Ransomware-Trends in Australien: 2021 bis 2022

Executive Summary

Da die Zahl der Angriffe weltweit zunimmt, passen sich die Akteure der Ransomware-Bedrohungen ständig an und entwickeln sich weiter. Die Ransomware- Trends in Australien haben eine ähnliche Entwicklung genommen. Durch die Verbreitung von Ransomware-as-a-Service (Raas) ist Ransomware leichter zugänglich geworden, trotz der weltweiten Bemühungen der Strafverfolgungsbehörden, Ransomware-Banden das Handwerk zu legen. Geopolitische Ereignisse wie die russische Invasion in der Ukraine führten zwar zu einem Rückgang der Ransomware-Angriffe, die Gesamtentwicklung zeigt jedoch weiterhin nach oben. Initial Access Broker (IABs) im Darknet und in Foren mit speziellem Zugriff sind für Ransomware-Partner von entscheidender Bedeutung, um Zugriff auf kompromittierte Netzwerke zu erhalten. Vor der Bereitstellung der Ransomware-Nutzlast verlassen sich Bedrohungsakteure auf „Vorläufer-Malware“ zur Aufklärung, lateralen Bewegung, Zugriffseskalation und Exfiltration. Organisationen können Ransomware-Angriffe abwehren, wenn sie in der Lage sind, Erstzugriffsverkäufe zu identifizieren oder Vorläufer von Malware in ihren Netzwerken zu erkennen.

Wichtige Erkenntnisse

• In Australien werden pro Monat durchschnittlich sechs Ransomware-Angriffe gemeldet, obwohl geopolitische Ereignisse zu einem spürbaren Rückgang geführt haben. In den Jahren 2021 und 2022 war LockBit die Bande, die es am stärksten auf Australien abgesehen hatte. Ende November 2021 tauchte jedoch eine neue, in Russland ansässige Ransomware-Gruppe namens ALPHV auf und wurde schnell zur dominierenden Ransomware-Bande, die es 2022 auf Australien abgesehen hatte.
• Um einen erfolgreichen Ransomware-Angriff durchzuführen, benötigen Bedrohungsakteure Fernzugriff auf kompromittierte Netzwerke. Partner von Ransomware erwerben diese Zugriffe häufig im Darknet und in Foren mit speziellem Zugriff. Anschließend nutzen die Partner „Vorläufer-Malware“, um sich seitlich durch Systeme zu bewegen, Privilegien auszuweiten und Ransomware einzusetzen.

Hintergrund

In den letzten Jahren ist Ransomware zu einer ernsthaften Bedrohung für die meisten modernen, IT-basierten Volkswirtschaften und Gesellschaften geworden. Was Ransomware von anderen Cyberbedrohungen wie Spionage unterscheidet, ist der direkte Schaden, den sie für die Gesellschaft anrichtet, und die Verfügbarkeit der betroffenen Systeme.

In Australien haben Ransomware-Angriffe vielen Organisationen erhebliche Probleme bereitet: Krankenhäuser können nicht auf die Krankengeschichten wichtiger Patienten zugreifen, wodurch planbare Operationen erheblich verzögert werden (Eastern Health); die Telekommunikationsversorgung wird unterbrochen (Schepisi Communications); Kasinos müssen schließen (Federal Group); vertrauliche Daten von Regierungsmitarbeitern werden gestohlen (Frontier Software) und Fernsehsender werden offline genommen (Channel Nine). Neben den unmittelbaren Auswirkungen führen Ransomware-Vorfälle auch zu Umsatzeinbußen, Misstrauen und Frustration.

Aufgrund der Auswirkungen von Ransomware-Angriffen erkennen Regierungen weltweit Ransomware als ernsthafte Bedrohung an und die Strafverfolgungsbehörden gehen weltweit hart gegen Ransomware-Betreiber (wie Egregor) und -Unterstützer (wie Emotet) vor. In Australien wurden den Strafverfolgungsbehörden durch eine neue Gesetzgebung zusätzliche Befugnisse zur Bekämpfung von Cyberkriminalität erteilt und Risikomanagementprogramme für kritische Infrastrukturen vorgeschrieben. Trotz dieser Bemühungen steigt die Zahl der Ransomware-Angriffe sowohl weltweit als auch in Australien weiter an. Dieser Bericht gibt einen Überblick über die Ransomware-Situation in Australien vom 1. Januar 2021 bis zum 30. Juni 2022. Es bietet eine detaillierte, Australien-spezifische Analyse basierend auf einem einzigartigen Datensatz vergangener Ransomware-Angriffe. Schließlich stützt sich dieser Bericht auf Erkenntnisse aus früheren Untersuchungen von Recorded Future , die die Bedeutung der Phasen vor dem Einsatz von Ransomware hervorheben. Der Bericht identifiziert australische Erstzugänge, die über Darknet-Marktplätze verkauft wurden, sowie die auf Australien abzielende Schadsoftware im Frühstadium und zeigt auf, wie sich Unternehmen vor Ransomware schützen können.

Technische Analyse

Datensammlung

Die Analyse dieses Berichts basiert auf einem einzigartigen Datensatz, der aus öffentlich verfügbaren Informationen besteht, die in den letzten zwei Jahren gesammelt wurden. Die meisten Ransomware-Angriffe wurden über spezielle Leak-Websites entdeckt – Websites, die von Ransomware-Betreibern verwendet werden, um mit der Öffentlichkeit zu kommunizieren und ihre Opfer zu erpressen. Eine kleinere Anzahl der Angriffe wurde manuell durch Offenlegungsberichte betroffener Organisationen, Nachrichtenberichte und andere Quellen gefunden. Die tatsächliche Zahl der Angriffe dürfte deutlich höher sein, auch weil in Australien (wie in den meisten Ländern) derzeit keine Meldepflicht für Ransomware-Angriffe besteht. Sämtliche Erstzugriffsverkäufe wurden auf Darknet-Marktplätzen wie Exploit- und XSS-Foren beobachtet. Die Malware-Ereignisse wurden durch Netzwerkverkehrsanalyse (NTA) erkannt. Dabei handelt es sich um einen Branchenbegriff für die Überwachung und Analyse von Daten, die durch ein Netzwerk übertragen werden, und um einen Mechanismus zur Erkennung und Reaktion auf Angreifer bereitzustellen. Recorded Future hat Methoden entwickelt, um diesen Zwischenverkehr zwischen Angreifern und Opfern zu beobachten, während Angreifer Angriffe planen, inszenieren und starten. Diese Sammlung stellt nur eine kleine Stichprobe des bösartigen Datenverkehrs dar, der auf Australien abzielt. Die tatsächliche Anzahl australischer IPs, die Signale an bösartige Command-and-Control-Infrastrukturen (C2) senden, dürfte weitaus höher sein.

Australische Ransomware-Trends 2021 bis 2022

Wie die meisten Cyberbedrohungen passen sich Ransomware-Angriffe ständig an und entwickeln sich weiter. Wir haben zuvor über fünf wichtige Trends in den Bereichen Viktimologie, technologische Raffinesse, Organisationsstruktur und Erpressungsschemata berichtet, die diese Entwicklung geprägt haben.

Australien ist von Ransomware-Angriffen nicht verschont geblieben und die Zahl der registrierten Angriffe steigt weiterhin an, was zum Teil auf die gestiegene Medienberichterstattung und die Verbreitung des Ransomware-as-a-Service-Modells (Raas) zurückzuführen ist, das Ransomware für kriminelle Syndikate leichter zugänglich macht. Dieser Abschnitt gibt einen Überblick über Ransomware-Angriffe auf australische Organisationen in den Jahren 2021 und 2022.

Ransomware nimmt zu

Vom 1. Januar 2021 bis zum 30. Juni 2022 folgte die Zahl der gemeldeten Ransomware-Angriffe in Australien weiterhin einer ähnlichen Entwicklung wie die weltweiten Ransomware-Angriffe (siehe Abbildung 1). Dieser zunehmende Trend bei Ransomware-Angriffen ist möglicherweise auf die folgenden Faktoren zurückzuführen:

• Höhere Aktivität: Obwohl im Jahr 2022 weniger Ransomware-Banden beobachtet wurden, die Australien ins Visier nahmen, steigerten die größeren Banden, die bereits 2021 aktiv waren, ihre Aktivität im Jahr 2022 noch weiter (siehe Abbildung 2). Dies kann unter anderem mit dem Verstärkungseffekt des RaaS-Modells zusammenhängen.
• Höhere Lösegeldsummen und mehr Medienpräsenz: Durch die höheren Lösegeldforderungen ist es für Opferorganisationen schwieriger geworden, das Lösegeld zu zahlen, ohne öffentliche Aufmerksamkeit zu erregen. Auch aufgrund des Drucks der Regierung, Ransomware-Vorfälle zu melden, ist die Zahl der gemeldeten Angriffe in Australien gestiegen.

Abbildung 1: Ransomware-Angriffe in Australien und weltweit nach Monaten vom 1. Januar 2021 bis 30. Juni 2022 (Quelle: Recorded Future)

Reaktionen auf aktuelle Ereignisse

Zwischen dem 1. Januar 2021 und dem 30. Juni 2022 gab es durchschnittlich 6 Ransomware-Angriffe pro Monat auf australische Organisationen, mit einigen Ausnahmen in Bezug auf:

• Russland/Ukraine-Konflikt: Sowohl weltweit als auch in Australien gingen Ransomware-Angriffe im Vorfeld der russischen Invasion in der Ukraine im Februar 2022 zurück. Allerdings nahm die Zahl der Ransomware-Programme in den darauffolgenden Monaten stetig zu.
• Conti löst sich auf: Vor der offiziellen Schließung von Conti im Mai 2022 hatte der Konzern mehrere Rückschläge erlitten, die seine Aktivitäten beeinträchtigt haben könnten. Im Februar 2022 stellte sich Conti offiziell auf die Seite Russlands, nachdem dieses der Ukraine aus dem Weg gegangen war. Dies führte dazu, dass über 60.000 Nachrichten von ihrem Jabber-Server durchgesickert sind. Im Mai 2022 wurde berichtet, dass die meisten Server der Gruppe abgeschaltet worden seien.
• Treffen zwischen Putin und Biden: Der Rückgang der Angriffe im Juni 2021 steht vermutlich mit dem bevorstehenden Treffen zwischen Putin und Biden am 9. Juli 2021 im Zusammenhang. Bei diesem Treffen stand das Thema Ransomware ganz oben auf der Tagesordnung und es herrschte Unsicherheit hinsichtlich der zukünftigen Toleranz der Regierung gegenüber vielen Ransomware-Betreibern.
• Beseitigung von Emotet: Der Rückgang der Angriffe im Februar 2021 ist vermutlich auf die Beseitigung von Emotet, einem wichtigen Ermöglicher von Ransomware, und die Abschaltung von Egregor etwa zur selben Zeit zurückzuführen. Im November 2021 tauchte Emotet wieder auf. Die aktualisierte Variante war in der Lage, den Netzwerkverkehr zu verschlüsseln und Systeminformationen aus betroffenen Netzwerken zu sammeln.

Diese Ausnahmen können auch beobachtet werden, wenn man Ransomware-Angriffe aus einer globalen Perspektive im Ransomware Tracker von Recorded Future betrachtet.

Wer hat Australien im Visier?

Im Jahr 2021 war LockBit 2.0 die aktivste Ransomware-Bande in Australien und sie ist auch im Jahr 2022 weiterhin aktiv, nachdem sie sich im Juni 2022 in LockBit 3.0 umbenannt hat . Die Abschaltung von REvil (Sodinokibi) im Oktober 2021 und das Verschwinden von BlackMatter einige Wochen später eröffneten jedoch eine neue Marktchance für ein ausgeklügeltes Ransomware-Partnerprogramm. Eine neue, aus Russland stammende Ransomware namens ALPHV tauchte Ende November 2021 auf und entwickelte sich schnell zur dominierenden Ransomware-Bande, die es im Jahr 2022 auf Australien abgesehen hatte. Ähnlichkeiten zwischen APLHV und sowohl REvil als auch BlackMatter sind hinreichend dokumentiert. Auffällig ist, dass es im Jahr 2021 eine hohe Zahl an Angriffen gab, die keiner Ransomware-Gang zugeordnet werden konnten. Dies kann daran liegen, dass die Organisationen nicht wissen oder nicht bereit sind, mitzuteilen, von welcher Bande sie angegriffen wurden, oder dass der Vorfall auf einer Erpressungs-Website nicht auftaucht.

Abbildung 2: Ransomware-Angriffe in Australien nach Gruppe und Jahr vom 1. Januar 2021 bis 30. Juni 2022 (Quelle: Recorded Future)

Erster Zugriff

Wenn ein Unternehmen erst einmal Opfer von Ransomware geworden ist, ist es für wirksame Abwehr- und Präventionsstrategien zu spät. Die Unternehmen konzentrieren sich stattdessen auf Schadensbegrenzung. Frühere Berichte haben die Bedeutung von „Initial Access Brokern“ (IAB) hervorgehoben, die im Darknet und in Speak-Access-Foren Fernzugriff auf kompromittierte Netzwerke und kompromittierte Anmeldeinformationen verkaufen. Diese Zugriffe sind für Bedrohungsakteure erforderlich, um erfolgreiche Angriffe wie die Bereitstellung von Malware-Loadern, Datenexfiltration und letztendlich Ransomware-Bereitstellung durchzuführen. Gerade in diesen frühen Phasen des Angriffs können Abwehr- und Präventionsstrategien am wirksamsten sein. Durch die Identifizierung durchgesickerter Anmeldeinformationen, Verkaufszugänge oder Schadsoftware in Netzwerken können Unternehmen ihr Risiko eines Ransomware-Angriffs verringern.

Australischer Zugang zu verkaufen

Der Zugriff auf australische Unternehmensnetzwerke wird häufig in erstklassigen russischsprachigen Foren wie Exploit, XSS oder Ramp verkauft. Es ist jedoch auch möglich, den Zugriff in englischsprachigen Foren der unteren oder mittleren Kategorie wie BreachForums oder den nicht mehrbestehenden Raid Forums zu erwerben.

**Abbildung 3: **Australische Zugänge zum Verkauf im Dark Web und in Foren mit speziellem Zugang (Quelle: Recorded Future)

Abbildung 4: Australische Zugänge zum Verkauf in Exploit- und XSS-Foren (Quelle: Recorded Future)

Es gibt keine offensichtlichen Trends in Bezug auf Bedrohungsakteure, die konsequent australischen Zugang verkaufen. Diese Bedrohungsakteure sind möglicherweise einfach opportunistisch und ändern häufig ihre Spitznamen, um einer Verhaftung zu entgehen.

Vorläufer-Malware

Ransomware ist die letzte Phase des ersten Angriffs. Bedrohungsakteure verlassen sich häufig auf „Vorläufer-Malware“ zur Aufklärung, lateralen Bewegung, Zugriffsausweitung und Exfiltration, bevor sie die Ransomware-Nutzlast einsetzen. Trickbot und Emotet wurden zuvor als Vorläufer-Malware für die Ransomware Conti bzw. Ryuk beobachtet. Vor der Abschaltung wurde IcedID mit Egregor- und Maze-Ransomware-Angriffen in Verbindung gebracht und anschließend beim Einsatz von REvil beobachtet. QakBot wurde bei den jüngsten Black Basta -Ransomware-Angriffen zur lateralen Bewegung verwendet und wurde zuvor bei Prolock- und Egregor-Ransomware-Angriffen beobachtet. Anfang des Jahres wurde Dridex mit einer Entropy-Ransomware-Kampagne in Verbindung gebracht, zuvor wurde es jedoch mit Evil Corp und deren WastedLocker- und Hades-Ransomware-Programmen in Verbindung gebracht. Wenn Unternehmen durch den Einsatz von Erkennungsregeln oder die Netzwerküberwachung Vorläufer-Malware erkennen und beseitigen können, kann dies zum Schutz vor Ransomware beitragen. Um ein Beispiel zu nennen: Am 27. November 2021 wurde der australische Energieversorger CS Energy nach einem erfolgreichen Ransomware-Angriff auf der Erpressungs-Website der Conti-Ransomware (Conti.News) gelistet. Am Vortag wurde eine IP-Adresse beobachtet, die zum VPN von CS Energy aufgelöst wurde und mit der IP 149.154.159[.]165 kommunizierte. bei dem es sich damals vermutlich um einen Command-and-Control-Server (C2) von Cobalt Strike handelte.

Abbildung 5: Auf Australien abzielende Malware (Netzwerkverkehrsanalyse) (Quelle: Recorded Future)

Bei den seit November 2021 durch die NTA erkannten Malware-Vorfällen, die auf Australien abzielen, hat Qakbot im Anschluss an eine globale Störungskampagne zwischen November 2021 und Februar 2022 eine aktive Kampagne durchgeführt. Kürzlich, im Mai und Juni 2022, nahm Emotet Australien ins Visier, nachdem dort die Infrastruktur nach der Schließung durch die Strafverfolgungsbehörden im Januar 2021 wiederhergestellt werden konnte.

Ausblick

In diesem Bericht zu Ransomware in Australien werden die wichtigsten Trends der letzten 18 Monate erörtert. Zu diesen Trends gehören die Neigung, größere Organisationen anzugreifen, zunehmende technologische Raffinesse, organisatorische Spezialisierung (RaaS wird zum De-facto-Geschäftsmodell), vielschichtige Erpressungsschemata und zunehmende Internationalisierung. Im Zuge dieser Trends nahm die Zahl der Ransomware-Angriffe in Australien zwischen Januar 2021 und Juni 2022 zu.

Basierend auf bisherigen Trends werden Ransomware-Angriffe höchstwahrscheinlich weiter zunehmen, trotz weltweiter Bemühungen, Ransomware-Banden wie Egregor, REvil und Darkside zu zerschlagen, und trotz freiwilliger Auflösungen wie im Fall von Conti. Wenn frühere Gruppen zerfallen, werden andere Gruppen wie LockBit ihren Platz einnehmen und neue Gruppen wie ALPHV werden entstehen.

Bedrohungsakteure werden weiterhin IABs und Vorläufer-Malware verwenden, um neue Zugriffe zu erhalten und bestehende auszubauen. Eine der wirksamsten Methoden für Ransomware-Angreifer, um sich erstmalig Zugang zu einem kompromittierten Netzwerk zu verschaffen, wird nach wie vor die Verwendung eines IAB im Darknet und in Foren mit speziellem Zugriff sein. Sobald dieser Zugriff erlangt wurde, nutzen Ransomware-Akteure Vorläufer-Malware zur Rechteausweitung, lateralen Bewegung und Datenexfiltration. Der wirksamste Weg für Unternehmen, sich gegen einen Ransomware-Angriff zu wehren, besteht darin, Erstzugriffsverkäufe zu identifizieren oder bösartige Aktivitäten in ihrem Netzwerk zu erkennen.