APT und gezielte Angriffe
Cyberkriminalität und die Politik
Die Cyberkriminalität, wie wir sie heutzutage wahrnehmen, ist zum Teil auch durch die Politik geprägt. Gerade der aktuelle Krieg hat Auswirkungen auf den cyberkriminellen Untergrund: Ein Wandel der Rolle der Ukraine und eine Rekrutierungsmesse für Kriminelle?
Save to Folio
Vor ziemlich genau einem Jahr hab ich die Auswirkungen von Kryptowährungen auf den digitalen Untergrund beschrieben: Ihr Aufkommen hat der Cybercrime-Methode Ransomware zum Erfolg verholfen und dafür gesorgt, dass die Cyberkriminellen heute daran arbeiten, ihre Prozesse im Zusammenhang mit Angriffen zu verfeinern und sich auf Teilbereiche zu spezialisieren. Aber es gibt auch weitere Faktoren, die die moderne Cyberkriminalität prägen. So stellt sich etwa die Frage, welche Rolle die Politik für den digitalen Untergrund spielt. Cyberkriminelle Aktivitäten gibt es in jedem Land, und politische Entscheidungen unterstützen diese Aktivitäten, zum Teil ungewollt. Nun befindet sich mit Russland gerade ein Land im aktiven Krieg, welches, wie kein anderes, den cyberkriminellen Untergrund gestaltet hat.
Zuerst vor der eigenen Haustür kehren
Deutschland steht bezüglich cyberkrimineller Aktivitäten nicht nur auf der Opferseite. „Bullet Proof Hoster“, welche die Infrastruktur für Kriminelle bereitstellen, sind bei uns sehr aktiv. Laut der Trend Micro Halbjahresstatistik 2022 steht Deutschland für gehostete, als bösartig bekannte URLs auf Platz zwei hinter den USA und auf Platz drei (hinter USA und Russland) als Heimat für Bot-Server.
Länder in der Europäischen Union sind deshalb gefragte Standorte für cyberkriminelle Infrastruktur, weil starke Datenschutz- und Persönlichkeitsrechte die polizeiliche Strafverfolgung erschweren und so Tätern eine gewisse Vorlaufzeit bieten, um ungestraft agieren zu können. Wie leider so oft ist die Kriminalität ein Nebenprodukt einer freiheitlich orientierten Politik. Polizeiliche Erfolge wie z.B. der Takedown des „Cyberbunkers“ zeigen aber auch, dass es nicht unmöglich ist, gegen die Täter vorzugehen.
Die USA – die Mutter des Dark Webs
Bekannt als das Land der freien Meinungsäußerung sind die USA auch heute noch Heimat aller offiziellen Seiten mit politischen Inhalten, inklusive solcher, die in Ländern wie z.B. Deutschland verboten sind. Der freie, ungehinderte Meinungsaustausch ist eines der fundamentalsten Rechte in der amerikanischen Politik. Um auch Menschen in totalitären Staaten diesen Austausch zu ermöglichen, wurde 2002 das so genannte TOR (The Onion Router)-Projekt ins Leben gerufen. Es sollte allen den durch Staaten nicht kontrollierbaren Austausch von Informationen ermöglichen. Leider waren es nicht nur aufrechte Menschen, welche die neue komplett anonymisierte weltweite Kommunikationsplattform nutzten.
Neben seinem ursprünglichen Zweck ist das Darkweb deshalb heute ein zentrales Element der Untergrundwirtschaft, die es einer globalisierten Täterschaft erlaubt, alle kriminellen Aktivitäten zu koordinieren. Die Cyberkriminalität wäre ohne Darkweb so nicht denkbar. Die USA führen heute dank verschiedenster Rechtsprechung in einzelnen Staaten praktisch jede cyberkriminelle Statistik an, sowohl auf Opferseite als auch als Standort für Infrastruktur. Es werden auch immer noch Einzelakteure verhaftet aber die besonders „schweren Jungs“ der modernen Cyberkriminalität sitzen wo anders.
Ukraine – politischer Wandel auch in der Cyberkriminalität
Aufgrund der sprachlichen und auch kulturellen Nähe gab es im Bereich der Cyberkriminalität lange Verbindungen zwischen dem ukrainischen und russischen Untergrund. Als Beispiel mag hier eine der erfolgreichsten Angreifergruppen der vergangenen Jahre herhalten – Emotet. Auch wenn noch nicht final geklärt wurde, wie groß die Gruppe tatsächlich ist (nicht „war“!), so gilt es als sicher, dass der zentrale Standort ihrer Infrastruktur im Januar 2021 durch die ukrainische Polizei in Zusammenarbeit mit Europol stillgelegt und viele Täter verhaftet wurden. Emotet verschwand für mehrere Monate praktisch von der Bildfläche, bevor es im November 2021 erste Anzeichen eines Wiedererstarkens der Gruppe gab. Nach Trend Micro Halbjahresstatistik 2022 ist sie derzeit vor allem in Japan aktiv.
Deren Angriffsmethode wird heute vor allem bei der russischen Ransomware-as-a-Service-Gruppe Conti beobachtet, die auch schon vor dem Takedown zu den Partnern von Emotet gehört hatte. Dieser Takedown ist nicht nur ein polizeilicher Erfolg, sondern markiert auch einen signifikanten politischen Wandel im Bereich der Cyberpolitik der Ukraine. Galten vor Emotet ukrainische Ransomware-Kriminelle im Land praktisch als genauso sicher wie ihre russischen (häufigen) Komplizen, so änderte sich dies 2021. Ähnlich wie ihre EU Kollegen, nahm auch die ukrainische Polizei die Gelegenheit wahr, um der Cyberkriminalität offiziell den Kampf anzusagen. Vor allem die Zusammenarbeit mit Europol ist hier hervorzuheben. Tatsächlich kennen Strafverfolgungsbehörden häufig die Täter, haben aber ohne Kooperation mit der zuständigen Polizei keine Möglichkeit zuzugreifen. Erfolgen die Straftaten außerhalb der Grenze des eigenen Landes ist es daher nicht selbstverständlich, dass selbst bekannte Täter verhaftet werden können. Internetkriminelle sitzen deshalb häufig in Ländern, die kein Auslieferungsabkommen mit jenen haben, in denen die Taten begangen werden. Das Beispiel „Emotet“ zeigt daher auch die Wichtigkeit der politischen Zusammenarbeit bei der Bekämpfung von Cyberkriminalität.
Russland – der sicherer Hafen
Bereits vor 2022 war bekannt, dass sich die kriminellen Schwergewichte des digitalen Untergrunds in Russland befinden. Angreifergruppen wie Conti und REvil gaben sich schon immer alle Mühe, selbst bei Massenangriffen wie auf Kaseya keine Länder der Eurasischen Wirtschaftsunion zu treffen. Aus Leaks der Gruppe Conti ist bekannt, dass die Gang eher ein „mittelständisches Unternehmen“ mit über 150 Mitarbeitern ist. Derartige Organisationsstrukturen sind nicht unsichtbar.
Westliche Strafverfolgungsbehörden sowie Politiker bemängelten vor 2022 häufig, dass keinerlei Zusammenarbeit mit der russischen Polizei möglich war, um die Täter zu verhaften. Der russische Untergrund ist deshalb bereits seit Jahren der quantitativ größte und aktivste. Die Taten richten sich vorwiegend gegen Europa und die USA. Aufgrund der Entwicklungen der letzten Jahre muss zudem davon ausgegangen werden, dass hier hoch spezialisierte Experten zusammenarbeiten. So wird ein Großteil der Unternehmensopfer derzeit nicht mehr nur durch automatisierte Werkzeuge angegangen, vielmehr sind menschliche Hacker direkt involviert mit einem Skillset vergleichbar mit erfahrenen Pentestern.
Die Entwicklung 2022
2022 startete für die Cybersecurity mit einem „positiven“ Paukenschlag. Russland verhaftete zum ersten Mal in seiner Geschichte Cyberkriminelle. Betroffen war die Gruppe REvil, die hinter Angriffen auf Kaseya und auch die Colonial Pipeline stand. Was im Januar noch als Zeichen der Annäherung verstanden wurde, dürfte im Licht der im Februar erfolgten Kriegserklärung heute anders bewertet werden. Da Russland wie oben beschrieben physische Heimat der meisten Cyberkriminellen ist, muss der Krieg eine Auswirkung auf deren Aktivitäten haben.
So erklärte die bis dahin erfolgreichste cyberkriminelle Gang Conti bereits im Februar ihre uneingeschränkte Solidarität mit den russischen Kriegsführern -- Ein Schritt, der nicht von allen „Mitarbeitern“ der Gruppe begrüßt wurde. Die offene Unterstützung für Russland hatte allerdings den Effekt, dass dadurch amerikanische Embargo-Vorschriften (OFAC) gelten und Firmen sowie Individuen, die Gelder an Conti überweisen, sich nach US-Recht strafbar machen. Conti wurde dadurch zur Rücknahme seiner Solidarität gezwungen und verkündete im Mai sich aufzulösen. Die Wahrscheinlichkeit, dass es sich hierbei lediglich um den Aufbau neuer Infrastruktur sowie ein Rebranding handelt, ist allerdings hoch.
Der Krieg – eine Rekrutierungsmesse für Cyberkriminelle?
Neben dem vorwiegend konventionell geführten Krieg Russlands gegen die Ukraine findet auch im Cyberuniversum ein Schlagabtausch statt. Auf beiden Seiten agieren Hacker, um sowohl offensiv als auch defensiv dem Gegner weh zu tun. Dabei handelt es sich nicht nur um staatliche Organisationen sondern in vielen Fällen um so genannte Hacktivisten, die ihr Können für die aus ihrer Sicht „richtige Sache“ einsetzen – ohne finanziellen Fokus. Hacktivisten greifen dabei nicht nur die Gegenseite direkt an, sondern auch diejenigen, die sie für Unterstützer dieser Seite halten. Sie treten dabei in Kontakt mit Spezialisten, von denen sie lernen, um selber erfolgreicher zu werden.
Nach Ende des Krieges werden viele dieses Spezialwissen weiter einsetzen – als Söldner oder Verbrecher. Dieser Mechanismus ist in sämtlichen Kriegen der Menschheit identisch. Der cyberkriminelle Untergrund bietet dabei allerdings bislang unerforschte Möglichkeiten: Straffreiheit, wenn man in bestimmten Regionen agiert, Möglichkeiten, einfach an Geld zu kommen, Kontakt zu Gleichgesinnten ohne abgehört zu werden, Austausch von Spezialwissen sowie geringes Risiko für das eigene Leben. Für viele Hacktivisten und Cyberkrieger wird der Weg in die Kriminalität einfach werden. Die Warnung des BSI sollte deshalb keinesfalls nur auf den Krieg bezogen werden. Egal wie dieser ausgeht, die Wahrscheinlichkeit ist hoch, dass sich die Lage eher verschlimmert als verbessert.
Auf Verteidigerseite
Wenn erfahrene Cyberkriminelle ihre Kräfte zumindest teilweise auf die Ukraine fokussieren, bedeutet dies paradoxerweise eher eine „Entlastung“ für Unternehmen in anderen Ländern. Der Effekt ist, dass die Anzahl der Angriffe beispielsweise in Deutschland zwar nicht nachlässt, aber die Auswirkungen geringer ausfallen. So vermeldete beispielsweise kürzlich die Bitcom, dass durch Cyberkriminalität verursachte Schäden in Deutschland um knapp 10% zurückgegangen seien.
Laut einer weltweiten Trend Micro-Studie mit knapp 3000 Teilnehmern (aus Unternehmen mit mehr als 250 Mitarbeitern) gaben 67% an, in den letzten drei Jahren mit Ransomware angegriffen worden zu sein. Bei 85% der Angriffe wurden Daten verschlüsselt, in 74% der Fälle wurden Daten der Opfer zusätzlich veröffentlicht (leak) – in 67% der Fälle wurden Kunden und/oder Partner des Opfers durch die Angreifer vom Datenverlust informiert.
Dieses Vorgehen (Triple Extortion) ist Standard für so genannte Ransomware-as-a-Service Angreifergruppen, die mehrere Vektoren der Erpressung aufbauen, um den Druck auf die Betroffenen zu erhöhen. Im ersten Halbjahr 2022 stellte Trend Micro fest, dass 57 solcher Gruppen zusammen 1205 Unternehmen erfolgreich angegriffen und deren Daten geleakt hatten. Die Angst vor einem Ransomware-Angriff ist auch in Deutschland hoch. Laut Bitkom rechnen knapp 80% der Unternehmen mit einer „eher starken“ oder „starken“ Zunahme der Angriffe.
Fazit
Cyberkriminalität ist und bleibt ein boomendes Wirtschaftsmodell. Im gegenwärtigen Krieg nutzen auch neue Hacker ihre Talente für offensive Aktivitäten. Unabhängig vom Ausgang muss damit gerechnet werden, dass viele Hacktivisten ihre erworbenen Fähigkeiten als Cybersöldner oder -kriminelle weiter einsetzen werden. Versierte Verbrecher wie Conti und REvil – dürften nicht nur selbst aktiv sein, sondern den Krieg als Rekrutierungsmaßnahme verwenden, um talentierte Hacktivisten in Ihre Reihen zu integrieren.
Auch wenn durch die Defokussierung auf den Cyberkrieg die Anzahl der Angriffe in Deutschland relativ konstant bleibt und der Schaden sogar abnimmt, muss von einer weiteren Eskalation ausgegangen werden. Das BSI warnt auch im Hinblick auf den aktuellen Krieg vor einer gesteigerten Gefahr für deutsche Unternehmen im Besonderen für solche, die kritische Infrastruktur betreiben Die Rahmenbedingungen für den Erfolg der Cyberkriminalität ändern sich nicht. Die aktuell erfolgreichste Vorgehensweise ist das Einbinden von Profis in die Attacken. Damit ist Anzahl und Qualität der Angriffe genauso von Fachkräften abhängig wie deren Abwehr. Im Krieg werden Menschen gerade in beiden Bereichen geschult. Ist er vorbei, werden viele Akteure ihre speziellen Kenntnisse weiter einsetzen wollen.
Auf Verteidigerseite gilt es deshalb, jetzt in der relativen Atempause unbedingt nachzurüsten. Das Thema Personalnot ist in der Verteidigung ebenfalls allgegenwärtig. Auch wenn hier nach dem Krieg erfahrene Veteranen in den Markt kommen, dürfte es für die allerwenigsten Unternehmen erschwinglich sein diese einzustellen. Die Lösung muss daher technisch fundiert sein. Hier sind Koordination und Übersicht die Prioritäten. Ein Ansatz wie Trend Micro XDR bietet den Vorteil, dass er einen Großteil der anfallenden Aufgaben automatisiert. Abhängig vom eigenen Leistungsvermögen kann das Angebot mit zusätzlichen Serviceleistungen abgerundet werden. Nähere Informationen zu unserem XDR Ansatz finden Sie hier.