Cybercrime 2023 und 2024 – was war und was kommt?

Das Jahr 2023 ist endgültig abgeschlossen und ein 2024 voller neuer und altbekannter Cyber-Bedrohungen steht uns bevor. Durch einen Rückblick auf das alte Jahr wollen wir versuchen, Gefahren im neuen Jahr frühzeitig zu erkennen, um nicht unvorbereitet in den Ring gegen Hackergruppen und Spione zu steigen. Im folgenden Blog-Beitrag schauen wir darauf, was sowohl Cyberkriminelle als auch staatliche Hacker 2023 dazugelernt haben und schließen daraufhin auf Angriffsmuster im neuen Jahr.

Das Geschäft mit der Erpressung bleit im Bereich Cybercrime weiterhin die größte Bedrohung für Wirtschaft und Verwaltung. Diese Haltung teilten Ende 2023 sowohl Behörden, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI), als auch Spezialisten der einschlägigen Security-Vendoren. Die Gruppe LockBit, mittlerweile ein alter Bekannter im Business, war auch im Jahr 2023 die aktivste unter den Ransomware Franchises. Diesen Titel schon zum zweiten Mal in Folge zu erlangen, ist eine gefährliche Auszeichnung. Wie einst im wilden Westen wächst das sprichwörtliche Kopfgeld, also der behördliche Druck, auf die Betreiber der Gruppe und das Konzept „too big to stay afloat“, also „zu groß, um den Kopf über Wasser halten zu können“, könnte dieses Jahr endgültig für LockBit und seine Betreiber und Entwickler greifen.

Die Ransomware-Szene ging 2023 jedoch auch durch einige Veränderungen, was Taktikten und Techniken anging –, die ins Jahr 2024 nachhallen werden. Zum einen wurde ein Rückgang in Verschlüsselungen bei dennoch steigenden Angriffszahlen gemessen. Die bedeutet, dass  Ransomware-Angreifer von der derzeitigen State of the Art „Double Extortion“, also der doppelten Erpressung bestehend aus Datenverschlüsselung und Datenklau mit der Drohung eines Leaks, nun lediglich Daten stehlen, ohne beim Opfer via Verschlüsselung Schaden anzurichten. Dieser Trend hat zwei Gründe: Erstens sind Backup-Strategien potenzieller Opfer mittlerweile so ausgereift, dass eine Wiederherstellung von verschlüsselten Dateien meist gelingt. Backups in mehreren Ausführungen an verschiedenen Orten, online und offline, sind zum Standardschutz vor Ransomware geworden. Zweitens ist es für die Angreifer somit einfach, eine schnelle Attacke durchzuführen. Der Zeit- und Rechenaufwand für die Verschlüsselung ganzer Unternehmensnetze bietet ein höheres Risiko bei einem schwindenden Return on Investment. Entsprechend werden wir auch 2024 weniger Verschlüsselungen und mehr Datenklau erleben.

Ein wirklicher Game Changer in der Ransomware-Szene war die Übernahme einer Taktik, die normalerweise hochgerüsteten Hackergruppierungen mit staatlicher Unterstützung vorbehalten war: Die massenhafte Ausnutzung von Zero-Day Sicherheitslücken in Supply-Chain-Produkten. Insbesondere die Cl0p-Gruppe konnte mehrere File-Transfer-Lösungen, namentlich Fortra GoAnywhere und MOVEit File Transfer, bei hunderten Organisationen kompromittieren, Daten exfiltrieren und Systeme verschlüsseln. Bei Gelegenheit würden sicher weitere Gruppen von solch einer lukrativen Methode Gebrauch machen, weshalb Patch-Management bei kritischen Systemen mehr denn je zu einer wichtigen Verteidigungsmaßnahme zählt.

Der Ukraine-Krieg geht in einem Monat ins dritte Jahr mit gleichbleibender Brutalität und dem damit einhergehenden Leid für Soldat:innen und die Zivilbevölkerung. Gleichzeitig tobt im Cyberspace der Konflikt zwischen pro-russischen und pro-westlichen Hackergruppen. Diese Art von Kräftemessen geht zwar weitaus unblutiger vonstatten, ist aber ähnlich erbittert und die Fronten sind ebenfalls verhärtet. Im Jahr 2023 änderten sowohl pro-russische als auch staatliche ukrainische Hacker ihre Taktiken. Letztere konnten mehrfach von der Defensive in die Offensive wechseln und russischen kritischen Infrastrukturen, u.a. Banken und Finanzämtern, erhebliche Schäden durch Wiper Malware zufügen – eine Taktik, die 2022 noch von Russland großflächig eingesetzt wurde. Pro-russische Hacker, oft direkt in den Nachrichtendiensten FSB und GRU ansässig, wechselten 2023 von anfänglichen „Shock and Awe“ Wiper-Attacken gegen ukrainische Ziele zurück zum eigentlichen Kerngeschäft: Spionage-Aktionen gegen wichtige Ziele in der Ukraine sowie NATO-Staaten. Erst diese Woche vermeldete Microsoft eine mehrmonatige Kompromittierung der Email-Accounts ihrer Führungskräfte durch die russische APT „Midnight Blizzard“ (alias „Cozy Bear“ und „Nobelium“). Der Erfolg derartig langangelegter Spionage-Aktionen wird russischen Nachrichtendienste sicher zu weiteren Operationen im Jahr 2024 anspornen.

Währenddessen braut sich im Pazifikraum, insbesondere in der Straße von Taiwan ein Sturm zusammen. Chinesische Ansprüche auf Taiwan werden lauter, Militärmanöver nehmen zu und auch chinesische Hacker waren 2023 nicht untätig. So konnte unter anderem die Gruppe „Volt Typhoon“ ein eigenes Botnet aus End-of-Life Cisco Routern erstellen, um global verdeckt Internet-Traffic zu routen, und chinesischen Operationen zu verschleiern. Der gleiche Akteur machte 2023 zudem mit der Kompromittierung der Stromnetze diverser US-Militärbasen (u.a. in Guam) auf sich aufmerksam. Die Hackergruppe „Storm-0558“ brachte es gleichzeitig fertig, über den Diebstahl eines Microsoft Keys hochrangige US-Beamte, darunter die Handelsministerin, auszuspähen. Die Angreifer konnten Emails mitlesen und ganze Postfächer herunterladen. Der bei der Entdeckung entstandene Skandal rief die Frage auf, welche weiteren Geheimnisse westlicher Vendoren bereits in den Händen von Nachrichtendiensten sind. Mit zunehmender Spannung im Pazifikraum 2024 werden auch chinesische Hacker mit immer dreisteren Aktionen auffällig werden.

 Es bleibt also spannend in der Cybersicherheit für Unternehmen und Verwaltung. Die Security-Expert:innen von Complion werden auch dieses Jahr in Projekten IT-Sicherheitsverantwortliche bei ihren Aufgaben unterstützen. Die Security-Expert:innen von Complion unterstützen Sie zudem durch eine wöchentliche Aufbereitung der aktuellen Bedrohungslage im Cyber Security Competence Center (CSCC) - ein Service der VOICE CIO Service GmbH - sowie in IT Security Projekten. Wenn auch Sie sich für unser Portfolio im Bereich Cybersecurity interessieren, denn schauen Sie doch einmal hier vorbei: https://complion.de/was-machen-wir/cybersecurity

Verfasser: Tobias Philipsen