Russlands Krieg gegen die Ukraine stört das Ökosystem der Cyberkriminellen

Anmerkung der Redaktion: Dies ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse mit Endnoten zu lesen, klicken Sie hier , um den Bericht als PDF herunterzuladen.

Executive Summary

Der Krieg Russlands gegen die Ukraine hat das Ökosystem der Cyberkriminalität gestört. Am 24. Februar 2022 startete Russland eine groß angelegte Invasion der Ukraine. Wie im aktuellen Recorded Future-Bericht „ Themen und Misserfolge im Krieg Russlands gegen die Ukraine“ dargelegt, ist Russland trotz „zunehmender strategischer und taktischer Misserfolge“ wahrscheinlich weiterhin entschlossen, Kiew einzunehmen , die ukrainische Regierung zu stürzen und einen entscheidenden militärischen Sieg zu erringen . Russlands offensive Cyberoperationen seien nicht in der Lage gewesen, „die konventionellen militärischen Fortschritte des Landes substanziell zu steigern“ und würden sich wahrscheinlich auf die zivile Infrastruktur verlagern, um „die Moral der Ukraine im Vorfeld einer bevorstehenden, erneuten Offensive zu schwächen“. Dass Russland zur Erreichung seiner Ziele in der Ukraine weiterhin auf Stellvertretergruppen setzt und gleichzeitig eine glaubhafte Abstreitbarkeit aufrechterhält, hat die Verbindungen zwischen den russischen Geheimdiensten (RIS) und nichtstaatlichen Akteuren weiter ans Licht gebracht. Belegt werden diese Verbindungen durch die direkten, indirekten und stillschweigenden Beziehungen Russlands zu cyberkriminellen und hacktivistischen Gruppen, wie in unserem Bericht „ Dark Covenant 2.0: Cybercrime, the Russian State, and the War in Ukraine“ dargelegt.

Die sogenannte „Bruderschaft“ russischsprachiger Bedrohungsakteure in der Gemeinschaft Unabhängiger Staaten (GUS) wurde aufgrund politischer Meinungsverschiedenheiten zwischen den Bedrohungsakteuren im Zusammenhang mit dem Krieg beschädigt. Dieser Schaden hat zu einem neuen Maßstab innerer Instabilität geführt, wie eine anhaltende Welle von Insider-Leaks beweist. Da Russland zudem einen „Brain Drain“ an IT-Experten erlebt, werden sich die derzeit zerfallenden organisierten Cyberkriminellen-Kartelle wahrscheinlich geografisch stärker dezentralisieren, was wiederum ihre Beziehungen diffuser macht.

Das Wiederaufleben des „ Crowdsourced Hacktivismus“, eines internationalen Phänomens, das bislang auf die späten 2000er Jahre beschränkt war, wird wahrscheinlich eine neue Generation nichtstaatlicher Bedrohungsakteure hervorbringen, die sowohl politisch als auch finanziell motiviert sind. Auch wenn ihr Einfluss begrenzt war, sind diese sogenannten Hacktivisten-Gruppen in der öffentlichen Wahrnehmung zu einem Symbol für den parallel zum Krieg in der Ukraine wütenden „ Cyberkrieg“ geworden.

Die wirtschaftlichen Folgen des Krieges in der Ukraine dürften Bedingungen schaffen, die einen Anstieg des Werts von Zahlungskartenbetrug im Darknet begünstigen, trotz eines allgemeinen Einbruchs des Kartenzahlungsvolumens im Jahr 2022. Obwohl Betrug den Ruf einer einfachen Form der Internetkriminalität hat, wird er sich wahrscheinlich immer weniger zu einem Gelegenheitsdelikt, sondern vielmehr zu einem Überlebensdelikt entwickeln. Internationale Festnahmen, Beschlagnahmungen und Unruhestifter haben das Geschäftsmodell der kommerzialisierten Cyberkriminalität destabilisiert und weitreichende Auswirkungen auf die Bedrohungslandschaft von Malware und Ransomware-as-a-Service (MaaS, RaaS) gehabt. Diese Störungen haben sich auch auf die Ökosysteme der Darknet-Shops und -Marktplätze ausgeweitet und zu Preisschwankungen und einem neuen Wettbewerb unter den Marktbetreibern geführt. Aufgrund des Krieges Russlands gegen die Ukraine tritt die Cyberkriminalität sowohl innerhalb der GUS als auch weltweit in eine neue Ära der Instabilität ein.

Key Takeaways

• Wir haben keine direkten Verbindungen zwischen den Zugangsberechtigungslecks vor dem Krieg Russlands gegen die Ukraine feststellen können. Allerdings glauben wir, dass diese Zugangsberechtigungslecks von Bedrohungsakteuren ausgenutzt worden sein könnten, die die geopolitischen Spannungen vor dem Krieg ausnutzen wollten. Wir stellen außerdem fest, dass einige der von uns festgestellten Datenbankverletzungen inzwischen staatlichen Akteuren zugeschrieben wurden.
• Die sogenannte „Bruderschaft“ russischsprachiger Bedrohungsakteure in den GUS-Staaten wurde durch Insider-Leaks und eine Zersplitterung der Gruppe beschädigt, weil sie einerseits ihre Loyalität gegenüber dem Nationalstaat bekundeten und andererseits den Krieg Russlands gegen die Ukraine unterstützten und ablehnten.
• Russland erlebt derzeit eine Welle der Abwanderung von Fachkräften im IT-Bereich, die wahrscheinlich zu einer Dezentralisierung der Bedrohungslandschaft durch organisierte Cyberkriminalität führen wird. Neben der Abwanderung von Fachkräften führen auch Wellen der militärischen Mobilisierung russischer Bürger zu einer verringerten Aktivität im russischsprachigen Darknet und in Foren mit speziellem Zugang.
• Das Wiederaufleben des „Crowdsourced-Hacktivismus“ wird wahrscheinlich eine neue Generation nichtstaatlicher Bedrohungsakteure hervorbringen. Die Auswirkungen des Hacktivismus waren bisher begrenzt, doch seine Rolle bei der Ermöglichung von Informationsoperationen (IOs) bleibt von entscheidender Bedeutung. Hacktivismus ist in der öffentlichen Wahrnehmung zu einem Symbol des parallel zum Krieg Russlands gegen die Ukraine wütenden „Cyberkriegs“ geworden.
• Die Beschlagnahmung und Schließung mehrerer erstklassiger Carding-Shops durch die russischen Strafverfolgungsbehörden im Januar und Februar 2022 hat das Ökosystem des Zahlungskartenbetrugs bis April 2022 massiv gestört. Seit Mai 2022 hat das Aufkommen neuer Carding-Shops zu einem teilweisen Wiederanstieg der Menge kompromittierter Card-Not-Present-Daten (CNP) geführt, die im Dark Web zum Verkauf angeboten werden.
• Internationale Festnahmen, Beschlagnahmungen und Unruhen haben das Geschäftsmodell der kommerzialisierten Cyberkriminalität destabilisiert.
• Der Krieg Russlands gegen die Ukraine hat das Ökosystem der Darknet-Shops und -Marktplätze durcheinandergebracht. Unterbrechungen internationaler Lieferketten und Grenzschließungen haben den Versand „physischer“ Schmuggelware für Bedrohungsakteure mit Sitz in Russland unpraktisch gemacht.

Hintergrund

Am 24. Februar 2022 begann Russland mit einer groß angelegten Invasion der Ukraine, die durch Boden- und Luftangriffe, Boden-Boden- und Boden-Luft-Raketen, Cyberangriffe, elektronische Kriegsführung, Informationskrieg und mehr unterstützt wurde. Fast unmittelbar reagierte die russische Cyberkriminalität mit Treueerklärungen von Forenadministratoren, Bedrohungsakteuren und Bedrohungsakteurorganisationen. Innerhalb weniger Stunden nach der Invasion begannen Hacktivisten-Kampagnen, koordinierte Distributed-Denial-of-Service-Angriffe (DDoS), „Doxxing“-Aktivitäten, Trolling, die Verunstaltung von Websites, Ransomware-Infektionen und mehr.

Während sich die überwiegende Mehrheit der nichtstaatlichen Cyberkriminellen und Hacktivisten in den ersten Tagen des russischen Krieges gegen die Ukraine als Vergeltung für die Invasion gegen russische und weißrussische Einrichtungen richtete, versuchten opportunistische Bedrohungsakteure, die Spannungen auszunutzen, indem sie Schwachstellen in der Cyberinfrastruktur russischer, weißrussischer und ukrainischer Einrichtungen ausnutzten und durchgesickerte Informationen oder unberechtigten Zugriff verkauften, um sich finanziell zu bereichern oder Publicity zu erlangen. Treueerklärungen führten zudem zu internen Unruhen in bestimmten Bedrohungsakteurorganisationen und führten zu feindseligen Aktivitäten und Spaltungen zwischen den Bedrohungsakteuren.

Seit dem 24. Februar 2022 überwachen wir aktiv die täglichen Aktivitäten von Cyberkriminellen und nichtstaatlichen Hacktivisten, die direkt oder indirekt am russischen Krieg gegen die Ukraine beteiligt sind.