Aktuelle Recherchen der Sicherheitsdienstleister Recorded Future sowie SentinelLabs zeigen auf, dass mutmaßlich staatlich gesteuerte Cyberakteure nach erfolgreichen Spionageoperationen vermehrt Ransomware einsetzen. Dies geschieht nicht nur, um finanzielle Profite zu erwirtschaften, sondern auch um Sabotage zu betreiben oder gezielt die Attribuierung eines Angriffes zu erschweren.
Konkret wurden zwei Angriffskampagnen aus den Jahren 2022 und 2023 analysiert, die durch mutmaßliche staatlich gesteuerte Cyberakteure aus China sowie Nordkorea durchgeführt wurden. Eine Gruppierung setzte nach erfolgreichen Spionageaktivitäten eine Ransomware namens CatB ein, die typischerweise mittels DLL-hijacking in den Prozess msdtc.exe injiziert wird. Bei mstdc.exe handelt es sich um einen legitimen Windows Systemprozess. Bei einem weiteren Angriffscluster wurden die legitimen Anwendungen Jetico BestCrypt sowie Microsoft BitLocker missbräuchlich zur Verschlüsselung von Servern und Workstations verwendet.
Die nun veröffentlichten Recherchen decken sich mit Erkenntnissen der Cyberabwehr, wonach die sich Grenzen zwischen Spionageoperationen staatlich gesteuerter Cyberakteure und typischen Cybercrime-Kampagnen zusehends verwischen. So kam es teilweise zu Ransomware-Angriffen, die keine konkrete Gruppierung erkennen ließen oder auch nicht mit einer Lösegeldforderung einhergingen.
Zu den beiden genannten Kampagnen stellen die Sicherheitsdienstleister umfangreiche technische Analysen und IOCs bereit.
Darüber hinaus steht Ihnen die Cyberabwehr jederzeit als vertrauensvoller Ansprechpartner zu Verfügung, wenn sie ähnliche Angriffsmuster in Ihrem Unternehmen beobachten.