Die fünf wichtigsten Hackergruppen und ihre Angriffe

Eines der beängstigendsten Risiken für die Cybersicherheit in Unternehmen ist heutzutage zweifellos Ransomware. Ransomware macht keine Unterschiede und hinterlässt verschlüsselte, unlesbare Dateien, drohende Datenlecks und oft Schäden in Millionenhöhe. Darüber hinaus werden groß angelegte und ausgeklügelte Ransomware-Attacken in der Regel nicht von einer Einzelperson, sondern von hoch organisierten und erfahrenen Hackergruppen durchgeführt.

Diese sogenannten “Ransomware-Banden” nutzen häufig kompromittierte Anmeldeinformationen, um Ransomware-Angriffe zu starten. In diesem Artikel sehen wir uns einige dieser Gruppen und die von ihnen verwendete Ransomware an. Außerdem erfahren Sie, welche Rolle kompromittierte Anmeldeinformationen bei erfolgreichen Ransomware-Angriffen spielen.

Weltweit bekannte Hackergruppen

1. DarkSide

Einer der schädlichsten Ransomware-Angriffe der jüngeren Geschichte wurde am 9. Mai 2021 durchgeführt und richtete sich gegen Colonial Pipeline. Colonial ist ein großer Kraftstofflieferant, der die Ostküste der Vereinigten Staaten mit einem großen Anteil an Kraftstoff versorgt. Der Angriff auf Colonial verdeutlicht die realen Auswirkungen eines groß angelegten Ransomware-Angriffs auf kritische Dienstleistungsbranchen.

Durch den Angriff auf Colonial wurden fast 6.000 Meilen Pipeline stillgelegt, was zu weitreichenden Engpässen führte. Zusätzlich zu den Treibstoffengpässen und den unterbrochenen Dienstleistungen zahlte Colonial Pipeline ein Lösegeld in Höhe von 4,4 Millionen US-Dollar. Nach dem Angriff meldete Colonial Ende August eine Datenpanne, bei der Namen, Geburtsdaten, Informationen, Sozialversicherungsnummern und andere personenbezogene Daten offengelegt wurden.

Die Ransomware-Bande, die Colonial angegriffen hat, ist als DarkSide bekannt. DarkSide ist eine relativ neue Ransomware-Gang in der Szene. Sie hat die Verantwortung für Angriffe seit dem dritten Quartal 2020 übernommen. Laut dem eSentire-Bedrohungsbericht hat DarkSide seither mehr als 59 Opfer in den USA, Südamerika, dem Nahen Osten und Großbritannien in vielen Branchen gefordert. Darüber hinaus wurden im Jahr 2021 etwa 37 Ransomware-Angriffe durchgeführt.

DarkSide ist eine Ransomware-Bande, die als Ransomware-as-a-Service (RaaS) operiert und ihre Dienste an angeschlossene Malware-Banden im Dark Web verkauft. Dieses Modell wird bei Ransomware-Gangs immer beliebter, da es neben den Lösegeldzahlungen eine zweite Einnahmequelle bietet. Interessanterweise verschafft dieses Modell vielen anderen bösartigen Gruppen und sogar Einzelpersonen Möglichkeiten Ransomware einzusetzen, die sie ohne den RaaS-Dienst wahrscheinlich nicht hätten.

Der große Ransomware-Angriff auf Colonial begann mit einem alten VPN-Passwort, das im Dark Web gefunden wurde. Es wird berichtet, dass DarkSide oder einer seiner Partner ein veraltetes VPN-Kontopasswort verwendet hat, um in das Colonial Pipeline-Netzwerk einzudringen. Das Passwort wurde laut Bloomberg in einer geleakten Passwortliste entdeckt.

2. REvil/Sodinokibi

Die Ransomware-Bande REvil (auch bekannt als Sodinokibi) ist ein relativ neuer Akteur auf dem Ransomware-as-a-Service-Markt, dem im Jahr 2021 bisher 161 Organisationen mit 52 Angriffen zum Opfer gefallen sind. Die Bedrohungsakteure sind jedoch bereits seit etwa 2019 aktiv und ermöglichen es Kunden, ihre REvil-Ransomware für Ransomware-Ziele zu mieten.

Anfang 2021 zielte REvil auf Acer Computer und Quanta Computer und forderte von beiden Unternehmen Lösegeldzahlungen in Höhe von 50 Millionen US-Dollar. REvil-Betreiber können verschiedene Mittel einsetzen, um ein Netzwerk zunächst zu kompromittieren. Es ist jedoch bekannt, dass sie in der Regel kompromittierte Anmeldedaten verwenden, um in interne Netzwerke einzudringen. Sophos hat hierzu Folgendes vor Kurzem berichtet:

Sophos Experten, die einen kürzlich erfolgten REvil-Angriff untersuchten, fanden eine direkte Verbindung zwischen einer eingehenden Phishing-E-Mail und einem Lösegeldangriff in Millionenhöhe zwei Monate später. Die Phishing-E-Mail, mit der die Zugangsdaten eines Mitarbeiters erbeutet wurden, stammte wahrscheinlich von einem Initial Access Broker, der sich einige Wochen später mit PowerSploit und Bloodhound durch das angegriffene Netzwerk bewegte, um hochwertige Domain-Administrator-Zugangsdaten zu finden. Der Broker verkaufte diese Zugangsdaten später an die REvil-Gegner, damit diese in das Netzwerk des Ziels eindringen konnten.

Diese Initial Access Broker im Dark Web erfreuen sich zunehmender Beliebtheit und tragen dazu bei, dass kompromittierte Anmeldedaten als einfacher Einstiegspunkt für Ransomware-Kompromittierung genutzt werden.

3. Ryuk/Conti

Die Ransomware-Bande Ryuk/Conti tauchte erstmals 2018 auf und hatte es auf US-amerikanische Institutionen abgesehen, darunter Technologieunternehmen, Gesundheitsdienstleister, Bildungseinrichtungen und Finanzdienstleister. Sie haben eine beeindruckende Liste von Opfern angehäuft, darunter 352 Opfer in Nordamerika, Großbritannien und Frankreich. Die Zahl der neuen Opfer seit Anfang 2021 beläuft sich auf etwa 63.

Zu den Opfern der Ryuk/Conti-Ransomware-Bande gehört auch der viel beachtete Angriff auf kleine Gemeinden in den USA. Dazu gehören Jackson County, Georgia, das ein Lösegeld von 400.000 US-Dollar zahlte, Riviera Beach, Florida, das 594.000 US-Dollar zahlte, und LaPorte County, Indiana, das 130.000 US-Dollar zahlte.

Die Ransomware Ryuk wurde insbesondere bei Angriffen auf US-amerikanische Krankenhäuser und Gesundheitssysteme eingesetzt. Daher hat das FBI in Zusammenarbeit mit Homeland Security und Health and Human Services einen Leitfaden für Gesundheitseinrichtungen herausgegeben.

Ende September 2021 veröffentlichten drei führende Bundesbehörden für Cybersicherheit eine Warnung vor der anhaltenden Bedrohung durch Ryuk/Conti-Ransomware. In der offiziellen Warnung, Alert (AA21-265A), werden erste Angriffstechniken dokumentiert, die Folgendes beinhalten:

• Gültige Konten – Conti-Akteure wurden dabei beobachtet, wie sie sich über gestohlene RDP-Anmeldedaten (Remote Desktop Protocol) unbefugten Zugang zu den Netzwerken der Opfer verschafften.
• Phishing, Spearphishing (Anhang) – Conti-Ransomware kann über TrickBot-Malware verbreitet werden, die bekanntermaßen eine E-Mail mit einer Excel-Tabelle verwendet, die ein bösartiges Makro enthält, um die Malware zu installieren.
• Phishing, Spearphishing (Link) – Conti-Ransomware kann über TrickBot verbreitet werden, das über bösartige Links in Phishing-E-Mails verbreitet wurde.

Gestohlene oder kompromittierte Anmeldeinformationen gehören zu den häufigsten Methoden, die Ryuk-Ransomware-Banden nutzen, um geschäftskritische Umgebungen zu kompromittieren und mit Aufklärungs- und Ransomware-Operationen zu beginnen.

4. Avaddon

Die Ransomware Avaddon und ihre Betreiber gibt es seit etwa 2019. Wie die anderen Ransomware-Varianten auf dieser Liste wird sie als Ransomware-as-a-Service (RaaS) verkauft. Ein prominentes Opfer eines Angriffs mit der Avaddon-Ransomware ist die französische Versicherungsgesellschaft AXA. Bei diesem Angriff stahlen die Angreifer Kunden-IDs, Verträge, Berichte und andere Informationen. Die Ransomware wird über Phishing- und SPAM-Kampagnen verbreitet, die bösartige Javascript-Dateien enthalten.

Avaddon ist auch für seine Netzwerkinfiltration bekannt, bei der Anmeldedaten für Remote-Desktop-Verbindungen (RDP) und Virtual Private Network-Verbindungen (VPN) verwendet werden.

5. Clop

Die Ransomware von Clop trat im Februar 2019 erstmals auf den Plan und war äußerst erfolgreich. Clop gilt als der erste Ransomware-Betreiber, der von seinem Opfer, der Software AG in Deutschland, ein Lösegeld in Höhe von 20 Millionen US-Dollar forderte. Sie hatten viele Opfer, die aus der Acellion-Sicherheitslücke stammen. Es ist nicht bekannt, ob sie ursprünglich für den Angriff verantwortlich waren oder ob sie lediglich von dem Angriff eines ihrer Partner profitiert haben. Clop hat viele prominente Opfer zu verzeichnen, darunter:

• Royal Shell
• Qualys security company
• U.S. bank Flagstar
• University of Colorado
• Canadian jet manufacturer Bombardier
• Stanford University

Clop ist dafür bekannt, dass er die gestohlenen Daten der Opfer durchsucht und die Kontakte per E-Mail auffordert, das Lösegeld zu zahlen. Sie sind auch dafür bekannt, gestohlene Informationen im Dark Web zu veröffentlichen. Seit Anfang 2021 gehören rund 35 Unternehmen zu den Opfern von Clop. Interessanterweise hat die ukrainische Polizei Anfang dieses Jahres mehrere Mitglieder der Clop-Bande verhaftet. Nur wenige Tage nach den Verhaftungen bekannte sich Clop dazu, für zwei weitere Opfer verantwortlich zu sein.

Clop hat gezeigt, dass es in der Lage ist, Trojaner zu installieren, die Passwörter stehlen, um das Netzwerk zu kompromittieren. Außerdem hat Clop bereits sensible Dateien und Netzwerkpasswörter im Dark Web veröffentlicht. Zweifellos tragen sie dazu bei, weitere Sicherheitsverletzungen und Ransomware-Angriffe zu finanzieren, bei denen gestohlene Zugangsdaten verwendet werden, die durch Clop-Angriffe bekannt geworden sind.

Erhöhen Sie die Passwortsicherheit, um sich vor Ransomware zu schützen

Es liegt auf der Hand, dass Ransomware häufig über kompromittierte Anmeldeinformationen in das Netzwerk gelangt. Alle von uns aufgelisteten Ransomware-Banden haben bei früheren Angriffen bis zu einem gewissen Grad kompromittierte Anmeldedaten verwendet. Dies unterstreicht die Notwendigkeit für Unternehmen, strenge Kennwortrichtlinien einzuführen und einen Schutz vor kompromittierten Kennwörter zu verwenden.

Specops Password Policy ist eine zuverlässige Lösung für Passwortrichtlinien, die Ihnen hilft, die begrenzten Möglichkeiten der nativ in Active Directory zur Verfügung gestellten Funktionen für Passwortrichtlinien zu erweitern. Mit Specops Password Policy haben Unternehmen Zugang zu den folgenden Funktionen:

• Längenabhängiger Ablauf des Passworts mit E-Mail-Benachrichtigungen
• Blockierung der Verwendung von Zeichenersetzungen (Leetspeak) und Tastaturmustern (einschließlich europäischer Tastaturmuster)
• Dynamisches Echtzeit-Feedback bei Passwortänderung mit dem Specops Authentication Client
• Blockierung von mehr als 3 Milliarden kompromittierten Passwörtern mit der Breached Password Protection List, die sowohl Passwörter aus bekannten Listen kompromittierter Passwörter als auch Passwörter enthält, die in aktuellen Angriffen verwendet werden.
• Finden und entfernen kompromittierter Passwörter in der Windows AD Umgebung
• Personalisierte Listen, Listen mit kompromittierten Passwörtern und Passwort Hash Wörterbücher
• Unterstützung von Passphrasen
• Blockierung von Benutzernamen, Anzeigenamen, bestimmten Wörtern, aufeinanderfolgenden Zeichen und inkrementellen Passwörtern
• Informative Client-Nachrichten, wenn ein Benutzer die Regeln der Passwort-Richtlinie nicht einhält

Ransomware-Banden verwenden häufig bereits sich im Umlauf befindende kompromittierte Passwörter, um Ransomware und andere Angriffe auf Unternehmen durchzuführen. Dies wurde beim Angriff auf die Colonial Pipeline ersichtlich und trifft auch auf viele andere Angriffe zu. Specops Password Policy bietet einen leistungsstarken Schutz gegen schwache und kompromittierte Passwörter.

Mit der Specops Breached Password Protection erhalten Unternehmen einen kontinuierlichen Schutz vor kompromittierten Passwörtern. Specops schützt vor bereits bekannten kompromittierten Passwörtern und neu entdeckten Passwörtern, welche bei Brute-Force- oder anderen Passwort-Spraying-Attacken verwendet werden. Darüber hinaus betreibt Specops sein eigenes Netzwerk von Honeypots weltweit, die Telemetriedaten über kompromittierte Passwörter erfassen. Die gesammelten Daten werden verwendet, um den Schutz vor kompromittierten Passwörtern weiter zu verbessern.

Wie mit der Express-Liste gezeigt, können IT-Administratoren:

• Verhindern, dass Benutzer zu einem kompromittierten Passwort wechseln
• Kontinuierlich das AD auf kompromittierte Passwörter überprüfen und Benutzer dazu auffordern, ihre kompromittierten Kennwörter zu ändern
• Benutzer benachrichtigen, wenn sie ihr Passwort aufgrund einer Kompromittierung ändern müssen.

Neben der Express-Liste bietet die Specops Complete API-Lösung zusätzliche Möglichkeiten.

Die Verwendung von Specops Breached Password Protection in Ihrer Umgebung hilft Ihnen, die Cybersicherheit Ihres Unternehmens gegen Ransomware-Banden und das zunehmende Risiko von Ransomware zu stärken. Erfahren Sie mehr über Specops Password Policy und finden Sie heraus, wie Sie die Passwortsicherheit im Active Directory erhöhen können.