Hooepage Cybersecuritv Cyberpace
Cybersabotage  Stuxnet  Killer  Sabotage oder Schutz  Infrastruktur   Sabotageangriffe Ransonware
Die Sabotage-angriffe - RANSOM- WARE

Page 1

Neue Taktik bei Cyberattacken


Ransomware ist nicht zurück. Es ist nie gegangen
Russland nimmt Hacker-Bande auf US-Anfrage hin fest

Auf Anfrage der USA
Inside Trickbot, Russlands berüchtigte Ransomware-Bande
Warum der Belarus Railways Hack eine Premiere für Ransomware ist
Der Kaseya Ransomware-Albtraum ist fast vorbei

Der Hacker-Goldrausch, der bereit ist, Ransomware in den Schatten zu stellen
Es lebe der Neue

Contis Angriff auf Costa Rica löst eine neue Ransomware-Ära aus

W I R E D

Inside Trickbot, Russlands berüchtigte Ransomware-Bande



Inside Trickbot, Russlands berüchtigte Ransomware-Bande
Hand auf Laptop-Tastatur in rotem Licht
Wenn die Telefone und die Computernetzwerke in den drei Krankenhäusern des Ridgeview Medical Center am 24. Oktober 2020 ausfielen, griff die medizinische Gruppe auf einen Facebook-Post zurück, um ihre Patienten vor der Störung zu warnen. Eine örtliche freiwillige Feuerwehr sagte, dass Krankenwagen in andere Krankenhäuser umgeleitet würden; Beamte berichteten, dass Patienten und Personal in Sicherheit seien. Die Ausfallzeiten in den medizinischen Einrichtungen von Minnesota waren keine technische Panne; Berichte brachten die Aktivitäten schnell mit einer der berüchtigtsten Ransomware-Banden Russlands in Verbindung.

Tausende von Kilometern entfernt, nur zwei Tage später, brüsteten sich Mitglieder der Trickbot-Cybercrime-Gruppe privat darüber, welche leichten Ziele Krankenhäuser und Gesundheitsdienstleister machen. "Sie sehen, wie schnell Krankenhäuser und Zentren antworten", prahlte Target, ein wichtiges Mitglied der mit Russland verbundenen Malware-Bande, in Nachrichten an einen ihrer Kollegen. Der Austausch ist in bisher nicht gemeldeten Dokumenten enthalten, die von WIRED gesehen wurden, die aus Hunderten von Nachrichten bestehen, die zwischen Trickbot-Mitgliedern gesendet wurden und das Innenleben der berüchtigten Hacking-Gruppe detailliert beschreiben. "Antworten vom Rest, [brauchen] Tage. Und vom Grat flog sofort die Antwort herein", schrieb Target.

Wie Target tippte, waren Mitglieder von Trickbot gerade dabei, eine riesige Welle von Ransomware-Angriffen gegen Krankenhäuser in den Vereinigten Staaten zu starten. Ihr Ziel: Krankenhäuser, die damit beschäftigt sind, auf die steigende Covid-19-Pandemie zu reagieren, zu zwingen, schnell Lösegeld zu zahlen. Die Angriffsserie führte zu dringenden Warnungen von Bundesbehörden, einschließlich der Cybersecurity and Infrastructure Security Agency und des Federal Bureau of Investigation. "Scheiß Kliniken in den USA diese Woche", sagte Target, als sie die Anweisung gaben, eine Liste von 428 Krankenhäusern ins Visier zu nehmen. "Es wird eine Panik geben."

Die von WIRED eingesehenen Dokumente enthalten Nachrichten zwischen hochrangigen Mitgliedern von Trickbot aus dem Sommer und Herbst 2020 und enthüllen, wie die Gruppe ihre Hacking-Operationen ausweiten wollte. Sie legen die Aliasnamen wichtiger Mitglieder frei und zeigen die rücksichtslose Haltung der Mitglieder der kriminellen Bande.

Die Nachrichten wurden in den Monaten vor und kurz nachdem das US Cyber Command einen Großteil der Infrastruktur von Trickbot gestört und die Arbeit der Gruppe vorübergehend eingestellt hatte, gesendet. Seitdem hat die Gruppe ihre Geschäftstätigkeit ausgeweitet und ihre Malware weiterentwickelt, und sie zielt weiterhin auf Unternehmen auf der ganzen Welt ab. Während der russische Föderale Sicherheitsdienst kürzlich Mitglieder der REvil-Ransomware-Bande verhaftet hat - nach diplomatischen Bemühungen zwischen den Präsidenten Joe Biden und Wladimir Putin -, ist Trickbots innerer Kreis bisher relativ unversehrt geblieben.

Die Trickbot-Gruppe entwickelte sich Ende 2015 aus dem Bankentrojaner Dyre, als Dyres Mitglieder verhaftet wurden. Die Bande hat ihren ursprünglichen Banking-Trojaner zu einem Allzweck-Hacking-Toolkit ausgebaut. Einzelne Module, die wie Plugins funktionieren, ermöglichen es ihren Betreibern, Ryuk und Conti Ransomware einzusetzen, während andere Funktionen Keylogging und Datenerfassung ermöglichen. "Ich kenne keine anderen Malware-Familien, die so viele Module oder erweiterte Funktionalitäten haben", sagt Vlad Pasca, ein leitender Malware-Analyst bei der Sicherheitsfirma Lifars, der den Code von Trickbot dekompiliert hat. Diese Raffinesse hat der Bande, auch bekannt als Wizard Spider, geholfen, Millionen von Dollar von Opfern zu sammeln.

Ein Kernteam von rund einem halben Dutzend Kriminellen steht im Mittelpunkt der Operationen von Trickbot, so die Dokumente, die von WIRED und Sicherheitsexperten, die die Gruppe verfolgen, überprüft wurden. Jedes Mitglied hat seine eigenen Spezialitäten, wie z.B. die Verwaltung von Teams von Programmierern oder die Leitung von Ransomware-Bereitstellungen. An der Spitze der Organisation steht Stern. (Wie alle Spitznamen, die in dieser Geschichte verwendet werden, sind der reale Name oder die Namen hinter den Griffen unbekannt. Sie sind jedoch die Identitäten, die die Gruppe verwendet, wenn sie miteinander spricht.)

“He is the boss of Trickbot,” says Alex Holden, who is CEO of cybersecurity firm Hold Security and has knowledge of the workings of the gang. Stern acts like a CEO of the Trickbot group and communicates with other members who are at a similar level. They may also report to others who are unknown, Holden says. “Stern does not get into the technical side as much,” he says. “He wants reports. He wants more communication. He wants to make high-level decisions.”

https://www.wired.com/story/trickbot-malware-group-internal-messages/