Barracuda full logo

Steigerung der Zusammenarbeit zwischen Cyberkriminellen

Themen:
15. Sept.. 2023
|
Tony Burgess

Sie wissen wahrscheinlich schon, dass das Bild von Cyberkriminellen als einsamen Hackern, die irgendwo in einem Keller auf eigene Faust schuften – sei es zum eigenen Vergnügen, um Ruhm unter anderen Hackern zu erlangen oder um bestimmte Ziele zu sabotieren oder zu bestehlen – weit von der modernen Realität entfernt ist.

Heute sind Cyberkriminelle organisiert und anspruchsvoll und agieren eher wie moderne Softwarefirmen oder traditionelle Familien der organisierten Kriminalität. Oder um präziser zu sein, hat sich das traditionelle organisierte Verbrechen in den Bereich der Internetkriminalität bewegt und die älteren „Mom-and-Pop“-Operatoren verdrängt.

Einige der berüchtigteren Gangs sind Cobalt, Lazarus, MageCart und Evil Corp.

Spezialisierung auf Cyberkriminalität

Jede dieser Gangs hat ihre eigene Spezialität und ihre eigene Motivation – die nicht nur finanzieller Natur sein muss.

  • Cl0p ist eine Gruppe, die Pionierarbeit bei der Verwendung von Ransomware für „doppelte Erpressung“ geleistet hat – zuerst wird eine Zahlung im Austausch für einen Entschlüsselungscode verlangt und dann eine zweite Zahlung im Austausch dafür, dass die Daten, die nicht nur verschlüsselt, sondern auch gestohlen wurden, nicht weitergegeben werden.
  • REvil ist eine Ransomware-as-a-Service-Gang, die in den letzten Jahren für Schlagzeilen gesorgt hat, indem sie Angriffe im Namen zahlender Kunden startete und die Gewinne mit ihnen teilte. Die russischen Behörden gaben an, die Gruppe im Jahr 2022 aufgelöst und mehrere ihrer Mitglieder festgenommen zu haben.
  • Die Syrian Electronic Army gilt als hacktivistische Gruppe, weil ihr Hauptziel die Verbreitung von Propaganda und Fake News über glaubwürdige Kanäle ist.
  • DarkSide bietet Cybercrime-as-a-Service und ist bekannt für Angriffe auf große Unternehmen und industrielle Infrastrukturen. Diese Gang veranstaltet auch Foren, in denen die Teilnehmer lernen, ihre Fähigkeiten im Bereich der Cyberkriminalität zu verbessern, zum Beispiel durch die strategische Kombination verschiedener Angriffsarten.
  • MageCart ist ein Sinnbild für einen neueren Trend, da es sich um ein Syndikat handelt, das aus verschiedenen Gangs besteht, die zusammenarbeiten. Es konzentriert sich auf E-Commerce Hacking, das gegen große Unternehmen wie British Airways gerichtet ist und die Kreditkartendaten von Hunderttausenden von Menschen gestohlen hat.

Inter-Gang-Zusammenarbeit

Zwei aktuelle Berichte von Security Intelligence dokumentieren den wachsenden Trend, dass mehrere Gangs zusammenarbeiten, um ihre Effizienz und ihre Einnahmen zu steigern.

In einem Artikel aus dem Jahr 2019 stellte Security Intelligence fest, dass Daten aus dem IBM X-Force Threat Intelligence Index 2019 eine bisher unbekannte Zusammenarbeit zwischen Gruppen aufgedeckt haben, die mit verschiedenen Arten von Trojanern auf den Bankensektor abzielen. Die Studie ergab insbesondere, dass zwei beliebte Trojaner, TrickBot und IcedID, von den jeweiligen Banden, die sie betreiben, so modifiziert wurden, dass sie zusammenarbeiten und sich gegenseitig in infizierte Systeme einschleusen. Er stellte fest, dass Cybercrime-Gangs zwar oft die Taktiken der anderen kopieren, dass aber die Innovationen in diesen beiden Trojanern eindeutig auf eine bewusste Zusammenarbeit zwischen den beiden Gruppen hinweisen.

Darüber hinaus wurde festgestellt, dass TrickBot zunehmend zur Einführung von Ryuk eingesetzt wurde – einer Art von Ransomware, die zu dieser Zeit innovativ war, weil sie ausgeklügelte Methoden einsetzte, um die wertvollsten Daten eines Ziels ausfindig zu machen.

Im selben Bericht identifizierte Security Intelligence weitere Nachweise für die Inter-Gang-Zusammenarbeit mit der Verwendung von Gozi- und Ramnit-Malware.

Zusammenarbeit 2022

In einem Bericht aus 2022 zum diesjährigen IBM X-Force Threat Intelligence Index konzentrierte sich Security Intelligence auf die Cyberkriminalitätsgruppe ITG23, die TrickBot entwickelte und ständig weiterentwickelte Versionen bereitstellt.

In diesem Bericht wurden Daten zur Verwendung von Kryptowährung analysiert, die von ITG23 erstellt wurde. Crypter sind Anwendungen, die dazu dienen, Malware so zu verschlüsseln, dass sie für Antivirenscanner nicht erkennbar ist.

Die Analyse stellte fest, dass im Laufe des Vorjahres Versionen der Crypter von ITG23 von einer großen Anzahl von Cyberkriminalitätsgruppen außer ITG23 verwendet wurden, darunter die Entwickler von Emotet, IcedID, Qakbot und MountLocker. Das ist ein deutlicher Hinweis darauf, dass diese Gruppen mit ITG23 zusammenarbeiten.

Weitere Beweise deuten darauf hin, dass ITG23 den Einsatz seiner früheren Flaggschiff-Malware TrickBot und BazarLoader reduziert oder eingestellt hat. Gleichzeitig haben sie die Entwicklung von Cryptern beschleunigt, indem sie eine Crypter-„Build Machine“ entwickelt haben, die im Wesentlichen die Massenproduktion von Crypter-Anwendungen automatisiert. Das ist ein weiteres Indiz dafür, dass die Wirtschaft der Cyberkriminalität auf einer weitreichenden Zusammenarbeit zwischen unterschiedlichen Gruppen beruht.

Die wichtigsten Erkenntnisse

Was bedeutet das für Unternehmen und IT-Experten wie Sie? Das Fazit ist, dass sich die Bedrohungslandschaft schnell verändert, da kriminelle Banden die Effizienz, die sich durch Zusammenarbeit und Spezialisierung erzielen lässt, für sich entdecken und ausnutzen. Das wiederum bedeutet, dass der anhaltende Ansturm von Ransomware-Angriffen und groß angelegten Datenschutzverletzungen weiter anhalten wird.

Sicherheitsstrategien und -technologien werden natürlich darauf reagieren, indem sie neue Methoden zur Bekämpfung dieser Angriffe entwickeln, aber die Ziele werden weiterhin Schaden erleiden. Und das bedeutet, dass es für Unternehmen aller Art von entscheidender Bedeutung ist, die Schlüssel zur schnellen und effektiven Wiederherstellung von Ransomware zu kennen, um die betrieblichen und anderen Auswirkungen zu minimieren.

  • Übung macht den Meister! Der beste Ratschlag für den Besuch der Carnegie Hall ist auch der beste Ratschlag für den effektiven Umgang mit Sicherheitsvorfällen. Sie müssen einen Reaktionsplan entwickeln, der mehrere Rollen einbezieht – und Sie müssen ihn üben, indem Sie verschiedene Szenarien durchspielen, die auf den wertvollsten und/oder anfälligsten Systemen Ihres Unternehmens basieren.
  • Backup! Wenn Ihre Daten verschlüsselt, zerstört oder sabotiert wurden, ist der wichtigste Faktor bei der Wiederherstellung die Möglichkeit, diese Daten so schnell wie möglich aus einem Backup wiederherzustellen. Fortschrittliche Lösungen wie Barracuda Backup und Cloud-to-Cloud Backup machen es außerordentlich einfach und schnell, genau zu spezifizieren, welche Dateien und/oder Server wiederhergestellt werden müssen, und diese wiederherzustellen, um kostspielige Ausfallzeiten zu minimieren.
  • Schützen! Verhindern Sie die überwiegende Mehrheit der Angriffe, indem Sie sicherstellen, dass Sie alles getan haben, um Ihr E-Mail-System – den bei weitem wichtigsten Vektor für Angriffe – vollständig zu schützen. Eine umfassende, voll funktionsfähige E-Mail-Schutzplattform wie Barracuda Email Protection kombiniert fortschrittlichen Virenschutz, Schutz des Posteingangs, Schutz vor Identitätsmissbrauch, Schulungen zum Sicherheitsbewusstsein, automatische Incident Response und vieles mehr, um erfolgreiche Eindringlinge in Ihr System auf ein absolutes Minimum zu beschränken. Fortschrittliche Anwendungssicherheit, wie sie Barracuda Application Protection bietet, ist auch ein wirksames Mittel zur Bekämpfung moderner Multi-Vektor-Angriffe.

Um detailliertere Informationen über die Entwicklung von Ransomware zu erhalten – Informationen, die Ihnen helfen können, Ihre Cybersecurity-Ressourcen so effektiv wie möglich einzusetzen – laden Sie den Bericht zu den Barracuda 2023 Ransomware Insights herunter.

Bericht: 2023 Einblicke in Ransomware
Tony Burgess

Der Veteran Tony Burgess ist seit zwanzig Jahren in der IT-Sicherheitsbranche tätig und Senior Copywriter von Barracuda für Content und Customer Marketing. In dieser Funktion beschäftigt er sich mit komplexen technischen Themen und fasst seine Erkenntnisse in verständlicher, nützlicher und von Menschen lesbarer Prosa zusammen.

Hier können Sie sich auf LinkedIn mit Tony vernetzen.

Verwandte Beiträge:
Die SOC-Fallakten: Die Akira-Ransomware nutzt das Remote-Management-Tool des Opfers gegen sich selbst
Die SOC-Fallakten: Die Akira-Ransomware nutzt das Remote-Management-Tool des Opfers gegen sich selbst
 Cyberkriminelle werden immer jünger und gefährlicher
Cyberkriminelle werden immer jünger und gefährlicher
Lazarus-Gruppe: Eine kriminelle Vereinigung mit einer Fahne
Lazarus-Gruppe: Eine kriminelle Vereinigung mit einer Fahne
 Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.