Cyber-Angreifer passen ihre Taktiken der neuen Arbeitsrealität an – Schäden durch Ransomware und Hackerangriffe nehmen zu

Laut dem diesjährigen Cyber Threatscape Report des Beratungsunternehmens Accenture setzen Cyberangreifer weltweit gezielt neue Open-Source-Tools ein, um Opfer durch Erpressung zur Zahlung von Lösegeld zu bewegen. Dafür nutzen sie unter anderem die E-Mail-Systeme von Unternehmen aktiv aus.

In der jährlich erscheinenden Studie analysiert Accenture mit Hilfe von Cyber Threat Intelligence (CTI) die Taktiken, Techniken und Verfahren der erfolgreichsten Cyber-Angreifer und prognostiziert, wie sich Cyber-Vorfälle im Laufe des kommenden Jahres entwickeln können. Die Studie enthält Forschungsbeiträge von Context Information Security und Deja vu Security, beides Akquisitionen von Accenture. Diese Zukäufe bauen unter anderem auf der Akquise des Cyber-Security-Geschäfts von Symantec und Revolutionary Security auf. Damit verstärkt Accenture sein Engagement bei der Skalierung der Cybersicherheitsdienste für seine Kunden.

„COVID-19 hat nicht nur unsere Art zu Leben und Arbeiten verändert, sondern auch die Taktiken von Cyberkriminellen, die für ihre Angriffe nun neue Schwachstellen ausnutzen. Diese Schwachstellen haben sich teilweise erst durch die Pandemie-bedingten Veränderungen offenbart“, sagt Thomas Schumacher, Leiter Security bei Accenture in Deutschland, Österreich und der Schweiz. “Unternehmen müssen damit rechnen, dass Cyberangriffe in Zukunft deutlich zunehmen werden”, so Schumacher weiter. Vor diesem Hintergrund müssen Unternehmen jetzt verstärkt daran arbeiten, die richtigen Kontrollmechanismen bezogen auf die veränderte Arbeitsrealität einzurichten und zuverlässige Informationen über Cyber-Bedrohungen einzuholen und zu nutzen, um die komplexeren Bedrohungen frühzeitig erkennen, abwehren oder bekämpfen zu können.

Raffinierte Cyber-Angreifer tarnen sich mit Standardtools

Die CTI-Analysten von Accenture haben im Jahr 2020 organisierte kriminelle Gruppen beobachtet, die mutmaßlich im Auftrag einzelner Regierungen operieren. Sie kombinieren Standard-IT-Tools aus der bestehenden Zielumgebung der Angriffsopfer, wie Anwendungen, Systeme und Funktionen und setzen diese für gezielte Angriffe ein. Die Cyberattacken werden dabei über gemeinsam genutzte Server-Infrastruktur, öffentlichen Exploit-Code und Open-Source Penetrationstests durchgeführt. Dieses Vorgehen hilft auch dabei, die eigenen Spuren zu verwischen.

Die Accenture-Spezialisten konnten so beispielsweise die Muster und Aktivitäten der im Iran ansässigen Hackergruppe SOURFACE (auch bekannt als Chafer oder Remix Kitten) aufdecken. Die Gruppe ist seit mindestens 2014 aktiv. Sie ist bekannt für ihre Cyberangriffe auf die Öl- und Gas-, Kommunikations- und Transportindustrie sowie andere Branchen in den USA, Israel, Europa, Saudi-Arabien, Australien und weiteren Regionen. Dabei wurde festgestellt, dass SOURFACE legale Windows-Funktionen und frei verfügbare Tools wie Mimikatz zum Auslesen von Anmeldeinformationen verwendet. Diese Technik wird zum Diebstahl von Authentifizierungsdaten wie Benutzernamen und Passwörtern genutzt. Angreifer haben dadurch die Möglichkeit, Befugnisse und Zugriffsrechte zu übernehmen oder sich im Tarnmodus im Netzwerk zu bewegen, um andere Systeme und Konten zu kompromittieren.

Der Studie zufolge ist es sehr wahrscheinlich, dass professionelle Angreifer auch im kommenden Jahr offene Flanken in Standard-Tools für ihre Angriffe nutzen werden. Die Vorteile liegen aus Sicht der Cyberkriminellen auf der Hand: Sie sind einfach zu bedienen, effektiv und kosteneffizient.

Die Ergebnisse der Studie zeigen außerdem, wie eine Hackergruppe auf aggressive Weise Systeme angreift, die Microsoft Exchange und Outlook Web Access unterstützen. Die infiltrierten Systeme werden missbraucht, um illegalen Datenverkehr zu verstecken, Befehle weiterzuleiten, E-Mails zu kompromittieren, Daten zu stehlen oder Zugangsdaten für Spionagezwecke zu sammeln. Die von Russland aus operierende Gruppe, die als BELUGASTURGEON (auch bekannt als Turla oder Snake) bezeichnet wird, ist seit mehr als zehn Jahren aktiv und wird mit zahlreichen Cyberangriffen in Verbindung gebracht, die sich gegen Regierungsbehörden, außenpolitische Forschungsunternehmen und Think Tanks auf der ganzen Welt richten.

Ransomware ermöglicht Cyberkriminellen neue profitable, skalierbare Geschäftsmodelle

Das Prinzip von Ransomware, also die Nutzung sogenannter Erpressungstrojaner, hat sich im vergangenen Jahr schnell zu einem lukrativen Geschäftsmodell für Cyberkriminelle entwickelt. Indem sie damit drohen, gestohlene Daten öffentlich freizugeben oder zu verkaufen, üben Cyberkriminelle Druck auf Opfer von Ransomware-Attacken aus. Die Täter hinter solchen Programmen wie Maze, Sodinokibi (auch bekannt als REvil) und DoppelPaymer sind bekannt für ihre Vorgehensweise, die für sie immer noch große Gewinne abwirft. Das hat zu einer Welle von Nachahmern geführt.

Darüber hinaus tauchte zu Jahresbeginn die berüchtigte LockBit-Ransomware auf, die durch ihre Fähigkeit zur Selbstverbreitung im Unternehmensnetzwerk Aufmerksamkeit erregt hat. Die Motivation hinter LockBit ist vermutlich finanzieller Natur. Den CTI-Analysten von Accenture ist es gelungen, in Dark-Web-Foren den Tätern, die hinter LockBit stehen, auf die Spur zu kommen. Die Hintermänner werben dort für regelmäßige Updates und Verbesserungen ihrer Ransomware. Gleichzeitig rekrutieren sie aktiv neue Mitglieder und versprechen ihnen einen Teil des erbeuteten Lösegelds.

Der Erfolg dieser Hack-and-Leak-Erpressungsmethoden, insbesondere gegen größere Organisationen, könnte weitere Nachahmer motivieren und in den kommenden Monaten einen regelrechten Trend auslösen. Darauf weisen nicht zuletzt weitere Rekrutierungskampagnen in Dark-Web-Foren hin, wie zum Beispiel die der Drahtzieher hinter Sodinokibi.