Krieg in der Ukraine beherrscht die Cyber-Bedrohungslandschaft
Eine russische APT-Gruppe greift Nutzer in der Ukraine an, DDoS-Tools werden gegen russische Websites eingesetzt, Ransomware-Angriffe auf Unternehmen in der Ukraine nehmen zu.
Eine russische APT-Gruppe (Advanced Persistent Threats) greift die Nutzer in der Ukraine an, DDoS-Tools werden gegen russische Websites eingesetzt, Ransomware-Angriffe auf Unternehmen in der Ukraine nehmen zu. Der Krieg auf europäischem Boden findet auch im Netz statt – hier allerdings mit globalen Auswirkungen.
Auch Cyberkriminelle sind von den physischen Kriegsgeschehnissen in der Ukraine betroffen. Die Auswirkungen sind bereits spürbar: Ransomware-Angriffe sind leicht zurückgegangen und die Informationsdiebstahls-Malware „Raccoon Stealer“ wurde vorübergehend eingestellt. In Deutschland konnte für das erste Quartal ein Höchstwert von Tech-Support-Scams festgestellt werden, bei denen Nutzern der Eindruck vermittelt wird, der Computer sei von Malware infiziert und man solle eine Support-Hotline anrufen. Das sind Ergebnisse eines aktuellen Reports von Avast, der aktuelle Cyber-Bedrohungen in Bezug auf den Krieg zwischen Russland und der Ukraine zeigt.
„Wir sehen oft Parallelen zwischen den Ereignissen in der realen Welt und der digitalen Bedrohungslandschaft, wenn es darum geht, wie Bedrohungen verbreitet werden und welche Ziele sie haben. In Q1/2022 haben wir einen signifikanten Anstieg der Angriffe mit bestimmten Malware-Typen in Ländern festgestellt, die in den Russland-Ukraine-Konflikt verwickelt sind. Im Vergleich zu Q4/2021 verzeichneten wir einen Anstieg von mehr als 50 Prozent bei Angriffen mit Remote-Access-Trojanern (RAT) und einen Anstieg von mehr als 20 Prozent bei Angriffen mit Informationsdiebstahl-Malware, die wir in der Ukraine, Russland und Belarus blockiert haben und die zur Informationsbeschaffung oder Spionage eingesetzt werden könnten“, so Jakub Kroustek, Avast Malware Research Director. „Zusätzlich haben wir 30 Prozent mehr Versuche blockiert, neue Geräte zu infizieren, um Botnets in Russland beizutreten. Gleiches gilt für einen Anstieg von 15 Prozent in der Ukraine, mit dem Ziel, Geräte-Armeen aufzubauen, die DDoS-Angriffe auf Medien und andere kritische Websites und Infrastrukturen durchführen können. Andererseits haben wir in Russland und der Ukraine 50 Prozent weniger Adware-Angriffe blockiert, was darauf zurückzuführen sein könnte, dass weniger Menschen online gehen, insbesondere in der Ukraine.“
Kurz vor Beginn des Krieges in der Ukraine beobachteten die Avast Threat Labs mehrere Cyberangriffe, die vermutlich von russischen APT-Gruppen durchgeführt wurden. „Gamaredon“, eine bekannte und aktive APT-Gruppe, steigerte ihre Aktivitäten Ende Februar rapide und verbreitete ihre Malware an ein breites Zielpublikum (darunter auch Endverbraucher) und suchte so nach für sie interessanten Opfern, um Spionage zu betreiben. Eine Ransomware namens „HermeticRansom“, für die Avast ein Entschlüsselungs-Tool veröffentlicht hat, wurde vermutlich ebenfalls von einer APT-Gruppe verbreitet.
Avast-Forscher spürten Tools auf, die von sogenannten „Hacktivisten-Communities“ zur Durchführung von DDoS-Angriffen auf russische Websites eingesetzt werden. Die Researcher entdeckten Webseiten, darunter eine Wettervorhersageseite, die den Code enthielten, mit dem diese Angriffe über den Browser der Website-Besucher ohne deren Zustimmung durchgeführt wurden. Diese Art von Angriffen nahm gegen Ende des Quartals ab. Ein als Dienst verkauftes Botnet wurde im März für eine DDoS-Kampagne in Verbindung mit der Sodinokibi (REvil)-Ransomware-Gruppe verwendet. Darüber hinaus haben Malware-Autoren den Krieg genutzt, um Malware wie Remote-Access-Trojaner (RATs) zu verbreiten, indem sie E-Mails mit bösartigen Anhängen verschickten, die angeblich wichtige Informationen über den Krieg enthielten.
Die Avast Threat Labs beobachteten auch weiterhin einen leichten Rückgang bei Ransomware-Angriffen weltweit in Q1/2022 im Vergleich zu Q4/2021 (um sieben Prozent), was vermutlich auf den Krieg in der Ukraine zurückzuführen ist, von wo aus viele Ransomware-Betreiber und Tochterunternehmen operieren. Damit sind die Ransomware-Angriffe das zweite Quartal in Folge zurückgegangen. In Q4/2021 konnte der Rückgang auf eine Zusammenarbeit von Staaten, Regierungsbehörden und Sicherheitsanbietern bei der Jagd auf Ransomware-Autoren und -Betreiber zurückgeführt werden. Weitere Gründe für den Rückgang von Ransomware könnten sein, dass eine der aktivsten und erfolgreichsten Ransomware-Gruppen, „Maze“, ihre Tätigkeit im Februar eingestellt hat, sowie der anhaltende Trend, dass Ransomware-Banden sich mehr auf gezielte Angriffe auf große Ziele konzentrieren („Großwildjagd“).
Der Krieg führte auch zu einer Spaltung innerhalb der Conti-Ransomware-Bande, da ein ukrainischer Forscher interne „Geschäfts“-Dateien der Bande und den Quellcode der Conti-Ransomware durchsickern ließ, nachdem die Gruppe Russland die Treue erklärt und Ransomware-Vergeltung für Cyberangriffe gegen Russland versprochen hatte. Die Leaks führten vorübergehend zu einem Rückgang der Conti-Ransomware.
Darüber hinaus zeigt der Bericht, dass Emotet seinen Marktanteil seit dem letzten Quartal verdoppelt hat. Insbesondere beobachtete Avast im März einen deutlichen Anstieg der Infektionsversuche durch das Emotet-Botnet. Außerdem wurde ein Traffic Direction System (TDS) namens Parrot TDS entdeckt, das bösartige Kampagnen über 16.500 infizierte Websites verbreitet.
Der vollständige Avast Bedrohungsbericht Q1/2022 kann im Avast Decoded Blog eingesehen werden (in englischer Sprache).