Stellungnahme. Er führt weiter aus: „So ist man schnell verleitet, ohne größere Überlegung den Lebenslauf dem vermeintlichen Headhunter zuzusenden.“ Immerhin sei ja bei der Jobsuche Schnelligkeit geboten. Werner warnt: „Doch Vorsicht!“ Der japanische Cyber-Sicherheitsanbieter Trend Micro habe das Business-Netzwerk untersucht und in seiner neuen Studie festgestellt, dass gefälschte Profile, welche versuchten, Daten zu stehlen, mittlerweile immer gehäufter aufträten.

Foto: Trend Micro

Richard Werner empfiehlt Unternehmen und Nutzern zu kooperieren und standardmäßig Best Practices anzuwenden

Laut Trend Micro liegt es am Einzelnen, eigene Daten vor unbefugtem Zugriff zu bewahren

Gefälschte Profile, die nach Daten unbedarfter Nutzer fischten, werden demnach bei „LinkedIn“ zu einer immer größeren Bedrohung. Werner berichtet: „So zielte beispielsweise die nordkoreanische ,Advanced Persistent Threat’ (APT)-Gruppe ,Lazarus’ im September 2022 auf ,macOS’-Nutzer, die nach Jobs in der Krypto-Währungsbranche suchten.“ Die dabei gesammelten Daten seien von den Angreifer an andere Cyber-Kriminelle verkauft worden.

Zwar habe das Soziale Netzwerk daraufhin neue Sicherheitsfunktionen hinzugefügt, dennoch sei es für „LinkedIn“ aufgrund der Komplexität der Plattform nach wie vor schwierig, jeden Nutzer ausreichend vor Bedrohungen zu schützen. „Es liegt also am Einzelnen, die eigenen Daten vor unbefugtem Zugriff zu bewahren“, betont Werner.

Trend Micro rät Nutzern, was sie gegen Datendiebstahl tun könne:

1. Regel: „Vermeiden Sie es unter allen Umständen, sensible Daten oder personenbezogene Daten wie E-Mails, Telefonnummern oder Adressen für alle öffentlich einsehbar zu posten – etwa über die Zusammenfassung des Benutzerprofils.“ Zudem sei es ratsam, die Sichtbarkeit anzupassen, bevor Beiträge geteilt werden: „Klären Sie vorab, welche Beiträge von ,Followern’, Verbindungen und Nicht-Verbindungen gesehen werden sollten.“

2. Regel: „Eine weitere Pflicht für Nutzer ist es, sich genau über die Social-Media-Richtlinien ihres Arbeitgebers zu informieren und welche Konsequenzen etwaige Verstöße haben.“ Zu solchen Richtlinien gehörten etwa Maßnahmen zur Einhaltung von Gesetzen und „Compliance“-Regelungen, sowie die aktuellen Pläne für den Schutz der Privatsphäre und das Management von Sicherheitszwischenfällen.

3. Regel: „Weiterhin sollten Nutzer nur solche Informationen weitergeben, mit deren Veröffentlichung im Internet sie auch tatsächlich einverstanden sind.“ Um dies sicherzustellen, könnten Nutzer die Benutzerprofile und Datenschutzeinstellungen jederzeit anpassen, um die Menge der öffentlich zugänglichen Informationen zu begrenzen.

Trend Micro erläutert Pflichten der Unternehmen:

1. Pflicht: „Auch Unternehmen stehen in der Verpflichtung, die Daten ihrer Angestellten zu schützen.“ Ratsam sei es zuallererst, klare Richtlinien für den Auftritt in Sozialen Medien zu entwickeln und zu implementieren. Zudem sollte festgelegt werden, welche Unternehmensinformationen und/oder -daten öffentlich gepostet werden dürfen. Diese Richtlinien könnten je nach Stellung variieren, „da die Mitarbeiter Informationen mit unterschiedlicher Wichtigkeit und Sensibilität für das Unternehmen bearbeiten“. Höhere Stellungen im Unternehmen erforderten restriktivere Richtlinien aufgrund des weitreichenderen Zugriffs auf Informationen. Die zu implementierenden Richtlinien müssten dabei klar regeln, welche Grenzen, Datenklassifizierungen und rechtliche Anforderungen es jeweils für die Betroffenen gibt.

2. Pflicht: „Weiterhin ist es wichtig, regelmäßig Szenarien für Konten-, Profil-, ,Compliance’-, Verifizierungs- und Vorfallsmanagement zu wiederholen, damit Mitarbeiter wissen, was im Notfall zu tun ist.“ Werner rät, eine Kontaktperson festzulegen, an welche sich die Mitarbeiter wenden können, wenn sie gefälschte Konten finden, „die sich als legitime Mitarbeiter oder Unternehmensrollen ausgeben“.

3. Pflicht: „Zudem sollte die Multifaktor-Authentifizierung (MFA) für alle geschäftlichen und privaten Konten als Standard eingesetzt werden.“ Eine gute Passwort-Verwaltungssoftware helfe ebenfalls, um Datendiebstahl vorzubeugen. Dabei sei es natürlich wichtig, niemals dasselbe Passwort für unterschiedliche Kanäle und Anwendungen zu benutzen.

„Wenn Unternehmen und User zusammenarbeiten und sich an die standardmäßigen ,Best Practices‘ halten, um den eigenen Datenschutz zu garantieren, dann angeln Cyber-Kriminelle nur ins Leere“, so Werner zum Abschluss. So könnten die Angestellten ihre Zeit auf „LinkedIn“ tatsächlich produktiv nutzen, ohne befürchten zu müssen, dass morgen private oder Unternehmensdaten im sogenannten Darknet verkauft werden.

Weitere Informationen zum Thema:

TREND MICRO, Veronica Chierzi & Mayra Rosario Fuentes, 28.03.2023
A Growing Goldmine: Your LinkedIn Data Abused For Cybercrime

[datensicherheit.de, 23.05.2023] Forscher des japanischen Security-Anbieters Trend Micro haben nach eigenen Angaben auf der Hacking-Konferenz „Black Hat Asia“ bekanntgegeben, dass weltweit Millionen von „Android“-Smartphones mit bösartiger Firmware infiziert sind – „und das noch bevor die Geräte überhaupt die Produktion verlassen“. Die Hacker-Gruppierung „Lemon Group“ konnte demnach eine Malware namens „Guerilla“ nach eigenen Aussagen in 8,9 Millionen Geräte einschleusen.

Fernzugriffe auf Android-Smartphones zu vermieten

Die Sicherheitsforscher warnen daher davor, dass Cyber-Kriminelle via Proxy-Plugin den Fernzugriff auf „Android“-Smartphones vermieten und sich pro Minute dafür bezahlen lassen könnten. Zugriff gebe es auf Tastatureingaben von Passwörtern, den geographischen Standort, die IP-Adresse und weitere vertrauliche Daten.

„Die Werbung für dieses Geschäftsmodell findet auf ,facebook’, ,YouTube’ sowie Blogs statt und Verkaufsangebote gibt es im Darknet.“ Auch eine Nutzung als „Exit Node“, einem Server, der dem „Tor“-Nutzer den Zugang zum Internet zur Verfügung stelle, sei möglich.

Wachsende Gefahr für Android-Privatanwender sowie Unternehmen

Diese Entwicklung stelle nun eine wachsende Gefahr für Privatanwender und Unternehmen weltweit dar:

• Zwar kontrollierten die großen Smartphone-Anbieter „Google, Samsung & Co.“ ihre Lieferkette besser; in vielen Fällen werde jedoch die Produktion der Geräte an einen Erstausrüster (englisch: Original Equipment Manufacturer / OEM) ausgelagert, so dass ein Glied in der Fertigungskette, z.B. ein Firmware-Lieferant, die Produkte bei der Auslieferung mit bösartigem Code infiziere.
• Auch sogenannte Smart-TVs und „Android“-TV-Boxen könnten davon betroffen sein.
• Das Lieferkettensorgfaltspflichtengesetz (kurz: Lieferkettengesetz) – in Deutschland Anfang 2023 für Unternehmen ab 3.000 Mitarbeiter in Kraft getreten – kontrolliere faire Bedingungen und ökonomische Nachhaltigkeit in der Lieferkette: „Das ist aber nur EIN Baustein, auf den Unternehmen in ihrer ,Supply Chain’ achten sollten.“
• Es sei im Interesse eines jeden Unternehmens, einen genauen Blick auf die Lieferkette zu werfen, denn diese habe auch vielfache Auswirkungen auf die IT-Security und könne unkontrollierbare Eintrittstore schaffen.
• Ein weiteres Beispiel für einen Kontrollverlust in der Lieferkette stelle die Verteilung des kompromittierten VoIP-Clients von 3CX dar. „Auch dieser Vorfall ging auf einen vorausgehenden Lieferketten-Angriff zurück.“

Weitere Informationen zum Thema:

heise online, Dennis Schirrmacher, 16.05.2023
Malware ab Werk: Android-Trojaner vermietet Opfer-Smartphones minutenweise / Sicherheitsforscher warnen davor, dass Kriminelle den Fernzugriff auf Android-Smartphones vermieten – sie rechnen pro Minute ab

[datensicherheit.de, 04.04.2023] Trend Micro hat eine neue Studie darüber veröffentlicht, „wie kriminelle Gruppierungen mit zunehmender Größe beginnen, ähnliche Prozesse wie in legalen Unternehmen zu entwickeln“. Dies sei jedoch mit den entsprechenden Kosten und Herausforderungen verbunden.

Bericht unterscheidet drei Arten krimineller Unternehmen – basierend auf deren Größe

Große kriminelle „Unternehmen“ wenden demnach 80 Prozent ihrer Betriebskosten für Gehälter auf, so der vorliegende Bericht von TREND MICRO. Bei kleineren kriminellen Gruppierungen sei der Anteil mit 78 Prozent ähnlich hoch. Weitere gängige Ausgaben fielen für Infrastruktur (wie Server, Router und VPNs), virtuelle Maschinen und Software an. Der Bericht von Trend Micro unterscheidet drei Arten von kriminellen „Unternehmen“ basierend auf deren Größe. Als Beispiele dienten den Forschern nach eigenen Angaben ausgewählte Gruppen, die anhand von Daten der Strafverfolgungsbehörden sowie Insider-Informationen dargestellt werden:

Kleine kriminelle „Unternehmen“ („z.B. der Counter-Antiviren-Dienst Scan4You“):

• Kleinere kriminelle „Unternehmen“ hätten in der Regel eine eigene Management-Ebene, zwischen einem und fünf Mitarbeitern und einen Jahresumsatz von weniger als 500.000 Euro.
• Mitarbeiter übernähmen oft mehrere Aufgaben innerhalb der Gruppierung und ginge zusätzlich zu dieser „Arbeit“ noch einem Hauptberuf nach.
• Sie bildeten die Mehrheit der kriminellen „Unternehmen“ und arbeiteten oft mit anderen kriminellen Gruppierungen zusammen.

Mittelgroße kriminelle „Unternehmen“ („z.B. der ,Bulletproof Hoster’ MaxDedi“):

• Diese kriminellen „Unternehmen“ hätten oft zwei Führungsebenen, sechs bis 49 Mitarbeiter und einen Jahresumsatz von bis zu 50 Millionen Euro.
• Ihre Struktur sei pyramidenartig und hierarchisch mit einer einzigen Person als Gesamtverantwortlichen.

Große kriminelle „Unternehmen“ („z.B. die Ransomware-Gruppe Conti“):

• Große kriminelle „Unternehmen“ hätten normalerweise drei Managementebenen, mehr als 50 Mitarbeiter und einen Jahresumsatz von über 50 Millionen Euro.
• Sie verfügten über eine relativ große Anzahl an Mitarbeitern der unteren Führungsebene und Teamleitern.
• Sie implementierten effektive OPSEC (Operations Security) und arbeiteten mit anderen kriminellen Organisationen zusammen.
• Die Verantwortlichen seien erfahrene Cyber-Kriminelle und stellten mehrere Entwickler, Administratoren und Penetrationstester ein – teilweise auch nur als befristete freie Mitarbeiter.
• Sie verfügen teilweise über unternehmensähnliche Abteilungen (z.B. „IT“, „HR“) und führten sogar regelrechtes Personalmanagement inklusive Leistungsbeurteilungen durch.

Größere Cybercrime-Unternehmen schwierig zu handhaben und mittlerweile auch ein hohes Maß an Bürokratie

„Wie die Studie zeigt, kann das Wissen um die Größe und Komplexität einer kriminellen Gruppierung den Ermittlern wichtige Ansätze für ihre Arbeit liefern.“ Einen Anhaltspunkt stellten beispielsweise die Datentypen dar, nach denen sie suchen müssten. Größere kriminelle Organisationen speicherten außerdem Mitarbeiterlisten, Jahresabschlüsse, Handbücher und Tutorials. Dazu gehörten auch Fusions- und Akquisitionsdokumente, Details zu den Krypto-Wallets der Mitarbeiter und sogar gemeinsam genutzte Kalender. „Wenn die Strafverfolgungsbehörden die Größe krimineller Gruppierungen kennen, können sie zudem besser entscheiden, welche sie vorrangig verfolgen.“

„Der kriminelle Untergrund professionalisiert sich zusehends – mit Gruppierungen, die seriösen Unternehmen in ihren Prozessen immer ähnlicher werden. Außerdem nimmt mit steigender Mitgliederzahl und wachsenden Einnahmen die Komplexität zu“, erläutert Richard Werner, „Business Consultant“ bei Trend Micro. Er führt aus: „Größere Cybercrime-Gruppierungen sind schwierig zu handhaben und haben mittlerweile ein hohes Maß an Bürokratie. Wie bei jedem Unternehmen gehören dazu auch schwache Leistungsträger und Vertrauensprobleme. Unser Report zeigt, wie wichtig es für Ermittler ist, die Größe der kriminellen Gruppierung zu verstehen, mit der sie es zu tun haben.“

Weitere Informationen zum Thema:

TREND MICRO, 03.04.2023
Size Matters: Unraveling the Structure of Modern Cybercrime Organizations