Nilaa Maharjan & Bhabesh Raj Rai, LogPoint Global Services & Security Research
Seit Russland am 24. Februar 2022 den Krieg gegen die Ukraine begonnen hat, steigt die Zahl der Cyberbedrohungen. LogPoint unterstützt Unternehmen dabei, sich vor Bedrohungen im Zusammenhang mit russischen Cyberoperationen und dem Krieg in der Ukraine zu schützen.
Dieser Blog-Beitrag bietet einen Überblick über die Untersuchungen zu den offensiven und destruktiven Cyberangriffen auf die digitale Infrastruktur der Ukraine. Der Blog-Beitrag wird von einem LogPoint-Report zu neuen Bedrohungen begleitet, der sich mit Erkennungsmethoden, Playbooks zur Untersuchung, empfohlenen Reaktionsmaßnahmen sowie Best-Practices befasst.
Stunden vor dem Abschuss von Raketen auf die Ukraine und der Bewegung von Panzern über die Grenzen am 24. Februar 2022 entdeckte das Threat Intelligence Center von Microsoft (MSTIC) eine Reihe neuer, offensiver und zerstörerischer Cyberangriffe auf die digitale Infrastruktur der Ukraine.
Dank der Cyberabwehr-Teams weltweit waren die Signaturen zur Erkennung der neuen Exploits innerhalb von drei Stunden geschrieben und allgemein verfügbar. Als neue Bedrohungen auftraten, haben die Cyberabwehr-Teams weitere Erkennungs- und Präventionstechniken entwickelt und Vorschläge zur Stärkung der Verteidigung unterbreitet. Man kann mit Fug und Recht behaupten, dass sich Cyberabwehr-Teams weltweit zusammengeschlossen haben, um die Ukraine und ihre Verbündeten mit allen Mitteln zu schützen.
Auch LogPoint hat seinen Service „Emerging Threats Protection“ genutzt, um die wichtigsten Bedrohungen zu analysieren, die während der ersten Phase des Russland-Ukraine-Krieges entdeckt wurden. So können wir verstehen, ob eine dieser Bedrohungen unsere Kunden in Gefahr bringt, und sicherstellen, dass unsere Kunden geschützt sind. Viele dieser Bedrohungen können mithilfe des in unserem Bericht beschriebenen Regel-Packages entdeckt werden. Andere erfordern möglicherweise zusätzliche Untersuchungen – manuell oder mithilfe automatisierter Playbooks.
In der Vergangenheit konnten wir feststellen, dass russische Bedrohungsakteure die Malware-Familie „NotPetya“ aus dem Jahr 2017 intensiv genutzt haben. Heute sehen wir eine neue Vielfalt an Bedrohungen und Taktiken, die einem bestimmten Muster folgen und Chaos in der Ukraine anrichten, das sich auch auf den Rest der Welt ausbreiten kann.
Während der Krieg tobt, führen russischen Akteure neue Malware-Varianten ein, wie beispielsweise die Malware „CaddyWiper“, die Esset am 14. März 2022 entdeckt hatte. Inzwischen gab es mindestens vier Wiper-Angriffe. Unser Research-Team fügt zusätzliche Erkennungsmethoden hinzu, um die Wiper-Prozesse und das Wiper-Verhalten zu erfassen, nachzuverfolgen, zu untersuchen und mithilfe automatisierter Playbooks darauf zu reagieren. Unser Bericht zum Schutz vor neuen Bedrohungen befasst sich auch mit den Auswirkungen auf ukrainische Systeme und beschreibt diese Erkennungsmethoden.
Die Angreifer haben es nicht nur auf ukrainische Regierungseinrichtungen abgesehen, sondern auch auf die Finanzindustrie, den Agrarsektor, Dienste für Katastrophen und Krisenmanagement, humanitäre Hilfsorganisationen sowie Unternehmen und Organisationen des Energiesektors. Dies hat zahlreiche technische und nichttechnische Gruppen dazu veranlasst, Statistiken und Empfehlungen auszutauschen und den ukrainischen Behörden ihre Hilfe anzubieten.
In jüngster Zeit haben wir vermehrt Angriffe auf ukrainische Internet-Provider beobachtet, zum Beispiel den Angriff auf Ukrtelecom am 28. März 2022, der auf Cloudflare Radar dokumentiert wurde.
Es scheint jedoch, dass Russland sich mit dem Einsatz seiner gesamten Möglichkeiten an Cyberangriffen zurückhält. Seit Jahren gehen Experten davon aus, dass der nächste Krieg ein Cyberkrieg sein würde, doch Russland setzt eher auf Artillerie als auf Cyberkriegsführung. Wenn man bedenkt, dass die CISA Informationen über ernstzunehmende Angriffe auf den weltweiten Energiesektor veröffentlicht hat, ist dies umso überraschender. Es stellt sich die Frage, wann diese Fähigkeiten zum Einsatz kommen werden – und gegen wen.
Es besteht die Gefahr, dass sich der aufkeimende Cyberkrieg in der Ukraine weltweit ausbreiten könnte. Im Interesse der Proaktivität und Wachsamkeit haben die LogPoint-Teams für Security Research und Global Services einen Bericht bereitgestellt, der die Details der jüngsten Vorfälle sowie die potenziellen Bedrohungen beleuchtet und aufzeigt, wie Sie Angriffe mit den SIEM- und SOAR-Funktionen von LogPoint erkennen und abwehren können.
Wir werden unseren Kunden laufend neue Regeln, Erkennungsmethoden und Playbooks bereitstellen, um zu gewährleisten, dass unsere SIEM+SOAR-Lösung auf dem neuesten Stand ist und die Infrastrukturen optimal absichert.