[datensicherheit.de, 12.11.2024] Laut einer Mitteilung von Kaspersky hat das eigene „Global Emergency Response Team“ eine neue Ransomware-Variante entdeckt, welche im Rahmen eines zielgerichteten Angriffs nach dem Diebstahl von Mitarbeiterzugangsdaten zum Einsatz gekommen sei: „,Ymir’ nutzt fortschrittliche Verschleierungs- und Verschlüsselungsmethoden; so verschlüsselt sie bestimmte Dateien auf einer Whitelist nicht, um einer Entdeckung zu entgehen.“ Weiterhin wendet sie demnach eine Kombination von Speicher-Manipulationstechniken an, um Schadcode direkt im Speicher auszuführen.

„Ymir“-Angriff ging Einsatz eines „Infostealers“ voraus

Die „Ymir“-Ransomware kombiniere besondere technische Merkmale und Taktiken, welche ihre Wirksamkeit steigerten. „Angreifer nutzten eine ungewöhnliche Kombination von Speicherverwaltungsfunktionen – ,malloc’, ,memmove’ und ,memcmp’ –, um Schadcode direkt im Speicher auszuführen. Dieser Ansatz weicht vom typischen Ablauf anderer Ransomware ab und verbessert so die Verschleierung. Mit der ,–path’-Kommandozeile können die Angreifer zudem gezielt festlegen, in welchem Verzeichnis die Ransomware nach Dateien sucht.“ Dateien auf der Whitelist würden dabei übersprungen und nicht verschlüsselt, was den Angreifern gezielte Kontrolle über die Verschlüsselung ermögliche.

Dem Ransomware-Angriff sei ein Einsatz eines „Infostealers“ vorausgegangen: „Im von Kaspersky beobachteten Angriff nutzten die Angreifer ,RustyStealer’, um Zugangsdaten von Mitarbeitern zu stehlen. Damit konnten sich die Angreifer Zugriff auf die Systeme des Unternehmens verschaffen und lange genug die Kontrolle behalten, um in einem weiteren Schritt die Ransomware zu installieren.“ Diese Art von Angriff sei als „Initial Access Brokerage“ bekannt, „bei dem die Angreifer in Systeme eindringen und einen Zugang längerfristig sicherstellen“. Normalerweise verkauften „Initial Access Broker“ solch einen Zugang im sogenannten DarkWeb an andere Cyber-Kriminelle weiter; in diesem Fall schienen die Angreifer jedoch selbst aktiv geworden zu sein und die Ransomware direkt eingesetzt zu haben.

„Ymir“-Ransomware-Gruppe bislang noch nicht identifiziert

Die Ransomware verwende „ChaCha20“, ein modernes Strom-Chiffre-Verfahren, welches für seine Geschwindigkeit und Sicherheit bekannt sei und sogar den „Advanced Encryption Standard“ (AES) in einigen Aspekten übertreffe. „Wenn die ,Initial Access Broker’ tatsächlich dieselben Akteure sind, die die Ransomware installiert haben, könnte dies der Beginn eines neuen Trends sein, der ohne traditionelle Ransomware-as-a-Service-(RaaS)-Gruppen auskommt“, so Cristian Souza, „Incident Response Specialist“ im „Kaspersky Global Emergency Response“-Team.

Sie führt weiter aus: „Wir haben bisher keine neuen Ransomware-Gruppen auf dem Untergrundmarkt entdeckt. Üblicherweise nutzen Angreifer Schattenforen oder Portale, um Informationen zu leaken und so Druck auf die Betroffenen auszuüben, damit sie das Lösegeld zahlen. Bei ,Ymir’ ist dies jedoch bisher nicht der Fall. Daher bleibt unklar, wer hinter der Ransomware steckt.“

Neue Ransomware nach „irregulärem“ Saturnmond Ymir benannt

Bei der Namenswahl für diese neue Ransomware entschieden sich die Kaspersky-Experten nach eigenen Angaben für den Saturnmond Ymir. Dieser sei ein „irregulärer“ Mond, welcher sich entgegen der Rotation des Planeten bewege – ein Merkmal, „das auf den unkonventionellen Einsatz von Speicherverwaltungsfunktionen in der neuen Ransomware widerspiegelt“. Kaspersky-Produkte sollen diese Ransomware als „Trojan-Ransom.Win64.Ymir.gen“ erkennen.

Kaspersky-Empfehlungen zur Prävention von Ransomware-Angriffen:

• Regelmäßig Backups erstellen und diese testen!
• Mitarbeiterschulungen zur Cyber-Sicherheit durchführen, um das Bewusstsein für Bedrohungen wie Daten stehlende Malware zu erhöhen und effektive Schutzstrategien zu vermitteln!
• Bei einem Ransomware-Befall und fehlender Entschlüsselungsmöglichkeit sollten kritische, verschlüsselte Dateien aufbewahrt werden. Eine Lösung zur Entschlüsselung könnte später durch fortlaufende Forschungsbemühungen oder die Ergreifung der Täter durch Behörden verfügbar werden!
• Es wird empfohlen, kein Lösegeld zu zahlen, da dies die Täter zu weiteren Angriffen ermutigen könnte und keine Garantie für die sichere Wiederherstellung der Daten bietet!
• Umfassende Lösungen (wie z.B. „Kaspersky Next“) bieten Echtzeitschutz, Transparenz von Bedrohungen, Untersuchungen und die Reaktionsmöglichkeiten von EDR und XDR für Unternehmen jeder Größe und Branche!
• „Managed Security Services“ nutzen, welche alle Bereiche eines Angriffs abdecken – von der Entdeckung bis zur Beseitigung (Kaspersky bietet beispielsweise „Compromise Assessment“, „Managed Detection and Response“ und „Incident Response“ an)!

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, Cristian Souza & Ashley Muñoz & Eduardo Ovalle, 11.11.2024
Ymir: new stealthy ransomware in the wild

golem.de, Hanno Böck, 23.06.2016
RFC 7905: ChaCha20-Verschlüsselung für TLS standardisiert

Häufigkeit von Cyber-Angriffen – insbesondere auf das Gesundheitswesen – nimmt zu

[datensicherheit.de, 31.10.2024] „Ein effektiver Schutz der Netzwerke von Gesundheitsorganisationen und Krankenhäusern ist unerlässlich, um Patientendaten zu sichern, die Betriebskontinuität zu gewährleisten und die Patienten bestmöglich behandeln zu können“, betont Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. Im Zuge moderner Ransomware-Methoden, wie sie jüngst beim „Trinity“-Angriff auf den US-amerikanischen Gesundheitssektor zum Einsatz gekommen seien, würden zunehmend sensible Daten vor ihrer Verschlüsselung exfiltriert. Dieser Ansatz ziele verstärkt auf Kritische Branchen wie das Gesundheitswesen und verdeutliche die Notwendigkeit einer starken Sicherheitskultur. Dr. Krämer führt hierzu aus: „Hierbei ist nicht nur die Technik gefordert, sondern auch das Sicherheitsbewusstsein der Geschäftsführung und die Schulung aller Mitarbeitenden, um die Sicherheit im Umgang mit solchen Bedrohungen zu erhöhen.“

Foto: KnowBe4

Dr. Martin J. Krämer empfiehlt u.a. regelmäßige Trainings – etwa Phishing-Simulationen

Cyber-Angreifer nehmen Gesundheitssektor ins Visier

Die Häufigkeit von Cyber-Angriffen nehme zu, besonders im Gesundheitswesen, wie der aktuelle Bericht „Hacked Healthcare: A Global Crisis in Cybersecurity“ von KnowBe4 demnach verdeutlicht. Nach einem Ransomware-Angriff auf 140 Krankenhäuser habe das Health-ISAC (Health Information Sharing and Analysis Center) im Mai 2024 eine dringliche Empfehlung herausgegeben, welche auf eine deutliche Zunahme gezielter Angriffe im Gesundheitsbereich hinweise.

„Die Empfehlung verwies auf schwere Betriebsstörungen in Gesundheitsorganisationen in Europa und den USA“, so Dr. Krämer. Laut „Check Point Research“ seien die weltweiten Cyber-Angriffe im Jahr 2023 um drei Prozent gestiegen, wobei das Gesundheitswesen mit einem Zuwachs von elf Prozent und durchschnittlich 1.613 Angriffen pro Woche den globalen Durchschnitt deutlich übertroffen habe.

Cyber-Resilienz des Gesundheitswesens entscheidend für Stabilität und Schutz der gesamten Gesellschaft

Ein effektiver Schutz der Netzwerke von Gesundheitsorganisationen und Krankenhäusern sei unerlässlich, um Patientendaten zu schützen und die Betriebskontinuität aufrechtzuerhalten. Die Gesundheitsbranche sehe sich zunehmend mit Angriffen wie Ransomware, Datenschutzverletzungen und Malware konfrontiert, die Patientendaten, Diagnosegeräte und Kritische Systeme gefährdeten.

„Diese Angriffe riskieren nicht nur die Privatsphäre der Patienten, sondern können medizinische Dienste extrem stören und Behandlungen verzögern oder ganz ausfallen lassen – im Extremfall mit lebensbedrohlichen Konsequenzen“, warnt Dr. Krämer. Cyber-Resilienz in diesen Bereichen sei daher entscheidend für die Stabilität und den Schutz der gesamten Gesellschaft.

Aufbau einer umfassenden Sicherheitskultur auch im Gesundheitswesen erfordert gezielte Schulungen

Ransomware-Angriffe wie „Trinity“ zeigten, dass Organisationen auf eine Balance zwischen technischen Schutzmaßnahmen und einem informierten Team setzen müssten. „Eine starke Sicherheitskultur verwandelt potenzielle Schwachstellen in wertvolle Ressourcen, die zur Cyber-Resilienz der Organisation beitragen können“, rät Dr. Krämer.

Der Aufbau einer umfassenden Sicherheitskultur beginne mit gezielten Schulungen, kontinuierlichen Sensibilisierungsprogrammen und klarer Führungskompetenz. Regelmäßige Trainings, wie etwa Phishing-Simulationen, könnten Mitarbeiter helfen, Bedrohungen zu erkennen und richtig darauf zu reagieren. „Verstehen alle Mitglieder die Bedeutung ihrer Rolle für die Cyber-Sicherheit, können sie aktiv zum Schutz der gesamten Organisation beitragen!“, unterstreicht Dr. Krämer abschließend.

Weitere Informationen zum Thema:

U.S. Department of Health and Human Services, Health Sector Cybersecurity Coordination Center (HC3), 04.10.2024
Trinity Ransomware

KnowBe4, 2024
Hacked Healthcare: A Global Crisis in Cybersecurity

Ransomware-Angriffe nehmen offensichtlich weiter zu – und nicht nur die Industrie sollte sich vor Cyber-Angriffen schützen

[datensicherheit.de, 02.10.2024] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch it’s.BB e.V., lädt zur „Awareness“-Veranstaltung mit dem Schwerpunkt „Incident Response“ in Industrie-Unternehmen ein. Ransomware-Angriffe nehmen offensichtlich weiter zu – und jedes Unternehmen sollte sich vor Cyber-Angriffen schützen. Das Web-Seminar wird wieder in Zusammenarbeit mit der IHK Berlin organisiert.

Abbildung: it’s.BB e.V.

Der it’s.BB e.V. lädt zur „Awareness“-Veranstaltung mit dem Schwerpunkt „Incident Response“ in Industrie-Unternehmen

Aktuelle Gefahren in Industrie-Unternehmen sowie priorisierte Maßnahmen

Konkret stellt sich angesichts der Bedrohung die Frage, was die Unternehmen konkret tun können – so könnten sie sich präventiv auf diesen Fall vorbereiten und auf Experten hören, aber dies ist mit finanziellem Aufwand verbunden…

Die Erfahrung zeige nun leider, „dass viele Menschen erst einmal in den Brunnen fallen müssen, um Änderungen voranzubringen“. Dieses Web-Seminar soll laut it’s.BB ein kurzer Ausflug in das „Neuland“ der IT- und OT-Security sein, um aktuelle Gefahren in Industrie-Unternehmen sowie priorisierte Maßnahmen aufzuzeigen und die Gefahr zumindest etwas zu bannen.

Web-Seminar zur „Incident Response“ in Industrie-Unternehmen

Web-Seminar am Mittwoch, dem 16. Oktober 2024,
16.00 bis 17.00 Uhr via „MS Teams“-Plattform
Teilnahme kostenlos, Anmeldung erforderlich (s.u.).

Agenda (ohne Gewähr)

16.00-16.10 Uhr Begrüßung
– Daniel Jedecke, Senior Expert HiSolutions AG
– Anna Borodenko, IHK Berlin

16.10-16.45 Uhr
• „Aktuelles Lagebild“
• „Was ist ,IT und OT’?“
• „Was passiert bei einem Cyber-Angriff?“
• „Maßnahmen gegen Cyber-Angriffe“
• „Was sollte priorisiert werden?“
– Daniel Jedecke, Senior Expert HiSolutions AG

16.45-17.00 Fragen / Diskussion / Abschluss

Weitere Informationen zum Thema und Anmeldung:

eventbrite
Mittwoch, 16. Oktober / it’s.BB-Awareness: Incident Response in Industrie-Unternehmen

Laut internationaler Umfrage waren 83 Prozent der Unternehmen 2023 Ziel von Ransomware-Angriffen

[datensicherheit.de, 27.08.2024] Eine internationale Umfrage unter 900 IT- und Security-Verantwortlichen zeigt laut Semperis, „dass 83 Prozent der Unternehmen im vergangenen Jahr Ziel von Ransomware-Angriffen waren, was alarmierende Trends in Bezug auf Häufigkeit, Schwere und Folgen von Angriffen aufzeigt“. Semperis ging demnach mit einer internationalen Studie der Prävalenz, Häufigkeit und den durch Lösegeldzahlungen und Kollateralschäden verursachten Kosten von Ransomware-Angriffen auf den Grund. Für diese Studie seien Unternehmen aus verschiedenen Branchen in Deutschland, Frankreich, Großbritannien und den USA befragt worden.

Foto: semperis

Oliver Keizers: Entscheidungsträger im Ernstfall in dier Lage versetzen, den Ransomware-Angreifern eine Zahlung zu verweigern!

Wenige Unternehmen sehen Alternative zur Lösegeldzahlung nach Ransamoware-Befall…

Die Studie wurde nach eigenen Angaben in der ersten Jahreshälfte 2024 durchgeführt. Dies sind laut Semperis die wichtigsten Ergebnisse:

Ransomware-Angriffe bleiben kein einmaliges Ereignis
74 Prozent der Befragten, die in den letzten zwölf Monaten gegen Lösegeld attackiert wurden, seien mehrfach angegriffen worden – viele innerhalb einer Woche.

Unternehmen können es nicht mit Ransomware aufnehmen
In Deutschland seien 82 Prozent der befragten Unternehmen in den vergangenen zwölf Monaten von Ransomware betroffen gewesen, davon 78 Prozent sogar öfter als einmal. „66 Prozent bezahlten mehrfach Lösegeld, 49 Prozent – und mit diesem Wert ist Deutschland unter allen Regionen in dieser Studie Spitzenreiter – sogar öfter als vier Mal.“ Im Gesamtdurchschnitt aller befragten Länder hätten 78 Prozent der betroffenen Unternehmen Lösegeld gezahlt – davon 72 Prozent mehrmals und 33 Prozent viermal oder häufiger.

Nur wenige Unternehmen sehen eine Alternative zur Lösegeldzahlung
87 Prozent der Angriffe hätten zu Betriebsunterbrechungen geführt – selbst bei denen, die Lösegeld zahlten – einschließlich Datenverlust und der Notwendigkeit, Systeme offline zu nehmen. „Für 16 Prozent der Befragten stellte der Angriff ein Dilemma um Alles oder Nichts dar – bei den Befragten aus Deutschland lag dieser Wert bei 19 Prozent.“

Die Zahlung von Lösegeld garantiert keine Rückkehr zum normalen Geschäftsbetrieb
35 Prozent der Opfer, die Lösegeld gezahlt haben, hätten entweder keine oder fehlerhafte Decodierungsschlüssel erhalten.

Recovery Time Objectives (RTOs) werden nicht erreicht
49 Prozent der Befragten hätten ein bis sieben Tage benötigt, um den Geschäftsbetrieb nach einem Ransomware-Angriff auf ein Minimum an IT-Funktionalität wiederherzustellen, „und zwölf Prozent benötigten sieben Tage oder länger“.

Die o.g. Ergebnisse unterstrichen einen alarmierenden Trend zu mehreren, manchmal gleichzeitigen Angriffen, was Führungskräfte dazu zwinge, ihre Cyber-Resilienz-Strategien neu zu bewerten, um häufige Fehlerquellen, wie beispielsweise unzureichende Backup- und Wiederherstellungspraktiken für Identitätssysteme, zu beheben.

Nicht nur gegen Ransomware: IT-Umgebung verteidigungsfähig machen und sie dann verteidigen!

Nur wenige Unternehmen verfügten über umfassenden, dedizierten Identitätsschutz: „Obwohl 70 Prozent der Befragten angaben, dass sie über einen Plan zur Wiederherstellung von Identitäten verfügen, was einen starken Fortschritt in Richtung IAM-zentrierter Sicherheit signalisiert, gaben nur 27 Prozent (36% in Deutschland) an, über dedizierte, Active-Directory-spezifische Backup-Systeme zu verfügen.“ Ohne AD-spezifische, malware-freie Backups und einen getesteten Wiederherstellungsplan werde die Wiederherstellung länger dauern, was die Wahrscheinlichkeit erhöhe, dass sich das Unternehmen entscheidet, Lösegeld zu zahlen, um den Geschäftsbetrieb wiederherzustellen.

„Im Mittelpunkt dieser ganzen Diskussion steht die Rentabilität von Unternehmen. Angreifer versuchen, diese zu gefährden, um sie überzeugen können, sich freizukaufen. Wenn ihnen ein erfolgreicher Angriff auf die Identität gelingt, besitzen sie Privilegien, die sie dann zu ihrem Vorteil nutzen können“, so Chris Inglis, „Semperis Strategic Advisor“ und erster U.S. National Cybersecurity Director. Er führt weiter aus: „Wenn man bedenkt, dass es eine 24/7-Bedrohung für die heutigen Unternehmen gibt, kann man nie sagen ‚Ich bin in Sicherheit‘ oder sich einen Moment frei nehmen. Das Beste, was sie tun können, ist, ihre Umgebung verteidigungsfähig zu machen und sie dann zu verteidigen.“

Geschäftsleitung und Vorstand müssen bei Ransomwae-Angriff fundierte Entscheidung treffen können!

Von den anhaltenden Herausforderungen im Bereich der Cyber-Sicherheit, die Unternehmen nannten, habe die mangelnde Unterstützung durch den Vorstand ganz oben auf der Liste gestanden. Weitere Bedenken betrafen „Budgetbeschränkungen, Personalmangel, veraltete Systeme sowie Vorschriften und Richtlinien zur Cyber-Sicherheit“.

„Damit die Geschäftsleitung und der Vorstand eine fundierte Entscheidung gegen die Zahlung von Lösegeld treffen können, müssen sie wissen, wie lange die Wiederherstellung dauern wird und sich darauf verlassen können“, betont Oliver Keizers, „Area Vice President EMEA“ bei Semperis. Dafür müssten Unternehmen ihren Wiederherstellungsplan in einem möglichst realitätsnahen Szenario testen und ihn dem Vorstand vorstellen, bevor ein Angriff erfolgt. Keizers unterstreicht: „Auf diese Weise sind die Entscheidungsträger im Ernstfall in der Lage, den Angreifern eine Zahlung zu verweigern.“

Weitere Informationen zum Thema:

semperis
Ransomware-Risikobericht: Die Denkweise des Einbrechers annehmen / Opfer mehrfach getroffen, 78% zahlten Lösegeld

datensicherheit.de, 23.08.2024
Neuer WithSecure-Report zeigt: Jüngste Schläge gegen Ransomware-Gruppen hatten Wirkung / „Produktivität“ der Ransomware-Branche nach ihrem Höhepunkt Ende 2023 nicht weiter angestiegen

datensicherheit.de, 02.08.2024
Verschleierungstechnik für Spionage: Ransomware mit cyber-kriminellem Mehrfachnutzen / Ransomware-Bedrohungsakteure könnten von „ChamelGang“-Aktivitäten Kenntnis nehmen und ein weiteres Geschäftsmodell entwickeln

datensicherheit.de, 21.06.2024
Ransomware-Attacken: Druck zu mehr Transparenz wächst / Beispielhafte Folgen der jüngsten Ransomware-Attacken: 800 verschobene Operationen, geschlossene Rathäuser und ausgefallene Video-Dienste

[datensicherheit.de, 23.08.2024] Der aktuelle WithSecure-Report soll einen „detaillierten Einblick in die neuesten Entwicklungen der Welt der Ransomware“ bieten. Als eines der zentralen Ergebnisse aus der ersten Hälfte des Jahres 2024 kann demnach festgehalten werden, „dass die Produktivität der Ransomware-Branche nach ihrem Höhepunkt Ende 2023 nicht mehr ansteigt“. Außerdem zeigten sich interessante Entwicklungen bei Angriffszielen und Branchendynamik. Der Bericht geht auch auf das anhaltende Problem der Reinfektion ein – eine Erkenntnis sei: „Die Daten zeigen, dass ein erheblicher Prozentsatz der Unternehmen, die Lösegeld gezahlt haben, später erneut von denselben oder anderen Ransomware-Gruppen angegriffen wurden.“

Deutliche Verlagerung der Ransomware-Angriffe auf KMU

Während die Produktivität von Ransomware 2024 offenbar eher nachlässt, seien die Häufigkeit der Angriffe und die Höhe der eingenommenen Lösegeldzahlungen in der ersten Hälfte des Jahres 2024 im Vergleich zu den gleichen Zeiträumen der beiden Vorjahre weiter gestiegen. „Es gibt eine deutliche Verlagerung hin zu kleinen und mittleren Unternehmen, die nun einen größeren Anteil der Ransomware-Opfer ausmachen“, erläutert Tim West, „Director of Threat Intelligence and Outreach“ bei WithSecure.

Klar sei: Strafverfolgungsmaßnahmen, insbesondere die Zerschlagung der „LockBit“-Ransomware-Gruppe im Februar 2024, hätten eine entscheidende Rolle bei der Unterbrechung großer Ransomware-Operationen gespielt. Diese Bemühungen hätten zur Beschlagnahmung bedeutender Vermögenswerte und zur Zerstörung kritischer Infrastrukturen auf Seiten der Ransomware-Gruppen geführt.

Langfristige Auswirkungen der Strafverfolgung auf das Ransomware-Ökosystem indes noch ungewiss

Trotz dieser Unterbrechungen blieben langfristige Auswirkungen der Strafverfolgung auf das Ransomware-Ökosystem ungewiss, da sich die Gruppen meist anpassten und weiterentwickelten. Der Report zeige insbesondere für die Zeit seit Juni 2024 vermehrt Hinweise auf eine Umbauphase bei „LockBit“ auf. Im Ergebnis ziehen die Autoren den Schluss, dass „LockBit“ mit großer Sicherheit beabsichtige, mit einem robusteren Betriebsmodell in die Branche zurückzukehren.

Der Bericht untersuche die Architektur von RaaS-Kollektiven (Ransomware-as-a-Service) und hebe den zunehmenden Wettbewerb zwischen Ransomware-Franchises hervor, um Partner anzuziehen. Nach dem Niedergang prominenter Gruppen wie „LockBit“ und „ALPHV“ hätten sich viele neue „nomadische“ Ransomware-Affiliates mit etablierteren RaaS-Marken zusammengeschlossen.

Häufige Verwendung von Fernverwaltungs-Tools durch Ransomware-Akteure

„Das Vertrauen innerhalb der cyber-kriminellen Gemeinschaft ist wahrscheinlich aufgrund von Vorfällen wie dem mutmaßlichen Exit-Scam von ,ALPHV’, bei dem Partner um ihre Einnahmen betrogen wurden, erheblich geschwächt worden. Das verkompliziert die Dynamik innerhalb des Ransomware-Ökosystems weiter“, so West.

Ein bemerkenswerter festgestellter Trend sei die zunehmende Nutzung des Erstzugriffs über die Ausnutzung sogenannter Edge-Dienste, wie in früheren WithSecure-Untersuchungen beschrieben, sowie die häufige Verwendung von Fernverwaltungs-Tools durch Ransomware-Akteure.

Weitere Informationen zum Thema:

WithSecure Intelligence, Stephen Robinson, 12.06.2024
Mass exploitation: The vulnerable edge of enterprise security

WithSecure Intelligence, Tim West, 22.08.2024
Ransomware Landscape H1/2024

datensicherheit.de, 08.04.2024
Lockbit-Ransomware-Gruppe: Zerschlagung wohl nur kurzfristiger Erfolg / Bereits Anfang März 2024 hat sich die gefährliche Hacker-Gruppe Lockbit zurückgemeldet

datensicherheit.de, 22.02.2024
LockBit-Zerschlagung: Strafverfolgungsbehörden senden klare Botschaft an andere Malware-Betreiber / Ransomware-Gruppierung LockBit hatte auch Krankenhäuser bzw. Kritische Infrastrukturen attackiert

datensicherheit.de, 22.02.2024
LockBit versuchte durch Innovation die Oberhand zu behalten / Reihe von logistischen, technischen und rufschädigenden Problemen forderte LockBit-Ransomware-Gruppierung heraus

datensicherheit.de, 21.02.2024
LockBit zerschlagen – Phönix aus der Asche als Ransomware-Bedrohungsszenario / Richard Cassidy kommentiert Ransomware-Gruppen im Zyklus von Zerschlagung und Auferstehung

Ransomware-Bedrohungsakteure könnten von „ChamelGang“-Aktivitäten Kenntnis nehmen und ein weiteres Geschäftsmodell entwickeln

[datensicherheit.de, 02.08.2024] Dies sein nur eine Frage der Zeit gewesen: Eine Bedrohungsgruppe mit dem Namen „ChamelGang“ verwende Ransomware als sekundäre Angriffsart, um ihre Spuren zu verwischen. Sicherheitsforscher der „Sentinellabs“ von SentinelOne hätten diese bisherige Anomalie in einem Report aufgedeckt. Laut deren Erkenntnissen nutze diese APT („Advanced Persistent Threat“) sowohl Datenverschlüsselung als auch Exfiltration und Erpressung. Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, kommentiert diesen Vorfall in seiner aktuellen Stellungnahme: „Unternehmen und Organisationen, die Opfer dieser Gruppe wurden, werden durch die Ransomware abgelenkt und wissen oftmals nicht, dass vor der Verschlüsselung auch noch eine umfassende Exfiltration stattgefunden hat.“ Es sei davon auszugehen, dass der eigentliche Auftrag Spionage gewesen sei und die Verschlüsselung und Erpressung als Extra-Geschäft genutzt würden. „Wenn die Angreifer schon mal im Netz sind, verdienen sie sich bei der Gelegenheit noch mal etwas extra dazu, so könnte man meinen“, so Dr. Krämer.

Foto: KnowBe4

Dr. Martin J. Krämer rät Unternehmen wie Organisationen, mehr in ihre Phishing-Prävention zu investieren und vor allem die eigenen Mitarbeiter zu schulen

Ransomware-Akteure könnten Cyber-Spionagemarktplatz etablieren

Diese zusätzliche Taktik mache Cyber-Angriffe wesentlich gefährlicher: „Es ist nicht auszuschließen, dass mehrere Ransomware-Bedrohungsakteure davon Kenntnis nehmen und ein weiteres Geschäftsmodell entwickeln.“ Angenommen, eine Ransomware-Gruppe habe sich einen ersten Zugang verschafft und ihre Ransomware im Stillen überall verteilt – alles, was es nun noch brauche, sei ein Bedrohungsakteur, der einen „Spionagemarktplatz“ einrichtet, „auf dem auch andere bösartige Akteure nach Einfallstoren für jenes Unternehmen oder Organisation suchen“.

Nationalstaatliche Spionage-Akteure könnten von Ransomware-Einfallstoren profitieren

Weiter gedacht, würden dann auch nationalstaatliche Akteure davon profitieren, welche die Ransomware-Einfallstore zu Spionagezwecken nutzen möchten. Eine Ransomware-Gruppe könnte dann den Zugang zunächst an eine andere Gruppe verkaufen, „die ausschließlich Spionage betreiben möchte und danach dann ein zweites Mal Geld verdienen, in dem es Daten verschlüsselt und das Opfer erpresst“.

Phishing als bevorzugtes Ransomware-Einfallstor

Nicht zuletzt aus diesem Grund sollten Unternehmen wie Organisationen mehr in ihre Phishing-Prävention investieren und vor allem die eigenen Mitarbeiter schulen. „Security Awareness Trainings“ mit dem Ziel einer dauerhaften Verhaltensveränderung und der Etablierung einer starken Sicherheitskultur seien geeignete Mittel, um Phishing zu stoppen. Ohne Phishing als Einfallstor müssten APTs nämlich mehr finanziellen und zeitlichen Aufwand betreiben, um an ihr Ziel zu kommen – so dass es sich dann, egal welches Ransomware-Geschäftsmodell, weniger lohne.

Weitere Informationen zum Thema:

SentinelLABS, Aleksandar Milenkoski & Julian-Ferdinand Vögele, Juni 2024
CHAMELGANG & FRIENDS | CYBERESPIONAGE GROUPS ATTACKING CRITICAL INFRASTRUCTURE WITH RANSOMWARE

[datensicherheit.de, 21.06.2024] Dies sind laut einer aktuellen Stellungnahme von Cohesity direkte Folgen der jüngsten Ransomware-Attacken der vergangenen 15 Tage: „800 verschobene Operationen, geschlossene Rathäuser, ausgefallene Video-Dienste“ – die Ransomware-„Pandemie“ wüte ungebremst und die Politik diskutiere strengere Regeln. So werde in Großbritannien diskutiert, ob Firmen gezwungen werden sollten, Ransomware-Attacken und Lösegeld-Zahlungen zu melden. Die EU habe mit NIS-2 und DORA bereits strenge Meldepflichten definiert.

Ransomware-Angriff gegen britisches Labor zwang Krankenhäuser zur Verschiebung von rund 800 Operationen

„Der Fall von Synnovis legt offen, wie selbst Kritische Infrastrukturen anfällig bleiben und wie komplex Firmen heute miteinander verwoben sind. Dadurch entstehen ungewisse Ausfallrisiken.“ Synnovis sei als Pathologie-Labor in Großbritannien mit seinen Dienstleistungen wie Bluttests eng mit einigen Krankenhäusern verzahnt.

Ein Ransomware-Angriff gegen dieses Labor habe nun betroffene Krankenhäuser gezwungen, insgesamt rund 800 Operationen zu verschieben. Mark Dollar, „CEO“ des demnach am 4. Juni 2024 gehackten Gesundheitsdienstleisters Synnovis, kommentiert: „Angriffe dieser Art können jederzeit jedem passieren und die dahinter stehenden Personen haben beunruhigenderweise keinerlei Skrupel, wen ihre Aktionen treffen könnten.“

Weitere Ransomware-Angriffe gegen kommunale Einrichtungen in den USA

Zeitungen hätten weitere Ransomware-Angriffe gegen kommunale Einrichtungen wie Michigan’s Traverse City und New York’s Newburgh in den USA gemeldet, der Video-Dienstleister Niconico sei ebenfalls offline. Dies seien vier Beispiele für erfolgreiche Ransomware-Angriffe aus den vergangenen 15 Tagen – die Dunkelziffer sei wahrscheinlich x-fach höher. „Und hier wollen Politiker aus Großbritannien ansetzen und Firmen zu mehr Transparenz zwingen.“

„Diskutiert werden erste Ideen, ob man alle Opfer verpflichten soll, Vorfälle der Regierung zu melden.“ Opfer sollten sich auch vor erpressten Lösegeldzahlungen eine Lizenz besorgen müssen – ebenfalls vorgeschlagen werden solle sogar ein vollständiges Verbot von Lösegeldzahlungen für an nationaler Kritischer Infrastruktur beteiligte Organisationen. Dieses Verbot solle Hackern den Anreiz nehmen, diese Kritischen Dienste zu stören, indem es sie daran hindere, Angriffe zu monetarisieren.

Meldepflicht von 72 Stunden als globaler Standard auch nach Ransomware-Vorfällen

Die US-Regierung habe bereits im März 2022 mit ihrem Gesetz „Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA)“ klar geregelt, dass Betreiber Kritischer Infrastruktur einen Cyber-Vorfall innerhalb von 72 Stunden melden müssten. Ransomware-Zahlungen müssten sogar 24 Stunden nach der Zahlung kommuniziert werden.

Die Vorschriften und Gesetze, mit denen Regierungen mehr Licht in Cyber-Gefahren und -Risiken bringen möchten, orientierten sich zusehends an strengen zeitlichen Vorgaben bei der Meldepflicht: „72 Stunden sind hier der globale Standard, der sich nun zu etablieren scheint.“ Auch bei dem „Digital Operational Resilience Act“ (DORA), auf die Finanzindustrie fokussiert, und der NIS-2-Direktive seien 72 Stunden das Maß der Dinge. Mit beiden Regelwerken möchte die EU Firmen in Europa zu mehr operativer Cyber-Resilienz drängen.

Obligatorische Meldepflichten bei Datenschutzverletzungen

Die obligatorischen Meldepflichten bei Datenschutzverletzungen hätten es in sich und stellten klare Anforderungen:

• Innerhalb von 24 Stunden müsse die Organisation eine Frühwarnung geben, „wenn der Verdacht besteht, dass ein schwerwiegender Vorfall durch rechtswidrige oder böswillige Handlungen verursacht wurde oder grenzüberschreitende Auswirkungen haben könnte“.
• Innerhalb von 72 Stunden nach Bekanntwerden eines schwerwiegenden Vorfalls müsse die Frühwarnung mit einer ersten Bewertung, einschließlich seiner Schwere und Auswirkungen, aktualisiert werden. Die Organisation sollte dem nationalen CERT auch alle Indikatoren für eine Gefährdung im Zusammenhang mit dem Angriff mitteilen.
• Auf Anfrage eines nationalen CERT oder einer Aufsichtsbehörde müsse die Organisation Zwischenstatus-Aktualisierungen bereitstellen.
• Innerhalb eines Monats nach Einreichung der Vorfallmeldung müsse die Organisation einen Abschlussbericht vorlegen.

Nicht nur nach Ransomware-Angriffen selbst mehr Transparenz schaffen

Das Risiko erfolgreicher Cyber-Attacken auf das Wohl und Leben der Bürger werde die Politik weiter antreiben, neue Regeln und Vorschriften zu erlassen – mit dem Ziel, das Sicherheitsniveau und die Cyber-Resilienz zu stärken. „Da wird also wahrscheinlich noch mehr kommen.“ Firmen sollten entsprechend reagieren und intern mehr Transparenz und Kontrolle über ihre Daten und Dienste schaffen. Dazu seien folgende Schritte elementar:

1. Daten genau verstehen!
Firmen müssten genau wissen, welche Daten sie besitzen und welchen Wert sie haben. Nur dann könnten sie in den Behörden berichten, welche Daten bei einer erfolgreichen Attacke korrumpiert wurden. Auf diesem Gebiet könnten KI-Lösungen (wie z.B. „Cohesity Gaia“) massiv helfen und eine der komplexesten Probleme entschärfen, „indem sie die Daten von Firmen automatisiert klassifizieren“. Sogenannte Business Owner könnten beispielsweise direkte Fragen zu bestimmten Daten stellen und bekämen automatisch eine entsprechende Antwort mit einer Liste aller betroffenen Dokumente.

2. Zugriffe reglementieren!
„Wer seine Daten richtig eingestuft und klassifiziert hat, kann automatisch Regeln und Rechte durchsetzen, die den Zugriff darauf regeln.“ Daten-Management-Plattformen (wie etwa jene von Cohesity) wickelten das automatisiert ab und reduzierten die Risiken für menschliche Fehler. Eine Firma könne durchsetzen, dass bestimmte Daten niemals an externe Speicherorte oder KI-Module weitergegeben werden dürften.

3. Angriffe überstehen!
„Damit eine Firma die Berichte für die Behörden überhaupt erstellen kann, muss sie handlungsfähig bleiben!“ Bei Ransomware oder einem Wiper-Angriff (Attacke per Schadsoftware mit Löschfunktion) aber funktioniere im „Worst Case“ nichts mehr. Die IT-Teams der „CIOs“ und „CISOs“ würden auf diese Attacke nicht einmal reagieren können, da alle Sicherheitstools offline, Beweise in Logs und auf den Systemen verschlüsselt seien. Firmen sollten daher unbedingt sogenannte Clean-Room-Konzepte implementieren, „wo ein Notfallset an Tools und System- und Produktionsdaten liegt, um einmal einen Notbetrieb der Gesamt-IT zu schaffen“. Darin lägen alle erforderlichen Tools für die Security-Teams, „damit diese mit dem essenziellen Incident-Response-Prozess beginnen können“. Dieser Prozess sei fundameltal, um richtige und aussagekräftige Berichte für NIS-2-, DORA- und DSGVO-Verstöße zu generieren.

„Die Regeln für IT werden strenger, denn unsere Abhängigkeiten von der IT werden größer und damit der Schaden für die Wirtschaft und Gesellschaft, wenn wichtige Dienste ausfallen“, unterstreicht Mark Molyneux, „EMEA CTO“ bei Cohesity. Abschließend gibt er zu bedenken: „Wer die Vorgaben von 72 Stunden bei den Berichten einhalten will, muss all jene Prozesse und Workflows gegenchecken, die mit Daten hantieren.“ Cohesity etwa könne diese Aufgabe mit einer zentral KI-getriebenen Plattform für Datenmanagement mit Kernfunktionen massiv abdecken, um möglichst große operative Cyber-Resilienz zu schaffen.

Weitere Informationen zum Thema:

CISA CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY
Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA)

The Digital Operational Resilience Act (DORA)
Regulation (EU) 2022/2554

The NIS 2 Directive
What is the NIS 2 Directive?

datensicherheit.de, 05.06.2024
NIS-2-Umsetzung bisher nur durch jedes dritte Unternehmen / Bei einem weiteren Drittel ist die NIS-2-Umsetzung laut ESET-Umfrage noch in Planung

datensicherheit.de, 14.05.2024
NIS-2-Anforderungen: Konkrete Bedeutung der verschärften EU-Richtlinie / NIS-2 baut auf Grundlage der Vorgängerrichtlinie von 2016 auf und ist eine Reaktion u.a. auf zunehmende Angriffe auf Lieferketten

datensicherheit.de, 11.05.2024
NIS-2 sollte als Chance für starke Cyber-Sicherheit angenommen werden / Strenge Cyber-Sicherheitsanforderungen für Betreiber Kritischer Infrastrukturen als Herausforderung und Booster

datensicherheit.de, 25.04.2024
DORA ante portas: Verbindliche Richtlinie für das Risikomanagement im Finanzsektor rückt näher / Viele Finanzorganisationen müssen in neue Lösungen investieren – insbesondere für den Wiederanlauf nach einem Notfall

datensicherheit.de, 20.11.2023
DORA und NIS2 – Cyber-Sicherheit im Finanzsektor der EU / Auditverfahren der Regularien harmonisieren und Zuständigkeiten zusammenzuführen

[datensicherheit.de, 18.06.2024] Cyber-Angriffe auf Krankenhäuser wie zuletzt auf die Bezirkskliniken in Mittelfranken oder das Klinikum Heilbronn häufen sich offensichtlich. Dieser „Trend“ ist besorgniserregend, denn derartige Vorfälle können den Betrieb des betroffenenen Krankenhauses einschränken, gar Operationen verhindern und wie in Mittelfranken die Notversorgung beschränken.

Verlockung für Cyber-Kriminelle: Zahl sensibler Datensätze um mehr als 63 Prozent zugenommen

Laut dem jüngsten „Zero Labs“-Bericht von Rubrik soll die Zahl der sensiblen Datensätze in Gesundheitsorganisation 2023 um mehr als 63 Prozent zugenommen haben – weit mehr als in jeder anderen Branche und mehr als das Fünffache des weltweiten Durchschnitts.

Gesundheitsorganisationen verlieren bei jeder Cyber-Attacke mit Ransomware rund 20 Prozent ihrer sensiblen Daten

„Dies ist dramatisch, denn der Report zeigt, dass Gesundheitsorganisationen bei jedem Ransomware-Angriff rund 20 Prozent ihrer sensiblen Daten verlieren.“ Dies komme nicht von ungefähr, denn der Gesundheitssektor habe 2023 rund 50 Prozent mehr Verschlüsselungsvorfälle als der weltweite Durchschnitt erlebt.

Erhöhung der Cyber-Resilienz muss das Ziel sein

Der Gesundheitssektor dürfe sich heute also nicht länger darauf konzentrieren, IT-Systeme lediglich widerstandsfähiger zu machen. Zur Verteidigung gegen Ransomware-Angriffe und andere Cyber-Bedrohungen sollte die Erhöhung der Cyber-Resilienz das Ziel sein.

Weitere Informationen zum Thema:

Rubrik Zero Labs
DATENSICHERHEIT: EINE BESTANDSAUFNAHME / Messung Ihres DATENRISIKOS

SWR» AKTUELL, 30.01.2024
Auch Heilbronner SLK-Kliniken betroffen / Datenklau im Krankenhaus: Immer mehr Hackerangriffe auf Kliniken

BR24, Martin Hähnlein & Henry Lai & Eleonore Birkenstock & Florian Deglmann, 29.01.2024
Hackerangriff auf Bezirkskliniken Mittelfranken

datensicherheit.de, 20.02.2024
Mangelnde Cyber-Sicherheit im Gesundheitswesen: Deutsche Krankenhäuser bringen sich untereinander in Gefahr / Proofpoint warnt: DMARC-Implementierung in deutschen Krankenhäusern noch alarmierend gering

datensicherheit.de, 12.10.2023
Gesundheitswesen im Visier: Patienten leiden unter Cyber-Attacken / Cyber-Attacken haben 2022 in zwei Dritteln der Gesundheitseinrichtungen die Patientenversorgung beeinträchtigt

Bereits Anfang März 2024 hat sich die gefährliche Hacker-Gruppe Lockbit zurückgemeldet

[datensicherheit.de, 08.04.2024] Als im Februar 2024 die Meldung über die erfolgreiche Zerschlagung der „Lockbit“-Ransomware-Gruppe um die Welt ging, wurde dies als ein entscheidender Schlag internationaler Ermittlungsbehörden gegen die Cyber-Kriminalität gewürdigt. Doch gerade einmal eine Woche später, Anfang März 2024, hat sich laut einer aktuellen Meldung der PSW GROUP diese gefährliche Hacker-Gruppe auch schon wieder zurückgemeldet: In einer Stellungnahme habe diese gar eigene Fehler zugegeben und erklärt, weiterhin aktiv zu sein.

Foto: PSW GROUP

Patrycja Schrenk rät, weiterhin in die Verteidigung digitaler Infrastrukturen zu investieren, Cyber-Sicherheitsmaßnahmen zu verbessern und Fähigkeit zur Erkennung sowie Reaktion auf Bedrohungen ständig weiterentwickeln!

Dass die Lockbit-Gruppe so schnell wieder aktiv wurde, ist äußerst beunruhigend

„In der Welt der Cyber-Kriminalität ist nichts sicher, und oft verschieben sich Gruppen oder tauchen unter neuen Namen und Taktiken wieder auf. Die Zerschlagung der ,Lockbit’-Gruppe war zweifellos ein wichtiger Meilenstein im Kampf gegen Ransomware und die digitale Kriminalität. Allerdings ist es äußerst beunruhigend zu sehen, dass die ,Lockbit’-Gruppe so schnell wieder aktiv geworden ist“, kommentiert Patrycja Schrenk, Geschäftsführerin der PSW GROUP.

Das schnelle „Comeback“ dieser Gruppe verdeutliche die Anpassungsfähigkeit und Entschlossenheit dieser kriminellen Organisation, ihre Aktivitäten fortzusetzen und weiterhin Schaden anzurichten. „Lockbit“ bleibe weiterhin eine große Bedrohung für Unternehmen und Organisationen weltweit.

Lockbit hatte lange Zeit das Image des unangefochtenen Königs der Ransomware

Tatsächlich habe „Lockbit“ lange Zeit als unangefochtener „König der Ransomware“ gegolten: Fast ein Fünftel der weltweiten Ransomware-Angriffe gingen laut Schrenk wohl auf das Konto dieser Hacker-Gruppe. Dabei solle sie mehrere Millionen Dollar von Tausenden Unternehmen sowie Einzelpersonen weltweit erbeutet haben – allein in den USA würden der Gruppe Angriffe auf mehr als 1.700 Organisationen vorgeworfen. „Lockbit“ habe es dabei auf einige der größten Namen der Weltwirtschaft abgesehen: Unternehmen wie Boeing, der Chiphersteller TSMC, das Raumfahrtunternehmen SpaceX, die ICBC, Chinas größte Bank, sowie der deutsche Automobilzulieferer Continental zählten zu ihren prominentesten Opfern.

„Was ,Lockbit’ besonders gefährlich macht, ist ihr ausgeklügeltes Geschäftsmodell, das einem Affiliate-Programm gleicht. Denn anstatt selbst die Angriffe durchzuführen, agiert ,Lockbit’ größtenteils als Dienstleister im Cybercrime-Umfeld.“ Die Gruppe stelle ihre Schadsoftware anderen Kriminellen zur Verfügung, welche dann die Angriffe ausführten, mit den Opfern verhandelten und Lösegeld erpressten. Für diese Dienstleistung kassiere „Lockbit“ eine Art Lizenzgebühr – „mit einem derart großen Erfolg, dass die Schadsoftware der Gruppe im Jahr 2022 sogar als weltweit am häufigsten eingesetzte Ransomware-Variante bezeichnet wurde“, so Schrenk.

Trotz Beschlagnahmung von Servern konnten Behörden nicht alle Lockbit-Domains übernehmen

Diese erfolgreiche Cybercrime-Gruppe sei den Strafverfolgungsbehörden Anfang des Jahres 2024 ins Netz gegangen, weil diese offenbar ausgerechnet eine nicht gepatchte Schwachstelle in der Skriptsprache „PHP“ hätten ausnutzen können – normalerweise seien ungepatchte IT-Sicherheitslücken das Geschäftsmodell von „Lockbit“. Doch trotz der Beschlagnahmung von 34 Servern und Festnahmen im Rahmen der „Operation Cronos“ hätten die Behörden nicht alle Domains von „Lockbit“ übernehmen können:

Die Gruppe habe sich mit ihrer Website unter neuer Adresse und einer Mischung aus Selbstkritik und Arroganz zurückgemeldet. In einer Stellungnahme Anfang März 2024 hätten sie zugegeben, dass ihre eigenen Systeme nicht auf dem neuesten Stand gewesen seien, weil sie „faul“ geworden seien und sich in einer gewissen Selbstzufriedenheit eingerichtet hätten: „Persönliche Fahrlässigkeit und Verantwortungslosigkeit“ habe es den Behörden erlaubt, die Website der Gruppe zu kapern. Weiter behaupte die Gruppe, dass ihre Server wiederhergestellt und sie bereit sei, erneut zuzuschlagen. Ihre Affiliates habe sie bereits aufgefordert, staatliche Einrichtungen häufiger ins Visier zu nehmen.

Zerschlagung einer Ransomware-Gruppe wie Lockbit löst grundsätzliches Problem nicht

„Diese Aussagen lassen aufhorchen und warnen auch vor einer möglichen Eskalation der Cyber-Angriffe. Gleichzeitig macht die Reaktion der Gruppe klar, dass der Kampf gegen Cyber-Kriminalität eine kontinuierliche und koordinierte Anstrengung erfordert – sowohl seitens der Strafverfolgungsbehörden als auch von Unternehmen und jedem Einzelnem.“

Die Zerschlagung dieser Cyber-Kriminellen sei ein wichtiger Schritt, „aber wir dürfen nicht den Fehler machen, dies als das Ende des Problems anzusehen“, warnt Schrenk. Man müsse weiterhin in die Verteidigung unserer digitalen Infrastrukturen investieren, unsere Cyber-Sicherheitsmaßnahmen verbessern und unsere Fähigkeit zur Erkennung und Reaktion auf Bedrohungen ständig weiterentwickeln, um mit der sich ständig verändernden Landschaft der Cyber-Kriminalität Schritt zu halten.

Weitere Informationen zum Thema:

PSW GROUP, Marek Röhner, 05.03.2024
Bedrohungslage / Die Lockbit-Ransomware-Gruppe: Zerschlagen! Oder doch nicht?

datensicherheit.de, 26.02.2024]
LockBit-Disruption: Strafverfolgungsbehörden nutzten Trend Micros Expertise / Neueste, noch unveröffentlichte LockBit-Version wurde von Trend Micro analysiert und vereitelt

datensicherheit.de, 22.02.2024
LockBit-Zerschlagung: Strafverfolgungsbehörden senden klare Botschaft an andere Malware-Betreiber / Ransomware-Gruppierung LockBit hatte auch Krankenhäuser bzw. Kritische Infrastrukturen attackiert

datensicherheit.de, 22.02.2024
LockBit versuchte durch Innovation die Oberhand zu behalten / Reihe von logistischen, technischen und rufschädigenden Problemen forderte LockBit-Ransomware-Gruppierung heraus

[datensicherheit.de, 26.02.2024] Nach eigenen Angaben hat Trend Micro globale Strafverfolgungspartner unter der Führung der britischen National Crime Agency (NCA) bei der Zerschlagung der Ransomware-Gruppe „LockBit“ unterstützt. „Langfristige Pläne der Gruppe konnten so verhindert werden.“ Demnach haben verdeckte Ermittlungen von Trend Micro die Veröffentlichung der neuesten Malware-Produktlinie der Gruppe vereitelt – „noch bevor die Akteure selbst ihre Tests abschließen konnten“. Kunden von Trend Micro seien automatisch geschützt.

LockBit-Verbündete nun erhöhtem Risiko der Strafverfolgung ausgesetzt

Ransomware stellt offensichtlich für Unternehmen eine der schwerwiegendsten Bedrohungen im Digitalen Raum dar: „Angriffe zielen auf alle Branchen und gefährden unter anderem Schulen, Krankenhäuser, Regierungen, Unternehmen sowie wichtige nationale Infrastrukturen.“ Lukrativ seien diese Angriffe auch für einige kleinere Cybercrime-Gruppen: „Im vergangenen Jahr zahlten Opfer über eine Milliarde US-Dollar an die Akteure und ihre Partner – ein Rekordwert. Dabei war ,LockBit’ für etwa 25 Prozent aller Ransomware-Leaks im Jahr 2023 verantwortlich und verursachte in den letzten vier Jahren bei Tausenden von Opfern Verluste in Milliardenhöhe.“

Hinter den Kulissen sei es bereits zu der Beschlagnahmung von „Krypto-Währungen“, Verhaftungen, Anklagen, der Verhängung von Sanktionen sowie der eingehenden technischen Unterstützung der Opfer gekommen. Die gemeinsam durchgeführte Operation habe darüber hinaus die Übernahme der „LockBit“-Leak-Seite, die Offenlegung persönlicher Identitäten und Informationen zu Gruppenmitgliedern sowie Details über ihre früheren kriminellen Aktivitäten umfasst. Mithilfe dieser Maßnahmen werde diese Gruppe in der Cybercrime-Community diskreditiert und damit als Untergrundunternehmen für Kriminelle unrentabel.

Auch wenn „LockBit“ zweifellos die größte und einflussreichste Ransomware-Operation weltweit gewesen sei, mache die nun erfolgte „Disruption“ deutlich, dass kriminelle Partner jede zukünftige Zusammenarbeit mit dieser Gruppe überdenken sollten – und dass sie sich durch Kooperationen einem erhöhten Risiko der Strafverfolgung aussetzten.

Verbrechergruppe LockBit wohl kaum komplett unschädlich, aber deutlich geschwächt

Die Maßnahmen der Operation gegen „LockBit“ führten laut Trend Micro zu folgenden Ergebnissen:

• Die Neutralisierung eines potenziell weit verbreiteten Ransomware-Stammes sowie die Verhinderung zukünftiger Angriffe.
• „Eine Strafverfolgungsoperation, die hoffentlich das Ende von ,LockBit’ bedeutet und die einen neuen Maßstab für die internationale Zusammenarbeit zwischen Strafverfolgungsbehörden und privaten Partnern setzt.“
• Die Eliminierung der Bedrohung durch eine neue Ransomware-Generation Dank der Analyse von Trend Micro.

„Wir bei Trend Micro sind stolz, dass wir mit unserer Bedrohungsforschung zu den Ermittlungen der globalen Strafverfolgungsbehörden beitragen konnten und Teil einer gemeinsamen Mission sind, um die Welt sicherer zu machen“, kommentiert Robert McArdle, Director „Forward Looking Threat Research Team“ bei Trend Micro, welcher sich demnach im regelmäßigen Austausch mit dem Federal Bureau of Investigation (FBI) und der National Crime Agency (NCA) befindet.

McArdles Fazit: „Letzte Woche hat Trend Micro weltweit Microsoft-Nutzer vor einer kritischen Schwachstelle geschützt; diese Woche konnten wir dabei unterstützen, die weltweit wichtigste Gruppe an Bedrohungsakteuren ihrer Führungsposition zu berauben. Nun sind Insider nicht so naiv anzunehmen, dass die Verbrechergruppe damit ausgelöscht sein wird. Einer Sache sind wir uns jedoch sicher: Kein vernünftiger Krimineller möchte noch einmal mit dieser Gruppe in Verbindung gebracht werden.“

Weitere Informationen zum Thema:

datensicherheit.de, 22.02.2024
LockBit versuchte durch Innovation die Oberhand zu behalten / Reihe von logistischen, technischen und rufschädigenden Problemen forderte LockBit-Ransomware-Gruppierung heraus

datensicherheit.de, 22.02.2024
LockBit-Zerschlagung: Strafverfolgungsbehörden senden klare Botschaft an andere Malware-Betreiber / Ransomware-Gruppierung LockBit hatte auch Krankenhäuser bzw. Kritische Infrastrukturen attackiert

datensicherheit.de, 21.02.2024
LockBit zerschlagen – Phönix aus der Asche als Ransomware-Bedrohungsszenario / Richard Cassidy kommentiert Ransomware-Gruppen im Zyklus von Zerschlagung und Auferstehung

NCA, 20.02.2024
National Crime Agency
International investigation disrupts the world’s most harmful cyber crime group

TREND MICRO, 15.02.2024
Millionen User betroffen: Trend Micro entdeckt aktiv ausgenutzte Microsoft-Schwachstelle / Trend Micros Zero Day Initiative entdeckt Bug, der es Angreifern ermöglicht, kritische Schutzmaßnahmen zu umgehen