Eins der größten Gefahren für Unternehmen ist e-Crime. 79 % aller Cyberangriffe im Jahr 2020 gingen auf das Konto von eCrime-Akteuren. Diese kriminellen Gruppen können innerhalb weniger Stunden nach einer Störung ihren Betrieb wieder aufnehmen.
eCrime-Kartelle: gemeinsame PR
Das Emotet-Beispiel zeigt deutlich, wie agil und eng vernetzt die einzelnen Akteure untereinander sind. Auch eine engere Zusammenarbeit scheuen die SPIDER-Gruppen nicht, was die Bildung von selbst-bezeichneten “Kartellen” verdeutlicht.
Vor wenigen Monaten, im Juni 2020, wurde das sogenannte ,Maze-Kartell’ von einigen eCrime-Akteuren gegründet. Anführer ist nach eigener Aussage die Gruppe TWISTED SPIDER, die gemeinsam mit VIKING SPIDER und den Betreibern der LockBit-Ransomware kooperieren. TWISTED SPIDER behauptet zudem, dass auch der Betreiber von SunCrypt und WIZARD SPIDER Teil des Kartells seien, dies wurde jedoch nicht bestätigt.
Lesen Sie hier Teil 1 der eCrime-Ökosystem-Serie
Wie dieses sogenannte “Kartell” kooperiert, veranschaulicht ihre gemeinsame PR- und Marketingstrategie: Ganz dem Trend nach veröffentlichte das Maze-Kartell erbeutete Daten aus ihren Operationen auf ihren sogenannten Data Leak Sites (DLS). Während allerdings die meisten der Spinnen-Akteure nur die eigenen, in mühevoller Handarbeit geklauten, Daten auf der eigenen Seite im Angebot haben, boten die Mitglieder des Kartells auch entwendete Daten von anderen Kartellmitgliedern an. Vermutlich konnten sie so ein breiteres Publikum mit dem Angebot erreichen.
Spannend hierbei ist die Kollusion: Der Vergleich zu legitimen Verkäufern, welche die gleiche Ware auf mehreren Online-Portalen anbieten, liegt auf der Hand. Werden analog dazu die gleichen Daten auf mehreren DLS zum Verkauf angeboten, werden gewissermaßen die “Marketing-Kosten” durch die “Partnerschaft” gesenkt. Ohne Mehrausgaben erreicht jeder Verkäufer mehr mögliche Käufer.
TWISTED SPIDER kündigte im November 2020 das Ende der Maze-Operationen an und erklärte, es hätte nie ein Maze-Kartell gegeben. Nach Einschätzung von CrowdStrike Intelligence hat sich die Gruppe vermutlich nur umbenannt und ist von der Maze Ransomware auf die neuere Ransomware Egregor gewechselt. Gestützt wird diese Vermutung durch die hohen Code-Überschneidungen zwischen Maze und Egregor, einem Anstieg der Egregor-Aktivitäten, die mit einem Rückgang der Maze-Infektionen zusammenfallen, sowie der Ähnlichkeit der Taktiken und des Layouts der dazugehörigen DLS (z. B. Daten des Opfers nach Prozentsätzen gestaffelt zu veröffentlichen).
Doppelte Erpressung: Lösegeldforderung mit Datenleak-Erpressung
Das Ende des “Maze-Kartells” war aber nicht das Ende der Kartell-Gedanken. Am 22. Dezember 2020 erschien ein neuer Beitrag auf der im Tor-Netzwerk gehosteten DLS der Ransomware MountLocker. Er trug den dem Titel „Cartel News“ und enthielt Einzelheiten über ein Opfer von VIKING SPIDERs Ransomware Ragnar Locker. Die Veröffentlichung deutet auf das ungebrochene Interesse solcher Gruppen hin, ihre Marketingaktivitäten zusammenzulegen, um mit vereinten Kräften eine größere Bekanntheit zu erlangen. Wahrscheinlich dient das Publizieren der gegenseitigen Operationen dazu, den Ruf dieser Big Game Hunting-Gruppen zu stärken. “Big Game Hunter”, kurz “BGH”, wörtlich Großwildjäger, nennt CrowdStrike jene eCrime-Akteure, die sich auf immer größere, komplexere Netzwerke spezialisiert haben, um immer höhere Lösegeldsummen fordern zu können.
Die BGH-Ransomware-Kampagnen waren 2020 die primäre eCrime-Bedrohung für Unternehmen auf der ganzen Welt und in allen Branchen: CrowdStrike Intelligence identifizierte mindestens 1.377 individuelle Infektionen durch BGH-Aktivitäten. Ebenfalls erwähnenswert für dieses Jahr ist auch der oben angesprochene, aber weiter zunehmende Trend, bei dem Ransomware-Betreiber ihren Opfern mit der Veröffentlichung von Daten drohen und diese Drohungen über ihre Data Leak Sites auch regelmäßig wahr machen. Durch diese Taktik sollen die Opfer höchstwahrscheinlich zur Zahlung gezwungen werden. Allerdings ist dieses Vorgehen wohl auch als Reaktion auf die verbesserten Sicherheitspraktiken der Unternehmen zu verstehen: Immer mehr Organisationen steuern der Fremdverschlüsselung ihrer Daten entgegen, indem sie ausgeklügeltere Backup-Konzepte betreiben (und regelmäßig testen!), um ihre Sicherungskopien im Ernstfall tatsächlich verwenden zu können.
Keine 10 Minuten – kurze Breakout time
Obwohl die meisten Ransomware-Operationen opportunistisch sind, identifizierte CrowdStrike Intelligence die höchste Zahl an Ransomware-Operationen mit Datenerpressung in diesem Jahr im Industrie- und Maschinenbausektor, dicht gefolgt vom produzierenden Gewerbe. Die Gefahr Ransomware wird in den kommenden Jahren nach aller Erwartung weiter eskalieren. Besonders folgenden Faktor sollten heutige Unternehmen bei eCrime-Akteuren nicht unterschätzen: ihre Geschwindigkeit.
Enorm kurze „Ausbruchszeiten“, also die Zeit, die ein Angreifer braucht, um vom ersten gekaperten Rechner tiefer ins Netzwerk einzudringen, wurden bei eCrime-Akteuren im vergangenen Jahr beobachtet. Das gilt insbesondere für den erfahrenen BGH-Ransomware-Angreifer WIZARD SPIDER. Die Gruppe hat teilweise eine Breakout-Time von weniger als zehn Minuten.
Diese bemerkenswerte Geschwindigkeit fordert die Sicherheitsapparate in Unternehmen massiv heraus. Sobald eCrime-Gruppen beginnen, nach ihrem Erstzugriff, der beispielsweise durch das Öffnen einer Schaddatei in einer E-Mail erfolgt, sich lateral von einem Endgerät zum nächsten zu bewegen, steigen die Kosten, Komplexität, und auch die benötigte Zeit immens, um den Vorfall vollständig einzudämmen. Die Grenze zum Major Incident (und täglich grüßt das ITIL-Tier!) wird schnell überschritten, dicht gefolgt von einer Bringschuld an die Datenschutzbehörden.
Dass ein schneller Angreifer eine schnelle Reaktion erfordert, ist klar. Wie schnell diese jedoch genau sein muss, ist oftmals unklar. Die Tatsache, dass heutige Akteure eine Breakout-Time von weniger als zehn Minuten haben, unterstreicht die Bedeutung der 1/10/60-Regel von CrowdStrike für die Praxis. Sie besagt, dass Sicherheitsteams maximal eine Minute brauchen sollten, um einen Angriff technisch zu erkennen, maximal 10 Minuten, um ihn menschlich zu verstehen (oder zumindest eine ordentliche Ersttriage durch einen Analysten durchzuführen) und 60 Minuten, um ihn wieder technisch einzudämmen. Die Ausbruchszeit ist für Verteidiger wichtig zu verstehen, da sie die Parameter des Wettlaufs zwischen Angreifern und Verteidigern definiert. Durch die Reaktion innerhalb des Breakout-Zeitfensters sind Verteidiger in der Lage, die von den Angreifern verursachten Kosten und Schäden zu minimieren. Wer die 1/10/60-Herausforderung nicht schafft, läuft jeden Tag Gefahr, die Schlagzeile von morgen zu sein.
Lesen Sie hier Teil 1: Ein Spinnennetz mit ausgeklügelter Struktur