Noch vor wenigen Jahren waren die Grenzen in der Cyberkriminalität klar: Es gab die staatlich organisierten Hackergruppen, die vor allem Sabotage- und Spionageaktionen gegen staatliche Institutionen und kritische Infrastrukturen durchführten. Und es gab die „klassischen“ Cyberkriminellen, die ausschließlich aus finanziellen oder idealistischen Motiven handelten. In der jüngsten Vergangenheit hat sich diese Grenze jedoch allmählich aufgelöst, vor allem, was die Nutzung von Ransomware angeht. Zu diesem Ergebnis kommt auch der jüngste ESET Threat Report .

Die Allzweck-Waffe „Ransomware“

Ransomware-Angriffe durch staatlich finanzierte Hacker sind an sich nichts Neues. So brachten nordkoreanische Hacker 2017 mit WannaCry (auch bekannt als WannaCryptor), den ersten globalen Ransomware-Wurm überhaupt in Umlauf. Er konnte erst gestoppt werden, als ein Sicherheitsforscher den Not-Ausschalter aktivierte, der sich im Schadcode versteckte. Im selben Jahr starteten staatlich gesponserte Hacker die NotPetya-Kampagne gegen ukrainische Ziele. In diesem Fall handelte es sich aber um eine reine destruktive Malware. Sie tarnte sich lediglich  als Ransomware, um Ermittler auf die falsche Fährte zu locken. In 2022 beobachtete ESET, dass die russische Sandworm-Gruppe Ransomware als Datenlöscher (“Wiper“), einsetzte.

Staatlich unterstützte Operationen und finanziell motivierte Kriminalität lassen sich immer schwerer unterscheiden. Cyberkriminelle verkaufen im Dark Web Exploits und Malware an staatliche Akteure. Und einige Regierungen heuern freiberufliche Hacker an,  die sie bei ihren Cyberangriffen unterstützen sollen.

Und heute?

Diese Tendenzen scheinen sich zu beschleunigen. Insbesondere in der jüngeren Vergangenheit hat ESET  mehrere offensichtliche Entwicklungen beobachtet. Das Beispiel Ransomware verdeutlicht dies:

Staatskassen füllen

Staatliche Hacker setzen Ransomware ein, um Geld für die klammen Staatskassen zu beschaffen. Am deutlichsten wird dies in Nordkorea, wo APT-Gruppen in ausgeklügelten virtuellen Raubzügen Kryptowährungsunternehmen und Banken ins Visier nehmen. Man geht davon aus, dass diese Bandenzwischen 2017 und 2023 Beute in Höhe von etwa 3 Mrd. US-Dollar  gemacht haben.

Im Mai 2024 beobachtete Microsoft, wie die mit Pjöngjang verbündete Gruppe Moonstone Sleet eine maßgeschneiderte Ransomware auf den Computern mehrerer Luftfahrt-, Raumfahrt- und Verteidigungsunternehmen installierte. Zuvor hatte sie wertvolle Informationen von den kompromittierten Geräten gestohlen. Das legt den Schluss nahe, dass die Hacker nicht nur auf der Jagd nach Informationen, sondern auch nach Geld waren.

Als Nebenverdienst Geld einbringen

Staatliche Hacker setzen gerne Malware ein, um nebenbei Geld zu verdienen. Die iranische Gruppe Pioneer Kitten zum Beispiel arbeitet direkt mit Ransomware-Partnern zusammen. Die iranische Gruppe kümmert sich darum, den Zugang zu Netzwerken ihrer Opfer zu finden, Daten zu stehlen und den Weg für Ransomware-Angriffe vorzubereiten. Im Gegenzug erhält sie einen Anteil der erpressten Gelder.

Ermittler auf die falsche Fährte locken

Staatlich gelenkte APT-Gruppen nutzen Ransomware, um die wahren Absichten ihrer Angriffe zu verschleiern. Die mit China verbündete Chamel Gang (auch bekannt als CamoFei) soll in mehreren Kampagnen genau so vorgegangen sein. Diese zielten auf kritische Infrastrukturorganisationen in Ostasien und Indien sowie in den USA, Russland, Taiwan und Japan ab. Die Verwendung der CatB-Ransomware auf diese Weise bietet nicht nur eine Tarnung für diese Cyberspionageoperationen, sondern ermöglicht es den Hackern auch, Beweise für ihren Datendiebstahl zu vernichten.

Staatliche oder nicht-staatliche Hackergruppe – ist das überhaupt wichtig?

Die Gründe, warum staatlich unterstützte Gruppen Ransomware einsetzen, sind klar: Die Verschlüsselungs-Software bietet ihnen einen nützlichen Deckmantel, der ihre wahren Absichten verbirgt. In vielen Fällen steigert sie gleichzeitig die Staatseinnahmen und trägt zur Motivation der staatlich beschäftigten Hacker bei. Denn diese sind  kaum mehr als schlecht bezahlte Beamte. Und so stellt sich die große Frage: Ist es wirklich wichtig, wer die Angriffe durchführt?

Einerseits haben die bewährten Sicherheitsempfehlungen nach wie vor ihre Gültigkeit und sind ein wirksames Mittel zur Abwehr von und Reaktion auf Cyberangriffe – unabhängig davon, ob sie von staatlicher oder nicht-staatlicher Seite kommen. Wenn staatlich ausgerichtete APT-Gruppen Taktiken, Techniken und Verfahren (TTPs) der Cyberkriminalität verwenden, kann dies sogar für Verteidiger von Vorteil sein. Der Rückgriff auf bekannte Methoden erleichtert die Erkennung und Abwehr von Angriffen.

Andererseits ist es genauso wichtig, seinen Gegner zu verstehen, um die von ihm ausgehende Bedrohung zu bewältigen. Dies erläutert der Forschungsbericht Cyber Attacker Profiling for Risk Analysis Based on Machine Learning, Er besagt, dass eine der wesentlichen Komponenten der Cybersicherheits-Risikoanalyse die Definition eines Angreifermodells ist. Dieses Profil wirkt sich auf die Ergebnisse der Risikoanalyse aus und gibt damit auch die entsprechenden Sicherheitsmaßnahmen vor.

Wie man sich wehren kann

Unabhängig davon, ob ein Ransomware-Angriff staatlich gesponsert ist oder nicht, bleiben die Schutzmaßnahmen, die Unternehmen ergreifen können, die gleichen. Diese zehn Schritte helfen Verantwortlichen, ihre Organisation auf das Schlimmste vorzubereiten:

  1. Setzen Sie eine kontinuierliche Überwachung ein (Endpoint Detection and Response oder Managed Detection and Response), um verdächtiges Verhalten frühzeitig zu erkennen.
  2. Eine Netzwerksegmentierung verringert die Angriffsfläche und schränkt im Falle einer Kompromittierung die Seitwärtsbewegungen von Hackern ein
  3. Setzen Sie ein Schwachstellen- & Patch-Management ein, um Sicherheitslücken frühzeitig zu erkennen und zu schließen
  4. Regelmäßige Tests zur Wirksamkeit von Sicherheitskontrollen, -strategien und -prozessen, helfen Ihrem Unternehmen dabei, Schwachstellen auszubessern und sicherer zu werden.
  5. Wirken Sie Social Engineering mit aktuellen Sicherheitsschulungen und Sensibilisierungsprogrammen entgegen
  6. Stellen Sie sicher, dass Konten mit langen, starken und eindeutigen Passwörtern sowie einer Multifaktor-Authentifizierung (MFA) geschützt sind
  7. Stellen Sie sicher, dass alle kritischen Daten durch eine zuverlässige Sicherheitssoftware geschützt sind. Das gilt insbesondere für Desktops, Server, Laptops und andere Mobilgeräte.
  8. Beziehen Sie Bedrohungsdaten von vertrauenswürdigen Anbietern.
  9. Führen Sie regelmäßige Backups durch.

Arbeiten Sie eine wirksame Strategie zur Reaktion auf Zwischenfälle aus.Einer Schätzung  zufolge gingen im vergangenen Jahr 60 Prozent der Datenschutzverletzungen auf das Konto der organisierten Kriminalität, nur fünf Prozent wurden staatlich finanzierten Hackern zugeschrieben. Der Anteil der Hacker nimmt jedoch zu, und die Verstöße selbst können erhebliche Auswirkungen auf Ihr Unternehmen haben. Eine kontinuierliche Sensibilisierung und ein proaktives Risikomanagement sind daher unerlässlich.