Ransomware-Bedrohung unterstreicht dennoch Priorität in Fragen der Visibilität

[datensicherheit.de, 30.01.2023] „Die gemeinsame Aktion des FBI in Abstimmung mit deutschen und niederländischen Behörden ist ein Erfolg gegen die ausgefeilten Techniken von ,Hive‘ zu einem kritischen Zeitpunkt im Kampf gegen Ransomware-Gruppen“, so
Chris Dobrec, „VP Product & Industry Solutions“ bei Armis. Allein in Deutschland seien bereits mehr als 70 Unternehmen von den Cyber-Kriminellen gehackt worden. Die Ermittlungen seien auch ein entscheidender Schritt in Richtung einer verstärkten internationalen Zusammenarbeit, um Bedrohungsakteure zum Nutzen aller an der Ausübung ihrer Tätigkeit zu hindern.

Foto: Armis

Chris Dobrec: Nicht der richtige Zeitpunkt für Unternehmen sich auszuruhen!

Wirtschaftlichen Situation erlaubt immer weniger Unternehmen, Ransomware-Lösegeld zu zahlen

„Neben diesem Erfolg der Strafverfolgungsbehörden stehen Ransomware-Gruppen unter Druck, weil sich aufgrund der wirtschaftlichen Situation immer weniger Unternehmen in der Lage befinden werden, das geforderte Lösegeld auch zu bezahlen“, betont Dobrec und warnt jedoch: „Diese Entwicklungen sind jedoch nicht der richtige Zeitpunkt für Unternehmen sich auszuruhen.“

Untersuchungen wie der „Cyberwarfare-Report“ zeigten, dass 54 Prozent der Unternehmen weltweit zwischen Mai und Oktober 2022 einen Anstieg der Bedrohungsaktivitäten im Vergleich zu den sechs Monaten davor verzeichnet hätten. Die vorübergehende Pause in den Aktivitäten der „Hive“-Gruppe bedeute nämlich keineswegs einen Rückgang der Angriffe auf breiter Front.

Unternehmen sollten den Zeitpunkt der Strafverfolgungs-Aktion zum Anlass nehmen, ihre Bemühungen, um ein proaktives Verständnis ihrer gesamten Angriffsfläche zu erneuern. Dobrec erläutert: „Sie müssen Schwachstellen in ihrer Umgebung bewerten, die Priorisierung von Abhilfemaßnahmen zu verwalten und ihre Sicherheitsabwehr von innen nach außen zu stärken. Sie können dies auch nutzen, um ihre Politik zur Zahlung von Lösegeld zu bewerten.“

IT-Experten uneinig, ob Ransomware-Lösegeld gezahlt werden sollte

Der gleichen Studie zufolge seien IT-Fachleute weltweit geteilter Meinung darüber, ob Lösegeld gezahlt werden soll: „24 Prozent der Befragten gaben an, dass ihr Unternehmen immer zahlt. 31 Prozent sagten, dass ihr Unternehmen nur zahlt, wenn Kundendaten gefährdet sind. 26 Prozent wiederum waren der Meinung, dass ihr Unternehmen nie zahlt. Weitere 19 Prozent gaben an, dass es im Zweifelsfall darauf ankommt.“

In den USA hätten die zuständigen Behörden den betroffenen Unternehmen inzwischen unter Strafandrohungen untersagt das Lösegeld zu zahlen. Es bleibe abzuwarten, „ob nicht auch andere europäische Länder diesem Beispiel folgen werden“.

Ransomware zwingt Sicherheitsteams, über statische Bestandsaufnahme ihrer Assets hinauszugehen

Trotz des Risikos ständiger Cyber-Angriffe steuerten viele IT- und OT-Sicherheitsexperten in der sogenannten DACH-Region ihre Sicherheitstools in gewissem Maße manuell. Die Ergebnisse zeigten, dass weniger als die Hälfte (47%) der Unternehmen über automatisierte Sicherheitssoftware zur Erkennung von APTs (Advanced Persistent Threats) verfüge – und dass, obwohl diese Bedrohungen als die gefährlichste Gruppe gälten und oft von nationalstaatlichen Angreifern unterstützt würden. Im Gegenteil: „44 Prozent dieser Unternehmen suchen manuell und mithilfe vordefinierter Warnungen nach verdächtigem Verhalten.“

Tools zur Bestandsaufnahme konzentrierten sich zumeist auf Transparenz, lieferten jedoch keine Informationen über Cyber-Bedrohungen. Dies erfordere, dass Unternehmen mit modernen hybriden Umgebungen separate Tools zur Bestandsaufnahme und Risikobewertung implementierten. Unternehmen mangele es an einem vollständigen Bild ihrer „Assets“ – „sie kennen den wichtigen Risikokontext nicht und es klaffen Sicherheitslücken, die von Cyber-Kriminellen ausgenutzt werden können“. Deshalb benötigten Sicherheitsteams eine Möglichkeit, über die statische Bestandsaufnahme all ihrer „Assets“ hinauszugehen und auch deren Sicherheitskontext zu verstehen.

Weitere Informationen zum Thema:

ARMIS
THE STATE OF CYBERWARFARE

datensicherheit.de, 30.01.2023
Hive: Zerschlagung des-Hacker-Netzwerks erheblicher Rückschlag für gefährliche kriminelle Organisation / Früherer FBI Cyber Special Agent Adam Marrè, heute CISO bei Arctic Wolf, kommentiert den Hive-Fall

datensicherheit.de, 27.01.2023
Hive: Ransomware-Gang vom FBI und deutschen Sicherheitsbehörden aus dem Spiel genommen / Eine der aktivsten Ransomware-Bande namens Hive heimlich gehackt und zerschlagen

Früherer FBI Cyber Special Agent Adam Marrè, heute CISO bei Arctic Wolf, kommentiert den Hive-Fall

[datensicherheit.de, 30.01.2023] Das Hacker-Netzwerk „Hive“ soll wichtige Daten der Opfer verschlüsselt sowie Unternehmen und Organisationen mit selbstentwickelten Erpressungstools unter Druck gesetzt und mit der Veröffentlichung von sensiblen Daten gedroht haben. Das FBI und deutsche Behörden haben nach eigenen Angaben diese Ransomware-Gruppe zerschlagen. „Hive“ hat demnach in den vergangenen Jahren mehr als 100 Millionen US-Dollar (rund 92 Millionen Euro) an Lösegeldzahlungen erbeutet. Der frühere „FBI Cyber Special Agent“ Adam Marrè, heute „CISO“ bei Arctic Wolf, ordnet in seiner aktuellen Stellungnahme diese Fall ein:

Foto: Arctic Wolf

Adam Marrè: Bleibt zu hoffen, dass Durchbruch der Strafverfolgungsbehörden als Abschreckung dient…

Hive-Operation gutes Beispiel, wie umfassender Zugang Aktivitäten Cyber-Krimineller vereiteln kann

Marrè führt aus: „Strafverfolgungsbehörden nutzen geheime Zugänge zu den Netzwerken und Systemen von Bedrohungsakteuren, um Beweise für strafrechtliche Ermittlungen zu unterschiedlichsten Arten von Cyber-Kriminalität zu sammeln – einschließlich Ransomware.“ Die aktuelle Operation sei nun ein gutes Beispiel dafür, „wie ein umfassender Zugang zum Erfolg führen kann, um die Aktivitäten von Cyber-Kriminellen zu vereiteln“.

Leider sei dies so nicht immer möglich. Teilweise stützetn sich – ebenfalls erfolgreiche – Ermittlungen auch auf geringere Zugangsmöglichkeiten. Ermittlungsfortschritte hingen dann häufig allein von Informanten ab und stützten sich nicht auf einen direkten technischen Zugriff.

Anzunehmen, dass CyberCrime-Markt in irgendeiner Form Ersatz für Hive hervorbringen wird

„Die Zerschlagung des ,Hive‘-Hacker-Netzwerks bedeutet einen erheblichen Rückschlag für diese gefährliche kriminelle Organisation, die es auf Gesundheitssysteme abgesehen hat und damit letztlich eine Bedrohung für Leib und Leben darstellte“, betont Marrè. Auch wenn dieser Vorstoß die Menge der Ransomware-Aktivitäten in ihrer Gesamtheit nicht wesentlich reduziere, so sei es doch ein Signal an diejenigen, „die solche Aktivitäten noch durchführen oder planen, es zu tun“.

Auch wenn anzunehmen sei, dass der CyberCrime-Markt, in irgendeiner Form einen Ersatz für den „Hive-Dienst“ hervorbringen werde, bleibe zu hoffen, dass dieser Durchbruch der Strafverfolgungsbehörden „als Abschreckung für diejenigen dient, die Angriffe auf Kritische Infrastrukturen wie Krankenhäuser ermöglichen“.

Denkbar, dass einige Hive-Mitglieder bereits vor Zerschlagung des Netzwerks bekannt waren

Die Art dieses speziellen Zugriffs werde wahrscheinlich zu Verhaftungen führen oder dazu, „dass die Strafverfolgung die beteiligten Personen überzeugt, als Informanten für weitere Ermittlungen mit ihr zusammenzuarbeiten“.

Es sei durchaus denkbar, dass einige Mitglieder der Ransomware-Gruppe „Hive“ bereits vor der Zerschlagung dieses Netzwerks bekannt gewesen seien – „die Strafverfolgungsbehörden jedoch noch nicht bereit waren oder die Zerschlagung über den technischen ,Access‘ nicht mit Verhaftungsaktionen gefährden wollten“.

Weitere Informationen zum Thema:

tagesschau, 26.01.2023
Deutschland und USA / Hackernetzwerk „Hive“ zerschlagen

datensicherheit.de, 30.01.2023
Nach Erfolg gegen Hive: Ransomware-Gruppen unter Druck / Ransomware-Bedrohung unterstreicht dennoch Priorität in Fragen der Visibilität

datensicherheit.de, 27.01.2023
Hive: Ransomware-Gang vom FBI und deutschen Sicherheitsbehörden aus dem Spiel genommen / Eine der aktivsten Ransomware-Bande namens Hive heimlich gehackt und zerschlagen

Eine der aktivsten Ransomware-Bande namens Hive heimlich gehackt und zerschlagen

[datensicherheit.de, 27.01.2023] Tenable meldet in einer aktuellen Stellungnahme, dass am späten 26. Januar 2023 Berichte kursierten, wonach das FBI und deutsche Sicherheitsbehörden eine der aktivsten Ransomware-Bande namens „Hive“ heimlich gehackt und zerschlagen haben soll. Mit diesem Manöver sei es den Behörden gelungen zu verhindern, „dass die Gruppe mehr als 130 Millionen Dollar an Ransomware-Forderungen von mehr als weiteren 300 Opfern erpressen konnte“. Satnam Narang, „Senior Staff Research Engineer“ bei Tenable, kommentiert diesen Vorfall:

Foto: Tenable

Satnam Narang: Ransomware stellt für die meisten Unternehmen heute ständig die größte Bedrohung dar!

Schlag gegen Hive beispielloser Schritt im Kampf gegen Ransomware

„Die von den Sicherheitsbehörden ergriffenen Maßnahmen, um den Betrieb der ,Hive‘-Ransomware-Gruppe von innen heraus zu stören, sind ein beispielloser Schritt im Kampf gegen Ransomware, die für die meisten Unternehmen heute ständig die größte Bedrohung darstellt“, unterstreicht Narang.

Dies könnte zwar das Ende der „Hive“-Ransomware-Gruppe bedeuten, aber seine Mitglieder und Partner stellten weiterhin eine Bedrohung dar. Narang warnt: „Wenn wir aus vergangenen Störaktionen gegen Ransomware-Gruppen etwas gelernt haben, dann dass andere Gruppen aufstehen werden, um die hinterlassene Lücke zu füllen.“

Aber: Hive-Affiliates könnten leicht zu anderen Affiliate-Programmen von Ransomware-Gruppen wechseln

Sogenannte Affiliates, „die normalerweise für die Durchführung der meisten dieser Angriffe verantwortlich sind“, könnten leicht zu anderen Affiliate-Programmen von Gruppen wechseln, „die weiterhin betriebsbereit sind, und Mitglieder von Ransomware-Gruppen können ihr Wissen ebenfalls an diese Gruppen weitergeben“.

Narang führt aus: „Einer der wichtigsten Wege, wie Ransomware-Gruppen Aufmerksamkeit und Bekanntheit erlangen, ist die Veröffentlichung ihrer erfolgreichen Angriffe auf Datenleck-Sites im DarkWeb.“ Es würde ihn demnach nicht überraschen, „wenn Ransomware-Gruppen die Bedrohung sehen, die durch die Wartung dieser Sites entsteht, und aufhören, diese Angriffe öffentlich aufzulisten in einem Versuch, unter dem Radar zu bleiben“.

Weitere Informationen zum Thema:

Frankfurter Allgemeine Zeitung, Gustav Theile, 27.01.2023
Zerschlagene Hackergruppe Hive: Wenn das FBI schwäbischen Polizisten dankt

WDR, 27.01.2023
Hacker-Netzwerk „Hive“ zerschlagen – was steckt dahinter?

datensicherheit.de, 26.08.2021
Ransomware Groups to Watch: Emerging Threats / Aktuelle Analyse von Palo Alto Networks zu Ransomware-Gruppen