Microsoft: Russische Staats-Hacker verlegen sich auf Ransomware

Microsoft ordnet eine Ransomware-Kampagne einer Angreifergruppe zu, die bereits für einen Blackout in der Ukraine und NotPetya verantwortlich sein soll.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 11 Beiträge

(Bild: Profit_Image/Shutterstock.com)

Von
  • Jürgen Schmidt

Im Rahmen der Konferenz Cyberwarcon hat Microsoft seine Einschätzung zu einer neuartigen Ransomware spektakulär ergänzt: "MSTIC stellt fest, dass Iridium die Prestige-Kampagne durchgeführt hat". Das bedeutet letztlich, dass Microsoft den russischen Militärgeheimdienst GRU für Planung und Durchführung einer im Herbst aufgedeckten Ransomware-Kampagne verantwortlich macht. Sollte dies zutreffen, wäre das eine deutliche Änderung der Gefahrenlage, die auch Konsequenzen für die Verteidiger hätte.

Prestige ist der Codename für eine Ransomware-Kampagne gegen polnische und ukrainische Unternehmen, die das Microsoft Threat Intelligence Center (MSTIC) im Oktober erstmals dokumentierte. Das Besondere daran: Sie ließ sich keiner der bekannten Cybercrime-Banden zuordnen; die eingesetzten Tools, Techniken und Ressourcen passten einfach nicht. Doch mit neuen Erkenntnissen aus Analysen konkreter Vorfälle lehnt sich MSTIC jetzt aus dem Fenster:

"As of November 2022, MSTIC assesses that IRIDIUM very likely executed the Prestige ransomware-style attack."

Iridium soll also hinter Prestige stecken. Diese Erkenntnis stuft Microsoft mit "moderate-high confidence" als recht zuverlässig ein und macht das an typischen Attributionskriterien wie Auswahl der Ziele, eingesetzte Techniken und Infrastruktur fest.

Iridium ist Microsofts Bezeichner für eine besser unter dem Namen Sandworm bekannte Gruppe, die bislang vor allem für spektakuläre Sabotage-Akte bekannt war: Sie hat 2015 in der Ukraine den ersten durch Hacker verursachten Blackout herbeigeführt. Sie soll auch hinter der Schad-Software NotPetya stecken, die weltweit Schäden in Milliardenhöhe verursacht hat. Und das CERT der Ukraine berichtete, dass Sandworm für den 8. April einen weiteren Blackout vorbereitet hatte, was jedoch entdeckt und verhindert werden konnte.

Hinter Sandworm steckt der russische Militärgeheimdienst GRU. Das behauptet unter anderem die US-Sicherheitsbehörde CISA und die US-Justiz hat sogar ein Verfahren gegen sechs Mitarbeiter des GRU eingeleitet. Viele Staaten und Sicherheitsfirmen teilen diese Einschätzung; das deutsche BSI erwähnt sie im Lagebericht 2022.

Wenn sich jetzt eine so versierte Angreifergruppe wie Sandworm auf Ransomware kapriziert, ändert das die IT-Security-Lage deutlich. Bisher steckten hinter Ransomware-Angriffen in aller Regel Cybercrime-Banden wie Lockbit, die zwar gut organisiert und teilweise auch technisch versiert sind. Doch deren primäres Interesse ist: Sie wollen Geld – und das möglichst leicht. Das bedeutet, dass sie meistens den Weg des geringsten Widerstands gehen und man kann sie schon durch vergleichsweise einfache Schutzmaßnahmen so weit aufhalten, dass sie sich ein leichteres Opfer suchen.

Das gilt nicht für die staatlich gesteuerten Angreifer wie Sandworm, sogenannte Advanced Persistent Threats (APT). Die verfügen über nahezu beliebige Ressourcen, exzellentes Know-how und viel Geduld. Wenn sie ein Ziel im Visier haben, dann werden sie auch in dessen Netz eindringen können. Eine Erfahrung der letzten Jahrzehnte der IT-Security, bei der sich eigentlich alle Experten einig sind: Man kann Einbrüche durch APTs letztlich nicht verhindern, sondern muss versuchen, deren Konsequenzen zu minimieren.

Bislang steht Microsoft mit dieser Attribution noch allein. Doch Sandworm wird von vielen Security-Experten beobachtet und analysiert, die sich hoffentlich bald mit eigenen, unabhängigen Erkenntnissen zu Wort melden werden. Sollte sich Microsofts Einschätzung bestätigen und sich die Prestige-Kampagne nicht als singulärer Einzelfall erweisen, wird das Auswirkungen auf die IT-Security und die Art und Weise haben, wie man IT gegen Angriffe verteidigen muss.

Wir diskutieren dieses Thema auch in der heise-Security-Pro-Comunity:

(ju)