Lateinamerikanische Regierungen im Visier von Ransomware

Lateinamerikanische Regierungen im Visier von Ransomware

insikt-logo-blog.png
Recorded Future untersuchte die jüngste Eskalation von Cyberangriffen auf lateinamerikanische (LATAM) Regierungen von Januar 2022 bis Mai 2022. Wir analysierten Schwachstellen, Angriffsvektoren und Kompromittierungsindikatoren (Indicators of Compromise, IOCs) und identifizierten die am weitesten verbreiteten Ransomware Banden, die es auf lateinamerikanische Regierungen abgesehen haben, und wiesen auf den Mangel an angemessener Cybersicherheitshygiene in der Region hin. Dieser Bericht enthält Informationen, die mithilfe der Recorded Future® Platform, Dark-Web-Quellen und Open-Source-Intelligence-Techniken (OSINT) gesammelt wurden.

Executive Summary

Wir haben mehrere Regierungsstellen in Lateinamerika (LATAM) identifiziert, die ab etwa April 2022 von Ransomware-Angriffen betroffen waren, an denen wahrscheinlich russische oder russischsprachige Bedrohungsakteure beteiligt waren. Zu den betroffenen Ländern zählen unter anderem Costa Rica, Peru, Mexiko, Ecuador, Brasilien und Argentinien. Alle drei Länder haben Russland wegen der Invasion in der Ukraine in der Generalversammlung der Vereinten Nationen (UNGA) öffentlich verurteilt. Einige dieser Länder stimmten Anfang April 2022 auch für den Ausschluss Russlands aus dem Menschenrechtsrat der Vereinten Nationen (UNHRC). In jüngerer Zeit wurden im Zusammenhang mit diesen Angriffen, wie etwa in Costa Rica, nationale Notstände ausgerufen. Zu den an diesen Angriffen auf Regierungen in Lateinamerika beteiligten Ransomware-Gruppen gehören Conti, ALPHV, LockBit 2.0 und BlackByte. Wir haben anekdotisch einen deutlichen Anstieg bei Initial Access Brokerage (IAB)-Diensten im hochrangigen russischsprachigen Dark Web und in speziellen Zugangsforen wie XSS und Exploit festgestellt, die kostengünstige, kompromittierte Netzwerkzugriffsmethoden im Zusammenhang mit Entitäten in Lateinamerika bewerben. Wir haben außerdem mehrere spektakuläre Datenbanklecks im Zusammenhang mit Unternehmen in Lateinamerika in englischsprachigen Foren der unteren und mittleren Kategorie wie BreachForums beobachtet, wobei die Zahl der Datendumps im April 2022 sprunghaft anstieg. Darüber hinaus haben wir im Vergleich zum Jahr 2021 im ersten und zweiten Quartal 2022 einen deutlichen Anstieg des Verkaufs kompromittierter Anmeldeinformationen beobachtet, die lateinamerikanische Regierungsdomänen betrafen und in Darknet-Shops verkauft wurden. Diese Beobachtungen und Trends könnten einen Paradigmenwechsel in der Ransomware- und Cyberkriminellen-Community im Allgemeinen in Bezug auf „ungeschriebene Regeln“ und interne Gruppenrichtlinien hinsichtlich der gezielten Angriffe auf staatliche Stellen darstellen.

Wichtige Urteile

Bedrohungsanalyse

Angriffsvektoren

Bis zum 26. Mai 2022 können wir den Angriffsvektor, den Ransomware-Betreiber und verbundene Unternehmen verwenden, um auf lateinamerikanische Regierungsbehörden abzuzielen, nicht definitiv bestimmen. Die gängigste Methode, mit der Bedrohungsakteure sich erstmals Zugriff auf Netzwerke verschaffen, ist jedoch die Verwendung kompromittierter gültiger Anmeldeinformationspaare (T1078) und Sitzungscookies (T1539), die oft aus einer erfolgreichen Infostealer-Infektion (T1555, T1083) stammen und von spezialisierten „Erstzugriffsbrokern“ im Dark Web und über Quellen mit Sonderzugriff verkauft werden. Dies ist der wahrscheinlichste Weg, über den sich solche Bedrohungsakteure Zugang zu kompromittierten lateinamerikanischen Regierungsnetzwerken verschafft haben. Die Verbreitung dieser Infostealer erfolgt häufig über Phishing (T1566), Spamming, das unbeabsichtigte Herunterladen einer schädlichen (T1204) oder getarnten (T1036) Datei und verschiedene andere Methoden. Wir haben seit etwa März 2022 einen geringfügigen, anhaltenden Anstieg von Hinweisen auf Erstzugriffsverkäufe und Datenbanklecks beobachtet, die auf lateinamerikanische Regierungsstellen im Dark Web und auf Quellen mit Sonderzugriff abzielen. Diese Beobachtungen werden anekdotisch in den täglichen Bedrohungshinweisen, Analystennotizen und Berichten der Insikt Group aufgezeichnet. Wir haben mehrere Bedrohungsakteure wie „zirochka“ auf den wichtigsten russischsprachigen XSS- und Exploit-Foren beobachtet, die kompromittierte Netzwerkzugänge, die auf Entitäten in Lateinamerika abzielen, in großen Mengen zu relativ niedrigen Preisen (unter 100 US-Dollar) versteigern.

Lateinamerikanische Regierungen im Visier von Ransomware-0.png
Abbildung 1: Zeitleiste der Ransomware-Angriffe auf Regierungsstellen in LATAM, verknüpft mit Verweisen auf LATAM im Darknet und in Quellen mit speziellem Zugang (Quelle: Recorded Future)

Wir haben einen leichten Anstieg der Datenbankdumps im Zusammenhang mit lateinamerikanischen Regierungsstellen beobachtet, beginnend im März 2022 und mit einem Höhepunkt am 4. April 2022. Außerdem haben wir im ersten Quartal 2022 (ab Februar 2022) im Vergleich zum gleichen Zeitraum im Jahr 2021 einen deutlichen Anstieg der Verweise auf Domänen im Besitz von Regierungsstellen in Lateinamerika in Darknet-Shops und auf Marktplätzen wie Russian Market, Genesis Store und 2easy Shop festgestellt. Diese Darknet-Shops und -Marktplätze sind auf den Verkauf kompromittierter Kontoanmeldeinformationen, Remote Desktop Protocol (RDP)- und Secure Shell (SSH)-Zugänge sowie Infostealer-Malware-„Protokolle“ spezialisiert, die verwendet werden können, um Zugriff auf das Netzwerk eines Opfers zu erhalten. Obwohl wir keinen direkten oder kausalen Zusammenhang zwischen der zunehmenden Menge, Häufigkeit und Menge von Werbeanzeigen, die sich an staatliche Stellen und Domänen in Lateinamerika richten, und Ransomware-Angriffen auf lateinamerikanische Regierungsbehörden feststellen können, sind wir der Ansicht, dass derartige Trends und Beobachtungen weiterer Untersuchungen bedürfen, um einen möglichen Zusammenhang zu analysieren und festzustellen.

Lateinamerikanische Regierungen im Visier von Ransomware-1.png

Lateinamerikanische Regierungen im Visier von Ransomware-2.png
Figur 2: Beispiele für Massenauktionen für den Erstzugang, die auf nicht näher spezifizierte Entitäten in LATAM abzielen (Quelle: Exploit Forum)
Ransomware-Banden zielen auf lateinamerikanische Regierungsstellen ab

Wir haben ab dem 1. April 2022 mindestens vier vertrauenswürdige Ransomware-Banden beobachtet, die es auf lateinamerikanische Regierungsbehörden abgesehen haben. Zu diesen Gangs gehören Conti, ALPHV (BlackCat), LockBit 2.0 und BlackByte. Diese Vorfälle stellen eine deutliche Zunahme der Schwere und der Auswirkungen von Ransomware-Angriffen dar. Im Allgemeinen vermeiden es die Partner von Ransomware, Gesundheitseinrichtungen, Bildungseinrichtungen der Klassen 1 bis 12, internationale Organisationen und Koalitionen sowie die Regierungen auf lokaler, regionaler oder bundesstaatlicher Ebene ins Visier zu nehmen. Das Risiko negativer Publizität und Stigmatisierung im Darknet und in Foren mit speziellem Zugang, der Aufmerksamkeit der Mainstream-Medien und der internationalen Strafverfolgung steigt dramatisch, sobald Ziele in diesen Branchen angegriffen werden. Möglicherweise markieren die Angriffe mutmaßlich russischer oder russischsprachiger Ransomware-Banden auf lateinamerikanische Unternehmen den Beginn eines Paradigmenwechsels, bei dem Ziele, die zuvor von der Gruppe intern sanktioniert wurden, nun zu lohnenden Zielen für Ransomware-Operationen werden.

Conti

Das bemerkenswerteste dieser Ziele war der Angriff von Conti auf die Regierung von Costa Rica, der zur weltweit ersten Ausrufung des landesweiten Notstands infolge eines Ransomware-Angriffs führte. Der Angriff, der wahrscheinlich vom Ransomware-Partner oder der zugehörigen Gruppe „unc1756“, wahrscheinlich auch bekannt als „wazawaka“, verübt und publik gemacht wurde, hat große Aufmerksamkeit in den Medien und bei den Strafverfolgungsbehörden erregt. Da Tochterunternehmen oft unabhängig von der größeren Ransomware-„Marke“ arbeiten, ist es möglich, dass die Angriffe auf Costa Rica, zu denen sich Conti bekannt hat, nicht das Werk der größeren Gruppe sind. Conti behauptet, etwa 1 TB an sensiblen Informationen im Zusammenhang mit der Verwaltung und den Aktivitäten mehrerer costaricanischen Einrichtungen exfiltriert, verschlüsselt oder vernichtet zu haben, darunter das Finanzministerium (hacienda[.]go[.]cr), das Ministerium für Arbeit und soziale Sicherheit (mtss[.]go[.]cr), der Entwicklungsfonds und das Amt für Familienbeihilfen (fodesaf[.]go[.]cr), und das Interuniversitäre Hauptquartier von Alajuela, Costa Rica (siua[.]ac[.]cr). In früheren Beiträgen von Conti gab es auch vage Hinweise auf die Kontrolle öffentlicher Versorgungsbetriebe wie Wasser und Elektrizität, was vermutlich indirekt darauf hindeutet, dass die Gruppe Zugriff auf costaricanische Industriesteuerungs-/Überwachungssteuerungs- und Datenerfassungsumgebungen (ICS/SCADA) hatte. Wir können diese Behauptungen jedoch nicht überprüfen. Conti ließ seinen Behauptungen über einen Angriff auf Costa Rica einen Angriff auf Peru folgen, von dem die Generaldirektion für Geheimdienste (digimin[.]gob[.]pe) betroffen war. und Ministerium für Wirtschaft und Finanzen (mef[.]gob[.]pe).

Lateinamerikanische Regierungen im Visier von Ransomware-3.png

Lateinamerikanische Regierungen im Visier von Ransomware-4.png
Figur 3: Ankündigungen von Angriffen auf Regierungseinrichtungen in Costa Rica und Peru durch die Conti-Gang (Quelle: Conti.News)

ALPHV (Schwarze Katze)

Am 16. April 2022 hat die Ransomware-Bande ALPHV (BlackCat) eine nicht näher bezeichnete Menge kompromittierter Daten im Zusammenhang mit der Stadt Quito, Ecuador (quito[.]gob[.]ec) geleakt. Dies war das erste Mal, dass ALPHV eine Regierungsbehörde in Lateinamerika ins Visier nahm. Ecuadorianischen Medien zufolge waren durch diesen Angriff mehrere Dienste für eine unbestimmte Zeit offline. Dies ist ein bemerkenswerter Vorfall, da das Bürgermeisteramt der Stadt Quito und die Generalstaatsanwaltschaft des Bundesstaates bestätigten, dass der erste Angriff zur „Aussetzung“ mehrerer wichtiger Regierungsdienste führte, was zu „Unannehmlichkeiten für die Benutzer führte, die bestimmte Verfahren nicht durchführen konnten“. Ab dem 25. April 2022 stehen alle Informationen, die angeblich von ALPHV exfiltriert wurden, kostenlos zum Download auf einer .onion-Datei zur Verfügung. Domäne, die auf der öffentlich zugänglichen ALPHV-Erpressungswebsite mit demselben Namen bereitgestellt wird. Zu den kompromittierten Informationen zählen wahrscheinlich sensible finanzielle, rechtliche und politische Dokumente im Zusammenhang mit den Aktivitäten und der Verwaltung der Stadt Quito in Ecuador. Sollten diese Informationen von einem opportunistischen Bedrohungsakteur, Kriminellen oder Nationalstaat ausgenutzt werden, könnte sich dies als schädlich für die nationale Sicherheit Ecuadors erweisen.

Lateinamerikanische Regierungen im Visier von Ransomware-5.png
Figur 4: Ankündigungen eines Angriffs auf die Stadtverwaltung von Quito, Ecuador, von der BlackCat Ransomware-Gruppe (Quelle: ALPHV)

LockBit 2.0

Am 23. Mai 2022 veröffentlichte die Ransomware-Bande LockBit 2.0 in ihrem Blog durchgesickerte Dateien im Zusammenhang mit dem Gesundheitsministerium des Bundesstaates Morelos, Mexiko (saludparatodos[.]ssm[.]gob[.]mx), ein Verstoß, der erstmals am oder um den 16. Mai 2022 bekannt wurde. Diese Offenlegung folgte einer früheren Behauptung vom 22. April 2022, dass LockBit 2.0 das Netzwerk des Finanzministeriums von Rio de Janeiro, Brasilien (fazenda[.]rj[.]gov[.]br) kompromittiert habe. Über keinen dieser Vorfälle wurde in den mexikanischen oder brasilianischen Medien ausführlich berichtet. Bis zum 25. April 2022 ist unklar, ob die Angriffe zu einer erheblichen Störung kritischer Dienste der Regierungsstellen geführt haben. Darüber hinaus stehen seit dem 25. April 2022 alle Informationen, die angeblich von der LockBit 2.0-Ransomware-Bande erbeutet wurden, auf der öffentlichen LockBit 2.0-Erpressungswebsite mit dem Namen „LockBit 2.0 Leaked Data“ zum kostenlosen Download bereit. Zu den kompromittierten Informationen zählen wahrscheinlich sensible finanzielle, rechtliche und politische Dokumente im Zusammenhang mit der Geschäftstätigkeit und Verwaltung dieser Unternehmen. Sollten diese Informationen von einem opportunistischen Bedrohungsakteur, Kriminellen oder Nationalstaat ausgenutzt werden, könnte sich dies als schädlich für die nationale Sicherheit Mexikos und Brasiliens erweisen.

Lateinamerikanische Regierungen im Visier von Ransomware-6.png

Lateinamerikanische Regierungen im Visier von Ransomware-7.png
Abbildung 5: Ankündigungen von Angriffen auf mexikanische und brasilianische Regierungsbehörden durch die LockBit-Gang (Quelle: LockBit Blog)

BlackByte

Am 21. Mai 2022 veröffentlichten die Betreiber der BlackByte-Ransomware auf ihrer öffentlichen Erpressungswebsite namens BlackByte Blog Behauptungen, sie hätten das interne Netzwerk des Generalkontrolleurs der Republik Peru (contraloria[.]gob[.]pe) kompromittiert. Bis zum 25. April 2022 haben die Betreiber der BlackByte-Ransomware keine nennenswerten Daten im Zusammenhang mit dieser Regierungsbehörde veröffentlicht. Dieser Angriff muss bislang noch von einem Vertreter des peruanischen Generalkontrolleurs bestätigt werden und in den peruanischen oder spanischsprachigen Medien wurde nicht ausführlich darüber berichtet. Zum Zeitpunkt der Erstellung dieses Dokuments können wir nicht feststellen, ob dieser Angriff die Störung wichtiger Dienste des Generalkontrolleurs verursacht hat, obwohl es wahrscheinlich ist, dass alle erkannten Dienstunterbrechungen in der Domäne mit diesem Angriff in Zusammenhang stehen.

Lateinamerikanische Regierungen im Visier von Ransomware-8.png
Abbildung 6: Ankündigung eines Angriffs auf eine peruanische Regierungsbehörde durch die BlackByte Ransomware-Gang (Quelle: BlackByte-Blog)

Obwohl die meisten Länder Lateinamerikas eine nationale Strategie zur Cybersicherheit verabschiedet haben, bleibt hinsichtlich der Verbesserung der Cyberkapazitäten und der Sicherheitslage im privaten wie im öffentlichen Sektor noch viel zu tun. Derzeit sind lediglich drei Länder Lateinamerikas (Brasilien, die Dominikanische Republik und Mexiko) Mitglieder der über 30 Länder umfassenden Task Force zur Bekämpfung von Ransomware. Die effektivste Investition wäre, den Einwohnern Lateinamerikas und der Karibik persönlichen oder Fernzugang zu IT-Sicherheitsschulen und -Ausbildungseinrichtungen zu gewähren. Die Bildungs- und Ausbildungseinrichtungen der Region können mit der aktuellen Nachfrage nach IT-Sicherheitsfachkräften einfach nicht Schritt halten. Investitionen in allgemeine und berufliche Bildung sowie Ausbildungsprogramme würden den größten Beitrag zum Kapazitätsaufbau, zur Schließung der Lücke bei den Cyberkompetenzen und zur Gewinnung von mehr Fachkräften im Cyberspace leisten. Die Unterstützung und Ermutigung jüngerer Menschen, eine Aus- und Weiterbildung im Cyberbereich anzustreben, kann dem Fachkräftemangel drastisch entgegenwirken und das öffentliche Bewusstsein für Cyberbedrohungen schärfen; die Region war während der Pandemie besonders von Cyberkriminalität und Betrug betroffen.

Angesichts der unterschiedlichen Ansätze der Länder in Bezug auf die Cybersicherheit ist es schwierig, diese zu bewerten. Einige haben sich dazu entschieden, die Cybersicherheit privaten Unternehmen zu überlassen, während andere sich im Kampf gegen die Cyberkriminellen auf staatliche Behörden und das Militär verlassen. Laut der Observatoriumsstelle für Cybersicherheit der Organisation Amerikanischer Staaten (OAS) befinden sich die meisten Lateinamerika-Länder in der Anfangsphase der Entwicklung ihrer Cybersicherheit. Infolgedessen bleibt in den Ländern Zentralamerikas und der Karibik hinsichtlich der Cybersicherheitspolitik noch viel zu tun und umzusetzen. Dennoch unternehmen Länder wie Argentinien, die Dominikanische Republik, Ecuador, Panama und Peru erhebliche Anstrengungen, ihre Cyber-Fähigkeiten auszubauen. Es gibt jedoch eine kleine Liste von Ländern, die über etablierte Strategien, rechtliche Rahmenbedingungen, institutionelle Kapazitäten und Humankapitalressourcen verfügen, darunter Brasilien, Uruguay, Kolumbien und Chile. Und obwohl sie sich noch in der Entwicklungsphase befinden, haben Länder wie Brasilien, Kolumbien, Chile und Mexiko bereits die Führung übernommen und ihre institutionellen Kapazitäten ausgebaut, wozu auch die Entwicklung von Gesetzen, Richtlinien und Vorschriften zum Thema Cybersicherheit gehört. Auch im privaten Sektor, vor allem im Finanzsektor, gibt es in diesen Ländern zunehmend Fachkenntnisse.

Gegenmaßnahmen

Es ist von entscheidender Bedeutung, Offline-Backups der Daten Ihres Unternehmens aufzubewahren und sicherzustellen, dass diese Backups immer auf dem neuesten Stand sind, um Datenverlust im Falle einer Ransomware-Infektion zu verhindern. Darüber hinaus empfehlen wir die folgenden Maßnahmen zur Reduzierung des Gesamtrisikos und der Auswirkungen:

Ausblick

Ransomware wird wahrscheinlich auch weiterhin eine Rolle bei den Angriffsmethoden von Bedrohungsakteuren spielen, die es auf öffentliche und private Einrichtungen in Lateinamerika abgesehen haben, da sie als Ransomware-as-a-Service (für nicht-technische Bedrohungsakteure) verfügbar ist und sehr erfolgreiche Infektionsraten aufweist. Kompromittierte Konten und Netzwerke sind bei Bedrohungsakteuren heiß begehrt und werden es auch bleiben, da sie für eine Reihe von Angriffsvektoren verwendet werden können, einschließlich, aber nicht beschränkt auf, Kontoübernahmen, Identitätsdiebstahl, Social Engineering, Credential Stuffing und Brute-Force-Angriffe. Da Lateinamerika eine aufstrebende Region ist, deren Sicherheitslage aus verschiedenen Gründen (u. a. geopolitische Umstände und sich entwickelnde Infrastruktur) nicht so ausgereift oder entwickelt ist wie in manchen anderen Regionen, betrachten Bedrohungsakteure Lateinamerika-Unternehmen möglicherweise als leichte Ziele für die Ausbeutung sensibler und finanziell lukrativer Konten durch Infostealer-Infektionen.

Während die Incident-Response-Teams in der Region ihre Sicherheitslage ausbauen, werden Bedrohungsakteure wahrscheinlich weiterhin Infostealer-Varianten entwickeln und erstellen, um Organisationen in Lateinamerika ins Visier zu nehmen und Anmeldeinformationen von Privat- und Unternehmenskonten sowie andere wichtige Daten zu erbeuten.