Mehrfachangriffe werden scheinbar zu einem Trend: So berichten die Security-Experten von Sophos dass eine angegriffene Organisation drei verschiedene Ransomware-Meldungen für dreifach verschlüsselte Dateien erhalten hat.

Im aktuellen Sophos X-Ops Active Adversary Whitepaper „Multiple Attackers: A Clear and Present Danger“ berichtet Spezialisten von Sophos, dass die drei bekannten Ransomware-Gruppen Hive, LockBit und BlackCat nacheinander dasselbe Netzwerk angegriffen haben. Die ersten beiden Angriffe erfolgten innerhalb von zwei Stunden, der dritte Angriff fand zwei Wochen später statt. Jede Ransomware-Gruppe hinterließ ihre eigene Lösegeldforderung und einige der Dateien waren dreifach verschlüsselt.

„Es ist schon schlimm genug, eine einzige Ransomware-Meldung von einer Gruppe von Cyber-Kriminellen zu erhalten, ganz zu schweigen von gleich dreien“, sagt John Shier, Senior Security Advisor bei Sophos. „Mehrere Angreifer schaffen eine ganz neue Ebene der Komplexität für die Wiederherstellung, insbesondere wenn Dateien dreifach verschlüsselt sind. Cyber-Sicherheit mit Prävention, Erkennung und Reaktion ist daher für Unternehmen jeder Größe und Art von entscheidender Bedeutung – kein Unternehmen ist vor Angriffen gefeit.“

Im Dokument werden weitere Fälle von sich überschneidenden Cyber-Angriffen beschrieben, darunter Kryptominers, Remote-Access-Trojaner (RATs) und Bots. Wenn in der Vergangenheit mehrere Angreifer auf ein und dasselbe System abzielten, erstreckten sich die Angriffe in der Regel über viele Monate oder mehrere Jahre hinweg. Die beschriebenen Attacken fanden innerhalb weniger Tage und Wochen statt – in einem Fall sogar gleichzeitig. Oft werden die Organisationen von den Angreifenden über denselben verwundbaren Einstiegspunkt in das Netzwerk attackiert.

Vorsichtige Kooperation zwischen den Cyber-Gangstern

Normalerweise konkurrieren Cyber-Kriminelle, was es für mehrere Angreifer schwieriger macht, gleichzeitig zu operieren. Meist eliminieren sie ihre Konkurrenten auf demselben System. Die heutigen RATs weisen in kriminellen Foren häufig auf die Möglichkeit des Bot-Killings hin.
Bei dem Angriff, an dem die drei Ransomware-Gruppen beteiligt waren, löschte BlackCat als letzte Ransomware-Gruppe auf dem System nicht nur Spuren ihrer eigenen Aktivitäten, sondern auch die von LockBit und Hive. In einem anderen Fall wurde ein System von LockBit-Ransomware infiziert. Etwa drei Monate später gelang es Mitgliedern von Karakurt Team, einer Gruppe mit Verbindungen zu Conti, die von LockBit geschaffene Hintertür zu nutzen, um Daten zu stehlen und Lösegeld zu verlangen.

„Im Großen und Ganzen scheinen sich Ransomware-Gruppen nicht offen feindlich gegenüberzustehen. Tatsächlich verbietet LockBit seinen Mitgliedern nicht ausdrücklich, mit Konkurrenten zusammenzuarbeiten“, sagt Shier. „Wir haben keine Beweise für eine Zusammenarbeit. Aber es ist möglich, dass Angreifer erkennen, dass es in einem zunehmend umkämpften Markt nur eine begrenzte Anzahl von Angriffszielen gibt. Oder sie glauben, je mehr Druck auf ein Ziel ausgeübt wird, beispielsweise durch mehrere Angriffe, desto wahrscheinlicher ist es, dass die Opfer zahlen. Vielleicht führen sie Gespräche auf hoher Ebene und treffen Vereinbarungen, die für beide Seiten vorteilhaft sind, etwa dass eine Gruppe die Daten verschlüsselt und die andere exfiltriert. Irgendwann müssen diese Gruppen entscheiden, ob sie zusammenarbeiten und dieses Vorgehen weiter ausbauen, oder ob sie mehr auf Wettbewerb setzen. Im Moment aber ist das Spielfeld für mehrere Angriffe durch verschiedene Gruppen offen.“

Nicht gepatchte Sicherheitslücken als Einfallstore

Bei den im Whitepaper beschriebenen Angriffen erfolgten die meisten Erstinfektionen über nicht gepatchte Sicherheitslücken. Dazu gehören Lücken in Log4Shell, ProxyLogon und ProxyShell oder schlecht konfigurierte beziehungsweise ungesicherte RDP-Server (Remote Desktop Protocol).

In den meisten Fällen, in denen mehrere Angreifer beteiligt waren, gelang es den Opfern nicht, den ursprünglichen Angriff wirksam zu beheben, so dass die Tür für künftige Cyber-kriminelle Aktivitäten offenstand. Damit wurden die gleichen RDP-Fehlkonfigurationen sowie Anwendungen wie RDWeb oder AnyDesk zu einem leicht ausnutzbaren Weg für Folgeangriffe. Ungeschützte oder manipulierte RDP- und VPN-Server gehören zu den beliebtesten „Angeboten“, die im Dark Web verkauft werden. (rhh)

Hier geht es zum Whitepaper „Multiple Attackers: A Clear and Present Danger