Krieg in der Ukraine spaltet Hacker-Gemeinde
Pro-russische Hacker zielen vermehrt auf westliche IT-Infrastrukturen - auch die Schweiz gerät ins Visier. Bei den Angriffen spielen finanzielle Interessen allerdings keine entscheidende Rolle.
Pro-Russische Hacker spannen zusammen, um wichtige Ziele im Westen anzugreifen. Wie "Watson" berichtet, sind Ransomware-Banden eine zunehmende Gefahr für kritische Infrastrukturen westlicher Länder. Sicherheitsexperten hätten die Lage analysiert. Aus einem Bericht des Cyber Threat Intelligence Teams von Accenture (ACTI) geht hervor, dass finanziell motivierte Bedrohungsakteure zunehmend "entlang ideologischer Fraktionen" handeln.
Aufgrund des Kriegs in der Ukraine nehmen pro-russische Hacker vermehrt Ziele im Westen ins Visier. Der IT-Sicherheitsexperte Marc Ruef erklärt gegenüber "Watson" seine Einschätzung zur Gefahrenlage für die Schweiz. Ruef sagt, dass einige der wichtigsten Untergrund-Foren im Darknet russischsprachig seien. Zudem würden auch die fähigsten und angesehensten Akteure mit Bezug zu Cyberkriminalität und Ransomware aus Russland stammen.
Spaltung innerhalb der Szene
Die Spaltung innerhalb der Szene habe nach dem Überfall von Russland auf die Ukraine am 24. Februar 2022 begonnen. So würden die Hacker entweder mit Russland oder der Ukraine sympathisieren. Früher hätte es eine klare "Keine Arbeit in GUS-Staaten"-Politik gegeben. Die Hacker hätten also weder Russland noch deren Verbündete angegriffen.
Weiter heisst es, dass ein Leak der Ransomware-Bande Conti zu Streit geführt habe. Ein pro-ukrainischer Sicherheitsforscher hätte sich über eine pro-russische Verlautbarung der Gruppe geärgert und deshalb viele Gigabytes an internen Daten veröffentlicht.
Das Cyber Threat Intelligence Team von Accenture erklärt gegenüber "Watson", dass es zum ersten Mal in mehr als 10 Jahren Aktivitäten gebe, bei denen sich "finanziell motivierte Bedrohungsakteure" in ideologische Fraktionen aufteilen. Profit sei also nicht mehr der grösste Anreiz. Daher würde sich auch die Bedrohungslage für die Schweiz ändern, da sie neuerdings auf einer offiziellen Liste von Ländern steht, die Russland als feindlich einstuft.
Grosse Beträge für westliche Angriffsziele
Accenture hält es für wahrscheinlich, dass pro-russische Akteure auf Angriffe gegen nicht-westliche Ziele verzichten, um ihren Fokus und Ressourcen zu bündeln. Dies sei von Bedeutung, da seit 2020 der Handel mit Zugängen zu fremden Netzwerken zu einer zentralen Säule der Untergrund-Cyberkriminalität geworden sei. Pro-russische Akteure würden vermehrt nach Zugängen zu kritischen Infrastrukturen in Westeuropa und den USA nachfragen. So sollen in Hackerforen bis zu 500'000 US-Dollar für einen Netzwerkzugang und bis zu 10 Millionen Dollar für Zero-Day-Exploits geboten werden. Marc Ruef, Mitinhaber der Schweizer IT-Sicherheitsfirma Scip, hält Preise von 10 Millionen Dollar aber für unrealistisch und erklärt gegenüber "Watson": "Den Preis von 10 Millionen Dollar für einen einzelnen Exploit zu zahlen, ist jenseits von Gut und Böse. Das mag vielleicht das Jahresbudget einer Organisation sein, aber das ganze Budget für einen einzelnen Exploit auszugeben, halte ich für unsinnig."
Gefährliche Ransomware-Gruppen
Seit der Kriegserklärung an Putin habe das Hacker-Kollektiv Anonymous einiges erreicht. Mit Server-Überlastungsangriffen habe man russische Websites vorübergehend offline genommen. Dazu habe es Datendiebstähle und öffentlichkeitswirksame Protestaktionen gegeben. Dabei seien Ransomware-Banden schlagkräftiger als Hacktivisten, da sie unbekannte Sicherheitslücken nutzten. Zudem hätten sie ein relativ hohes technisches Niveau und hohe Budgets.
Bei ihrer Recherche seien Accenture-Sicherheitsexperten im Darknet auf mehrere Akteure gestossen, die ausdrücklich geäussert hätten, westliche Infrastrukturen anzugreifen, um Russland zu unterstützen.
Dazu sagte der IT-Sicherheitsexperte Marc Ruef: "Die gegenwärtigen politischen Entwicklungen haben nur geringfügigen Einfluss auf nicht exponierte Firmen in der Schweiz. Es ist zwar mit einer Zunahme an Ukraine-gestützten Phishing-Kampagnen zu rechnen. Zielgerichtete Angriffe dürften jedoch ausbleiben. Anders sieht es hingegen bei Organisationen aus, die politisch exponiert und mit den Konfliktparteien verbandelt sind. Diese werden sich mit sehr konkreten Angriffen auseinandersetzen müssen."
Der Krieg in der Ukraine ändert die Bedrohungslage für Cybersicherheit auf der ganzen Welt. Ein anderes potenziellen Risiko sind Deepfake-Videos. Derzeit kursiert eines, welches den ukrainischen Präsidenten zeigen soll. Hier können Sie sehen, um was es geht.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.