Hacktivisten greifen in den Cyberkrieg ein

Am Donnerstag kündigten Mitglieder von Anonymous auf Twitter an, dass sie Angriffe gegen die russische Regierung starten würden. Die Hacktivisten attackierten einige lokale Regierungswebsites in Russland und legten andere vorübergehend lahm, darunter die Website des russischen Nachrichtensenders RT. Am Freitag behauptete die Gruppe, sie werde die Anmeldedaten für die Website des russischen Verteidigungsministeriums veröffentlichen.

Die Aktionen erfolgten nur wenige Stunden, nachdem Jegor Auschew, Mitbegründer eines in Kiew ansässigen Cybersicherheitsunternehmens, gegenüber der Nachrichtenagentur Reuters erklärt hatte, er sei von einem hochrangigen Beamten des ukrainischen Verteidigungsministeriums gebeten worden, einen Hilferuf an die Hackergemeinde zu veröffentlichen. Aushev sagte, das Verteidigungsministerium suche sowohl nach offensiven als auch nach defensiven Cyber-Akteuren.

Anonymous war nicht die einzige Gruppe, die sich in den Konflikt einmischte. Am Freitag veröffentlichten die Ransomware-Gruppen Conti und CoomingProject Nachrichten, in denen sie die russische Regierung unterstützen.

Conti kündigte offiziell seine volle Unterstützung für die russische Regierung an und schrieb: „Wenn irgendeine Organisation beschließt, einen Cyberangriff oder Kriegsaktivitäten gegen Russland zu organisieren, werden wir alle unsere möglichen Ressourcen einsetzen, um die kritischen Infrastrukturen eines Feindes anzugreifen“.

Viele Experten interpretierten die Botschaft als Antwort auf einen am Donnerstag erschienenen NBC-Bericht, wonach US-Präsident Joe Biden bereits mehrere Optionen für verheerende Cyberangriffe auf die russische Infrastruktur vorgelegt worden seien. Das Weiße Haus dementierte diesen Bericht vehement.

Kurz nach der Veröffentlichung der Nachricht überarbeitete Conti diese und milderte den Ton und die Unterstützung für die russische Regierung ab. In der aktualisierten Erklärung hieß es, Conti werde seine „volle Kapazität nutzen, um Vergeltungsmaßnahmen zu ergreifen, falls westliche Kriegstreiber versuchen sollten, kritische Infrastrukturen in Russland oder einer russischsprachigen Region der Welt anzugreifen“.

„Wir sind mit keiner Regierung verbündet und wir verurteilen den laufenden Krieg. Da der Westen jedoch dafür bekannt ist, seine Kriege in erster Linie gegen Zivilisten zu führen, werden wir unsere Ressourcen einsetzen, um zurückzuschlagen, wenn das Wohlergehen und die Sicherheit friedlicher Bürger durch die amerikanische Cyber-Aggression auf dem Spiel steht“, heißt es in der neuen Conti-Botschaft.

Die Ankündigungen kamen zu einem Zeitpunkt, als die Ukraine weiterhin mit einer Flut von Distributed Denial of Service (DDoS)-Vorfällen, Phishing-Angriffen und Malware konfrontiert war. Laut CERT-UA wurden Phishing-Nachrichten an Militärangehörige verschickt, wobei die Kampagne auf Offiziere des weißrussischen Verteidigungsministeriums zurückgeführt wurde. Die Internetverbindungen im ganzen Land sind nach wie vor unregelmäßig, und Netblocks meldet Ausfälle in mehreren Städten.

Experten äußerten sich äußerst besorgt darüber, dass externe Gruppen in dem Konflikt Partei ergreifen und in ihrem Namen Angriffe starten könnten. Das Cybersecurity-Unternehmen Sophos erklärte, dass die Erklärungen von Conti und Anonymous „das Risiko für alle erhöhen, ob sie an diesem Konflikt beteiligt sind oder nicht“.

„Selbstjustiz-Angriffe in beide Richtungen erhöhen den Nebel des Krieges und erzeugen Verwirrung und Unsicherheit für alle“, so Sophos.

Der Emsisoft-Bedrohungsanalyst Brett Callow bezeichnete die Situation als „unvorhersehbar und unbeständig“, merkte jedoch an, dass Conti in der Vergangenheit kühne politische Behauptungen aufgestellt habe. „Wahrscheinlich ist auch dies nur Getöse, aber es wäre ein Fehler, anzunehmen, dass es sich nur um leere Drohungen handelt“, so Callow.

Casey Ellis, CTO von Bugcrowd, sagte, eine seiner Hauptsorgen bei den jüngsten Entwicklungen sei die relative Schwierigkeit der Zuordnung bei Cyberangriffen sowie die Möglichkeit einer falschen Zuordnung oder sogar einer absichtlichen Operation unter falscher Flagge, die den Konflikt international eskalieren lässt.

Contis Stellungnahme ist angesichts des jüngsten russischen Vorgehens gegen Cyberkriminalität und Ransomware bemerkenswert, da sie darauf hindeutet, dass sie entweder unabhängig agieren, wie es bei den anderen Gruppen der Fall zu sein scheint, oder möglicherweise mit dem Segen des Kremls arbeiten, erklärte Ellis.

Chris Morgan von Digital Shadows merkte an, dass Conti nach der Zahl der Opfer die zweitaktivste Ransomware-Gruppe im Jahr 2021 war. Morgan sagte, dass Conti für mehrere Angriffe auf kritische nationale Infrastrukturen verantwortlich sei, darunter Angriffe auf den Gesundheitssektor in den Vereinigten Staaten, Neuseeland und Irland.

Die irische Regierung hat diese Woche einen Bericht veröffentlicht, in dem es heißt, dass der Ransomware-Angriff von Conti, der sie im letzten Jahr getroffen hat, mehr als 100 Millionen Dollar kosten könnte, um sich davon zu erholen.

„Die Aktivitäten von Conti wurden in letzter Zeit auch dadurch verstärkt, dass sie die Entwickler des berüchtigten Trojaners Trickbot angeheuert haben, was es ihnen auch ermöglicht hat, die Entwicklung einer anderen Malware, der BazarBackdoor, zu kontrollieren, die die Gruppe nun als ihr primäres Einstiegswerkzeug verwendet. Conti definiert ihre Arbeitsprozesse ständig neu und entwickelt sie weiter und sollte als ein einfallsreicher und raffinierter Gegner betrachtet werden“, so Morgan.

Der Recorded Future-Experte Allan Liska erklärte gegenüber ZDNet, dass die Bedrohung durch Ransomware-Gruppen, die sich zu Vergeltungsmaßnahmen entschließen, real ist und Anlass zur Sorge geben sollte. „Wenn man bedenkt, was für ein Chaos bei Conti gerade herrscht, fällt es mir schwer zu glauben, dass sie ein Mittagessen im Büro organisieren können, geschweige denn eine gezielte Vergeltungsmaßnahme. Davon abgesehen wissen wir, dass Ransomware-Gruppen mehr Ziele haben, als sie im Moment treffen können, und wir wissen, dass Ryuk, als es sich entschloss, 2020 Vergeltung an den USA zu üben, dies problemlos tun konnte“, so Liska.

„Ob es sich nun um Ransomware-Gruppen, Anonymous oder die Ukraine handelt, die ‚Cyber-Patrioten‘ zur Unterstützung aufruft: Unabhängige Cyber-Aktivitäten werden in Zukunft Teil jeder militärischen Aktion sein. Ich sage nicht, dass das eine gute Idee ist, es ist einfach die Realität.“

Neue und besorgniserregende Entwicklung

Der leitende Analyst von Flashpoint Andras Toth-Czifra erklärt, dass die Beteiligung von Hacktivisten an bewaffneten Konflikten keine neue Entwicklung sei und erklärten, dass Anonymous schon früher Regierungen angegriffen habe. Aber wie Liska sagte auch Toth-Czifra, dass Ransomware-Gruppen, die offen mit der russischen Regierung zusammenarbeiten, eine „neue und besorgniserregende Entwicklung“ seien.

„Bisher haben die Flashpoint-Analysten in den illegalen Gemeinschaften keinen nennenswerten patriotischen Stolz auf die russische Aggression gegen die Ukraine beobachtet, was mit der Reaktion der russischen Öffentlichkeit im Allgemeinen übereinstimmt. Die Situation unterscheidet sich von der Entstehung „patriotischer Hacker“ im Zusammenhang mit Russlands Krieg gegen Georgien im Jahr 2008: Viele russischsprachige Cyberkriminelle leben entweder selbst in der Ukraine oder haben ukrainische Partner oder eine ukrainische Infrastruktur“, erklärte Toth-Czifra.

„Aber auch wenn der Cyber-Untergrund bisher weitgehend neutral geblieben ist, sollte man nicht vergessen, dass die Ukraine in den letzten Jahren mit westlichen Strafverfolgungsbehörden gegen Ransomware-Banden zusammengearbeitet hat, was das Kalkül der Ransomware-Kollektive beeinflussen könnte. Bislang hat Flashpoint gesehen, dass eine andere produktive Ransomware-Bande (LockBit) angedeutet hat, dass sie neutral bleiben würde“.

Am Freitag berichtete die BBC über eine russische Hackergruppe, die täglich nach Feierabend ukrainische Regierungsserver mit DDoS-Angriffen überflutet. Ein Hacker gab zu, 20 Bombendrohungen per E-Mail an Schulen verschickt, eine offizielle ukrainische Regierungs-E-Mail-Adresse eingerichtet und sich in die Dashboard-Feeds ukrainischer Beamter gehackt zu haben. Der Hacker prahlte offen mit der Selbstjustiz, die er für die Zukunft plant und die auch den Einsatz von Ransomware umfasst.

Zahlen Cyberversicherungen im Cyberkrieg?

Karen Walsh, CEO von Allegro Solutions, sagte, dass die Conti-Erklärung auch für Unternehmen mit Cyber-Versicherungsverträgen, die Ausnahmen für Cyber-Angriffe im Zusammenhang mit Kriegen vorsehen, eine gewisse Verwirrung mit sich bringen könnte. „Je nachdem, wie die Rechtsexperten des Militärs Conti und alle Ransomware-Angriffe einstufen, die von Cyber-Bedrohungsakteuren verübt werden, die „im Namen Russlands“ handeln, könnten Unternehmen feststellen, dass ihre Cyber-Haftpflichtversicherung ihnen nicht hilft. Im November veröffentlichte die Lloyd’s Market Association Aktualisierungen ihrer Cyber-Haftpflichtpolicen, die sich speziell mit dem Kriegsausschluss befassen“, so Walsh.

„Diese Änderungen beziehen sich insbesondere auf Cyberoperationen, die im Rahmen eines Krieges durchgeführt werden. Als Teil der Risikominderung sollten Unternehmen damit beginnen, ihre Cyber-Haftpflichtversicherungsausschlüsse zu überprüfen und sicherstellen, dass ihre Versicherer zu ihrer Position stehen.“ Normalerweise haften Versicherungen nicht für Kriegsschäden.

Kostenlose Angebote

Vectra AI, ein führender Anbieter von KI-gestützter Bedrohungserkennung und – reaktion für Hybrid- und Multi-Cloud-Unternehmen, hat heute auf den sich ausweitenden Ukraine-Russland-Konflikt reagiert. So bietet Vectra Unternehmen, die befürchten, dass sie infolge dieses Konflikts zur Zielscheibe werden könnten, eine Reihe kostenloser Cybersecurity-Tools und -Dienste an.

In den vergangenen Tagen wurden Websites und Geldautomaten von Banken sowie Computernetzwerke des Militärs durch Cyberangriffe lahmgelegt. Desinformationskampagnen, die Panik schüren sollen, verbreiteten sich in mobilen Netzen.  „Die Eskalation von Cyberkonflikten wird zu unvorhergesehenen Konsequenzen führen“, erklärt Hitesh Sheth, President und CEO von Vectra AI. „Keine öffentliche oder private Organisation kann sicher sein, dass sie dabei nur Zuschauer bleibt.“

Das Unternehmen verfolgt aktiv neue Angriffsindikatoren im Zusammenhang mit dem Konflikt in der Ukraine und in Russland sowie mit anderen Konflikten auf der ganzen Welt.

 Zur sofortigen Unterstützung in der aktuellen Notsituation bietet Vectra AI die folgenden Services kostenlos an:

• Scannen von Microsoft Azure AD- und M365-Umgebungen auf Anzeichen von Angriffsaktivitäten.
• Überwachung der AWS-Infrastruktur auf Anzeichen aktiver Angriffe, zusätzlich zur Bereitstellung von Erkennungs- und Reaktionstools sowohl für das Netzwerk als auch die Steuerungsebene von AWS-Konten.
• Überwachung der Netzwerkinfrastruktur sowohl in der Cloud als auch in On-Premises-Umgebungen auf Anzeichen von Angriffen, einschließlich der Bereitstellung von Vectra-Sensoren, die speziell für die Erkennung von kriminellen Verhaltensmustern entwickelt wurden.
• Unterstützung der Speicherung historischer Metadaten zur Unterstützung von Incident-Response-Untersuchungen auf der Grundlage von Kompromissindikatoren (IOCs) für bestimmte Angriffsvarianten.

Angriffe, die bisher russischen Akteuren zugeschrieben wurden, sind dafür bekannt, die Microsoft Enterprise Cloud zu stören und Zugang zu wichtigen Informationen zu erlangen. Mit der Übernahme von Siriux ist Vectra AI in der Lage, kriminelle Aktivitäten in Microsoft Azure Active Directory, die zur Kompromittierung von Exchange Online-Postfächern führen könnten, sofort zu erkennen. Vectra AI wird außerdem einen kostenlosen Siriux-Scan für Institutionen und Unternehmen anbieten, die glauben, dass sie Ziel eines Angriffs sein könnten.

„Während der Konflikt eskaliert und die Cyber-Risiken steigen, möchte Vectra AI Teil der Lösung sein“, so Sheth. „Wir glauben, dass wir gemeinsam die Risiken, die mit Cyberangriffen von Nationalstaaten verbunden sind, erheblich reduzieren können. Indem wir unsere Produkte und Services in dieser Krise kostenlos anbieten, hoffen wir, dass wir mehr Organisationen dabei helfen können, sich zu schützen.“