Ransomware-Gruppierung LockBit hatte auch Krankenhäuser bzw. Kritische Infrastrukturen attackiert

[datensicherheit.de, 22.02.2024] Zur Zerschlagung der „LockBit“-Ransomware-Gruppierung betont Christian Have, „CTO“ bei Logpoint, in seiner Stellungnahme, dass diese Bedrohungsakteure im Gegensatz zu vielen anderen Cyber-Kriminellen sogar Angriffe auf Krankenhäuser bzw. Kritische Infrastrukturen (KRITIS) gerichtet hatten. Mit der nun erfolgten Verhaftung laufenden Ermittlungen senden die Strafverfolgungsbehörden demnach eine klare Botschaft an andere Malware-Betreiber – nämlich dass Cyber-Kriminalität erhebliche Konsequenzen nach sich ziehe.

Foto: Logpoint

Christian Have: Ausschaltung der beiden größten Ransomware-Banden – LockBit und BlackCat – hat das Potenzial, die Bedrohungslandschaft nachhaltig zu verändern…

Schlag gegen diese Ransomware-Gruppe LockBit bedeutender Fortschritt im Kampf gegen organisierte Cyber-Kriminalität

„Wie Anfang dieser Woche bekannt gegeben wurde, ist es den europäischen und amerikanischern Strafverfolgungsbehörden gelungen, zwei Mitglieder der berüchtigten ,LockBit’-Gruppierung festzunehmen“, berichtet Have. Dieser wichtige Schlag gegen diese Ransomware-Gruppe stelle einen bedeutenden Fortschritt im Kampf gegen organisierte Cyber-Kriminalität dar.

„LockBit“ sei einer der bekanntesten Bedrohungsakteure gewesen, welcher im Gegensatz zu vielen seiner Konkurrenten dreist selbst Krankenhäuser und andere KRITIS angegriffen habe. „Mit der Verhaftung von zwei Personen und den nun laufenden Ermittlungen gegen die Entwickler und Partner der Gruppe senden die Strafverfolgungsbehörden eine klare Botschaft an andere Malware-Betreiber“, so Have und er betont: „Cyber-Kriminalität zieht erhebliche Konsequenzen nach sich!“

Cybercrime-Gruppen zunehmend entlarvt: Vor LockBit wurde BlackCat aus dem Spiel genommen

Die aktuelle Festnahme sei nur eine von vielen in den letzten Monaten – sie verdeutliche die positive Entwicklung im Bereich der strafrechtlichen Verfolgung Cyber-Krimineller. Have führt aus: „Erst im Dezember beschlagnahmte das FBI gemeinsam mit internationalen Strafverfolgungsbehörden die Server und die Leak-Site von ,BlackCat’. Letzte Woche fing das FBI die ,Mooboot’-Malware ab, die von ,Fancy Bear’ auf ,Ubiquiti’-Routern eingesetzt wurde. Die Firewall der Router wurde neu konfiguriert, damit die Angreifer keinen erneuten Zugriff erhielten.“ Die Einbeziehung des FBI in die Bemühungen, „LockBit“ auszuschalten, zeige, wie proaktiv das FBI und andere Strafverfolgungsbehörden gegen Cyber-Bedrohungen vorgingen.

Have unterstreicht abschließend: „Die Ausschaltung der beiden größten Ransomware-Banden – ,LockBit’ und ,BlackCat’ – hat das Potenzial, die Bedrohungslandschaft nachhaltig zu verändern, indem sie die Fragmentierung und Dezentralisierung von Cybercrime-Gruppen weiter vorantreibt.“ Dies verdeutliche die Notwendigkeit für Sicherheitsteams, sich von traditionellen Methoden zur Erkennung von Sicherheitsverstößen auf der Grundlage bekannter Kompromissindikatoren (Indicators Of Compromise / IOC) zu lösen. Ein Ansatz, der sich auf die Erkennung von Taktiken, Techniken und Verfahren (TTPs) konzentriere, sei nachhaltiger, da er die dynamischen Methoden der Bedrohungsakteure und neu auftretende Bedrohungen mit einbeziehe.

Weitere Informationen zum Thema:

datensicherheit.de, 22.02.2024
LockBit versuchte durch Innovation die Oberhand zu behalten / Reihe von logistischen, technischen und rufschädigenden Problemen forderte LockBit-Ransomware-Gruppierung heraus

datensicherheit.de, 21.02.2024
LockBit zerschlagen – Phönix aus der Asche als Ransomware-Bedrohungsszenario / Richard Cassidy kommentiert Ransomware-Gruppen im Zyklus von Zerschlagung und Auferstehung

heise online, Dr. Christopher Kunz, 20.02.2024
Ransomware: Lockbit durch Ermittler zerschlagen – zwei Festnahmen / Operation Cronos: Je eine Verhaftung in Polen und der Ukraine…

Christian Have kommentiert Bedeutung der Betrugsvorwürfe gegen CISO

[datensicherheit.de, 13.11.2023] Vor knapp zwei Jahre wurde SolarWinds Opfer eines Cyber-Angriffs – „insbesondere einer Attacke auf die Lieferkette, bei dem Endkunden das Ziel waren“, ruft Christian Have, CTO bei Logpoint, in seiner aktuellen Stellungnahme in Erinnerung und berichtet: „Nun sieht sich der ,Chief Information Security Officer’ (CISO) von SolarWinds mit Betrugsvorwürfen der U.S. Securities and Exchange Commission (SEC) konfrontiert, weil er irreführende Informationen über die Cyber-Sicherheitssituation von SolarWinds an den Markt weitergegeben hat.“ Dieser CISO hatte demnach eine robuste Cyber-Sicherheitseinrichtung dargestellt, aber als der Cyber-Angriff stattfand, sei der Aktienkurs stärker abgestürzt als vernünftigerweise zu erwarten war.

Foto: Logpoint

Christian Have: Anklage gegen SolarWinds-CISO zeigt Wirksamkeit rechtlicher Maßnahmen auf…

Anschuldigungen gegen SolarWinds sollten auch CISOs in Europa zu denken geben

Have betont: „Die Anschuldigungen gegen den CISO von SolarWinds sollten den CISOs in Europa zu denken geben. Die Behörden nehmen sie jetzt aktiv unter die Lupe. Wenn ein europäisches Unternehmen von einem Cyber-Angriff betroffen ist, der zu einem Rückgang des Aktienkurses führt, obwohl zuvor berichtet wurde, dass man sich intensiv um die Cyber-Sicherheit bemüht, warum sollte das gleiche Szenario nicht auch hier gelten?“

Die Cyber-Sicherheitsbranche setze sich seit Langem für eine herausgehobene Position innerhalb von Unternehmen ein, welche in der Tat unerlässlich sei. Dieser Fall stelle jedoch den ersten seiner Art dar, „in dem ein CISO in die oberen Ebenen des Unternehmens integriert wurde, wenn auch mit einer Abkopplung vom technischen Aspekt“. Er unterstreiche die kritische Bedeutung der technischen Realität und die gewaltige Herausforderung, die Kluft zwischen „oben“ und „unten“ zu überbrücken. Die Vorwürfe deuteten eindeutig darauf hin, dass die Mitarbeiter der Sicherheitsabteilung von SolarWinds sich der Probleme bewusst gewesen seien, was eine erhebliche Diskrepanz aufzeige.

Rolle eines CISO darf nicht zum Papiertiger degradiert werden

Diese Vorwürfe dürften Führungskräften und Vorstandsmitgliedern schlaflose Nächte bereiten, „da die SolarWinds-Führung davon ausging, dass sie ein Unternehmen mit robuster Cyber-Sicherheit betreibt“. Dies sei ein überzeugendes Beispiel dafür, warum sich die Rolle eines CISO nicht in einen „Papiertiger“ verwandeln dürfe, „der sich ausschließlich auf Notfallpläne, Managementberichte, Compliance und zielgerichtete Maßnahmen verlässt“. Es bestehe die Gefahr, dem Top-Management ungerechtfertigtes Vertrauen einzuflößen, während der Fokus von den technischen Grundlagen abgelenkt werde.

Have unterstreicht abschließend: „Es ist zwingend erforderlich, auf Sicherheitsteams zu hören, die die technische Landschaft genau kennen, und ihre Bedenken ernst zu nehmen.“ Diese Anklage gegen den CISO von SolarWinds zeige, dass rechtliche Maßnahmen in solchen Fällen wirksam seien. Sie werfen laut Have „ein Schlaglicht auf die Probleme und Herausforderungen, mit denen Sicherheitschefs, Führungskräfte, Vorstände und Sicherheitsteams konfrontiert sind“. Dieser Fall sollte in der gesamten Branche Besorgnis und Stirnrunzeln auslösen.

Weitere Informationen zum Thema:

datensicherheit.de, 22.01.2021]
Lessons learned – Lehren aus dem Solarwinds-Hack / Ein Kommentar von Christoph Volkmer, VP DACH bei Tanium

datensicherheit.de, 21.12.2020
Sicherheitsverletzung bei SolarWinds zeigt Notwendigkeit eines sicheren Passworts auf / Ian Pitt empfiehlt Unternehmen jeder Größe Einführung einer unternehmensweiten Passwort-Managementlösung

Zerschlagung der REvil-Gruppe durch den FSB übt indes Druck auf andere Bedrohungsakteure aus

[datensicherheit.de, 18.01.2022] „Die Malware-Industrie ist riesig. Ihre internen Wirtschafts- und Unternehmensstrukturen ähneln denen eines Fortune-500-Unternehmens, mit bestimmten Rollen, Verantwortlichkeiten und Geschäftszielen“, berichtet Christian Have, „CTO“ bei LogPoint, in seiner aktuellen Stellungnahme. In der Vergangenheit hätten Bedrohungsakteure bis zu einem gewissen Grad isoliert operiert und seien dadurch von polizeilichen und geheimdienstlichen Ermittlungen und Strafen verschont geblieben. Have führt aus: „Die Zerschlagung der ,REvil‘-Gruppe durch den russischen Geheimdienst FSB, womit dieser den USA entgegenkommt, stellt eine bedeutende Veränderung dar und übt Druck auf andere bekannte Bedrohungsakteure aus.“

Foto: LogPoint

Christian Have: Problem mit Ransomware durch hartes Vorgehen gegen Bedrohungsakteure nicht gelöst…

Fragmentierte Bedrohungslandschaft mögliche Folge der REvil-Zerschlagung

Auch wenn es erfreulich sei, dass Cyber-Kriminelle Konsequenzen zögen, werde das Problem mit Ransomware durch ein hartes Vorgehen gegen die Bedrohungsakteure nicht gelöst werden.

„Die Summen im Umlauf sind enorm hoch und Unternehmen zahlen immer noch Lösegeld“, so Have. Es werde also vielmehr ein Prozess gestartet, der eine „fragmentierte Bedrohungslandschaft“ schaffe.

REvil-Gruppe war raffiniert, aber dennoch aufzuspüren

Es sei ein Segen für die Cyber-Sicherheitsbranche gewesen, dass die sehr raffinierten Gruppen immer wieder dieselben Taktiken angewandt hätten, was ihre Aufspürung erleichtert habe. Jetzt drohe dieser Vorteil zu verschwinden.

„Vielleicht gehen Ransomware-Gruppen in Zukunft weniger raffiniert vor, wenn ihr Wirtschaftssystem dezentralisiert wird. Dennoch wird es weitaus mehr Innovationen geben, was Cyber-Sicherheitsexperten im Schutz von Organisationen vor neue Herausforderungen stellen wird“, prognostiziert Have abschließend.

Weitere Informationen zum Thema:

LOGPOINT, Christian Have, 21.07.2021
Im Krieg gegen Ransomware

LOGPOINT, Bhabesh Raj Rai, 25.05.2021
https://www.logpoint.com/de/blog/so-erkennen-sie-die-ransomware-fivehands-in-den-verschiedenen-stadien-der-kill-chain/

datensicherheit.de, 18.01.2022
REvil-Ransomware-Gruppe: Verhaftung in Russland auf Anfrage der USA / Diesmal REvil-Rädelsführer tatsächlich verhaftet und Vermögenswerte beschlagnahmt

datensicherheit.de, 09.11.2021
REvil-Festnahmen: Bedeutung für die Cyber-Sicherheit / International koordinierte Operation GoldDust gegen mehrere Affiliate-Partner der Ransomware-as-a-Service REvil