Der Informationskrieg, Sabotage und Spionage wird auch im Cyberspace ausgetragen. Drei Gruppen von Akteuren lassen sich unterscheiden: staatlich geförderte Hacker, Ransomware-Gruppen und sogenannte Hacktivisten. Ihre Ziele sind unterschiedlich, doch die Methoden ähneln sich. Das Unternehmen Bitdefender hat Details zu den einzelnen Gruppen zusammengefasst und worauf sich Organisationen und Unternehmen 2024 besonders einstellen sollten.
Warten auf günstige Momente
Akteure können internationale Großereignisse nutzen, um bei diesen Gelegenheiten zu beginnen. Zunehmend werden das Internet und die IT dann zu einem Austragungsort für Informationskontrolle, Spionage oder Sabotage. Angreifer können Fehlinformationen verbreiten, die Infrastruktur angreifen oder Phishing-Mails versenden. Anlässe gibt es in den nächsten Monaten zur Genüge: In rund 70 Ländern finden bis Ende 2024 Wahlen statt – darunter im November die Wahl des neuen US-Präsidenten. Die Olympischen Spiele in Paris bieten ebenfalls zahlreiche Gelegenheiten, um schädlichen Content zu verbreiten. Sie bieten Cyberkriminellen eine große Angriffsfläche und ermöglichen koordinierte Angriffe in verschiedenen Bereichen wie Informationen, Gebäude, physische Sicherheit und digitale IT-Infrastruktur. Militärische Konflikte wiederum können zu Angriffen auf kritische Systeme im Rahmen eines gezielten und komplexen Cyberkriegs führen.
Unterscheide zwischen den Akteuren
Drei Gruppen von Akteuren könnten die IT-Sicherheitslage unter geopolitischen Vorzeichen bestimmen: staatlich unterstützte Hacker, Cyberkriminelle und Hacktivisten. Sie lassen sich folgendermaßen kategorisieren:
Staatlich geförderte Cyberoperateure
Einige Hacker-Gruppen agieren im Rahmen politischer Ereignisse und militärischer Konflikte mit der Hilfe staatlicher Stellen. Letztere finanzieren sie unter anderem für Cyberspionage, Sabotage sowie um Propaganda- und Desinformationskampagnen durchzuführen. Von staatlichen Stellen oft gedeckt, entgehen diese Gruppen in der Regel einer Strafverfolgung. Zu ihrem Arsenal gehören ausgeklügelte Angriffe wie eine fortschrittliche Ransomware, Angriffe auf die Supply Chain und sehr gezieltes Spear Phishing. Folgende Gruppen sind bekannt und dürften 2024 aktiv bleiben:
APT28 und APT29 – Angriffe auf Regierungs-, Diplomaten-, Medien-, Gesundheits-, Energie- und politische Organisationen – insbesondere in Ländern, die im Konflikt zu russischen Interessen stehen.
Die Einheit 61398 steht im Kontakt mit den chinesischen Streitkräften und betreibt vor allem Cyberspionage gegen die USA. Die neunte Ausgabe von Rockwell Automations „State of Smart Manufacturing“ Report liefert Einblicke in Trends und Herausforderungen für Hersteller. Dazu wurden über 1.500 Fertigungsunternehmen befragt, knapp 100 der befragten Unternehmen kommen aus Deutschland. ‣ weiterlesen
KI in Fertigungsbranche vorn
APT10 hat einen chinesischen Hintergrund und sucht weltweit nach geistigem Eigentum und sensiblen Daten.
Nordkorea fördert die Lazarus-Gruppe. Diese war zuletzt für öffentlichkeitswirksame Angriffe wie den Sony-Pictures-Hack und die WannaCry-Ransomware verantwortlich.
Der Iran fördert wahrscheinlich folgende zwei Gruppen: APT33 legt den Fokus auf die Bereiche Luft- und Raumfahrt, Energie sowie Petrochemie. APT35 ist bekannt für Social-Engineering-Angriffe auf Regierungsbeamte, Journalisten und Akademiker.
Cyberkriminelle Ransomware-Banden
Erpresserische Angriffe sind im geopolitischen Cyberspace eine große Gefahr. Die Gruppen der Cyberkriminellen reichen von den Betreibern der erpresserischen IT bis zu Initial Access Brokern (IABs), die den Zugang zu kompromittierten Netzwerken verkaufen. Folgende Ransomware-Betreiber werden wahrscheinlich auch in den nächsten Monaten agieren:
Die Cl0p-Ransomware-Gruppe zielt auf kritische Sektoren wie das Gesundheitswesen, die Energiewirtschaft und die Produktion. Cl0p entwickelt seine komplexen Angriffstechniken ständig weiter. Zu ihnen gehören Social Engineering, Phishing, Exploit-Kits, Kompromittierung der Lieferkette, Datenverschlüsselung und Zero-Day-Exploits.
Die Akteure hinter LockBit suchen gezielt nach Unternehmen mit wertvollen Daten und geistigem Eigentum. Ihr Ziel sind verstärkt Cloud-Infrastrukturen. Die Gruppe droht damit, Informationen offenzulegen, um die Opfer zusätzlich unter Druck zu setzen. Der Thin[gk]athon, veranstaltet vom Smart Systems Hub, vereint kollaborative Intelligenz und Industrie-Expertise, um in einem dreitägigen Hackathon innovative Lösungsansätze für komplexe Fragestellungen zu generieren. ‣ weiterlesen
Innovationstreiber Thin[gk]athon: Kollaborative Intelligenz trifft auf Industrie-Expertise
BlackCat, auch bekannt als ALPHV, rekrutiert aktuell neue Mitglieder-Gruppierungen für ihr Ransomware-Betreibernetz. Die Gruppe hat es weltweit auf verschiedene Industriezweige abgesehen. Sie ist dafür bekannt, ihre Unternehmen zweifach zu erpressen: Sie stiehlt sensible Informationen, bevor sie die Daten verschlüsselt und droht mit DDoS (Distributed Denial of Service)-Angriffen, sollte das Opfer das Lösegeld nicht bezahlen. Hacktivismus nimmt zu
Politisch und sozial motivierte Hacktivisten wollen die öffentliche Debatte beeinflussen, die Arbeit und die Amtsgeschäfte von Regierungen stören oder – aus ihrer Sicht – Ungerechtigkeiten aufdecken. Hacktivisten könnten bei globalen oder lokalen Konflikten mittels Cyberangriffen den Regierungsbetrieb stören, sensible Informationen offenlegen oder die öffentliche Meinung beeinflussen. Die Aktionen dieser Gruppen sind in jüngster Zeit im geopolitischen, militärischen und gesellschaftlichen Kontext wichtiger geworden. Dieser Trend wird sich fortsetzen. Folgende Faktoren spielen dabei eine Rolle:
Neue Technologien – Hacktivisten können verstärkt künstliche Intelligenz nutzen oder andere neue Technologien ins Visier nehmen. Damit könnten sie die Anfälligkeit der angegriffenen IT-Infrastrukturen offenlegen oder auf ethische Implikationen und Gefahren von Technologien hinweisen. Zunehmende Komplexität der Angriffe – Politisch motivierte Angreifer setzen immer anspruchsvollere Methoden und fortschrittlichere Malware und Ransomware ein, um Schwachstellen in Technologien auszunutzen. Zusammenarbeit mit anderen Gruppen und Cyberkriminellen – Eine verstärkte Zusammenarbeit zwischen verschiedenen Aktivistengruppen oder mit Cyberkriminellen könnte zu besser koordinierten und effektiveren Cyberoperationen führen.
Soziale Medien und Desinformationskampagnen – Hacktivisten könnten künftig soziale Medienplattformen intensiver nutzen, um Desinformationen oder Propaganda zu verbreiten. Konzentration auf Wirtschafts- und Umweltfragen – Politisierte Akteure könnten Unternehmen oder Regierungen ins Visier nehmen, deren Geschäfte als umweltschädlich gelten oder zu wirtschaftlichen Ungleichheiten beitragen. Ausnutzen der öffentlichen Meinung – Hacktivisten könnten verstärkt Online-Kampagnen zu Themen wie Menschenrechte, Datenschutz und digitale Freiheit starten.
Es ist davon auszugehen, dass politische Ereignisse verstärkt zu Brennpunkten für Hackeraktivitäten werden. Die Akteure werden mit unterschiedlichen Motiven arbeiten, konkrete Vorhersagen lassen sich kaum treffen. Aber Unternehmen sollten ihre IT-Sicherheitsstrategie in den Blick nehmen und die IT-Abwehr an geopolitischen Ereignissen ausrichten.
