Die Invasion in der Ukraine zeigt der Welt, was ein "hybrider Krieg" bedeutet. Der Begriff wurde von Frank Hoffman geprägt, um einen Krieg zu beschreiben, der an mehreren Fronten stattfindet: konventionelle Kriegsführung, irreguläre Methoden, z. B. Einsätze, und Cyberangriffe. Im Zuge dieser entsetzlichen Aggression werden sich die digitalen Aspekte des modernen Krieges auf viele Unternehmen in der ganzen Welt auswirken.
Während in der Ukraine die Sirenen ertönen, müssen auch die Unternehmen hinsichtlich ihrer Cybersicherheitsmaßnahmen Alarm schlagen. Hier erfahren Sie, womit Organisationen in diesem hybriden Krieg konfrontiert sind.
Eine bösartige Geschichte: "Fürchte dich und erwarte das Schlimmste"
Russland setzt seit langem Cyberangriffe ein, um Druck auszuüben und einen Stellvertreterkrieg zu führen. Vom russischen Staat unterstützte Hackergruppen sind für massive Cyberangriffe auf westliche Organisationen bekannt. Einer der größten Angriffe der letzten Jahre war der Ransomware-Angriff auf die US-amerikanische Colonial Pipeline im Jahr 2021 durch die Hackergruppe REvil.
Kürzlich wurden auf 70 Websites der ukrainischen Regierung durch einen Cyberangriff mit einer Warnmeldung auf dem Bildschirm verunstaltet, die lautete: "Habt Angst und rechnet mit dem Schlimmsten". Eine Analyse des Angriffs ergab Anzeichen dafür, dass der russische Geheimdienst daran beteiligt war; Russland hat diese Beteiligung jedoch inzwischen bestritten.
Leugnen und Fehlinformationen sind typische Kriegstaktiken, die die Verwirrung nutzen, um zu "spalten und zu erobern". Doch die Beweise häufen sich: 74 % des durch Ransomware-Angriffe im Jahr 2021 erpressten Geldes wurde an Hacker mit russischen Verbindungen überwiesen. Im Nachhinein müssen wir uns fragen, ob dieses Geld dann als Kriegskasse beiseite gelegt wurde?
Im Zuge der Invasion in der Ukraine wurden weitere Cyberangriffe gegen die ukrainische Regierung durchgeführt. Ein Blogbeitrag von Microsoft vom28. Februar gibt weitere Einblicke:
"Am 24. Februar entdeckte das Microsoft Threat Intelligence Center (MSTIC) eine neue Runde offensiver und zerstörerischer Cyberangriffe auf die digitale Infrastruktur der Ukraine."Im Blog wird erwähnt, dass eine neue Malware-Variante "FoxBlade" als Teil dieser Angriffe gefunden wurde.
Eines ist sehr wahrscheinlich: Die Invasion in der Ukraine ist ein hybrider Krieg, und die Cyberangriffe werden nicht auf die Ukraine beschränkt bleiben.
Warnsirenen vor weiteren Cyberangriffen
Überall auf der Welt wurden Warnungen und Hinweise veröffentlicht, in denen die Unternehmen auf die zunehmende Gefahr von Cyberangriffen hingewiesen wurden:
Im Vereinigten Königreich hat das National Cyber Security Centre (NCSC) auf seiner Website eine Empfehlung veröffentlicht, in der britische Unternehmen aufgefordert werden, ihre "Cybersicherheitsresistenz als Reaktion auf die bösartigen Cybervorfälle in der und um die Ukrainezu stärken."
In den USA hat die CISA (Cyber security and Infrastructure Security Agency) eine Warnung unter ihrer 'Schutzschilde aufstellenKampagne vor einer neuen Ransomware-Gruppe namens Conti gewarnt, die Verbindungen zum russischen Geheimdienst hat:
Die Conti-Ransomware-Akteure drohen mit "Vergeltungsmaßnahmen", die sich gegen kritische Infrastrukturen richten, als Reaktion auf "einen Cyberangriff oder irgendwelche Kriegsaktivitäten gegen Russland"."
In Australien wird der Alarmstatus für einen Cyberangriff auf HOCH gesetzt, und die Regierung erklärt, dass die Unternehmen "dringend aufgefordert werden, ihre Cybersicherheit zu verbessern".
Auch in anderen europäischen Ländern warnen die Regierungen Organisationen und Bürger, sich auf einen Cyberangriff vorzubereiten.
Eine der Befürchtungen hinsichtlich der Leichtigkeit, mit der diese Cyberangriffe durchgeführt werden, ist die Tatsache, dass die von Russland unterstützten Cyberkriminellen jahrelang damit verbracht haben, ihr Malware-Know-how auszubauen und erfolgreiche Angriffstaktiken auszukundschaften.
Neue Malware, erfolgreiche Taktiken
Es wurden bereits mehrere neue Malware-Varianten identifiziert, die mit russischen Hackerbanden in Verbindung gebracht werden. Diese scheinen auf Datenlöschung und/oder Ransomware zu basieren und sind äußerst schädlich. Beispiele sind HermeticWiper und WhisperGate Malware, die Daten beschädigen und/oder vollständig löschen. Eine andere, HermeticRansom, nutzt Erpressungstechniken, um die schädlichen Auswirkungen der Malware zu verstärken.
Weitere Untersuchungen haben ergeben, dass auch Malware-"Würmer" verwendet werden. Würmer sind besonders gefährlich, da sie sich, sobald sie in ein System eingedrungen sind, selbst replizieren und sich über ein Netzwerk verbreiten, wobei sie Rechner infizieren und Zerstörung im gesamten Netzwerk verursachen. Eine der jüngsten Entdeckungen heißt HermeticWizard, ein Wurm, der die Malware HermeticWiper verbreitet.
Würmer dringen über eine Vielzahl von Methoden in ein Netzwerk ein, z. B. über E-Mails, USB-Sticks, bösartige Links in Beiträgen in sozialen Medien, unsichere IoT-Geräte und so weiter.
Weitere Malware-Varianten werden wahrscheinlich in die Bedrohungslandschaft eindringen, wenn der Krieg weitergeht.
Die CISA und das FBI haben eine gemeinsame Empfehlung veröffentlicht, die die Gefahren einiger der neuesten Malware-Varianten erläutert. Der Ratschlag fordert Organisationen dazu auf:
"...ihre Wachsamkeit erhöhen und ihre Fähigkeiten in Bezug auf Planung, Vorbereitung, Aufdeckung und Reaktion auf ein solches Ereignis bewerten."
Diese neuen Malware-Varianten werden weiterhin auf bewährte erfolgreiche Taktiken wie Phishing und Social Engineering angewiesen sein, um in ein Netzwerk einzudringen. Wie kann sich ein Unternehmen also auf diesen hybriden Krieg vorbereiten?
Maßnahmen zum Schutz Ihres Unternehmens und Ihrer Mitarbeiter
Die Cyberkriminellen, die hinter dieser Flut von Cyberwar-Malware stehen, werden bewährte Methoden anwenden, um Infektionen schnell und effektiv zu verbreiten. Unternehmen müssen sich das Wissen der Sicherheitsbranche zunutze machen, um sich zu wappnen. Zu den Schutzmaßnahmen sollten folgende gehören:
- Vergewissern Sie sich, dass Sie einen Überblick über alle Ihre IT-Ressourcen haben, einschließlich aller Endpunkte, Datenspeicher und -flüsse, Server und anderer Geräte.
- Stellen Sie sicher, dass Ihr erweitertes Netzwerk über robuste Sicherheitsmaßnahmen in Bezug auf Geräte, Personen und Standorte verfügt. Erzwingen Sie beispielsweise eine solide Authentifizierung und nutzen Sie die Prinzipien der geringsten Privilegien, die durch die Verwaltung privilegierter Zugriffe (PAM) durchgesetzt werden, um den Zugriff zu kontrollieren.
- Testen Sie Ihre Patch-Management-Systeme, um sicherzustellen, dass sie alle Endpunkte und Server erreichen.
- Richten Sie ein bestehendes, sicheres Backup-System ein oder testen Sie es.
- Versetzen Sie Ihr Unternehmen in erhöhte Alarmbereitschaft, und unterstützen Sie dies durch eine auf die Bedrohung ausgerichtete Sicherheitsschulung: Ergänzen Sie Ihre Schulung durch eine fortlaufende Bewertung der Situation, und verwenden Sie Phishing-Simulationen, um Ihre Mitarbeiter über die wahrscheinlichen Phishing-Kampagnen im Zusammenhang mit der Invasion aufzuklären.
- Überwachen Sie die Aktivitäten Ihres Netzwerks und Ihrer Zugangspunkte und prüfen Sie den Zugang zu den Ports auf mögliche Schwachstellen.
- Entfernen oder deaktivieren Sie alle nicht verwendeten Anwendungen.
- Überprüfen, aktualisieren und verbessern Sie Ihre Planung und Strategie für die Wiederherstellung im Katastrophenfall
Dies sind nur einige der wichtigsten Bereiche, die in dieser Zeit erhöhter Bedrohung gestärkt werden müssen.
Bereiten Sie sich auf Vergeltungsangriffe vor
Inzwischen wird auch davor gewarnt, dass ein Cyberangriff auf einen NATO-Mitgliedstaat zur Auslösung von Artikel 5 der Klausel über die kollektive Verteidigung führen würde. Der digitale Krieg und der konventionelle Krieg könnten im Zuge der Eskalation durchaus ineinander übergehen. Die Wahrscheinlichkeit von Vergeltungsangriffen ist hoch, und die beste Verteidigung ist, sich dessen bewusst zu sein und vorbereitet zu sein.
