Krieg gegen die Ukraine und seine Folgen für die Cybersicherheit

Cyberkriminelle sind nicht wählerisch, wenn es darum geht, ein großes Ereignis für ihre Zwecke zu nutzen: Stichwort Covid-Pandemie. Dieselbe Vorgehensweise beobachtet Proofpoint im Zusammenhang mit dem russischen Krieg gegen die Ukraine.

Der Artikel liefert Antworten auf folgende Fragen:

• Wie nutzen opportunistische Cyberkriminellen den Krieg zu ihren Gunsten aus?
• Welcher Taktiken bedienen sich die Kriminellen?
• Wie kann sich die Cyber-Bedrohungslandschaft während eines großen globalen Konfliktes verändern?
• Welche Bedrohungsszenarien gibt es konkret?
• Welche Verteidigungsstrategien sind sinnvoll?

Der Angriff russischer Streitkräfte auf die Ukraine ist international verurteilt worden. Viele westliche Staaten und Unternehmen haben zwar nicht militärisch eingegriffen, aber mit umfangreichen Sanktionen reagiert und das Land und seine Bürger von Vermögenswerten, Dienstleistungen und wichtigen Einnahmequellen abgeschnitten.
Während die Auswirkungen dieser Sanktionen auf den Ausgang des Konflikts noch abzuwarten sind, verursachen sie bereits weitreichende Probleme in Russland und darüber hinaus. So haben Vertreter der USA und des Vereinigten Königreichs davor gewarnt¹, dass Vergeltungsmaßnahmen in Form von verstärkten Cyberangriffen auf westliche Unternehmen und Regierungsstellen erfolgen könnten.

Dies sollte niemanden überraschen. Russland betreibt seit langer Cyber-Kriegsführung. Diese Art von nationalstaatlichen Angriffen bildet allerdings nur einen Teil des aktuellen Bedrohungsszenarios. Wie jede größere Erschütterung im internationalen System wird auch der Krieg gegen die Ukraine von opportunistischen Cyberkriminellen ausgenutzt, die ihre Köder so präparieren und ausrichten, dass sie aus Verwirrung und Desinformation Kapital schlagen können.

Und das ist noch nicht alles. Wir erleben gleichzeitig ungewöhnliche Angriffe in „umgekehrter“ Richtung. Hackergruppen wie Anonymous behaupten, dass sie es auf westliche Organisationen abgesehen haben, die noch in Russland tätig sind. Dies zeigt einmal mehr, dass sich die Cyber-Bedrohungslandschaft während großer globaler Konflikte in vielerlei Hinsicht verändern kann, und zwar in einer Weise, wie wir sie noch nie zuvor gesehen haben.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Ein eskalierender Cyber-Konflikt

Mit Voranschreiten des Krieges nahmen auch die mutmaßlich staatlich initiierten Cyber-Bedrohungen zu. Bei einem der Angriffe² wurden mutmaßlich kompromittierte E-Mail-Konten ukrainischer Militärangehöriger genutzt, um europäische Regierungsmitarbeiter anzugreifen, die mit der Logistik rund um die Flüchtlinge aus der Ukraine befasst sind. Eine ähnliche Bedrohung stammte höchstwahrscheinlich aus China³ und verwendete gefälschte UN-E-Mail-Adressen, um europäische diplomatische Einrichtungen anzugreifen. Hierzu nutzte die Gruppe Web-Bugs, um ein Profil der Opfer zu erstellen, bevor sie über bösartige URLs eine Reihe von Malware-Payloads versandte. Beide Fälle sind bezeichnend für die moderne hybride Kriegsführung – und genau wie bei der traditionellen Kriegsführung ist mit Kollateralschäden zu rechnen. Während die oben genannten Kampagnen auf bestimmte Regierungsorganisationen abzielten, sind viele Angriffe während eines Konflikts viel breiter angelegt.

Es ist kein Geheimnis, dass Russland seit langem Cyberangriffe fördert. Proofpoint beobachtet weiterhin Aktivitäten von durch Russland geförderten Gruppen, die Advanced Persistent Threats (APT) für ihre Angriffe nutzen. Beispielsweise hat Proofpoint eine Chronologie zu den Aktivitäten der Gruppe erstellt⁴, die wir als TA422 bezeichnen und die gemeinhin als APT28 bekannt ist. Darüber hinaus gilt es, eine andere Art von Angriffen zu berücksichtigen. Eine Attacke also, die nicht als Kriegshandlung oder als Vergeltungsmaßnahme erfolgt und auch nicht von staatlichen Stellen initiiert wird. Stattdessen sind es opportunistische Cyberkriminelle, die eine Zeit der Unsicherheit, der Fehlinformation und der Unordnung ausnutzen wollen. Diese Art Bedrohung ist viel weiterverbreitet und gefährdet auch Unbeteiligte. Sie trifft Opfer in verschiedenen Ländern und Branchen und bringt uns alle in die Schusslinie.

Cyberkriminelle – allzeit opportunistisch

Cyberkriminelle sind nicht wählerisch, wenn es darum geht, ein großes Ereignis für ihre Zwecke zu nutzen, um ihre Erfolgschancen zu erhöhen. Kaum war die Pandemie im Jahr 2020 ausgebrochen, wurden Hunderte von Köder-Mails mit Covid-Themen entdeckt, die verunsicherten Empfängern auf der Suche nach Antworten Heilmittel, Impfstoffe und medizinische Ratschläge anboten. Natürlich lieferten die Hintermänner hinter den bösartigen E-Mails nichts von alledem. Stattdessen erbeuteten sie Daten, legten Systeme lahm und forderten Lösegeld. Dieselbe Vorgehensweise beobachtet Proofpoint im Zusammenhang mit dem russischen Krieg gegen die Ukraine. Cyberkriminelle betreiben Phishing-Kampagnen und Krypto-Spendenbetrug, in denen sie sich als vertrauenswürdige Organisationen ausgeben, zum Beispiel als ukrainische Regierung, Unicef oder das Rote Kreuz.

Vorschussbetrug ist eine weitere gängige Taktik in Zeiten wie diesen. In diesem Fall geben die Betrüger vor, ein sanktionierter russischer oder ukrainischer Staatsbürger zu sein, der um den Zugang zu wichtigen Geldern kämpft. Das Opfer wird aufgefordert, eine Gebühr zu überweisen, um die Gelder freizugeben. Nach der Freigabe wird dem Opfer ein Teil des Erlöses als Dankeschön für seine Hilfe versprochen. Cyberkriminelle verwenden auch Köder, die Menschen dazu bringen, ihre Spenden via Kryptowährung an den Kriminellen und nicht beispielsweise an das ukrainische Militär zu senden.

Wie die Covid-Köder vor zwei Jahren spielen auch diese Angriffe mit den Emotionen der Opfer. Erschöpft von den rund um die Uhr einprasselnden Nachrichten und der drohenden Gefahr eines europäischen oder gar weltweiten Krieges suchen viele von uns nach klaren Informationen oder einer Möglichkeit zu helfen. Potenzielle Opfer fühlen sich wahrscheinlich weitgehend machtlos, weil sie nur eine Petition unterschreiben oder Geld überweisen können. Und sie tun dies in gutem Glauben. Leider ist dieser Glaube auf Seiten der Cyberkriminellen nicht vorhanden. Sie sind Meister darin, Gefühle für ihren eigenen Profit zu manipulieren. Und sie werden nicht zögern, selbst die schlimmsten Krisen und Konflikte auszunutzen, um zu bekommen, was sie wollen.

Eine Verteidigung im Alltag

Beim letzten großen Anstieg von Cyberangriffen, die auf ein bestimmtes Thema setzten, auf dem Höhepunkt der Pandemie, führten viele Organisationen Covid-spezifische Schulungen zur Förderung des Sicherheitsbewusstsein durch. Sie halfen den Nutzern, gängige Köder zu erkennen, die zu dieser Zeit im Umlauf waren, und erwiesen sich als erfolgreich. Etwa 80 Prozent der Unternehmen sagen, dass die verbesserte Schulung die Anfälligkeit für Phishing verringert hat. Sicherheitsteams müssen aktuell wieder das Gleiche tun. Wir wissen, dass relevante, gezielte und kontextbezogene Schulungen zum Sicherheitsbewusstsein funktionieren. Die Schulungen sollten also immer auf die aktuellen Bedrohungen zugeschnitten sein, mit denen die Benutzer wahrscheinlich konfrontiert werden.

Cyberkriminelle lassen allerdings nie nach in ihren Bemühungen. Auch wenn sie in Zeiten von Krieg und Unsicherheit besonders aktiv sind, greifen sie Mitarbeiter von Organisationen das ganze Jahr über an. Um sie in Schach zu halten, ist also eine umfassende, mehrschichtige Verteidigung zu jeder Zeit erforderlich – nicht nur bei erhöhtem Risiko. Aus technischer Sicht muss genau darauf geachtet werden, welche Bedrohungsakteure es auf die Daten des eigenen Unternehmens abgesehen haben, und es sollten gegebenenfalls weitere, aggressivere und proaktive Sicherheitsmaßnahmen ergriffen werden. Organisationen müssen ihre Daten-Logs noch sorgfältiger prüfen und ihren Netzwerkverkehr strenger überwachen. Auch eine restriktive Verwaltung des Datenzugriffs durch Dritte ist jetzt besonders wichtig.

Es ist auch wichtig, zu beachten, dass E-Mails unabhängig vom Absender das Haupteinfallstor für Cyberangriffe sind. Jede wirksame Verteidigung muss mit Tools und Kontrollen beginnen, um bösartige Nachrichten aus dem elektronischen Posteingang fernzuhalten. Es ist auch angeraten, sich über die neuesten Entwicklungen aktiver krimineller Gruppen und Arten von Ködern auf dem Laufenden zu halten.

^{1 https://edition.cnn.com/2022/02/22/politics/russia-sanctions-fbi-cyber-threats-ransomware/index.html
2 https://www.proofpoint.com/us/blog/threat-insight/asylum-ambuscade-state-actor-uses-compromised-private-ukrainian-military-emails
3 https://www.proofpoint.com/us/blog/threat-insight/good-bad-and-web-bug-ta416-increases-operational-tempo-against-european
4 https://www.proofpoint.com/us/blog/corporate-news/proofpoint-closely-monitoring-rapidly-evolving-threat-landscape-related-ukraine}

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Pflegepersonalbemessungsverordnung

Nicht mehr exceln bis der Arzt kommt

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Embraceable AI

Die nachvollziehbare KI

Tierisch langweilig

Roboter bringt Affen zum Gähnen

Spezialist für Penetrationstests

Kalweit ITS nimmt den Mittelstand ins Visier

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen