Schaffhausen – Vom Schürfen von Kryptowährungen auf Hochleistungsrechnern bis hin zur Ransomware mit eigenem Virtuellen System, die Cyberkriminellen zeigen, dass Sie viel Fantasie und Kreativität besitzen wenn es darum geht Profit zu generieren. Die Attacken nehmen weiterhin auf breiter Front zu.
- Im Mai wurde bekannt, dass der Zugang zu mehr als 10 Hochleistungs-Rechenzentren in Zentraleurope gehackt wurde. Initiiert durch ein gekapertes SSH Konto, konnten die Angreifer ihre Rechte auf die höchste Stufe (Root) erweitern. Solche Systeme werden z.B. zur Wettervorhersage oder für die COVID-19 Forschung benutzt. Es scheint aber, dass das Ziel kein Datendiebstahl sondern das Schürfen von Monero Kryptowährung war. Einige der Attacken begannen bereits im Januar, als sich auch der Preis für Monero verdoppelte. Aber auch im Mai führten die gewaltigen Rechenleistungen noch zu einer Zunahme von 10-15% der global eingesetzten Rechenleistung bei Monero, was durchaus lukrativ ist.
- Das versteckte schürfen von Kryptomünzen ist auch bei klassischen Cyberkriminellen nicht ausgestorben. In Europa verzeichneten wir in unserem Cyber Protection Operation Center (CPOC) im laufenden Jahr die meisten Crypto Mining in der Ukraine mit 19% aller geblockten Attacken. Deutschland steht auf Rang 6 mit 7%, die Schweiz auf Rang 19 mit 1% und Österreich auf Rang 21 ebenfalls mit 1% der geblockten Attacken in Europa.
- Die Ransomware Attacken breiten sich wie erwartet weiterhin aus. So hat z.B. die NetWalker Gruppe in der letzten Woche folgende Ziele in zentral Europa angegriffen: Bolloré Group in Frankreich, COLMAR, Porcher Industries und die Stadt Weiz in Österreich. Wie auch in der Vergangenheit wurden Unmengen von sensiblen Daten gestohlen um nun ein Lösegeld zu erpressen.
- RagnarLocker, die Ransomware Gruppe welche auch EDP in Portugal angegriffen hat, wurde beobachtet, wie sie die legitime Virtualisierungs Software VirtualBox installieren und ein Windows XP Image mit der Ransomware starten. Ziel ist es sich gegenüber dem Host System zu verstecken und dann über geteilte Ordner (shared folders) die Daten zu verschlüsseln. Da der Malware Prozess innerhalb der VirtualBox läuft, kann er nicht einfach von Anti Viren Lösungen erkannt und gestoppt werden.
- Die Winnti Gruppe welche in der Vergangenheit viele Chemie und Pharma Unternehmen in Deutschland angegriffen hatte, hat derzeit den Fokus zunehmend auf Online Games verlagert. Die neue Malware Variante PipeMon, kompromittierte mehrere MMO Spiele Firmen in Asien. Der erlangte Zugriff hätte zu Software Supply Chain Attacken führen können oder zu Manipulationen der In-Game Währung um Profit zu erlangen. Diese Vorfälle zeigen, dass auch die Video Game Branche ein attraktives Ziel für raffinierte Angriffe ist.
- Im Mai wurde zudem bekannt, dass Easyjet einen Databreach Vorfall hatte, bei welchem etwa 9 Mio. Kundendaten und 2‘200 Kreditkarten-Daten abgeflossen sind. Ob es sich bei dem Angriff wirklich um eine Asiatische APT Gruppe handelt ist noch nicht abschliessend geklärt. Klar ist aber, dass diese Daten nun für gezielte Phishing Attacken missbraucht werden können. Der Vorfall kann auch zu einer Strafe unter DSVGO führen.
Die aktuellen Vorfälle zeigen, dass die Angreifer durchaus über den Tellerrand hinausschauen, wenn es darum geht neue Geschäftsbereiche zu erschliessen. Die kreativen Methoden der Cyberkriminellen nutzen jede erdenkliche konzeptionelle Schwachstelle aus. Es ist deshalb wichtig, dass man eine umfassende Schutzlösung hat welche die verschiedenen Bedrohungen auf mehreren Ebenen bekämpfen kann. (Acronis/mc)