Hacktivismus und fortlaufende Cyberaktivitäten
Russland ist nicht das einzige Land, das in diesem Konflikt Cyberangriffe durchführt. Hacktivistengruppen nutzen das Internet und damit verbundene Cybertechniken, um zivilen Ungehorsam für eine bestimmte Sache zu leisten. Viele dieser Gruppen haben angekündigt, dass sie ihre Bemühungen jetzt darauf konzentrieren, Russland Schaden zuzufügen und den IT-Betrieb zu stören. So hat beispielsweise das Hackerkollektiv Anonymous der russischen Regierung den Cyberkrieg erklärt. Außerdem hat der ukrainische Vizepremierminister getwittert, er wolle eine IT-Armee aus Freiwilligen aufbauen, die die ukrainische IT-Infrastruktur verteidigen soll.
Eine weitere interessante Geschichte ereignete sich, als der Quellcode der Ransomware Conti und interne Chats veröffentlicht wurden, nachdem die Cybergruppe ihre Unterstützung in Russland bekundet hatte. Die Conti-Ransomware war eine der wirkungsvollsten Ransomwares des Jahres 2021. Diese Veröffentlichung führte zur Entfernung der C&C-Infrastruktur, wodurch die Ransomware beeinträchtigt wurde.
Die Cybersicherheits- und Sicherheitsforschungscommunity, einschließlich des Orca Security Research Pod, beobachtet und verfolgt weiterhin Cyberangriffe als Teil dieses anhaltenden Konflikts. Da Russland und seinen Hacktivisten in der Vergangenheit komplexere Angriffe zugeschrieben wurden, könnten in naher Zukunft weitere Ereignisse im Rahmen dieses Konflikts auftreten. Sobald die Entwicklungen voranschreiten und möglicherweise weitere Gruppen und Forschungsarbeiten hinzukommen, wird Orca Security zeitnah darüber informieren.
Daten und Empfehlungen von Orca Security
In der Zwischenzeit haben viele Sicherheitsanbieter einen deutlichen Anstieg aller Cyberangriffe gemeldet, von Phishing bis DDoS und mehr. Ein „Leak“ dieses Konflikts ist bereits in der Vergangenheit aufgetreten (z. B. mit Not-Petya) und könnte erneut auftreten. Orca Security hat einen Anstieg von über 60 Prozent bei den durchschnittlichen SSH-Brute-Force-Angriffen pro Kunde auf Cloud-Infrastrukturen in den USA festgestellt. Dieser anonymisierte Datensatz aus realen Cloud-Umgebungen vergleicht Daten aus der Woche vom 24. Februar und 2. März mit den Wochen des Vormonats.
Dies kann auf zwei Vorgänge hindeuten, von denen man annimmt, dass sie derzeit auf dem Cyberkriegsschauplatz stattfinden. Erstens suchen russische Hacker nach Rechnern, die „zombifiziert“ und für russische DDoS-Angriffe auf ukrainische Ziele eingesetzt werden können. Orca beobachtete solche Tools bereits in freier Wildbahn. Der Hermetic Wiper, der von Microsoft unter dem Namen FoxBlade bekanntgegeben wurde, ist beispielsweise in der Lage, PCs in DDoS-Zombies zu verwandeln. Zweitens könnten russische Hacker versuchen, in wichtigen westlichen Einrichtungen Fuß zu fassen, um Angriffe wie Datenlöschung oder Datenexfiltration durchzuführen, die den Verbündeten der Ukraine Schaden zufügen und sie in Verlegenheit bringen würden.
Wie können Unternehmen und Institutionen sich schützen?
- Angriffsfläche reduzieren: Über das Internet zugängliche Anlagen stellen eine mögliche Angriffsfläche dar. Es gilt, so wenig Systeme wie möglich freizugeben, sensiblen Konten keine hohen Privilegien einzuräumen und vertrauliche Daten nicht unverschlüsselt zu speichern.
- Sicherheitslücken schließen und Systeme auf dem neuesten Stand halten: Nicht gepatchte Rechner können von einem böswilligen Akteur ausgenutzt werden. Wenn Unternehmen ihre Systeme auf dem neuesten Stand halten, können sie das Risiko einer Fernausnutzung verringern.
- MFA und komplexe Passwörter verwenden: Multi-Faktor-Authentifizierung (MFA) erschwert den unbefugten Zugriff. Systeme mit komplexen Passwörtern sind schwerer zu knacken.
- Protokollierungsdienste verwenden: Protokollierungsdienste werden inzwischen von allen großen Cloudprovidern angeboten und helfen, den Überblick über die Kontoüberwachung zu behalten.
https://orca.security/