[datensicherheit.de, 20.04.2023] „ChatGPT“ hat in den letzten Monaten offensichtlich stark an Popularität gewonnen – „genutzt wird es für alles Mögliche, vom Schreiben von Rap-Songs über das Erledigen von Hausaufgaben bis hin zum Verfassen von Anschreiben für Bewerbungen und sogar zum Überprüfen von Codes“. Laut der „Unit 42“ bei Palo Alto Networks ist es daher nicht überraschend, „dass auch Angreifer versuchen, die Popularität der App zu nutzen, um Menschen zu betrügen“.

Enormer Anstieg von Betrugsversuchen mit ChatGPT

Am 20. April 2023 hat Palo Alto Networks nach eigenen Angaben eine „Unit 42“-Analyse veröffentlicht, „die zeigt, dass es einen enormen Anstieg von Betrugsversuchen mit ,ChatGPT’ gibt, was darauf zurückzuführen ist, dass generative KI immer beliebter wird“. Die Studie weise auf die verschiedenen Methoden der Betrüger hin, mit denen sie Nutzer zum Herunterladen von Malware oder zur Weitergabe sensibler Informationen verleiten wollten, und enthalte konkrete Fallstudien und Beispiele.

Herausragende Erkenntnisse laut Palo Alto Networks:

• Zwischen November 2022 und April 2023 habe die „Unit 42“ einen Anstieg von 910 Prozent bei den monatlichen Registrierungen von Domains mit Bezug zu „ChatGPT“ beobachtet.
• Täglich seien mehr als 100 bösartige URLs im Zusammenhang mit „ChatGPT“ entdeckt worden, „die vom ,Palo Alto Networks Advanced URL Filtering System’ erfasst wurden“.
• Im gleichen Zeitraum habe das Team ein fast 18.000-prozentiges Wachstum der besetzten Domains in den DNS-Sicherheitsprotokollen beobachtet.

ChatGPT zieht auch Aufmerksamkeit von Betrügern auf sich

„Die Forscher von ,Unit 42‘ überwachen die Trendthemen, neu registrierten Domains und besetzten Domains im Zusammenhang mit ,ChatGPT’, da es eine der am schnellsten wachsenden Verbraucheranwendungen in der Geschichte ist.“ Die dunkle Seite dieser Popularität sei, dass „ChatGPT“ auch die Aufmerksamkeit von Betrügern auf sich ziehe, welche versuchten, von der Verwendung von Formulierungen und Domainnamen zu profitieren, „die im Zusammenhang mit der Website erscheinen“.

Zwischen November 2022 und Anfang April 2023 habe die „Unit 42“ einen Anstieg der monatlichen Registrierungen für Domains im Zusammenhang mit „ChatGPT“ um 910 Prozent verzeichnete. Außerdem habe sie in diesem Zeitraum ein 17.818-prozentiges Wachstum verwandter Squatting-Domains aus DNS-Sicherheitsprotokollen beobachtet. Die „Unit 42“ habe außerdem täglich bis zu 118 Erkennungen bösartiger URLs im Zusammenhang mit „ChatGPT“ verzeichnet, „die aus dem Datenverkehr erfasst wurden“.

ChatGPT-Benutzer sollten sich Chatbots mit einer defensiven Denkweise nähern

In der vorliegenden Analyse stelle die „Unit 42“ mehrere Fallstudien vor, um die verschiedenen Methoden zu veranschaulichen, „mit denen Betrüger Benutzer dazu verleiten, Malware herunterzuladen oder vertrauliche Informationen weiterzugeben“. Als OpenAI am 1. März 2023 seine offizielle API für „ChatGPT“ veröffentlichte, habe die „Unit 42“ eine zunehmende Anzahl verdächtiger Produkte beobachtet, „die es verwenden“. Daher hebt die „Unit 42“ die potenziellen Gefahren der Verwendung von Nachahmer-Chatbots hervor, „um ,ChatGPT’-Benutzer zu ermutigen, sich solchen Chatbots mit einer defensiven Denkweise zu nähern“.

Während OpenAI seinen rasanten Aufstieg zu einer der bekanntesten Marken im Bereich der Künstlichen Intelligenz begonnen habe, „beobachtete ,Unit 42‘ mehrere Fälle von Bedrohungsakteuren, die sich in freier Wildbahn besetzende Domains registrierten und nutzten, die ,openai’ und ,chatgpt’ als ihre Domain verwendeten“ (z.B. openai[.]us, openai[.]xyz und chatgpt[.]jobs). Die meisten dieser Domains hätten Anfang April 2023 nichts Bösartiges gehostet, aber es sei „besorgniserregend“, dass sie nicht von OpenAI oder anderen authentischen Domain-Verwaltungsunternehmen kontrolliert würden. „Sie könnten jederzeit missbraucht werden, um Schaden anzurichten.“

Erscheinungsbild der offiziellen ChatGPT-Website genau nachgeahmt

Während der Recherche habe die „Unit 42“ mehrere Phishing-URLs beobachtet, „die versuchten, sich als offizielle OpenAI-Websites auszugeben“. Typischerweise erstellten Betrüger eine gefälschte Website, „die das Erscheinungsbild der offiziellen ,ChatGPT’-Website genau nachahmt, und verleiten dann Benutzer dazu, Malware herunterzuladen oder vertrauliche Informationen zu teilen“.

Darüber hinaus könnten Betrüger „ChatGPT“-bezogenes „Social Engineering“ für Identitätsdiebstahl oder Finanzbetrug verwenden. Obwohl OpenAI Benutzern eine kostenlose Version von „ChatGPT“ zur Verfügung stelle, führten Betrüger Opfer zu betrügerischen Websites und behaupteten, „dass sie für diese Dienste bezahlen müssen“. Beispielsweise versuchten gefälschte „ChatGPT“-Sites, Opfer dazu zu verleiten, ihre vertraulichen Informationen wie Kreditkartendaten und E-Mail-Adressen preiszugeben. Die „Unit 42“ habe auch, bemerkt dass einige Betrüger die wachsende Popularität von OpenAI für Krypto-Betrug ausnutzten.

ChatGPT 2023 zu einer der beliebtesten Anwendungen geworden

Während „ChatGPT“ in diesem Jahr, 2023, zu einer der beliebtesten Anwendungen geworden sei, seien auch immer mehr Nachahmer-KI-Chatbot-Anwendungen auf dem Markt erschienen. Einige dieser Anwendungen böten ihre eigenen großen Sprachmodelle an, andere behaupteten, dass sie „ChatGPT“-Dienste über die am 1. März 2023 angekündigte öffentliche API anböten. Die Verwendung von Nachahmer-Chat-Bots könnte jedoch die Sicherheitsrisiken erhöhen. Vor der Veröffentlichung der „ChatGPT“-API habe es mehrere Open-Source-Projekte gegeben, „die es Benutzern ermöglichten, sich über verschiedene Automatisierungstools mit ,ChatGPT’ zu verbinden“. Angesichts der Tatsache, dass „ChatGPT“ in bestimmten Ländern oder Regionen nicht zugänglich sei, „könnten Websites, die mit diesen Automatisierungstools oder der API erstellt wurden, eine beträchtliche Anzahl von Benutzern aus diesen Bereichen anziehen“. Dies biete Bedrohungsakteuren auch die Möglichkeit, „ChatGPT“ zu monetarisieren, „indem sie ihren Dienst vertreten“.

Die wachsende Popularität von „ChatGPT“ weltweit habe es zu einem Ziel für Betrüger gemacht. Die „Unit 42“ habe einen deutlichen Anstieg der Anzahl neu registrierter Domains und besetzter Domains im Zusammenhang mit „ChatGPT“ festgestellt, die potenziell von Betrügern für böswillige Zwecke ausgenutzt werden könnten. „Um sicher zu bleiben, sollten ,ChatGPT’-Benutzer bei verdächtigen E-Mails oder Links im Zusammenhang mit ,ChatGPT’ vorsichtig sein.“ Darüber hinaus bringe die Verwendung von Nachahmer-Chatbots zusätzliche Sicherheitsrisiken mit sich. „Benutzer sollten ,ChatGPT’ immer über die offizielle OpenAI-Website aufrufen.“

Weitere Informationen zum Thema:

UNIT 42, Peng Peng & Zhanhao Chen & Lucas Hu, 20.04.2023
ChatGPT-Themed Scam Attacks Are on the Rise

datensicherheit.de, 20.03.2023
ChatGPT4: Sicherheitsanalyse zeigt Szenarien für beschleunigte Cyber-Kriminalität / Die Sicherheitsforscher von Check Point mahnen, dass trotz der Sicherheitsvorkehrungen einige Beschränkungen leicht umgangen werden können / Hacker können ihre Ziele ohne große Hindernisse erreichen

datensicherheit.de, 23.02.2023
ChatGPT: Hacker nutzen Fake-Apps zur Verbreitung von Malware / Bedrohungsakteure versprechen uneingeschränkten, kostenlosen Zugang zum Premium-ChatGPT

datensicherheit.de, 22.02.2023
ChatGPT: Malware-Kampagne missbraucht Hype / Malware ermöglicht Diebstahl von Login-Daten und persönlichen Informationen

datensicherheit.de, 09.02.2023
ChatGPT: Gefahren und Grenzen der KI / Verteidiger müssen auf dem Stand der Technik und des Wissens sein

[datensicherheit.de, 22.03.2023] „Unit 42“, die Forschungsabteilung von Palo Alto Networks, warnt nach eigenen Angaben vor der „Trigona“-Ransomware – „einem relativ neuen Ransomware-Stamm, den Sicherheitsforscher erstmals Ende Oktober 2022 entdeckten“. So habe die „Unit 42“ festgestellt, „dass ,Trigona’ im Dezember 2022 sehr aktiv war und mindestens 15 potenzielle Opfer kompromittiert hat“. Die betroffenen Unternehmen stammen demnach aus den Bereichen Fertigung, Finanzen, Bauwesen, Landwirtschaft, Marketing und Hochtechnologie. Die Forscher hätten zudem zwei neue „Trigona“-Erpresserbriefe im Januar 2023 identifiziert und zwei im Februar 2023. Eine außergewöhnliche Taktik von „Trigona“ bestehe darin, passwortgeschützte ausführbare Dateien zur Verschleierung von Malware zu verwenden.

BleepingComputer veröffentlichte am 29. November 2022 Blogpost über diese Ransomware

Die erste Erwähnung von „Trigona“ (offenbar benannt nach einer Familie stachelloser Bienen) stamme aus einem Tweet von Sicherheitsforschern Ende Oktober 2022. Malware-Samples seien an „BleepingComputer“ weitergeleitet worden, wo am 29. November 2022 ein Blogpost über diese Ransomware veröffentlicht worden sei. Die Berater und Forscher der „Unit 42“ hätten die Aktivitäten von „Trigona“ im Rahmen der Reaktion auf Vorfälle ebenfalls direkt verfolgt.

Die „Unit 42“ habe beobachtet, wie der Ransomware-Betreiber sich zunächst Zugang zur Umgebung eines Ziels verschafft habe, um Erkundungen durchzuführen. „Anschließend kommt ein RMM-Tool (Remote Access and Management) namens ,Splashtop’ zum Einsatz, um Malware in die Zielumgebung zu übertragen, gefolgt von der Erstellung neuer Benutzerkonten und schließlich dem Einsatz der Ransomware.“

Unit 42 hat Beweise für kriminelle Aktivitäten im Zusammenhang mit Trigona

Bedrohungsforscher der „Unit 42“ vermuten, „dass es sich bei der Surface-Web-Leak-Seite um eine Entwicklungsumgebung handelte, in der Funktionen getestet wurden, bevor eine mögliche Verlagerung ins DarkWeb erfolgte“. Mehrere Beiträge schienen Duplikate der „BlackCat“-Leak-Seite zu sein. Einige der Countdown-Timer seien deutlich länger. Die Leak-Site sei im „Surface Web“ nicht mehr verfügbar.

Die „Unit 42“ habe ebenso Beweise für kriminelle Aktivitäten im Zusammenhang mit „Trigona“ gesehen, welche von einem kompromittierten „Windows 2003“-Server ausgegangen seien, gefolgt von der Ausführung von „NetScan“ zur internen Erkundung. Angreifer missbrauchten oft legitime Produkte für böswillige Zwecke, nutzten sie aus oder unterwanderten sie. „Dies bedeutet nicht zwangsläufig, dass ein Fehler oder eine bösartige Eigenschaft des legitimen Produkts vorliegt, das missbraucht wird.“

Trigona derzeit offenbar noch unter dem Radar aktiv

„Trigona“ scheine derzeit „unter dem Radar“ aktiv zu sein. „Dieser Mangel an Bewusstsein in der Sicherheitscommunity ermöglicht es, die Opfer unauffällig anzugreifen, während andere Ransomware-Operationen mit größerem Bekanntheitsgrad die Schlagzeilen beherrschen.“ Palo Alto Networks hofft, „dass die Aufklärung über ,Trigona’ und seine ungewöhnliche Technik, passwortgeschützte ausführbare Dateien zur Verschleierung von Malware zu verwenden, den Verteidigern hilft, ihre Umgebungen besser vor dieser Bedrohung zu schützen“.

Aufgrund der zahlreichen, von der „Unit 42“ identifizierten Opfer und der sich derzeit entwickelnden Leak-Site von „Trigona“ würden der Betreiber und/oder die Partner hinter der Ransomware ihre kriminellen Aktivitäten wahrscheinlich fortsetzen – „und möglicherweise sogar noch verstärken“.

Weitere Informationen zu Thema:

UNIT 42, Frank Lee & Scott Roland, 16.03.2023
Bee-Ware of Trigona, An Emerging Ransomware Strain

MalwareHunterTeam auf Twitter
Some ransomware gang…

BLEEPING COMPUTER, Lawrence Abrams, 29.11.2022
Trigona ransomware spotted in increasing attacks worldwide

Alex Hinchliffe gibt Tipps, damit Online-Shopping nicht von Hackern ruiniert wird

[datensicherheit.de, 26.11.2022] Der Heiligabend 2022 ist ein guter Anlass, an einen „traurigen Dauerbrenner der letzten Jahre“ zu erinnern – die Warnung vor Cyber-Kriminalität, wenn Verbraucher ihr Shopping online tätigen. Alex Hinchliffe, „Threat Intelligence Analyst“ bei Palo Alto Networks, gibt in seiner aktuellen Stellungnahme einige praktische Ratschläge, „wie man sich bei Weihnachtseinkäufen am Arbeitsplatz und zu Hause schützen kann“.

Foto: Palo Alto Networks

Alex Hinchliffe: Ransomware stellt nach wie vor eine ernsthafte Sicherheitsbedrohung dar!

Vor Ransomware schützen: Arbeits- und Privatgeräte nicht nur beim Shopping voneinander trennen!

„Ransomware stellt nach wie vor eine ernsthafte Sicherheitsbedrohung dar!“ Palo Alto Networks habe beobachtet, dass Angreifer es auf Verbraucher abgesehen hätten, „die von zu Hause aus arbeiten und über ihre Arbeitsgeräte einkaufen“. Das Ziel der Angreifer sei es, das Arbeitsgerät des Verbrauchers zu kompromittieren, in das Unternehmensnetzwerk einzudringen und das Unternehmen mit Ransomware zu infizieren.

Verbraucher sollten daran denken, ihre beruflichen Angelegenheiten auf ihrem Arbeitsgerät und ihre privaten Angelegenheiten auf ihrem privaten Gerät zu erledigen.

So werde verhindert, dass Angreifer den Arbeitgeber eines Verbrauchers ins Visier nehmen könnten. „Es ist viel zu einfach für jemanden, einen Passwort-Tresor oder einen anderen Speicher für Zugangsdaten zu verwenden, um persönliche und Firmenpasswörter zu speichern.“ Durch den Diebstahl von Passwörtern könnten sonst beide Informationen gestohlen werden.

Ob Shopping, Lieferankündigungen, Auftragsbestätigungen oder Spendensammlung durch Wohltätigkeitsorganisationen – Phishing-Betrug droht

Die Risiken für Unternehmen durch Ransomware-Angriffe, „die wichtige Systeme lahmlegen und Daten stehlen“, seien enorm. Sowohl die Höhe der von Cyber-Kriminellen geforderten Lösegelder als auch die Höhe der gezahlten Beträge nehme stark zu, und kein Unternehmen, ob groß oder klein, sei vor einem Angriff gefeit. „Es wäre das schlimmste Weihnachtsgeschenk, wenn ein Mitarbeiter unbeabsichtigt einer Ransomware-Bande Zugang zu den Systemen des Arbeitgebers gewährt.“

Die häufigste Art für Angreifer auf fremde Computer zu gelangen, sei eine Phishing-E-Mail. Noch mehr als sonst sollten Verbraucher während der vorweihnachtlichen Einkaufszeit auf eine Vielzahl von Phishing-Betrügereien achten.

Hierzu zählten z.B. gefälschte Lieferankündigungen, Auftragsbestätigungen und Wohltätigkeitsorganisationen. „Denken Sie nach, bevor Sie klicken. Klicken Sie nicht auf Links aus unbekannten Quellen. Wenn ein Angebot zu gut erscheint, um wahr zu sein, ist es das auch.“

Cybersquatting: Betrüger besetzen Domains, um Shopping-Freunde auf Fälschung zu leiten

Beim „Cybersquatting“ registrierten Cyber-Kriminelle Website-Domainnamen, „die ähnlich wie bestehende Domains oder Marken klingen, mit der Absicht, von den Tippfehlern der Verbraucher zu profitieren“. Der Zweck dieser Domainbesetzungen bestehe darin, die Verbraucher zu verwirren, damit sie glaubten, dass diese ähnlich klingenden Domainnamen legitimen Marken gehörten.

Da die Verbraucher einen großen Teil ihrer Festtagseinkäufe online erledigten, würden Angreifer aktiv, „um Domains zu besetzen, die wie Online-Shops aussehen, in denen die Menschen gerne einkaufen“. So stelle Palo Alto Networks häufig fest, dass „Amazon“ eine der am häufigsten missbrauchten Domains sei.

Verbraucher sollten darauf achten, dass sie die Domainnamen richtig eingeben und sich vor dem Aufrufen einer Website vergewissern, dass die Eigentümer der Domain vertrauenswürdig sind. „Achten Sie auf das Schloss-Symbol oder das ,https’ im Browser!“

Formjacking stiehlt Kreditkartendaten und andere auf Checkout-Seiten von Shopping-Websites erfasste persönliche Informationen

Eine der größten Bedrohungen durch Cyber-Betrug sei „Formjacking“, bei dem Cyber-Kriminelle bösartigen Software-Code in eine von Verbrauchern zum Kauf oder zur Weitergabe persönlicher Daten genutzte Webseite einschleusten. Dieser Betrug ziele darauf ab, Kreditkartendaten und andere persönliche Informationen aus Zahlungsformularen – auf den „Checkout“-Seiten von Shopping-Websites erfasst – zu stehlen.

Die Herausforderung für die Verbraucher bestehe darin, „dass ,Formjacking’-Angriffe schwer zu erkennen sind“. Die Transaktion werde zwar durchgeführt, aber im Hintergrund würden die Hacker die Kreditkartendaten stehlen – und könnten sie möglicherweise im sogenannten DarkWeb verkaufen. Verbraucher sollten unbedingt ihre Kreditkartenabrechnungen überprüfen, „um sicherzustellen, dass keine verdächtigen Aktivitäten vorliegen“.

Generell – und nicht nur im Zusammenhang mit „Formjacking“ – sollten Verbraucher bei Online-Einkäufen immer eine Kreditkarte oder eine Prepaid-Geschenkkarte verwenden. Hinchliffe betont abschließend: „Dies gewährleistet eine schnelle Lösung, wenn ein Cyber-Krimineller die Kartendaten erhält und einen Kauf tätigt oder zu tätigen versucht. Vor allem bei Prepaid-Geschenkkarten wird dadurch auch der Geldbetrag begrenzt, den ein Cyber-Krimineller stehlen kann.“

Weitere Informationen zum Thema:

datensicherheit.de, 02.12.2021
Ransomware-Angriffe zu Weihnachten: BKA und BSI geben gemeinsame Warnung heraus / Bevorstehende Feiertage bergen erhöhtes Risiko von Ransomware-Angriffen auf Unternehmen und Organisationen

datensicherheit.de, 15.11.2021
Black Friday, Cyber Monday und Weihnachten: 5 Tipps für sicheres Online-Shopping / Viele Verbraucher machen sich bereit, große Schnäppchen und Weihnachtsgeschenke online zu kaufen – dabei sollten sie Tipps zur Sicherheit beachten

datensicherheit.de, 22.12.2020
Oh, du betrügerische Weihnachtszeit: Cyber-Gefahren in Sozialen Medien / Verlagerung sozialer Kontakte ins Virtuelle locken Cyber-Kriminelle an

Während der RSA-Konferenz 2022 berichtet Palo Alto Networks über die bisher im Jahr 2022 beobachteten Ransomware-Aktivitäten

[datensicherheit.de, 08.06.2022] Ryan Olson, Vize-Präsident „Unit 42 Incident Response and Threat Research Team“ bei Palo Alto Networks, hat nach eigenen Angaben die aktuelle Entwicklung der real bezahlten Lösegeldforderungen nach Ransomware-Angriffen beobachtet und aktuell ausgewertet. In seiner aktuellen Stellungnahme geht er auf seine Beobachtungen ein. Während sich Tausende von Cyber-Sicherheitsfachleuten in San Francisco zur jährlichen „RSA-Konferenz“ versammelten, sei ein guter Zeitpunkt, um einen kurzen Blick auf die von Palo Alto Networks bisher im Jahr 2022 beobachteten Ransomware-Aktivitäten zu werfen.

Foto: Palo Alto Networks

Ryan Olson: Diesjähriger Anstieg der Zahlungen durch zwei Lösegeldzahlungen in Höhe von mehreren Millionen US-Dollar in die Höhe getrieben

Durchschnittliche Ransomware-Zahlung auf 925.162 US-Dollar gestiegen

Die Zahlen seien erschreckend: „Die durchschnittliche Ransomware-Zahlung in Fällen, die von ,Unit 42 Incident Responders‘ bearbeitet wurden, stieg in den ersten fünf Monaten des Jahres 2022 auf 925.162 US-Dollar und näherte sich damit der beispiellosen 1-Million-Dollar-Marke, da sie im Vergleich zum letzten Jahr um 71 Prozent gestiegen ist.“ Das sei vor den zusätzlichen Kosten, welche den Opfern entstanden seien, darunter Kosten für die Behebung des Schadens, der Ausfallzeit, der Rufschädigung und anderer Schäden.

Diese Kosten sind insbesondere deshalb erschreckend, „wenn man sich die Entwicklung dieser Kosten vor Augen führt“. Die durchschnittliche Zahlung in den von den „Unit 42“-Beratern bearbeiteten Fällen habe sich im Jahr 2020 auf etwa 300.000 US-Dollar belaufen. „Es ist kaum zu glauben, dass die meisten Transaktionen, mit denen die Berater im Jahr 2016 konfrontiert wurden, 500 Dollar oder weniger betrugen.“

Täglich Daten von sieben neuen Opfern auf Leak-Seiten im DarkWeb veröffentlicht

Jeden Tag würden die Daten von durchschnittlich sieben neuen Opfern auf den Leak-Seiten im sogenannten DarkWeb veröffentlicht, welche von Ransomware-Banden genutzt würden, um die Opfer zur Zahlung von Lösegeld zu zwingen. Diese als „Doppelte Erpressung“ bezeichnete Technik erhöhe den Druck auf die Opfer, weil sie zu der Schwierigkeit, den Zugriff auf Dateien zu verlieren, noch eine Ebene der öffentlichen Demütigung hinzufüge, „indem sie die Opfer identifiziert und angebliche Ausschnitte sensibler Daten, die aus ihren Netzwerken gestohlen wurden, weitergibt“. Die beobachtete Rate der Doppelten Erpressung bedeute, dass alle drei bis vier Stunden ein neues Opfer auftauche, so die laufende Analyse der Leak-Site-Daten durch „Unit 42“.

Die Cyber-Erpressungskrise halte an, weil Cyber-Kriminelle unerbittlich zunehmend ausgefeilte Angriffswerkzeuge, Erpressungstechniken und Marketingkampagnen einführten, welche diese beispiellose, weltweite digitale Verbrechenswelle anheizten. Das RaaS-Geschäftsmodell (Ransomware-as-a-Service) habe gleichzeitig die technische Einstiegshürde gesenkt, indem es diese leistungsstarken Tools mit benutzerfreundlichen Schnittstellen und Online-Support auch für nicht versierte Cyber-Erpresser zugänglich mache.

Ransomware-Erpresserbanden werden wohl kaum aufhören, Zahlungen in Höhe mehrerer Millionen US-Dollar zu fordern

Die Folgen könnten verheerend sein: „Die Regierung Costa Ricas wurde in diesem Jahr bereits mehrfach Opfer von Ransomware-Angriffen, darunter auch im Mai, als die Erbringung von Gesundheitsdiensten unterbrochen wurde. Das 157 Jahre alte Lincoln College wurde letzten Monat geschlossen, nachdem ein Ransomware-Angriff den Zugang zu allen Universitätsdaten gekappt und die Zulassungen für den Herbst 2022 unterbrochen hatte – ein harter Schlag für eine Einrichtung, die sich bereits von der Pandemie erholen wollte.“

Der diesjährige Anstieg der Zahlungen sei durch zwei Lösegeldzahlungen in Höhe von mehreren Millionen Dollar in die Höhe getrieben worden – eine an eine aufstrebende Gruppe, „Quantum Locker“, und eine an „LockBit 2.0“, welche bisher in diesem Jahr – 2022 – die aktivste Ransomware-Bande auf Leak-Seiten mit Doppelter Erpressung gewesen sei. Olsons gegenwärtiges Fazit: „Leider haben die Berater von ,Unit 42‘ keinen Grund zu der Annahme, dass Erpresserbanden aufhören werden, Zahlungen in Höhe von mehreren Millionen Dollar zu fordern. Kritisch sind insbesondere Fälle, in denen Unternehmen in den Ruin getrieben werden könnten, wenn sie nicht zahlen.“

Weitere Informationen zum Thema:

paloalto NETWORKS Blog, Ryan Olson, 07.06.2022
Average Ransom Payment Up 71% This Year, Approaches $1 Million

datensicherheit.de, 01.07.2021
Ransomware-Bedrohung nimmt zu: Diskussion um Verbot von Lösegeldzahlungen / Adam Kujawa fordert, nicht die Ransomware-Opfer zu bestrafen, sondern diese zur Meldung des Vorfalls zu veranlassen

[datensicherheit.de, 25.11.2021] 2021 hat sich offensichtlich bereits als „ein Jahr der Angriffe auf Kritische Infrastrukturen erwiesen“. Die erfolgreichen Cyber-Angriffe auf Colonial Pipeline, JBS USA Holdings Inc. und die Wasseraufbereitungsanlage in Oldsmar (Florida) hätten dazu geführt, dass sich Betreiber Kritischer Infrastrukturen (KRITIS) weltweit in erhöhter Alarmbereitschaft befänden, um ihren laufenden Betrieb zu schützen. Darüber hinaus erwarteten sie eine Verschärfung der gesetzlichen Vorschriften, so Palo Alto Networks in einer aktuellen Meldung.

Absicherung der heutigen KRITIS und OT von größter Bedeutung…

Die Absicherung der heutigen KRITIS und der Betriebstechnologie (OT) sei von größter Bedeutung. Führungskräfte müssten das Sicherheitsrisiko im Zusammenhang mit der nächsten Welle von Infrastrukturen beachten, „die in Planung sind oder bereits online sein könnten“.
Obwohl die Digitale Transformation im Bereich KRITIS/OT nicht so schnell voranschreite wie im IT-Bereich, werde der Wandel von zwingenden geschäftlichen Faktoren bestimmt, wie z.B. der Verbesserung der Serviceverfügbarkeit und Sicherheit sowie der Senkung der Betriebskosten.
Betriebs-, IT- und Sicherheitsteams hätten in der Vergangenheit bei OT-Projekten vielleicht nicht zusammengearbeitet, aber jetzt sei es unerlässlich, dass sie eng zusammenarbeiteten, „um sicherzustellen, dass die Sicherheit bereits im Planungsprozess der digital transformierten KRITIS/OT berücksichtigt wird, anstatt zu versuchen, sie nachträglich einzubauen“.

Palo Alto Networks stellt Konzepte Zero Trust und den Plattformansatz für KRITIS/OT-Sicherheit vor

Palo Alto Networks geht nach eigenen Angaben der Frage nach, „warum eine erfolgreiche Digitale Transformation von KRITIS/OT die Zusammenarbeit der Führungsebene erfordert, um sicherzustellen, dass die Sicherheitstransformation im Einklang mit der OT-Modernisierung erfolgt“.
Außerdem stellt Palo Alto Networks die Konzepte „Zero Trust“ und den „Plattformansatz“ für die KRITIS/OT-Sicherheit vor und erläutert, „warum sie für die Gewährleistung erfolgreicher Geschäftsergebnisse von zentraler Bedeutung sind“.

KRITIS und OT sind hochattraktive Ziele für Cyber-Angriffe

Die zunehmende Häufigkeit von Angriffen auf KRITIS/OT sollte nicht überraschen, „wenn man bedenkt, welche potenziell lähmenden Auswirkungen diese Cyber-Angriffe auf Versorgungsunternehmen, Betreiber von Energieleitungen, Schifffahrtsunternehmen oder Hersteller haben können“.
Die Angreifer wüssten, welchen Einfluss sie hier ausüben könnten. So hätten Cyber-Kriminelle beispielsweise erkannt, dass sie von ihren Opfern beträchtliche Lösegelder erpressen könnten, und Nationalstaaten könnten rivalisierende Länder durch die Demonstration ihrer Fähigkeiten im Bereich der Cyber-Kriegsführung effektiver einschüchtern.
Bei den Angriffen auf Colonial und JBS seien zusammen 15 Millionen US-Dollar Lösegeld gezahlt worden. Die Angreifer hätten es nicht nur zunehmend auf KRITIS/OT abgesehen, sondern investierten auch verstärkt in die Verbesserung ihrer Fähigkeiten, diese Organisationen zu kompromittieren. Palo Alto Networks habe Fälle beobachtet, „in denen KRITIS/OT-spezifische Angriffe, wie ,Crash Override‘ und ,Triton‘, entwickelt wurden“.

Verwundbarkeit der KRITIS wichtiger Aspekt bei Risikokalkulation

Auf der anderen Seite der Angriffe stehe die Verwundbarkeit unserer KRITIS. Dies sei ein wichtiger Aspekt bei der Risikokalkulation. Es gebe viele Quellen für Schwachstellen, darunter die typischerweise nicht segmentierten Netzwerke, offene Richtlinien und die Softwareschwachstellen in den oft ungepatchten / unpatchbaren Altsystemen selbst (z.B. HMI, PLC, ICS, SCADA, DCS, MES).
Häufig mangele es auch an der Zusammenarbeit zwischen IT- und OT-Personal, was zu schwachen, unkoordinierten Sicherheitsprogrammen, unzureichender Finanzierung und geringem Risikobewusstsein führe.
In Anbetracht der Tatsache, dass viele Angriffe auf KRITIS von der IT aus- und dann auf die OT übergingen, könne ein mangelndes Bewusstsein nicht ignoriert werden. Zusammenfassend lasse sich sagen, „dass die zunehmende Zahl von Angriffen und die historisch schlechte Sicherheitslage von KRITIS die Verantwortlichen für den Schutz der heutigen Kritischen Infrastrukturen vor immer größere Herausforderungen stellt“.

Potenzieller Blinder Fleck bei Digitalen Transformation von KRITIS und OT

Fairerweise müsse man sagen, dass in den letzten Jahrzehnten viel geschehen sei, um die Lücken in der KRITIS-Sicherheit zu schließen. „Dabei handelte es sich in erster Linie um eine Nachrüstung, bei der bessere Sicherheitsvorkehrungen an Stellen getroffen wurden, an denen nur minimale oder gar keine Sicherheitsvorkehrungen vorhanden waren.“
KRITIS-spezifische Vorschriften und Standards (z.B. NERC CIP, NIST Cybersecurity Framework, die NIS-Richtlinie und ISA 62443) seien ebenfalls zum Schutz Kritischer Infrastrukturen eingeführt worden – „und es werden wahrscheinlich noch weitere hinzukommen, wenn weitere Ereignisse eintreten“.
Darüber hinaus lernten IT- und OT-Teams, besser zusammenzuarbeiten, während eine stärkere Sensibilisierung der Führungsebene zu einer besseren „Governance“ führe.

KRITIS-Organisationen implementieren nächste Erweiterung ihrer Infrastruktur als Teil Digitaler Transformationsinitiativen

Diese Bemühungen um die Beseitigung der Unzulänglichkeiten der OT in der Vergangenheit sind nach Meinung von Palo Alto Networks „durchaus bewundernswert“, aber bei der Erfüllung der Sicherheitsanforderungen der entstehenden und zukünftigen OT-Infrastruktur komme es auch zu Unstimmigkeiten.
Viele KRITIS-Organisationen hätten damit begonnen, die nächste Erweiterung ihrer Infrastruktur als Teil ihrer Digitalen Transformationsinitiativen zu implementieren, die Namen wie „Industrie 4.0“, „Smart Grids“ und „Digital Oilfields“ trügen.
Diese intelligenten Infrastrukturen sollten die Vorteile von industriellen Automatisierungstechnologien der nächsten Generation wie IoT-Sensoren und Robotik, „Cloud“, „Digital Twins“, 5G und SD-WAN voll ausschöpfen und gleichzeitig die Lieferketten weiter integrieren.

KRITIS-Pilotprojekte oft noch ohne Einbeziehung der Sicherheitsteams

Die Unternehmen seien oft sehr schnell dazu übergegangen, Pilotprojekte und sogar Produktionsimplementierungen zu starten, ohne die Sicherheitsteams einzubeziehen. Sicherlich seien die geschäftlichen Vorteile dieser Technologien überzeugend genug, um die Zeit bis zum ROI zu verkürzen.
Die Einführung dieser neuen Technologien und die zunehmende Konnektivität mit der „Cloud“ und Drittanbietern könnte jedoch viele Schwachstellen mit sich bringen, „wenn sie nicht richtig verwaltet werden“.
Ironischerweise bestehe ein sehr reales Risiko, dass die Fehler der Vergangenheit, als OT ohne Rücksicht auf die Sicherheit gebaut worden sei, sich wiederholen könnten.

Digitale Transformation der KRITIS erfordert auch Transformation der Sicherheit

Palo Alto Networks hält es für unerlässlich, „dass Eigentümer und Betreiber Kritischer Infrastrukturen die Bemühungen zur Umgestaltung von KRITIS nicht von der Cyber-Sicherheit abkoppeln“. Das Risiko, dass diese neuen Angriffsflächen unkontrolliert bleiben, sei zu hoch.
Ein Schlüsselbereich der Sicherheitstransformation sei der organisatorische Bereich, in dem sich die Rahmenbedingungen dafür ändern müssten, wie IT-, OT- und Sicherheitsteams zusammenkommen könnten, um einen gemeinsamen Plan zu diskutieren und zu erarbeiten. Immer häufiger gebe es Konflikte zwischen diesen Teams aufgrund von „Schatten-OT“, „wenn das Unternehmen eine Infrastruktur einrichtet, die nicht von anderen Interessengruppen wie IT und Sicherheit beeinflusst wurde“. Auf der anderen Seite könne das Unternehmen das Gefühl haben, dass die IT/Sicherheit den Kernbetrieb bedrohe und die Kernaufgabe, nämlich die Bereitstellung von Dienstleistungen und/oder die Steigerung der Einnahmen, nicht unterstütze.
Die Motive der Unternehmensleiter mögen gut gemeint sein, aber die Risiken des unkontrollierten Einsatzes dieser fortschrittlichen Technologien seien zu hoch. Ein Teil des erforderlichen Wandels liege daher in der Art und Weise, „wie Unternehmen zusammenarbeiten, um sicherzustellen, dass die Modernisierung von KRITIS/OT auch die RACI-Stakeholder einbezieht, insbesondere Sicherheit und IT“.

KRITIS/OT-Sicherheitsumstellung auch eine Mentalitätsfrage

Ein weiterer wichtiger Aspekt der erforderlichen KRITIS/OT-Sicherheitsumstellung liege in der Denkweise. Viele Unternehmen betrachteten OT als eine von der IT abgeschottete Umgebung – „und alles hinter dieser Mauer ist vertrauenswürdig“. Vielleicht betrachteten sie auch jeden Benutzer, „der sich erfolgreich für den Zugang zu OT authentifiziert hat“, als vertrauenswürdig. Dieses Vertrauensmodell habe sich als fehlerhaft erwiesen.
Man könne bis zum „Stuxnet“-Angriff im Jahr 2010 zurückgehen, als ein wirklich abgeschottetes System durch einen kompromittierten Anbieter angegriffen worden sei. Stattdessen müssten Unternehmen eine „Zero Trust“-Mentalität und -Architektur einführen, die nicht von Vertrauensstufen ausgehe, sondern zusätzlichen Kontext innerhalb des Netzwerkverkehrs erfasse und dann auf der Grundlage dieser Informationen Entscheidungen darüber treffe, „was erlaubt oder verweigert werden soll“.
„Zero Trust“ habe zwar seine Wurzeln in der IT, lasse sich aber auch auf CI/OT übertragen und biete enorme Vorteile bei der Verbesserung der Transparenz und der Verringerung von Cyber-Risiken in Infrastrukturen wie Anlagen und Kontrollzentren.

Auch Angreifer beginnen, sich die Cloud, KRITIS und Automatisierung zunutze zu machen

Darüber hinaus beinhalte die Umgestaltung der Sicherheit von KRITIS/OT die Verbesserung der Effektivität und Effizienz von Sicherheitsmaßnahmen durch einen „Plattformansatz“. Es sind nach Meinung von Palo Alto Networks „neue Fähigkeiten erforderlich, um modernisierte Anlagen zu sichern, die über IoT, Robotik und Verbindungen mit 5G und SD-WANs zu Cloud-Anwendungen wie ,Historians‘ und ,Predictive Maintenance‘ verfügen können“. Ein neuer Sicherheits-Stack sei nötig, um die Funktionalität zur Sicherung dieser neuen Infrastruktur zu adressieren.
Anstatt dies durch das Hinzufügen von punktuellen Lösungen zum Sicherheits-Stack zu lösen, müssten Unternehmen einen Sicherheitsplattform-Ansatz in Betracht ziehen, „bei dem die Sicherheitsfunktionen als Dienste in einer Firewall-Plattform bereitgestellt werden, die das Netzwerk über die erweiterte KRITIS hinweg sichern kann“. Unternehmen sollten nach Plattformen Ausschau halten, welche diese Netzwerk-Sicherheitsinformationen mit „Cloud“- und Endpunktdaten korrelieren könnten, so dass Maschinelles Lernen zur Automatisierung des Erkennungs- und Behebungsprozesses eingesetzt werden könne.
Im Idealfall sei die Plattform in der gesamten IT und OT allgegenwärtig. Es gebe konsistente Sicherheitsansätze, gemeinsame Sicherheitsinformationen und unternehmensweite betriebliche Effizienz. „Die Kehrseite sind unzusammenhängende Einzellösungen, die Informationssilos und manuelle Prozesse aufweisen.“ Diese reichten nicht aus, um mit den ausgeklügelten Angriffen Schritt zu halten, die nur noch ausgeklügelter werden dürften, „da Angreifer beginnen, sich die ,Cloud‘, KRITIS und Automatisierung zunutze zu machen“.

Weitere Informationen zum Thema:

datensicherheit.de, 22.09.2021
IT-Sicherheitsgesetz 2.0: KRITIS benötigt mehr Schutz / Angriffsflächenmanagement kann IT-Sicherheit der KRITIS stärken

datensicherheit.de, 20.07.2021
KRITIS im Visier: Hacker-Angriffe auf das Allgemeinwohl / Bürger im Landkreis Anhalt-Bitterfeld z.B. direkt geschädigt, kommentiert Patrick Englisch

[datensicherheit.de, 26.08.2021] Im Rahmen der Verpflichtung, Ransomware-Angriffe zu stoppen, führt die „Unit 42“ von Palo Alto Networks nach eigenen Angaben sogenannte Ransomware-Jagdaktionen durch, um sicherzustellen, dass Kunden vor neuen und sich entwickelnden Ransomware-Varianten geschützt werden können. Demnach werden die Aktivitäten bestehender Gruppen überwacht, Leak-Sites im Darkweb und „Fresh-Onion-Sites“ gesucht, aufstrebende Akteure identifiziert und Taktiken, Techniken sowie Verfahren untersucht. Die „Unit 42“ habe zuletzt vier aufkommende Ransomware-Gruppen beobachtet, welche derzeit Unternehmen angriffen und Anzeichen dafür aufwiesen, dass sie sich in Zukunft weiter ausbreiten könnten:

AvosLocker – Ransomware as a Service (RaaS)

Seit Ende Juni 2021 in Betrieb. Diese Gruppe verwende ein blaues Käfer-Logo, um sich in der Kommunikation mit Opfern und in „Pressemitteilungen“ zu identifizieren, welche darauf abzielten, neue Partner zu rekrutieren. „AvosLocker“ sei dabei beobachtet worden, in Diskussionsforen im Darkweb und anderen Foren für sein RaaS-Programm zu werben und nach Partnern zu suchen. „Wie viele seiner Konkurrenten bietet ,AvosLocker‘ technischen Support an, um den Opfern bei der Sanierung zu helfen, nachdem sie mit einer Verschlüsselungssoftware angegriffen wurden.“
Von dieser behaupte die Gruppe, sie sei „ausfallsicher“, habe niedrige Erkennungsraten und sei in der Lage, große Dateien zu verarbeiten. Diese Ransomware habe auch eine Erpresser-Website, „die behauptet, sechs Unternehmen und Institutionen in den folgenden Ländern angegriffen zu haben: USA, Großbritannien, Vereinigte Arabische Emirate, Belgien, Spanien und Libanon“. Die „Unit 42“ habe erste Lösegeldforderungen zwischen 50.000 und 75.000 US-Dollar beobachtet.

Hive – Ransomware mit doppelter Erpressung

Im Juni 2021 in Betrieb genommen, habe „Hive“ 28 Unternehmen und Institutionen befallen, „die auf der Erpresser-Website der Gruppe aufgelistet sind, darunter eine europäische Fluggesellschaft und drei Unternehmen und Institutionen in den USA“.
„Hive“ nutze alle verfügbaren Erpressungstools, um Druck auf das Opfer auszuüben, einschließlich des Datums der ersten Kompromittierung, eines Countdowns, des Datums, an dem der Leak tatsächlich auf der Website veröffentlicht wurde, und sogar der Option, den veröffentlichten Leak in Sozialen Medien zu teilen.

HelloKitty – bereits im Jahr 2020 entdeckte Ransomware-Gruppe

„HelloKitty“ habe ich hauptsächlich gegen „Windows“-Systeme gerichtet – im Juli 2021 habe die „Unit 42“ jedoch eine „Linux“-Variante von „HelloKitty“ beobachtet, welche auf den „ESXi-Hypervisor“ von „VMware“ abziele, welcher in „Cloud“- und „On-Premises“-Rechenzentren weit verbreitet sei. Die Forscher hätten auch zwei Aktivitätscluster beobachtet.
„Bei den beobachteten Beispielen bevorzugten einige Bedrohungsakteure die E-Mail-Kommunikation, während andere ,TOR‘-Chats für die Kommunikation mit den Opfern nutzten.“ Die beobachteten Varianten hätten fünf Unternehmen bzw. Institutionen in Italien, Australien, Deutschland, den Niederlanden und den USA betroffen.
„Die höchste Lösegeldforderung dieser Gruppe belief sich auf zehn Millionen US-Dollar, aber zum Zeitpunkt der Erstellung dieses Berichts haben die Bedrohungsakteure nur drei Transaktionen erhalten, die sich auf etwa 1,48 Millionen US-Dollar belaufen.“

LockBit 2.0 (früher bekannt als ABCD Ransomware)

Ein drei Jahre alter RaaS-Betreiber, welcher in letzter Zeit mit einigen hochkarätigen Angriffen in Verbindung gebracht worden sei, „nachdem er im Juni eine ausgeklügelte Marketingkampagne zur Anwerbung neuer Partner gestartet hatte“.
Er behaupte, die schnellste Verschlüsselung auf dem Ransomware-Markt anzubieten. „LockBit 2.0“ habe sich auf mehrere Branchen ausgewirkt – 52 Opfer seien auf der Leak-Site der Gruppe aufgeführt. Zu den Opfern gehörten Unternehmen und Institutionen in den USA, Mexiko, Belgien, Argentinien, Malaysia, Australien, Brasilien, der Schweiz, Deutschland, Italien, Österreich, Rumänien und Großbritannien.

Schlussfolgerungen aus der Analyse von Ransomware-Gruppen

Große Ransomware-Gruppen wie „REvil“ und „Darkside“ zögen sich zurück oder würden sich umbenennen, „um der Aufmerksamkeit der Strafverfolgungsbehörden und der Medien zu entgehen“. Daher würden neue Gruppen auftauchen, welche diejenigen ersetzten, die nicht mehr aktiv auf Opfer abzielten. Die „Unit 42“ habe Informationen über einige der beobachteten bösartigen Aktivitäten der Ransomware-Gruppen zusammengestellt, welche versuchten, die nächsten Hauptakteure zu werden.„LockBit“ und „HelloKitty“ seien zwar schon früher aktiv gewesen, aber ihre jüngste Entwicklung sei ein gutes Beispiel dafür, wie alte Gruppen wieder auftauchten und eine anhaltende Bedrohung darstellen könnten. Die „Unit 42“ werde diese Ransomware-Familien – und neue, die in Zukunft auftauchen könnten – weiterhin überwachen.
„Kunden von Palo Alto Networks sind gegen diese Ransomware-Familien mit ,Cortex XDR‘ oder der Next-Generation-Firewall mit ,Threat Prevention‘- und ,WildFire Security‘-Abonnements geschützt.“ Kunden könnten „AutoFocus“ verwenden, um verwandte Entitäten mit den Tags „AvosLocker“, „Hive“, „LockBit“ bzw. „HelloKitty“ zu verfolgen. Eine vollständige Visualisierung der beobachteten Techniken könne im „ATOM-Viewer“ der „Unit 42“ eingesehen werden. Palo Alto Networks habe diese Ergebnisse, einschließlich Dateimustern und Indikatoren für eine Kompromittierung, mit den anderen Mitgliedern der Cyber Threat Alliance (CTA) geteilt. Die CTA-Mitglieder nutzten diese Erkenntnisse, um ihren Kunden schnell Schutzmaßnahmen zu bieten und böswillige Cyber-Akteure systematisch zu stören.

Weitere Informationen zum Thema:

paloalto NETWORKS, UNIT42, Doel Santos & Ruchna Nigam, 24.08.2021
Ransomware Groups to Watch: Emerging Threats

CYBER THREAT ALLIANCE
What is the Cyber Threat Alliance?

datensicherheit.de, 26.08.2021
Ransomware-Trends: Mehrfach-Erpressungen / Double, Triple und Quadruple Extortion nach Ransomware-Angriffen

datensicherheit.de, 24.08.2021
Sophos: Ransomware-Report 2021 mit Fakten, Auswirkungen und Trends / Unternehmen, öffentliche Einrichtungen und andere Organisationen weiterhin fest im Griff der Ransomware

datensicherheit.de, 14.08.2021
Accenture von LockBit-Ransomware-Angriff betroffen / LockBit-Ransomware seit September 2019 beobachtet

datensicherheit.de, 10.08.2021
Für Varonis steht Ransomware exemplarisch für Bedrohung der Datensicherheit / Varonis positioniert sich beim Schutz der Daten vor Ransomware, Exfiltration und anderen Attacken

[datensicherheit.de, 10.08.2021] Die Ransomware-Krise hat sich offensichtlich in diesem Jahr – 2021 – noch weiter verschärft: Cyber-Kriminelle setzen raffinierte neue Erpressungstechniken ein, haben ihre Angreifer-Tools verbessert und ihre Geschäftsmodelle optimiert. Dies verhalf der „Branche“ laut Palo Alto Networks bereits im Jahr 2020 zu Rekord-Lösegeldern.

Dutzende von Ransomware-Fällen im ersten Halbjahr 2021 untersucht

Diese Trends werden demnach in einem neuen Bericht dokumentiert, der von Palo Alto Networks am 9. August 2021 veröffentlicht wurde. Untersucht worden seien in der ersten Hälfte des Jahres 2021 Dutzende von Ransomware-Fällen.

Die wichtigsten Ergebnisse aus dem Unit 42 Ransomware Threat Report, 1H 2021

• Durchschnittliche Lösegeldforderung auf 5,3 Millionen US-Dollar gestiegen – eine Zunahme um 518 Prozent (847.000 US-Dollar im Jahr 2020)
• Durchschnittlich gezahltes Lösegeld beträgt 570.000 Dollar – ein Anstieg um 82 Prozent (312.000 Dollar im Jahr 2020)
• Zunahme der Vierfachen Erpressung: Die Experten von Palo Alto Networks stellen fest, dass Ransomware-Akteure zunehmend vier Methoden einsetzen, um ihre Opfer zur Zahlung zu bewegen (Verschlüsselung, Datendiebstahl, DoS und Belästigung). Dies ist eine Veränderung gegenüber dem Jahr 2020, als Ransomware-Betreiber sich noch auf die Doppelte Erpressung (Verschlüsselung und Datendiebstahl/Daten-Leak) beschränkten.

Weitere Informationen zum Thema:

paloalto NETWORKS Blog, Ramarcus Baylor & Jeremy Brown & John Martineau, 09.08.2021
Extortion Payments Hit New Records as Ransomware Crisis Intensifies / Unit 42 Ransomware Threat Report, 1H 2021 Update

datensicherheit.de, 10.08.2021
Für Varonis steht Ransomware exemplarisch für Bedrohung der Datensicherheit / Varonis positioniert sich beim Schutz der Daten vor Ransomware, Exfiltration und anderen Attacken

datensicherheit.de, 26.07.2021
Ransomware-Attacken: Lehren aus dem Vorfall bei Colonial Pipeline / Cyber-Kriminelle wollen möglichst schnell und einfach möglichst viel Gewinn erzielen – Ransomware-Angriffe zumeist opportunistisch

datensicherheit.de, 12.07.2021
Zunahme von Ransomware-Angriffen nicht allein technisch zu begegnen / Grenzüberschreitende Bedrohung durch Ransomware erfordert auch Handeln auf politischer Ebene

datensicherheit.de, 09.07.2021
Ransomware-Attacken: Was wir heute von gestern für morgen lernen können / Ed Williams kommentiert aktuelle Hacker-Angriffe mit Ransomware, zeigt Trends auf und gibt Tipps

Palo Alto Networks veröffentlicht Profil cyber-Krimineller Gruppe Mespinoza, welche auch in Deutschland zuschlägt

[datensicherheit.de, 15.07.2021] Die Cybersecurity-Analystengruppe „Unit 42“ von Palo Alto Networks hat nach eigenen Angaben am 15. Juli 2021 ein Profil der weit verbreiteten „Mespinoza“-Ransomware-Bande veröffentlicht. Diese greift demnach Unternehmen aus den Bereichen Verlagswesen, Immobilien, industrielle Fertigung und Bildung an – mit Lösegeldforderungen von bis zu 1,6 Millionen US-Dollar und Zahlungen von bis zu 470.000 US-Dollar.

Abbildung: paloalto NETWORKS, UNIT 42

Länderübersicht: Opfer der Leak-Site der Mespinoza-Gruppe

Mespinoza – eine überaus produktive Gruppe mit Vorliebe für skurrile Benennung ihrer Hacking-Tools

Mit dem Aufblühen der Cyber-Erpressung änderten Ransomware-Banden ständig ihre Taktiken und Geschäftsmodelle, „um die Chancen zu erhöhen, dass die Opfer immer höhere Lösegelder zahlen“. Da diese kriminellen Organisationen laut Palo Alto Networks immer raffinierter werden, nähmen sie zunehmend das Aussehen professioneller Unternehmen an.
Ein gutes Beispiel dafür sei „Mespinoza“ – eine überaus produktive Gruppe mit einer Vorliebe für die Verwendung skurriler Begriffe, um ihre Hacking-Tools zu benennen. Die Cybersecurity-Berater der „Unit 42“ hätten beobachtet, dass die Bande US-amerikanische Unternehmen aus den Bereichen Verlagswesen, Immobilien, industrielle Fertigung und Bildung angreife, dabei Lösegeldforderungen in Höhe von bis zu 1,6 Millionen US-Dollar stelle und Zahlungen in Höhe von 470.000 US-Dollar erziele. Das FBI habe vor Kurzem eine Warnmeldung über diese Gruppe veröffentlicht, welche auch als „PYSA“ bekannt sei, und zwar nach einer Hacking-Attacke auf Schulen, Colleges, Universitäten und sogar Seminare in den USA sowie in Großbritannien.
Um mehr über diese Gruppe zu erfahren, habe die „Unit 42“ deren Infrastruktur überwacht, einschließlich eines Command-and-Control-Servers (C2), den diese zur Verwaltung von Angriffen nutze, und einer Leak-Site, „auf der sie Daten von Opfern veröffentlicht, die sich weigerten, hohe Lösegelder zu zahlen“.

Wichtige Erkenntnisse über die Mespinoza-Bande (Auszug):

Äußerste Disziplin
Nach dem Zugriff auf ein neues Netzwerk untersuche die Gruppe die kompromittierten Systeme in einer Art „Triage“, um festzustellen, „ob genügend wertvolle Daten vorhanden sind, um einen umfassenden Angriff zu rechtfertigen“. Sie suche nach Schlüsselwörtern wie „clandestine“, „fraud“, „ssn“, „driver*license“, „passport“ und „I-9“. Dies deute darauf hin, dass sie nach sensiblen Dateien jagten, welche im Falle eines Lecks die größten Auswirkungen haben würden.

Viele Branchen als Ziel
Die Opfer würden als „Partner“ bezeichnet. Die Verwendung dieses Begriffs deute darauf hin, dass die Gruppe versuche, „das Geschäft als professionelles Unternehmen zu führen und die Opfer als Geschäftspartner zu sehen, die ihre Gewinne finanzieren“. Die Leak-Site der Bande habe Daten enthalten, die angeblich zu 187 Angriffszielen gehört hätten, unter anderem aus den Bereichen Bildung, Fertigung, Einzelhandel, Medizin, Regierung, Hightech, Transport und Logistik, Ingenieurwesen und soziale Dienste.

Globale Reichweite
55 Prozent der auf der Leak-Site identifizierten Opfer befänden sich in den Vereinigten Staaten von Amerika. Der Rest sei über den gesamten Globus in mehr als 20 Ländern verstreut – darunter Kanada, Brasilien, Großbritannien, Italien, Spanien, Frankreich, Deutschland, Südafrika und Australien.

Übermut beim Kontakt mit den Opfern
Eine Lösegeldforderung biete diesen Ratschlag: „What to tell my boss?“ – „Protect Your System, Amigo.“

Verwendung von Angriffs-Tools mit kreativen Namen
Ein Tool zur Erstellung von Netzwerktunneln, um Daten abzuschöpfen, heiße „MagicSocks“. Eine Komponente, welche auf dem „Staging“-Server der Gruppe gespeichert sei und wahrscheinlich dazu diene, einen Angriff abzuschließen, heiße „HappyEnd.bat“.

Mespinoza zeigen mehrere aktuelle Trends

Bei einem kürzlich aufgetretenen Vorfall sei Ransomware eingesetzt worden, indem Bedrohungsakteure über einen Remote-Desktop auf ein System zugegriffen und eine Reihe von Batch-Skripten ausgeführt hätten, „die das Tool ,PsExec‘ verwendeten, um die Ransomware auf andere Systeme im Netzwerk zu kopieren und auszuführen“. Bevor diese Ransomware auf anderen Systemen bereitgestellt werde, führe der Akteur PowerShell-Skripte auf den anderen Systemen im Netzwerk aus, um interessante Dateien zu exfiltrieren und die Auswirkungen der Ransomware zu maximieren.
„Mespinoza“-Angriffe, wie die im Bericht der „Unit 42“ dokumentierten, zeigten mehrere Trends auf, die derzeit bei verschiedenen Ransomware-Bedrohungsakteuren und -Familien zu beobachten seien. Wie bei anderen Ransomware-Angriffen erfolge der Zugang durch die sprichwörtliche Vordertür – über mit dem Internet verbundene RDP-Server (Remote Desktop Protocol).
Dadurch werde die Notwendigkeit der Erstellung von Phishing-E-Mails, der Durchführung von „Social Engineering“, des Ausnutzens von Softwareschwachstellen oder anderer zeit- und kostenintensiverer Aktivitäten verringert. Weitere Kosten würden durch die Verwendung zahlreicher Open-Source-Tools eingespart, welche online kostenlos zur Verfügung stünden, oder durch die Verwendung integrierter Tools von der Stange, was sich alles auf die Kosten und damit den Gewinn auswirke.

Weitere Informationen zum Thema:

FBI
Alert NumberCP-000142-MW / Increase in PYSA Ransomware Targeting Education Institution

paloalto NETWORKS, UNIT 42, Robert Falcone & Alex Hinchliffe & Quinn Cooke, 15.07.2021
Mespinoza Ransomware Gang Calls Victims “Partners,” Attacks with Gasket, „MagicSocks“ Tools

[datensicherheit.de, 10.07.2021] „Die Zahl der verwundbaren, öffentlich zugänglichen Kaseya-Server ist über das lange Wochenende des 4. Juli stark gesunken“, meldet Palo Alto Networks. Unternehmen reagierten demnach „schnell auf die Empfehlung des IT-Softwareherstellers, ihre Systeme offline zu nehmen, um die Auswirkungen des Ransomware-Angriffs von ,REvil‘ zu minimieren“.

Vorsichtig optimistisch, dass Auswirkungen des Angriffs auf Kaseya verringert wurden

Die Anzahl der verwundbaren, für Angreifer über das Internet sichtbaren Kaseya-Server sei um 96 Prozent von etwa 1.500 am 2. Juli auf 60 am 8. Juli 2021 gesunken – dies hätten Internet-Scans mit der „Cortex Xpanse“-Plattform von Palo Alto Networks ergeben.
„Es ist zwar noch zu früh, um zu wissen, wie sich das Ganze entwickeln wird. Wir sind dennoch vorsichtig optimistisch, dass die Auswirkungen dieses Angriffs verringert wurden, weil Kaseya seinen Kunden schnell klare Ratschläge gegeben hat, wie sie diese Bedrohung abmildern können“, so Matt Kraning, „Chief Technology Officer, Cortex“, bei Palo Alto Networks.

Kaseya mahnt Unternehmen, über vollständiges und genaues Inventar ihrer IT-Ressourcen zu verfügen

Dies sei eine gute Erinnerung daran, dass alle Unternehmen über ein vollständiges und genaues Inventar ihrer IT-Ressourcen verfügen sollten, betont Kraning. Dadurch könnten sie schnell und umfassend beurteilen, „ob sie Angriffen wie diesen ausgesetzt sind, und alle potenziell gefährdeten Ressourcen aus ihrem Netzwerk entfernen und isolieren“.
Für weitere Informationen zu „REvil“ empfiehlt Palo Alto Networks mach eigenen Angaben, den Blog-Artikel „Understanding REvil: The Ransomware Gang Behind the Kaseya VSA Attack“ vom 6. Juli 2021 zu lesen. Dieser enthalte Beobachtungen, die „Incident Responder“ und „Threat Researcher“ von der „Unit 42“ bei Palo Alto Networks in den letzten drei Jahren gesammelt hätten, „als sie die Akteure hinter dieser Ransomware-Gruppe verfolgt haben“.

Weitere Informationen zum Thema:

paloalto NETWORKS, UNIT 42, John Martineau, 06.07.2021
Understanding REvil: The Ransomware Gang Behind the Kaseya VSA Attack

datensicherheit.de, 09.07.2021
Kaseya als Fanal: Unternehmen sollten Security-Strategie auf moderne Angriffstechniken abstellen / Richard Werner erläutert am Beispiel des Kaseya-Vorfalls Besonderheiten eines Supply-Chain-Angriffs

REvil soll derzeit eine der produktivsten Ransomware-Gruppen sein

[datensicherheit.de, 06.07.2021] Sicherheitsteams rund um den Globus machten seit dem 2. Juli 2021 Überstunden, als die Nachricht aufgetaucht sei, dass „REvil“ Ransomware-Angriffe auf den IT-Management-Softwarehersteller Kaseya VSA und seine Kunden gestartet habe – mittlerweile seien auch Betroffene in Zentraleuropa benannt worden. Wendi Whitmore, „Senior Vice President of Cyber Consulting and Threat Intelligence“ bei der „Unit 42“ von Palo Alto Networks, fasst in ihrer aktuellen Stellungnahme die gegenwärtigen Erkenntnisse zusammen. Sie berichtet: „Bislang hat ,Unit 42‘ von Palo Alto Networks in diesem Jahr auf mehr als ein Dutzend Fälle reagiert, in denen ,REvil‘ (auch bekannt als ,Sodinokibi‘) involviert war, was es zu einer der produktivsten Ransomware-Gruppen macht, die bekannt sind.“

Foto: Palo Alto Networks

Wendi Whitmore: Die Unit 42 von Palo Alto Networks hat 2021 bereits auf mehr als ein Dutzend solcher Ransomware-Fälle reagiert

Revil: Durchschnittliche Zahlung bei Ransomware-Vorfällen etwa 2,25 Millionen US-Dollar

Im Folgenden gibt Whitmore einige Erkenntnisse wieder, welche von den Ermittlern und Bedrohungsforschern der „Unit 42“ von Palo Alto Networks gesammelt worden seien:

• „Die durchschnittliche Zahlung, die ,Unit 42‘ in diesem Jahr bei ,REvil‘-Vorfällen beobachtet hat, betrug etwa 2,25 Millionen US-Dollar.“ Die größte bekannte Lösegeldforderung habe elf Millionen US-Dollar nach einem vielbeachteten Angriff auf das weltgrößte Fleischverpackungsunternehmen, welcher die Verarbeitungsanlagen lahmgelegt habe, betragen.
• Diese Gruppe fordere hohe Lösegelder, sei aber offen für Verhandlungen über niedrigere Zahlungen. „Nach dem Angriff auf Kaseya VSA am Freitag forderte sie 70 Millionen Dollar für ein Tool zur Entschlüsselung aller betroffenen Dateien. Am Montag reduzierte sie diese Forderung auf 50 Millionen Dollar.“ Wenn die Opfer jedoch nicht verhandeln oder zahlen, veröffentliche „REvil“ gestohlene Daten auf seiner „Happy Blog“ genannten Leak-Site.
• „Die Auswirkungen des Kaseya VSA-Angriffs, der einige Unternehmen unvorbereitet traf, weil er am Freitag um 16.00 Uhr ET gestartet wurde, also vor dem dreitägigen Feiertagswochenende in den USA, sind noch nicht bekannt.“ „REvil“ behaupte, über eine Million Systeme verschlüsselt zu haben.

REvil heute einer der bekanntesten Anbieter von Ransomware-as-a-Service

Während viele Menschen erst kürzlich von der Existenz von „REvil“ erfahren hätten, beobachteten die „Unit 42“-Bedrohungsforscher von Palo Alto Networks die mit dieser Gruppe verbundenen Akteure bereits seit drei Jahren. „Die Forscher stießen erstmals 2018 auf sie, als mit einer Gruppe namens ,GandCrab‘ beschäftigt waren, die nicht an Ransomware beteiligt war. Diese konzentrierte sich hauptsächlich auf Malvertising und Exploit-Kits, d.h. bösartige Werbung und Malware-Tools, die Hacker verwenden, um Opfer unwissentlich durch Drive-by-Downloads zu infizieren, wenn sie eine bösartige Website besuchen.“
Diese Gruppe habe sich später in „REvil“ umgewamdelt, sei gewachsen und habe sich den Ruf erworben, große Datenmengen zu stehlen und Lösegelder in Millionenhöhe zu fordern. „Heute ist sie einer der bekanntesten Anbieter von Ransomware-as-a-Service (RaaS).“ „REvil“ biete Kunden (sogenannten Affiliates) anpassbare Tools zur Ver- und Entschlüsselung, Angriffsinfrastruktur und Dienste für die Verhandlungskommunikation. Für diese Dienste kassiert „REvil“ einen Prozentsatz der Lösegeldzahlungen.

Ransomware-Betreiber Revil verfolgt zwei Ansätze, um Opfer zur Zahlung zu bewegen

„Wie die meisten Ransomware-Betreiber verwendet ,REvil‘ zwei Ansätze, um die Opfer zur Zahlung zu bewegen“, erläutert Whitmore:

1. Die Gruppe verschlüssele Daten, so dass Unternehmen nicht mehr auf Informationen zugreifen, kritische Computersysteme nicht mehr verwenden oder von Backups wiederherstellen könnten.
2. 2. Sie stehle auch Daten und drohe damit, sie auf ihrer Leak-Site zu veröffentlichen (eine Taktik, welche als sogenannte Doppelte Erpressung bekannt sei).

Die „Unit 42“ von Palo Alto Networks 42 verfolge diesen Angriff genau. Deren Forscher hätten einen Bedrohungsbericht in ihrem Blog veröffentlicht und würden in den kommenden Tagen weitere Informationen bereitstellen.

Weitere Informationen zum Thema:

paloalto NETWORKS, UNIT 42, 03.07.2021
Threat Brief: Kaseya VSA Ransomware Attacks

datensicherheit.de, 06.07.2021
Kaseya-Vorfall: Womöglich Tausende Unternehmen ins Visier Cyber-Krimineller geraten / Auch deutsche Unternehmen von Ransomware betroffen, welche auf Schwachstellen in der Kaseya-Software abzielt

datensicherheit.de, 05.07.2021
Bitkom-Stellungnahme zum Ransomware-Angriff via Kaseya / Auf einen Schlag Hunderte Unternehmen mit Ransomware ins Visier genommen

datensicherheit.de, 05.07.2021
Ransomware-Angriff: Folgen weltweit zu spüren / Zahlreiche IT-Dienstleister, deren Kunden und weitere Unternehmen Opfer von Ransomware geworden