[datensicherheit.de, 10.08.2025] Palo Alto Networks gibt die Erkenntnisse aus der aktuellen „Social Engineering“-Edition des „2025 Global Incident Response Report“ der „Unit 42“ bekannt: Sogenanntes Social Engineering ist demnach 2025 das häufigste Einfallstor für Cyberangriffe. In mehr als einem Drittel der über 700 analysierten Fälle weltweit hätten Angreifer „Social Engineering“ als Einstieg genutzt – also den gezielten Versuch, Menschen durch Täuschung zu bestimmten Handlungen zu verleiten und so Sicherheitskontrollen zu umgehen.

Abbildung: Palo Alto Networks

Phishing bleibt die weitverbreitetste Taktik Cyberkrimineller, um sich Zugriff zu verschaffen

Zentrale Erkenntnisse der „Social Engineering“-Edition des „2025 Global Incident Response Report“ auf einen Blick:

• 36 Prozent aller untersuchten Vorfälle begannen mit „Social Engineering“
  Phishing bleibe mit 65 Prozent die weitverbreitetste Taktik, um sich Zugriff zu verschaffen. 35 Prozent nutzten „Malvertising, SEO-Poisoning, Smishing oder MFA-Bombing“.
• „High Touch“-Angriffe nehmen zu
  Gruppen wie „Muddled Libra“ umgingen Multi-Faktor-Authentifizierung (MFA) und erlangten innerhalb weniger Minuten Administratorrechte – ohne den Einsatz von Malware.
• Schwache Erkennungsmechanismen und Alarmmüdigkeit innerhalb der Sicherheitsteams begünstigen diese Angriffe
  Warnsignale würden oft übersehen oder falsch eingestuft – insbesondere in Prozessen zur Wiederherstellung von Identitäten oder bei lateralen Bewegungen im Netzwerk.
• Über die Hälfte der Vorfälle führte zu Datenabfluss
  Andere wiederum zu Unterbrechungen kritischer Dienste oder zu einer spürbaren Beeinträchtigung der Unternehmensperformance.
• Künstliche Intelligenz (KI) beschleunigt und personalisiert „Social Engineering“-Kampagnen
  Bedrohungsakteure nutzten Generative KI (GenAI), um täuschend echte Köder zu erstellen, Stimmen von Führungskräften zu imitieren und in Echtzeit Gespräche während Täuschungskampagnen zu führen.

„Social Engineering“ – Abwehr erfordert auch technischen Sicherheitsansatz

Der vorliegende Bericht macht laut Palo Alto Networks deutlich: „,Social Engineering’ erfordert einen technischen Sicherheitsansatz, der Identitätsmissbrauch systematisch erkennt, Prozesse absichert und Benutzerinteraktionen konsequent überprüft!“

Weitere Informationen zum Thema:

paloalto NETWORKS, Blog, Michael Sikorski, 30.07.2025
Social Engineering on the Rise — New Unit 42 Report

paloalto NETWORKS
Get to know Michael Sikorski / CTO and VP Engineering – Unit 42

UNIT 42
Cybercrime: 2025 Unit 42 Global Incident Response Report: Social Engineering Edition

datensicherheit.de, 31.07.2025
Scattered Spider: Social Engineering erfolgreich wegen Drittanbietersoftware …. / Ein Kommentar von Dr. Johannes Ullrich, Dean of Research beim SANS Technology Institute

datensicherheit.de, 18.07.2025
Social Engineering weiterhin wichtigstes cyberkriminelles Einfallstor / „Initial Access Broker“ konzentrieren sich zunehmend darauf, „Social Engineering“ zu nutzen, um gültige Zugangsdaten für Systeme ihrer Opfer auszuforschen

datensicherheit.de, 31.01.2022
Earth Lusca: Neue Cyber-Spionagegruppe betreibt Social Engineering / Cyber-Spionage und finanziell motivierte Angriffe von Earth Lusca bedrohen Unternehmen

datensicherheit.de, 08.07.2021
Social Engineering Scams: Warnung vor Zunahme und Tipps zur Abwehr / Bei drei Vierteln der erfolgreichen Social Engineering Scams verwenden Angreifer Informationen über das Opfer, um Glaubwürdigkeit vorzutäuschen

datensicherheit.de, 27.09.2020
Social Engineering: Angriffen mit Analytik begegnen / Schnellere Identifizierung von Social Engineering hilft Schäden zu minimieren

datensicherheit.de, 06.04.2019
Social Engineering: Cyber-Kriminelle und ihre psychologischen Tricks / Christoph M. Kumpa erläutert in seinem Gastbeitrag die häufigsten Angriffe

[datensicherheit.de, 20.12.2024] Das „Unit 42“-Team von Palo Alto Networks hat nach eigenen Angaben eine Phishing-Kampagne auf europäische Unternehmen – darunter auch aus Deutschland – aufgedeckt: „Die Kampagne zielte darauf ab, ,Microsoft Azure Cloud’-Zugangsdaten zu stehlen und die ,Cloud’-Infrastruktur der Opfer zu übernehmen.“ Sie habe der Untersuchung nach im Juni 2024 begonnen und betreffe mehr als 20.000 Nutzer aus verschiedenen europäischen Unternehmen.

Die wichtigsten Erkenntnisse der „UNIT 42“ zur HubPhish-Kampagne:

• Diese Phishing-Kampagne habe im Juni 2024 begonnen und sei im September 2024 noch aktiv gewesen.
• Unternehmen aus den Branchen Automotive, Chemie und industrielle Fertigung stehen demnach im Fokus der Angriffe.
• „Die Phishing E-Mails enthielten entweder eine angehängte ,Docusign’-fähige PDF-Datei oder einen eingebetteten HTML-Link, der die Opfer zu gefälschten ,HubSpot Free Form Builder’-Links führte.“
• Die Angreifer hätten Umgehungstaktiken wie benutzerdefinierte User-Agent-Strings und eine Wiederverwendung der Infrastruktur eingesetzt, um den Zugriff aufrechtzuerhalten und eine Entdeckung zu vermeiden.
• „HubSpot“ sei bei dieser Phishing-Kampagne nicht angegriffen worden und die „Free Form Builder“-Links seien nicht über die „HubSpot“-Infrastruktur an die Betroffenen übermittelt worden.

Weitere Informationen zum Thema:

UNIT 42
Business Email Compromise / Effective Phishing Campaign Targeting European Companies and Institutions

[datensicherheit.de, 17.07.2024] Am 26. Juli 2024 starten die Olympischen Sommerspiele – im Vorfeld hierzu hat das „Unit 42“-Team von Palo Alto Networks nach eigenen Angaben ein „dediziertes Cyber-Überwachungsprogramm“ entwickelt, welches demnach dem Schutz von Organisationen im Bereich Kritischer Infrastrukturen (KRITIS) im Kontext der Organisation und Durchführung der Spiele dienen soll. Hierzu habe Palo Alto Networks’ „Unit 42“ zahlreiche Cyber-Sicherheitssimulationen durchgeführt: „Die wichtigsten Erkenntnisse zu möglichen Risiken und Bedrohungen wurden im Report ,Cyber Threat to Paris 2024‘ dokumentiert.“

Abbildung: Palo Alto Networks

Palo Alto Networks präsentiert den Report „Cyber Threat to Paris 2024“ – basierend auf Erkenntnissen der „Unit 42“

Warnung von Palo Alto Networks vor finanziell motivierter Kriminalität

Von finanziell motivierter Kriminalität dürfte während der gesamten Veranstaltung die größte Bedrohung ausgehen, wobei cyber-gestützter Betrug ein besonders verbreitetes Mittel sei, um illegale Gelder von Unternehmen und Einzelpersonen zu erlangen.

Politisch motivierte Sabotage laut Palo Alto Networks wohl eine der größten Risiken

„Politisch motivierte Sabotage durch staatlich unterstützte Bedrohungsakteure und ,Hacktivisten’ ist angesichts früherer Vorfälle bei vergangenen Spielen wahrscheinlich eine der größten Sorgen.“ Das Potenzial für geopolitische Spannungen im Umfeld der Veranstaltung und die Möglichkeit, dass ein solcher Angriff schwere Störungen oder sogar körperliche Schäden verursachen könnte, sei hoch.

Auch Spionage aus Sicht von Palo Alto Networks ernstzunehmende Bedrohung

Spionage sei zwar weniger offenkundig, aber dennoch besorgniserregend – dies gelte besonders für staatlich gesponserte Aktivitäten, in deren Rahmen etwa Dissidenten, Aktivisten oder andere Personen von Interesse überwacht würden.

Weitere Informationen zum Thema:

paloalto NETWORKS, Juni 2024
Cyber Threats to Paris 2024

datensicherheit.de, 17.06.2024
Olympische Spiele 2024: Proofpoint enttarnte Ticket-Betrug / Fußball-EM und Olympische Spiele 2024 als Köder für gutgläubige Kunden

datensicherheit.de, 23.05.2024
Olympia 2024 droht zum Spielfeld für Cyber-Angriffe zu werden / Böswillige Akteure werden Cyber-Bedrohungen zu nutzen versuchen, um die Integrität der Veranstaltung zu stören und zu untergraben

datensicherheit.de, 09.04.2024
Olympische Sommerspiele 2024 in Paris: Vorbereitung auf Cyber-Angriffe / Generaldirektor der französischen Cyber-Sicherheitsbehörde ANSSI betont, dass diesjährige Olympische Sommerspiele ein Ziel Cyber-Krimineller sind

[datensicherheit.de, 19.09.2023] Die „Unit 42“, das Malware-Forschungsteam bei Palo Alto Networks, hat neue Erkenntnisse zur Cyber-Kriminellen-Gruppe „Muddled Libra“ veröffentlicht. Die Hacker stecken demnach offensichtlich hinter einem der „spektakulärsten Cyber-Angriffe in den USA“, welcher den Betrieb mehrerer Casinos und Hotels in Las Vegas zum Erliegen brachte. „Laut Medienberichten hatten die Mitglieder der Gruppe bereits im vergangenen Jahr auch andere große Unternehmen angegriffen, indem sie sich durch Gespräche Zugang zu Netzwerken verschafft hatten.“ Die Forscher der „Unit 42“ gehen nach eigenen Angaben davon aus, dass die Mitglieder von „Muddled Libra“ englische Muttersprachler sind, was es ihnen erleichtere, ihre Social-Engineering-Angriffe durchzuführen. Die beobachteten Angriffsziele dieser Cyber-Kriminellen schienen sich aktuell noch hauptsächlich auf die USA zu konzentrieren.

Muddled Libra agiert an Schnittstelle zwischen Social Engineering und Technologieanpassung

MGM Resorts, Betreiber vieler der beliebtesten Casinos und Hotels in Las Vegas (darunter das „Bellagio“), sei immer noch damit beschäftigt, die Folgen des Angriffs zu beheben. „Hacker hatten Anfang vergangener Woche den Betrieb erheblich gestört, was zu Schließungen in den Casinos führte. Hotelgäste waren nicht in der Lage, ihre Zimmer mit Schlüsselkarten zu betreten. MGM-Mitarbeiter konnten am Freitagmorgen immer noch nicht auf ihre Firmen-E-Mails zugreifen.“ Am Nachmittag der 15.September 2023 habe MGM mitgeteilt, dass zwar einige Systeme noch immer von dem Angriff betroffen seien, die überwiegende Mehrheit der Hotels jedoch den Betrieb wiederaufgenommen habe.

„Muddled Libra“ agiere an der Schnittstelle zwischen listigem „Social Engineering“ und geschickter Technologieanpassung. Diese Bedrohungsgruppe sei mit Business-IT bestens vertraut und stelle selbst für Unternehmen mit gut ausgebauter Cyber-Abwehr ein erhebliches Risiko dar. Die Forscher und „Incident Responder“ der „Unit 42“ hätten mehr als ein halbes Dutzend zusammenhängender, „Muddled Libra“ zuzuordnender Vorfälle von Mitte 2022 bis Anfang 2023 untersucht. Die Bedrohungsgruppe ziele bevorzugt auf solche großen Outsourcing-Firmen ab, welche hochwertige Krypto-Währungsinstitutionen und Einzelpersonen bedienen. Die Bekämpfung von „Muddled Libra“ erfordere eine Kombination aus strengen Sicherheitskontrollen, sorgfältigen Schulungen des Sicherheitsbewusstseins und aufmerksamer Überwachung.

Wechselnde Taktiken von Muddled Libra gehen oft fließend ineinander über

Seit dem 15. September 2023 sei die „Unit 42“ an der Aufklärung von mehreren weiteren Fällen beteiligt, die „Muddled Libra“ zugeschrieben werden. Die Forscher hätten zusätzliche, von dieser Gruppe eingesetzte Methoden beobachtet. „Die wechselnden Taktiken von ,Muddled Libra’ gehen oft fließend ineinander über und passen sich schnell an die Zielumgebung an.“ Primäre Taktik sei nach wie vor auf den IT-Support eines Unternehmens abzielendes „Social Engineering“.

„In nur wenigen Minuten gelang es den Angreifern beispielsweise, ein Konto-Passwort zu ändern und später die Multi-Faktor-Authentifizierung des Opfers zurückzusetzen, um sich Zugang zu den Netzwerken zu verschaffen.“ Eine auffällige Veränderung der Taktiken, Techniken und Verfahren sei die starke Nutzung von anonymisierenden Proxy-Diensten. Die Angreifer nutzten diese Proxy-Dienste, „um ihre IP-Adressen zu verschleiern und den Anschein zu erwecken, dass sie sich in einem lokalen geografischen Gebiet befinden“.

Weitere Informationen zum Thema:

CYBERSECURITAY DIVE, David Jones, 18.09.2023
MGM, Caesars attacks raise new concerns about social engineering tactics / Multiple threat groups have employed the same criminal tool kit to target vulnerable systems.

CyberWire, now N2K Cyber auf YouTube, 02.09.2023
Thwarting Muddled Libra

UNIT 42, Kristopher Russo & Austin Dever & Amer Elsad, 21.06.2023
Threat Group Assessment: Muddled Libra (Updated)

[datensicherheit.de, 22.06.2023] Die „Unit 42“ der Palo Alto Networks hat am 21. Juni 2023 einen Report über eine aktive Gruppe Cyber-Krimineller veröffentlicht: „Muddled Libra“ (auch „0ktapus“, „Scattered Spider“ bzw. „Scatter Swine“) nutzt nutzt demnach Phishing für Attacken. Mehr als ein halbes Dutzend Cyber-Angriffe dieser Gruppe sei darin eingeflossen. Da das „0ktapus“-Phishing-Kit als sogenannte Open Source verfügbar sei, gebe es viele Überschneidungen mit anderen Gruppen, die dieses verwendeten. Da nicht alle Angreifer, die „0ktapus“ verwenden, „Muddled Libra“ sind, hat die „Unit 42“ die Gruppe „Muddled Libra“ nach eigenen Angaben mit den folgenden Merkmalen klassifiziert:

• Verwendung des „0ktapus“-Phishing-Kits
• hartnäckige Ausrichtung auf die „Business Process Outsourcing“-Branche (BPO)
• langfristige Hartnäckigkeit
• nicht-destruktive Präsenz
• Datendiebstahl
• Nutzung der kompromittierten Infrastruktur für nachgelagerte Angriffe

Abbildung: Palo Alto Networks

„UNIT 42“ warnt vor „Muddled Libra“

BPO-Firmen im Dienste hochrangige Privatpersonen und Krypto-Währungsinstitute im Phishing-Visier

„Muddled Libra“ habe sich auf große BPO-Firmen konzentriert, welche in der Regel hochrangige Privatpersonen und Krypto-Währungsinstitute bedienten. Sie hätten schnell Informationen über nachgelagerte Kundenumgebungen gesucht und gestohlen und diese dann genutzt, um in diese Umgebungen einzudringen.

„Sie haben bewiesen, dass sie die hochrangigen Kunden ihrer Opfer gut kennen und wissen, welche Informationen für Folgeangriffe am nützlichsten wären.“

Muddled Libra verfügt über ungewöhnlich umfangreiches Phishing-Angriffsinstrumentarium

Ausgehend von der Analyse der Ermittlungen der „Unit 42“ zu „Muddled Libra“ verfüge diese Gruppe über ein ungewöhnlich umfangreiches Angriffsinstrumentarium:

Ihr Arsenal reiche von praktischen Social-Engineering- und sogenannten Smishing-Angriffen (Phishing per SMS) bis hin zur Beherrschung von Nischen-Tools für Penetrationstests und Forensik, was dieser Bedrohungsgruppe selbst gegenüber einem robusten und modernen Cyber-Abwehrplan einen Vorteil verschaffe.

Ende 2022 Veröffentlichung des Phishing-Kits 0ktapus

Der „Muddled Libra“-Angriffsstil sei Ende 2022 auf dem Radar der Cyber-Sicherheit mit der Veröffentlichung des Phishing-Kits „0ktapus“ erschienen, welches ein vorgefertigtes Hosting-Framework und gebündelte Vorlagen geboten habe. Mit einer großen Anzahl realistischer gefälschter Authentifizierungsportale und gezieltem Smishing hätten die Angreifer schnell Anmeldedaten und Codes für die Multifaktor-Authentifizierung (MFA) sammeln können.

„Die Geschwindigkeit und das Ausmaß dieser Angriffe haben viele Verteidiger überrascht. Smishing ist zwar nicht neu, aber das ,0ktapus’-Framework hat die Einrichtung einer normalerweise komplexen Infrastruktur so vereinfacht, dass selbst wenig erfahrene Angreifer eine hohe Erfolgsquote erzielen konnten.“

Mehrere Phishing-Akteure, welche gemeinsames Toolkit verwenden

Zu diesen Funktionen gehörten vorgefertigte Vorlagen und ein eingebauter C2-Kanal über „Telegram“, und das alles für einen Preis von nur wenigen hundert US-Dollar. Diese Verbesserung der Funktionalität habe dazu geführt, dass Cyber-Kriminelle eine massive Angriffskampagne gestartet hätten, welche sich gegen eine Vielzahl von Organisationen gerichtet habe.

„Die schiere Anzahl der Ziele, die mit diesem Kit angegriffen wurden, hat in der Forschungsgemeinschaft zu einer gewissen Verwirrung bei der Zuordnung dieser Angriffe geführt.“ Frühere Berichte von „Group-IB“, „CrowdStrike“ und „Okta“ hätten viele dieser Angriffe dokumentiert und den folgenden Angreifer-Gruppen zugeordnet: „0ktapus“, „Scattered Spider“ und „Scatter Swine“. Während diese in den Medien als drei Namen für eine Gruppe behandelt worden seien, handele es sich in Wirklichkeit wahrscheinlich um mehrere Akteure, welche ein gemeinsames Toolkit verwendeten. „Muddled Libra“ sei eine Untergruppe dieser Akteure.

Schlussfolgerung und Abhilfemaßnahmen gegen Phishing

„Muddled Libra“ sei ein methodischer Angreifer, welcher eine erhebliche Bedrohung für Unternehmen in den Bereichen Softwareautomatisierung, BPO, Telekommunikation und Technologie darstelle. Dieser beherrsche eine Reihe von Sicherheitsdisziplinen und sei in der Lage, in relativ sicheren Umgebungen zu gedeihen und schnell verheerende Angriffsketten zu vollenden.

„,Muddled Libra’ bringt nichts Neues auf den Tisch, außer dem unheimlichen Talent, Schwachstellen mit verheerender Wirkung aneinanderzureihen.“ Die Verteidiger müssten modernste Technologie und umfassende Sicherheitshygiene sowie eine sorgfältige Überwachung externer Bedrohungen und interner Ereignisse miteinander kombinieren. Das hohe Risiko des Verlusts von internen und Kundendaten sei ein starker Anreiz für die Modernisierung von Informationssicherheitsprogrammen.

Weitere Informationen zum Thema:

UNIT 42, Kristopher Russo & Austin Dever & Amer Elsad, 21.06.2023
Threat Group Assessment: Muddled Libra

[datensicherheit.de, 20.04.2023] „ChatGPT“ hat in den letzten Monaten offensichtlich stark an Popularität gewonnen – „genutzt wird es für alles Mögliche, vom Schreiben von Rap-Songs über das Erledigen von Hausaufgaben bis hin zum Verfassen von Anschreiben für Bewerbungen und sogar zum Überprüfen von Codes“. Laut der „Unit 42“ bei Palo Alto Networks ist es daher nicht überraschend, „dass auch Angreifer versuchen, die Popularität der App zu nutzen, um Menschen zu betrügen“.

Enormer Anstieg von Betrugsversuchen mit ChatGPT

Am 20. April 2023 hat Palo Alto Networks nach eigenen Angaben eine „Unit 42“-Analyse veröffentlicht, „die zeigt, dass es einen enormen Anstieg von Betrugsversuchen mit ,ChatGPT’ gibt, was darauf zurückzuführen ist, dass generative KI immer beliebter wird“. Die Studie weise auf die verschiedenen Methoden der Betrüger hin, mit denen sie Nutzer zum Herunterladen von Malware oder zur Weitergabe sensibler Informationen verleiten wollten, und enthalte konkrete Fallstudien und Beispiele.

Herausragende Erkenntnisse laut Palo Alto Networks:

• Zwischen November 2022 und April 2023 habe die „Unit 42“ einen Anstieg von 910 Prozent bei den monatlichen Registrierungen von Domains mit Bezug zu „ChatGPT“ beobachtet.
• Täglich seien mehr als 100 bösartige URLs im Zusammenhang mit „ChatGPT“ entdeckt worden, „die vom ,Palo Alto Networks Advanced URL Filtering System’ erfasst wurden“.
• Im gleichen Zeitraum habe das Team ein fast 18.000-prozentiges Wachstum der besetzten Domains in den DNS-Sicherheitsprotokollen beobachtet.

ChatGPT zieht auch Aufmerksamkeit von Betrügern auf sich

„Die Forscher von ,Unit 42‘ überwachen die Trendthemen, neu registrierten Domains und besetzten Domains im Zusammenhang mit ,ChatGPT’, da es eine der am schnellsten wachsenden Verbraucheranwendungen in der Geschichte ist.“ Die dunkle Seite dieser Popularität sei, dass „ChatGPT“ auch die Aufmerksamkeit von Betrügern auf sich ziehe, welche versuchten, von der Verwendung von Formulierungen und Domainnamen zu profitieren, „die im Zusammenhang mit der Website erscheinen“.

Zwischen November 2022 und Anfang April 2023 habe die „Unit 42“ einen Anstieg der monatlichen Registrierungen für Domains im Zusammenhang mit „ChatGPT“ um 910 Prozent verzeichnete. Außerdem habe sie in diesem Zeitraum ein 17.818-prozentiges Wachstum verwandter Squatting-Domains aus DNS-Sicherheitsprotokollen beobachtet. Die „Unit 42“ habe außerdem täglich bis zu 118 Erkennungen bösartiger URLs im Zusammenhang mit „ChatGPT“ verzeichnet, „die aus dem Datenverkehr erfasst wurden“.

ChatGPT-Benutzer sollten sich Chatbots mit einer defensiven Denkweise nähern

In der vorliegenden Analyse stelle die „Unit 42“ mehrere Fallstudien vor, um die verschiedenen Methoden zu veranschaulichen, „mit denen Betrüger Benutzer dazu verleiten, Malware herunterzuladen oder vertrauliche Informationen weiterzugeben“. Als OpenAI am 1. März 2023 seine offizielle API für „ChatGPT“ veröffentlichte, habe die „Unit 42“ eine zunehmende Anzahl verdächtiger Produkte beobachtet, „die es verwenden“. Daher hebt die „Unit 42“ die potenziellen Gefahren der Verwendung von Nachahmer-Chatbots hervor, „um ,ChatGPT’-Benutzer zu ermutigen, sich solchen Chatbots mit einer defensiven Denkweise zu nähern“.

Während OpenAI seinen rasanten Aufstieg zu einer der bekanntesten Marken im Bereich der Künstlichen Intelligenz begonnen habe, „beobachtete ,Unit 42‘ mehrere Fälle von Bedrohungsakteuren, die sich in freier Wildbahn besetzende Domains registrierten und nutzten, die ,openai’ und ,chatgpt’ als ihre Domain verwendeten“ (z.B. openai[.]us, openai[.]xyz und chatgpt[.]jobs). Die meisten dieser Domains hätten Anfang April 2023 nichts Bösartiges gehostet, aber es sei „besorgniserregend“, dass sie nicht von OpenAI oder anderen authentischen Domain-Verwaltungsunternehmen kontrolliert würden. „Sie könnten jederzeit missbraucht werden, um Schaden anzurichten.“

Erscheinungsbild der offiziellen ChatGPT-Website genau nachgeahmt

Während der Recherche habe die „Unit 42“ mehrere Phishing-URLs beobachtet, „die versuchten, sich als offizielle OpenAI-Websites auszugeben“. Typischerweise erstellten Betrüger eine gefälschte Website, „die das Erscheinungsbild der offiziellen ,ChatGPT’-Website genau nachahmt, und verleiten dann Benutzer dazu, Malware herunterzuladen oder vertrauliche Informationen zu teilen“.

Darüber hinaus könnten Betrüger „ChatGPT“-bezogenes „Social Engineering“ für Identitätsdiebstahl oder Finanzbetrug verwenden. Obwohl OpenAI Benutzern eine kostenlose Version von „ChatGPT“ zur Verfügung stelle, führten Betrüger Opfer zu betrügerischen Websites und behaupteten, „dass sie für diese Dienste bezahlen müssen“. Beispielsweise versuchten gefälschte „ChatGPT“-Sites, Opfer dazu zu verleiten, ihre vertraulichen Informationen wie Kreditkartendaten und E-Mail-Adressen preiszugeben. Die „Unit 42“ habe auch, bemerkt dass einige Betrüger die wachsende Popularität von OpenAI für Krypto-Betrug ausnutzten.

ChatGPT 2023 zu einer der beliebtesten Anwendungen geworden

Während „ChatGPT“ in diesem Jahr, 2023, zu einer der beliebtesten Anwendungen geworden sei, seien auch immer mehr Nachahmer-KI-Chatbot-Anwendungen auf dem Markt erschienen. Einige dieser Anwendungen böten ihre eigenen großen Sprachmodelle an, andere behaupteten, dass sie „ChatGPT“-Dienste über die am 1. März 2023 angekündigte öffentliche API anböten. Die Verwendung von Nachahmer-Chat-Bots könnte jedoch die Sicherheitsrisiken erhöhen. Vor der Veröffentlichung der „ChatGPT“-API habe es mehrere Open-Source-Projekte gegeben, „die es Benutzern ermöglichten, sich über verschiedene Automatisierungstools mit ,ChatGPT’ zu verbinden“. Angesichts der Tatsache, dass „ChatGPT“ in bestimmten Ländern oder Regionen nicht zugänglich sei, „könnten Websites, die mit diesen Automatisierungstools oder der API erstellt wurden, eine beträchtliche Anzahl von Benutzern aus diesen Bereichen anziehen“. Dies biete Bedrohungsakteuren auch die Möglichkeit, „ChatGPT“ zu monetarisieren, „indem sie ihren Dienst vertreten“.

Die wachsende Popularität von „ChatGPT“ weltweit habe es zu einem Ziel für Betrüger gemacht. Die „Unit 42“ habe einen deutlichen Anstieg der Anzahl neu registrierter Domains und besetzter Domains im Zusammenhang mit „ChatGPT“ festgestellt, die potenziell von Betrügern für böswillige Zwecke ausgenutzt werden könnten. „Um sicher zu bleiben, sollten ,ChatGPT’-Benutzer bei verdächtigen E-Mails oder Links im Zusammenhang mit ,ChatGPT’ vorsichtig sein.“ Darüber hinaus bringe die Verwendung von Nachahmer-Chatbots zusätzliche Sicherheitsrisiken mit sich. „Benutzer sollten ,ChatGPT’ immer über die offizielle OpenAI-Website aufrufen.“

Weitere Informationen zum Thema:

UNIT 42, Peng Peng & Zhanhao Chen & Lucas Hu, 20.04.2023
ChatGPT-Themed Scam Attacks Are on the Rise

datensicherheit.de, 20.03.2023
ChatGPT4: Sicherheitsanalyse zeigt Szenarien für beschleunigte Cyber-Kriminalität / Die Sicherheitsforscher von Check Point mahnen, dass trotz der Sicherheitsvorkehrungen einige Beschränkungen leicht umgangen werden können / Hacker können ihre Ziele ohne große Hindernisse erreichen

datensicherheit.de, 23.02.2023
ChatGPT: Hacker nutzen Fake-Apps zur Verbreitung von Malware / Bedrohungsakteure versprechen uneingeschränkten, kostenlosen Zugang zum Premium-ChatGPT

datensicherheit.de, 22.02.2023
ChatGPT: Malware-Kampagne missbraucht Hype / Malware ermöglicht Diebstahl von Login-Daten und persönlichen Informationen

datensicherheit.de, 09.02.2023
ChatGPT: Gefahren und Grenzen der KI / Verteidiger müssen auf dem Stand der Technik und des Wissens sein

[datensicherheit.de, 22.03.2023] „Unit 42“, die Forschungsabteilung von Palo Alto Networks, warnt nach eigenen Angaben vor der „Trigona“-Ransomware – „einem relativ neuen Ransomware-Stamm, den Sicherheitsforscher erstmals Ende Oktober 2022 entdeckten“. So habe die „Unit 42“ festgestellt, „dass ,Trigona’ im Dezember 2022 sehr aktiv war und mindestens 15 potenzielle Opfer kompromittiert hat“. Die betroffenen Unternehmen stammen demnach aus den Bereichen Fertigung, Finanzen, Bauwesen, Landwirtschaft, Marketing und Hochtechnologie. Die Forscher hätten zudem zwei neue „Trigona“-Erpresserbriefe im Januar 2023 identifiziert und zwei im Februar 2023. Eine außergewöhnliche Taktik von „Trigona“ bestehe darin, passwortgeschützte ausführbare Dateien zur Verschleierung von Malware zu verwenden.

BleepingComputer veröffentlichte am 29. November 2022 Blogpost über diese Ransomware

Die erste Erwähnung von „Trigona“ (offenbar benannt nach einer Familie stachelloser Bienen) stamme aus einem Tweet von Sicherheitsforschern Ende Oktober 2022. Malware-Samples seien an „BleepingComputer“ weitergeleitet worden, wo am 29. November 2022 ein Blogpost über diese Ransomware veröffentlicht worden sei. Die Berater und Forscher der „Unit 42“ hätten die Aktivitäten von „Trigona“ im Rahmen der Reaktion auf Vorfälle ebenfalls direkt verfolgt.

Die „Unit 42“ habe beobachtet, wie der Ransomware-Betreiber sich zunächst Zugang zur Umgebung eines Ziels verschafft habe, um Erkundungen durchzuführen. „Anschließend kommt ein RMM-Tool (Remote Access and Management) namens ,Splashtop’ zum Einsatz, um Malware in die Zielumgebung zu übertragen, gefolgt von der Erstellung neuer Benutzerkonten und schließlich dem Einsatz der Ransomware.“

Unit 42 hat Beweise für kriminelle Aktivitäten im Zusammenhang mit Trigona

Bedrohungsforscher der „Unit 42“ vermuten, „dass es sich bei der Surface-Web-Leak-Seite um eine Entwicklungsumgebung handelte, in der Funktionen getestet wurden, bevor eine mögliche Verlagerung ins DarkWeb erfolgte“. Mehrere Beiträge schienen Duplikate der „BlackCat“-Leak-Seite zu sein. Einige der Countdown-Timer seien deutlich länger. Die Leak-Site sei im „Surface Web“ nicht mehr verfügbar.

Die „Unit 42“ habe ebenso Beweise für kriminelle Aktivitäten im Zusammenhang mit „Trigona“ gesehen, welche von einem kompromittierten „Windows 2003“-Server ausgegangen seien, gefolgt von der Ausführung von „NetScan“ zur internen Erkundung. Angreifer missbrauchten oft legitime Produkte für böswillige Zwecke, nutzten sie aus oder unterwanderten sie. „Dies bedeutet nicht zwangsläufig, dass ein Fehler oder eine bösartige Eigenschaft des legitimen Produkts vorliegt, das missbraucht wird.“

Trigona derzeit offenbar noch unter dem Radar aktiv

„Trigona“ scheine derzeit „unter dem Radar“ aktiv zu sein. „Dieser Mangel an Bewusstsein in der Sicherheitscommunity ermöglicht es, die Opfer unauffällig anzugreifen, während andere Ransomware-Operationen mit größerem Bekanntheitsgrad die Schlagzeilen beherrschen.“ Palo Alto Networks hofft, „dass die Aufklärung über ,Trigona’ und seine ungewöhnliche Technik, passwortgeschützte ausführbare Dateien zur Verschleierung von Malware zu verwenden, den Verteidigern hilft, ihre Umgebungen besser vor dieser Bedrohung zu schützen“.

Aufgrund der zahlreichen, von der „Unit 42“ identifizierten Opfer und der sich derzeit entwickelnden Leak-Site von „Trigona“ würden der Betreiber und/oder die Partner hinter der Ransomware ihre kriminellen Aktivitäten wahrscheinlich fortsetzen – „und möglicherweise sogar noch verstärken“.

Weitere Informationen zu Thema:

UNIT 42, Frank Lee & Scott Roland, 16.03.2023
Bee-Ware of Trigona, An Emerging Ransomware Strain

MalwareHunterTeam auf Twitter
Some ransomware gang…

BLEEPING COMPUTER, Lawrence Abrams, 29.11.2022
Trigona ransomware spotted in increasing attacks worldwide

[datensicherheit.de, 31.08.2022] Die „Unit 42“, das Malware-Analyse-Team bei Palo Alto Networks, hat einen Bericht veröffentlicht, der Details über die Ransomware-Gruppe „Black Basta“ enthält, die demnach erstmals im April 2022 aufgetaucht ist und seitdem auf dem Vormarsch sei. Die „Incident Responders“ der „Unit 42“ hätten bereits auf mehrere „Black Basta“-Ransomware-Fälle reagiert.

Seit Auftauchen der Ransomware Mitglieder der Gruppe sehr aktiv bei Verbreitung und Erpressung von Unternehmen

Seit dem Auftauchen dieser Ransomware seien die Mitglieder der Gruppe sehr aktiv bei der Verbreitung und Erpressung von Unternehmen. „Die Angreifer betreiben einen Marktplatz für Cyber-Kriminalität und einen Blog, in dem die Gruppe die Namen ihrer Opfer, Beschreibungen, den Prozentsatz der Veröffentlichung, die Anzahl der Besuche und alle exfiltrierten Daten auflistet.“

Obwohl die Mitglieder erst seit ein paar Monaten aktiv seien, hätten sie nach den auf ihrer Leak-Site veröffentlichten Informationen bereits mehr als 75 Unternehmen und Institutionen kompromittiert.

Black Basta als Ransomware as a Service

„Black Basta“ sei eine „Ransomware as a Service“ (RaaS), welche erstmals im April 2022 aufgetaucht sei. Es gebe jedoch Hinweise darauf, dass sie sich seit Februar 2022 in der Entwicklung befindet. Die Betreiber von „Black Basta“ wendeten eine doppelte Erpressungstechnik an. Sie verschlüsselten nicht nur Dateien auf den Systemen der Angriffsziele und forderten Lösegeld für die Entschlüsselung, sondern unterhielten auch eine Leak-Site im DarkWeb, auf der sie damit drohten, sensible Informationen zu veröffentlichen, falls ein Opfer kein Lösegeld zahlt.

Die Partner von „Black Basta“ seien seit dem ersten Auftauchen der Ransomware sehr aktiv bei der Verbreitung von „Black Basta“ und der Erpressung von Unternehmen. „Obwohl sie erst seit ein paar Monaten aktiv sind, haben sie nach den auf ihrer Leak-Site veröffentlichten Informationen zum Zeitpunkt dieser Veröffentlichung bereits über 75 Unternehmen und Institutionen infiziert.“ Die „Unit 42“ habe auch bereits an mehreren „Black Basta“-Fällen gearbeitet.

Ransomware in C++ gefährlich für Windows und Linux

Die Ransomware sei in „C++ „geschrieben und wirke sich sowohl auf „Windows-“ als auch auf „Linux“-Betriebssysteme aus. Sie verschlüssele die Daten der Benutzer mit einer Kombination aus „ChaCha20“ und „RSA-4096“. Um den Verschlüsselungsprozess zu beschleunigen, verschlüssele die Ransomware in Abschnitten von 64 Byte, wobei 128 Byte Daten zwischen den verschlüsselten Bereichen unverschlüsselt blieben. „Je schneller die Ransomware verschlüsselt, desto mehr Systeme können potenziell kompromittiert werden, bevor die Verteidigungsmaßnahmen ausgelöst werden.“ Dies sei ein entscheidender Faktor, auf den die Partner achteten, „wenn sie sich einer ,Ransomware-as-a-Service’-Gruppe anschließen“.

Die „Unit 42“ hat nach eigenen Angaben beobachtet, „dass die ,Black Basta’-Ransomware-Gruppe ,QBot’ als ersten Einstiegspunkt nutzt, um sich seitlich in kompromittierten Netzwerken zu bewegen. ,QBot’, auch bekannt als ,Qakbot’, ist ein ,Windows’-Malware-Stamm, der als Banking-Trojaner begann und sich zu einem Malware-Dropper entwickelte“. Er sei auch von anderen Ransomware-Gruppen verwendet, darunter „MegaCortex“, „ProLock“, „DoppelPaymer“ und „Egregor“. Während diese Ransomware-Gruppen „QBot“ für den Erstzugang genutzt hätten, sei die „Black Basta“-Gruppe dabei beobachtet worden, „wie sie ,QBot’ sowohl für den Erstzugang als auch für die seitliche Verbreitung im Netzwerk einsetzte“.

Möglicherweise Neuauflage einer früheren Ransomware-Gruppe

Da die „Black Basta“-Angriffe im Jahr 2022 weltweit aufsehenerregend gewesen und immer wieder aufgetreten seien, „ist es wahrscheinlich, dass die Betreiber und/oder die mit ihnen verbundenen Partner, die hinter dem Dienst stehen, weiterhin Unternehmen angreifen und erpressen werden“.

Es sei auch möglich, dass es sich nicht um eine neue Operation handele, sondern eher um eine Neuauflage einer früheren Ransomware-Gruppe, welche ihre Partner mitgebracht habe. Aufgrund zahlreicher Ähnlichkeiten in den Taktiken, Techniken und Verfahren (wie „Victim Shaming“-Blogs, Wiederherstellungsportale, Verhandlungstaktiken und die Art und Weise, wie schnell „Black Basta“ seine Opfer gesammelt habe) könnte die Gruppe aktuelle oder ehemalige Mitglieder der „Conti“-Gruppe umfassen.

Überblick zu wichtigen Ergebnisse der Untersuchung der neuen Ransomware:

• Die RaaS nutzt Doppelte Erpressung als Teil der Angriffe.
• Daten von mindestens 20 Opfern wurden in den ersten zwei Wochen des Einsatzes der Ransomware auf der Leak-Site veröffentlicht.
• Die Gruppe hat Berichten zufolge mehrere große Unternehmen aus den Bereichen Verbraucher- und Industrieprodukte, Energie, Ressourcen und Landwirtschaft, Fertigung, Versorgungsunternehmen, Transport, Regierungsbehörden, freiberufliche Dienstleistungen und Beratung sowie Immobilien angegriffen.

Weitere Informationen zum Thema:

UNIT42, Amer Elsad, 25.08.2022
Threat Assessment: Black Basta Ransomware

datensicherheit.de, 18.05.2021
HSE-Ransomware-Attacke: Hacker-Gruppe Conti mutmaßlicher Täter / Ende der 19. KW 2021 wurde die irische Gesundheitsbehörde HSE Opfer eines Angriffs mit Ransomware – durch die Hacker-Gruppe Conti, meldet Palo Alto Networks.

[datensicherheit.de, 08.06.2022] Ryan Olson, Vize-Präsident „Unit 42 Incident Response and Threat Research Team“ bei Palo Alto Networks, hat nach eigenen Angaben die aktuelle Entwicklung der real bezahlten Lösegeldforderungen nach Ransomware-Angriffen beobachtet und aktuell ausgewertet. In seiner aktuellen Stellungnahme geht er auf seine Beobachtungen ein. Während sich Tausende von Cyber-Sicherheitsfachleuten in San Francisco zur jährlichen „RSA-Konferenz“ versammelten, sei ein guter Zeitpunkt, um einen kurzen Blick auf die von Palo Alto Networks bisher im Jahr 2022 beobachteten Ransomware-Aktivitäten zu werfen.

Foto: Palo Alto Networks

Ryan Olson: Diesjähriger Anstieg der Zahlungen durch zwei Lösegeldzahlungen in Höhe von mehreren Millionen US-Dollar in die Höhe getrieben

Durchschnittliche Ransomware-Zahlung auf 925.162 US-Dollar gestiegen

Die Zahlen seien erschreckend: „Die durchschnittliche Ransomware-Zahlung in Fällen, die von ,Unit 42 Incident Responders‘ bearbeitet wurden, stieg in den ersten fünf Monaten des Jahres 2022 auf 925.162 US-Dollar und näherte sich damit der beispiellosen 1-Million-Dollar-Marke, da sie im Vergleich zum letzten Jahr um 71 Prozent gestiegen ist.“ Das sei vor den zusätzlichen Kosten, welche den Opfern entstanden seien, darunter Kosten für die Behebung des Schadens, der Ausfallzeit, der Rufschädigung und anderer Schäden.

Diese Kosten sind insbesondere deshalb erschreckend, „wenn man sich die Entwicklung dieser Kosten vor Augen führt“. Die durchschnittliche Zahlung in den von den „Unit 42“-Beratern bearbeiteten Fällen habe sich im Jahr 2020 auf etwa 300.000 US-Dollar belaufen. „Es ist kaum zu glauben, dass die meisten Transaktionen, mit denen die Berater im Jahr 2016 konfrontiert wurden, 500 Dollar oder weniger betrugen.“

Täglich Daten von sieben neuen Opfern auf Leak-Seiten im DarkWeb veröffentlicht

Jeden Tag würden die Daten von durchschnittlich sieben neuen Opfern auf den Leak-Seiten im sogenannten DarkWeb veröffentlicht, welche von Ransomware-Banden genutzt würden, um die Opfer zur Zahlung von Lösegeld zu zwingen. Diese als „Doppelte Erpressung“ bezeichnete Technik erhöhe den Druck auf die Opfer, weil sie zu der Schwierigkeit, den Zugriff auf Dateien zu verlieren, noch eine Ebene der öffentlichen Demütigung hinzufüge, „indem sie die Opfer identifiziert und angebliche Ausschnitte sensibler Daten, die aus ihren Netzwerken gestohlen wurden, weitergibt“. Die beobachtete Rate der Doppelten Erpressung bedeute, dass alle drei bis vier Stunden ein neues Opfer auftauche, so die laufende Analyse der Leak-Site-Daten durch „Unit 42“.

Die Cyber-Erpressungskrise halte an, weil Cyber-Kriminelle unerbittlich zunehmend ausgefeilte Angriffswerkzeuge, Erpressungstechniken und Marketingkampagnen einführten, welche diese beispiellose, weltweite digitale Verbrechenswelle anheizten. Das RaaS-Geschäftsmodell (Ransomware-as-a-Service) habe gleichzeitig die technische Einstiegshürde gesenkt, indem es diese leistungsstarken Tools mit benutzerfreundlichen Schnittstellen und Online-Support auch für nicht versierte Cyber-Erpresser zugänglich mache.

Ransomware-Erpresserbanden werden wohl kaum aufhören, Zahlungen in Höhe mehrerer Millionen US-Dollar zu fordern

Die Folgen könnten verheerend sein: „Die Regierung Costa Ricas wurde in diesem Jahr bereits mehrfach Opfer von Ransomware-Angriffen, darunter auch im Mai, als die Erbringung von Gesundheitsdiensten unterbrochen wurde. Das 157 Jahre alte Lincoln College wurde letzten Monat geschlossen, nachdem ein Ransomware-Angriff den Zugang zu allen Universitätsdaten gekappt und die Zulassungen für den Herbst 2022 unterbrochen hatte – ein harter Schlag für eine Einrichtung, die sich bereits von der Pandemie erholen wollte.“

Der diesjährige Anstieg der Zahlungen sei durch zwei Lösegeldzahlungen in Höhe von mehreren Millionen Dollar in die Höhe getrieben worden – eine an eine aufstrebende Gruppe, „Quantum Locker“, und eine an „LockBit 2.0“, welche bisher in diesem Jahr – 2022 – die aktivste Ransomware-Bande auf Leak-Seiten mit Doppelter Erpressung gewesen sei. Olsons gegenwärtiges Fazit: „Leider haben die Berater von ,Unit 42‘ keinen Grund zu der Annahme, dass Erpresserbanden aufhören werden, Zahlungen in Höhe von mehreren Millionen Dollar zu fordern. Kritisch sind insbesondere Fälle, in denen Unternehmen in den Ruin getrieben werden könnten, wenn sie nicht zahlen.“

Weitere Informationen zum Thema:

paloalto NETWORKS Blog, Ryan Olson, 07.06.2022
Average Ransom Payment Up 71% This Year, Approaches $1 Million

datensicherheit.de, 01.07.2021
Ransomware-Bedrohung nimmt zu: Diskussion um Verbot von Lösegeldzahlungen / Adam Kujawa fordert, nicht die Ransomware-Opfer zu bestrafen, sondern diese zur Meldung des Vorfalls zu veranlassen

[datensicherheit.de, 26.08.2021] Im Rahmen der Verpflichtung, Ransomware-Angriffe zu stoppen, führt die „Unit 42“ von Palo Alto Networks nach eigenen Angaben sogenannte Ransomware-Jagdaktionen durch, um sicherzustellen, dass Kunden vor neuen und sich entwickelnden Ransomware-Varianten geschützt werden können. Demnach werden die Aktivitäten bestehender Gruppen überwacht, Leak-Sites im Darkweb und „Fresh-Onion-Sites“ gesucht, aufstrebende Akteure identifiziert und Taktiken, Techniken sowie Verfahren untersucht. Die „Unit 42“ habe zuletzt vier aufkommende Ransomware-Gruppen beobachtet, welche derzeit Unternehmen angriffen und Anzeichen dafür aufwiesen, dass sie sich in Zukunft weiter ausbreiten könnten:

AvosLocker – Ransomware as a Service (RaaS)

Seit Ende Juni 2021 in Betrieb. Diese Gruppe verwende ein blaues Käfer-Logo, um sich in der Kommunikation mit Opfern und in „Pressemitteilungen“ zu identifizieren, welche darauf abzielten, neue Partner zu rekrutieren. „AvosLocker“ sei dabei beobachtet worden, in Diskussionsforen im Darkweb und anderen Foren für sein RaaS-Programm zu werben und nach Partnern zu suchen. „Wie viele seiner Konkurrenten bietet ,AvosLocker‘ technischen Support an, um den Opfern bei der Sanierung zu helfen, nachdem sie mit einer Verschlüsselungssoftware angegriffen wurden.“
Von dieser behaupte die Gruppe, sie sei „ausfallsicher“, habe niedrige Erkennungsraten und sei in der Lage, große Dateien zu verarbeiten. Diese Ransomware habe auch eine Erpresser-Website, „die behauptet, sechs Unternehmen und Institutionen in den folgenden Ländern angegriffen zu haben: USA, Großbritannien, Vereinigte Arabische Emirate, Belgien, Spanien und Libanon“. Die „Unit 42“ habe erste Lösegeldforderungen zwischen 50.000 und 75.000 US-Dollar beobachtet.

Hive – Ransomware mit doppelter Erpressung

Im Juni 2021 in Betrieb genommen, habe „Hive“ 28 Unternehmen und Institutionen befallen, „die auf der Erpresser-Website der Gruppe aufgelistet sind, darunter eine europäische Fluggesellschaft und drei Unternehmen und Institutionen in den USA“.
„Hive“ nutze alle verfügbaren Erpressungstools, um Druck auf das Opfer auszuüben, einschließlich des Datums der ersten Kompromittierung, eines Countdowns, des Datums, an dem der Leak tatsächlich auf der Website veröffentlicht wurde, und sogar der Option, den veröffentlichten Leak in Sozialen Medien zu teilen.

HelloKitty – bereits im Jahr 2020 entdeckte Ransomware-Gruppe

„HelloKitty“ habe ich hauptsächlich gegen „Windows“-Systeme gerichtet – im Juli 2021 habe die „Unit 42“ jedoch eine „Linux“-Variante von „HelloKitty“ beobachtet, welche auf den „ESXi-Hypervisor“ von „VMware“ abziele, welcher in „Cloud“- und „On-Premises“-Rechenzentren weit verbreitet sei. Die Forscher hätten auch zwei Aktivitätscluster beobachtet.
„Bei den beobachteten Beispielen bevorzugten einige Bedrohungsakteure die E-Mail-Kommunikation, während andere ,TOR‘-Chats für die Kommunikation mit den Opfern nutzten.“ Die beobachteten Varianten hätten fünf Unternehmen bzw. Institutionen in Italien, Australien, Deutschland, den Niederlanden und den USA betroffen.
„Die höchste Lösegeldforderung dieser Gruppe belief sich auf zehn Millionen US-Dollar, aber zum Zeitpunkt der Erstellung dieses Berichts haben die Bedrohungsakteure nur drei Transaktionen erhalten, die sich auf etwa 1,48 Millionen US-Dollar belaufen.“

LockBit 2.0 (früher bekannt als ABCD Ransomware)

Ein drei Jahre alter RaaS-Betreiber, welcher in letzter Zeit mit einigen hochkarätigen Angriffen in Verbindung gebracht worden sei, „nachdem er im Juni eine ausgeklügelte Marketingkampagne zur Anwerbung neuer Partner gestartet hatte“.
Er behaupte, die schnellste Verschlüsselung auf dem Ransomware-Markt anzubieten. „LockBit 2.0“ habe sich auf mehrere Branchen ausgewirkt – 52 Opfer seien auf der Leak-Site der Gruppe aufgeführt. Zu den Opfern gehörten Unternehmen und Institutionen in den USA, Mexiko, Belgien, Argentinien, Malaysia, Australien, Brasilien, der Schweiz, Deutschland, Italien, Österreich, Rumänien und Großbritannien.

Schlussfolgerungen aus der Analyse von Ransomware-Gruppen

Große Ransomware-Gruppen wie „REvil“ und „Darkside“ zögen sich zurück oder würden sich umbenennen, „um der Aufmerksamkeit der Strafverfolgungsbehörden und der Medien zu entgehen“. Daher würden neue Gruppen auftauchen, welche diejenigen ersetzten, die nicht mehr aktiv auf Opfer abzielten. Die „Unit 42“ habe Informationen über einige der beobachteten bösartigen Aktivitäten der Ransomware-Gruppen zusammengestellt, welche versuchten, die nächsten Hauptakteure zu werden.„LockBit“ und „HelloKitty“ seien zwar schon früher aktiv gewesen, aber ihre jüngste Entwicklung sei ein gutes Beispiel dafür, wie alte Gruppen wieder auftauchten und eine anhaltende Bedrohung darstellen könnten. Die „Unit 42“ werde diese Ransomware-Familien – und neue, die in Zukunft auftauchen könnten – weiterhin überwachen.
„Kunden von Palo Alto Networks sind gegen diese Ransomware-Familien mit ,Cortex XDR‘ oder der Next-Generation-Firewall mit ,Threat Prevention‘- und ,WildFire Security‘-Abonnements geschützt.“ Kunden könnten „AutoFocus“ verwenden, um verwandte Entitäten mit den Tags „AvosLocker“, „Hive“, „LockBit“ bzw. „HelloKitty“ zu verfolgen. Eine vollständige Visualisierung der beobachteten Techniken könne im „ATOM-Viewer“ der „Unit 42“ eingesehen werden. Palo Alto Networks habe diese Ergebnisse, einschließlich Dateimustern und Indikatoren für eine Kompromittierung, mit den anderen Mitgliedern der Cyber Threat Alliance (CTA) geteilt. Die CTA-Mitglieder nutzten diese Erkenntnisse, um ihren Kunden schnell Schutzmaßnahmen zu bieten und böswillige Cyber-Akteure systematisch zu stören.

Weitere Informationen zum Thema:

paloalto NETWORKS, UNIT42, Doel Santos & Ruchna Nigam, 24.08.2021
Ransomware Groups to Watch: Emerging Threats

CYBER THREAT ALLIANCE
What is the Cyber Threat Alliance?

datensicherheit.de, 26.08.2021
Ransomware-Trends: Mehrfach-Erpressungen / Double, Triple und Quadruple Extortion nach Ransomware-Angriffen

datensicherheit.de, 24.08.2021
Sophos: Ransomware-Report 2021 mit Fakten, Auswirkungen und Trends / Unternehmen, öffentliche Einrichtungen und andere Organisationen weiterhin fest im Griff der Ransomware

datensicherheit.de, 14.08.2021
Accenture von LockBit-Ransomware-Angriff betroffen / LockBit-Ransomware seit September 2019 beobachtet

datensicherheit.de, 10.08.2021
Für Varonis steht Ransomware exemplarisch für Bedrohung der Datensicherheit / Varonis positioniert sich beim Schutz der Daten vor Ransomware, Exfiltration und anderen Attacken