eCrime gehört für Unternehmen inzwischen zu den größten Gefahren überhaupt. Allein 2020 gingen 79 % aller Cyberangriffe auf das Konto von eCrime-Akteuren. Die unterschiedlichen Gruppen sind im Verlauf der letzten Jahre immer enger zusammengewachsen und bilden mittlerweile ein sehr komplexes und vielschichtiges Ökosystem.
Dieses eCrime-Netzwerk ist gleichzeitig stark und flexibel, wie ein Spinnennetz.
CrowdStrike verfolgt zahlreiche Angriffe weltweit und überwacht mittlerweile 149 verschiedene Angreifergruppen. Diese werden unter anderem nach Herkunft klassifiziert und erhalten ein Kryptonym zur Kategorisierung: So werden Angreifer des russischen Staatsapparats beispielsweise als “Bären” geführt, wie FANCY BEAR oder COZY BEAR, während chinesische Gruppen – egal ob aus dem militärischen oder aus dem nachrichtendienstlichen Milieu – als “Panda”, wie WICKED PANDA oder TURBINE PANDA, geführt werden. eCrime-Akteure hingegen eint der Deckname “Spinne”. Gruppen wie WIZARD SPIDER, MUMMY SPIDER oder DOPPEL SPIDER begegnet man häufig.
Niemand ist unersetzlich, auch nicht Emotet
Wie flexibel und gut organisiert das heutige eCrime-Ökosystem ist, zeigen die Entwicklungen, die sich nach der Zerschlagung der Emotet-Infrastruktur beobachten ließen. Emotet war bis zu diesem Zeitpunkt für zahlreiche Schäden in deutschen und internationalen Netzwerken verantwortlich. Da Emotet als sogenannte “Malware Delivery Platform” fungiert, wurden nach dem initialen Befall weitere Payloads wie Kryptotrojaner beim Opfer ausgerollt. Dass diese nachgelagerten Payloads oft im Auftrag anderer Gruppen verteilt wurden, ist typisch nicht nur für die Emotet-Infrastruktur, sondern für das komplette dahinter liegende Geschäftsmodell.
So wurde zum Beispiel oft beobachtet, wie die Emotet-Plattform weitere Software wie TrickBot im Auftrag von WIZARD SPIDER oder QakBot im Auftrag von MALLARD SPIDER nachlädt. Das heißt auch, dass MUMMY SPIDER als Betreiber von Emotet für den Zugang zu den gekaperten Netzwerken bezahlt wird. Um diesen Gruppen die Kontrolle über die jeweiligen Firmennetzwerke geben zu können, installiert MUMMY SPIDER über seine Emotet-Plattform proprietäre Werkzeuge anderer Gruppen, die damit den weiteren Prozess selber fortführen.
Es ist hierbei wichtig zu verstehen, dass das Ransomware-Universum in den letzten 18 Monaten signifikant expandiert ist. Auf die Zeiten, zu denen sich PCs noch eine Ransomware “eingefangen” haben, blicken wir so nostalgisch zurück wie auf Folgen von Verbotene Liebe aus den 90er Jahren. Heutzutage wird Ransomware typischerweise hochprofessionell von Akteuren ausgerollt, die Verständnis vom IT- und Netzwerkbetrieb haben. Sie suchen gezielt die wichtigen Systeme, wie Domänencontroller und Sicherungsserver, und befallen diese, um möglichst große Betriebsstörungen zu verursachen. Nur so kommen sie an die hohen Lösegeldsummen, die heutzutage teilweise sechs- und siebenstellig sind.
Vor diesem Hintergrund kann sich die Justiz natürlich keinen Winterschlaf erlauben. Um den 25. Januar 2021 schaltete eine Gruppe internationaler Strafverfolger – angeführt vom BKA – die Infrastruktur von Emotet aus. Was ein durchschlagender Sieg sein sollte war jedoch nicht von Dauer: Innerhalb weniger Stunden nach der Zerschlagung hatten eCrime-Gruppen, die als “Kunden” das Emotet-Botnet nutzten, die jetzt fehlende Struktur durch andere Lieferanten ersetzt.
So setzte beispielsweise die kriminelle Gruppe WIZARD SPIDER bereits am 27. Januar auf die Services von SmokeBot und seinen Betreiber SMOKEY SPIDER. Die neue SmokeBot Verteilungsplattform verfügt über ähnliche Fähigkeiten wie Emotet und ermöglicht einen nahezu nahtlosen “Failover” im Betrieb für WIZARD SPIDER. Das versetzt die kriminellen Akteure in die Lage, weiterhin schädliche Aktionen gegen Opfer-Firmen durchzuführen.
Dass eCrime-Akteure innerhalb weniger Stunden nach einer Störung ihren Betrieb wieder aufnehmen können, zeigt, wie raffiniert und geschickt diese Gruppen agieren und vor allem wie gut vernetzt sie sind.
Könnte Ihr Unternehmen die Warenauslieferung oder die angebotene Dienstleistung innerhalb von zwei Tagen auf einen komplett neuen Subunternehmer umstellen?
Lesen Sie hier Teil 2: Ein Spinnennetz mit ausgeklügelter Struktur!