Cyberbedrohungen
An Investigation of Cryptocurrency Scams and Schemes
We provide an overview of the diverse range of NFT- and cryptocurrency-related scams that malicious actors use to steal assets worldwide.
Originalbeitrag von Trend Micro Research
Einige Ransomware-Gruppen, die als Ransomware-as-a-Service (RaaS)-Netzwerke operieren, behaupten, bestimmte Sektoren wie Krankenhäuser oder andere kritische Branchen nicht anzugreifen, um Menschen nicht zu schaden. Das gilt offenbar nicht für Hive. Die Angriffe auf Gesundheitsdienstleister 2021 haben gezeigt, dass die Betreiber keine Rücksicht auf solche humanitären Erwägungen nehmen. Ein Krankenhaus in Missouri wurde von einem Hive-Ransomware-Angriff heimgesucht, drei Wochen nachdem die Gruppe die integrierten Systeme eines Gesundheitsdienstleisters getroffen hatte, wobei drei Krankenhäuser und viele ambulante Kliniken in zwei anderen US-Bundesstaaten betroffen waren. Hive-Ransomware hat sich seit ihrer Entdeckung im Juni 2021 zu einer der aktivsten Familien entwickelt. Um sich gegen diese Bedrohung zu wehren, müssen Unternehmen daher mit den verschiedenen Mechanismen vertraut sein, die die berüchtigte Ransomware-Bande einsetzt.
Der Angriff im August 2021 auf ein gemeinnütziges integriertes Krankenhaussystem führte zu schweren Störungen des medizinischen und finanziellen Betriebs von drei Krankenhäusern in Ohio und West Virginia. Die Notaufnahmen mussten umgeleitet und dringende chirurgische Eingriffe sowie radiologische Untersuchungen abgesagt werden. Durch die Verschlüsselung der Dateien war das Krankenhauspersonal gezwungen, Krankenblätter auf Papier zu verwenden. Neben den drei Krankenhäusern unterhält die betroffene gemeinnützige Organisation auch mehrere ambulante Dienste und Kliniken mit insgesamt 3.000 Mitarbeitern.
Die Hive-Akteure setzten bei diesem Angriff auf eine doppelte Erpressung. Neben der Verschlüsselung von Daten stahlen sie auch Patienteninformationen, die sie auf HiveLeaks, ihrer speziellen Leak-Seite, zu publik zu machen drohten. Außerdem veröffentlicht die Bande auf ihrer Tor-Website die Liste der Opfer, die das Lösegeld nicht gezahlt haben. Der Vorfall veranlasste das FBI, eine Warnung herauszugeben, in der die Indicators of Compromise (IOCs) und die Taktiken, Techniken und Verfahren (TTPs) der Hive-Ransomware ausführlich beschrieben wurden. Laut der Warnung verwenden die Betreiber Phishing-Mails mit bösartigen Anhängen, um sich zunächst Zugang zum System zu verschaffen, und das Remote Desktop Protocol (RDP), um sich nach dem Eindringen in das Netzwerk lateral zu bewegen.
Die Bemühungen der Cyberkriminellen im Untergrund, ihren Einflussbereich zu erweitern, lassen sie unweigerlich neue Wege beschreiten. So fanden Bedrohungsforscher Ende Oktober 2021 bei Hive neue Malware-Tools, die spezifisch der Verschlüsselung von Linux- und FreeBSD-Systemen dienen. Auch andere berüchtigte Ransomware-Gruppen sind für ihre eigenen Linux-Verschlüsselungsprogramme bekannt.
Viele Unternehmen stellen mittlerweile auf virtuelle Maschinen um, um ein besseres Gerätemanagement zu erzielen und die Ressourcennutzung zu optimieren. Virtuelle Maschinen sind auch für RaaS-Betreiber wirtschaftlich sinnvoll, da sie mit nur einem Befehl mehrere Server gleichzeitig verschlüsseln können. Die Forscher wiesen darauf hin, dass das Tool von Hive für Linux noch nicht voll funktionsfähig ist und noch nicht alle Dateien vollständig verschlüsseln kann. Doch ist davon auszugehen, dass Hive seine Linux-Verschlüsselungsprogramme weiter verfeinern wird, um sein Malware-Toolkit zu diversifizieren und zu stärken. Weitere konkrete Ransomware-Angriffsbeispiele beinhaltet der Originalbeitrag.
Die Arbeitsweise der Hive-Gruppe
Die Machenschaften von Hive sind weitaus produktiver, als ihre Leak-Site vermuten lässt, denn die Site veröffentlicht nur die Liste der Opfer, die das Lösegeld nicht gezahlt haben, so dass es schwierig ist festzustellen, welche - und wie viele - Unternehmen sich für die Zahlung des Lösegelds entschieden haben. Einem Bericht zufolge treffen die Angriffsversuche von Hive durchschnittlich drei Unternehmen pro Tag. Auch soll die Zahl der Opferunternehmen von September bis Dezember 2021 355 erreicht haben. Weitere Einzelheiten zu den Partnern und der Effizienz der Aktivitäten finden Interessierte im Originalbeitrag.
Die am meisten betroffen Länder und Branchen
Die Daten aus dem Trend Micro™ Smart Protection Network™ (SPN) zeigen, dass Hive vor allem Unternehmen in Südamerika, vor allem in Argentinien und Brasilien, sowie in den USA am häufigsten angreift.
