Halbleiterunternehmen im Visier von Ransomware

Anmerkung des Herausgebers: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Dieser Bericht untersucht Ransomware- Angriffe auf Halbleiterunternehmen bis heute im Jahr 2022. Wir haben die strategische Bedeutung der Halbleiterindustrie und die einzigartige Rolle analysiert, die sie im zunehmend komplexen geopolitischen Umfeld spielt. Darüber hinaus haben wir die Taktiken, Techniken und Verfahren (TTPs) identifiziert, die von Ransomware-Akteuren bei ihren Angriffen verwendet werden.

Executive Summary

Wir haben 8 Halbleiterunternehmen identifiziert, die bisher im Jahr 2022 von Ransomware-Akteuren angegriffen und erpresst wurden. Bei diesen Angriffen kamen unter anderem LockBit, LV Ransomware und Cuba Ransomware zum Einsatz und sie wurden von Erpressergruppen wie der Lapsus$ Group und RansomHouse durchgeführt. Wir haben die TTPs jeder Gruppe und die möglichen Motive hinter dem Angriff analysiert. Darüber hinaus haben wir die wirtschaftliche und strategische Bedeutung der Halbleiterindustrie und die entscheidende Rolle untersucht, die sie in der Geopolitik der USA-China/Taiwan sowie der gesamten Asien-Pazifik-Region spielt. Diese komplexe Beziehung könnte in naher Zukunft zu weiteren Cyberangriffen auf die Halbleiterindustrie führen, sowohl durch Cyberkriminelle als auch durch staatlich geförderte Gruppen.

Wichtige Urteile

• Die Halbleiterfertigung ist in der heutigen, von Informationstechnologie getriebenen, globalisierten Wirtschaft eine entscheidende Branche und damit ein bevorzugtes Ziel für Akteure, die hinter Ransomware-Angriffen stehen, und Erpressergruppen.
• Bei ihren Angriffen auf Halbleiterunternehmen setzten Ransomware-Bedrohungsakteure eine Vielzahl von TTPs ein. Dazu gehören der Einsatz von Schadsoftware zur Verschlüsselung von Daten, Erpressung durch Androhung der Offenlegung von Daten, die Veröffentlichung von Quellcode und geistigem Eigentum, die Verwendung gestohlener Code-Signatur-Zertifikate zum Signieren von Schadsoftware und die Möglichkeit, proprietäre Daten an Branchenkonkurrenten oder rivalisierende Nationalstaaten zu verkaufen.
• Die Motive der Akteure, die Ransomware-Bedrohungen auslösen, reichen von rein finanziellen Motiven über die Suche nach Nervenkitzel bis hin zum möglicherweise strategischen Diebstahl geistigen Eigentums.
• Während keiner der hier analysierten Cyberangriffe auf Halbleiterunternehmen direkte Verbindungen zu staatlichen Gruppen aufweist, deckten Branchenberichte staatlich gesponserte Bedrohungsakteure auf, die sich als Ransomware-Gruppen tarnten und mindestens fünf Ransomware-Varianten – LockFile, AtomSilo, Rook, Night Sky und Pandora – für Cyber-Spionage verwendeten.
• In den meisten Fällen führten mangelhafte Sicherheitspraktiken zunächst zu einer Kompromittierung durch Ransomware-Akteure, was den Diebstahl von Daten und Informationen zur Folge hatte.
• Da der Kampf um die Vorherrschaft im Halbleitersektor den Kern des Wirtschaftswettbewerbs zwischen China und Taiwan bildet, gehen wir davon aus, dass es auch künftig zu Cyberangriffen und Industriespionage gegen Halbleiterunternehmen kommen wird.

Hintergrund

Laut dem Manufacturing Leadership Council haben Ransomware-Banden im Jahr 2021 die Intensität ihrer Angriffe auf alle Industriezweige erhöht. 65 % aller industriellen Ransomware-Vorfälle im Jahr 2021 entfielen auf das verarbeitende Gewerbe , etwa sechsmal so viele wie auf den zweitgrößten Sektor (Lebensmittel und Getränke). Obwohl die Halbleiterfertigung im Jahr 2021 nicht zu den am stärksten betroffenen Teilbranchen zählte , kam es im Jahr 2022 bisher zu acht Cyberangriffen auf Halbleiterunternehmen, entweder durch Ransomware-Banden – darunter LockBit, LV Ransomware und Cuba Ransomware – oder durch die Erpressergruppen RansomHouse und Lapsus$ Group.

Auf der Grundlage unserer Untersuchungen haben wir festgestellt, dass die Angriffe auf Halbleiterunternehmen nicht zwangsläufig von Ransomware-Betreibern durchgeführt wurden, sondern vielmehr von deren Tochterunternehmen, die die Modelle Ransomware-as-a-Service (RaaS) und doppelte Erpressung nutzten. Die meisten großen Ransomware-Gangs, darunter Conti, LockBit und REvil, haben das RaaS-Geschäftsmodell übernommen, bei dem die Partner leicht verfügbare Toolkits verwenden, um Ransomware-Angriffe auszuführen und einen Prozentsatz jeder erfolgreichen Lösegeldzahlung zu verdienen. RaaS ermöglicht es Bedrohungsakteuren ohne großes technisches Fachwissen, ihre Angriffe zu starten und auszuführen. Darüber hinaus haben alle oben genannten Ransomware-Banden die Taktik der doppelten Erpressung angewandt, bei der sie die Daten ihrer Opfer auf ihren jeweiligen Erpresser-Blogs veröffentlichen. Dies lässt darauf schließen, dass es diesen Ransomware-Gruppen nicht gelungen ist, eine nennenswerte Zahl ihrer Opfer zur Zahlung des geforderten Lösegelds zu bewegen. Dies war bei den meisten in diesem Bericht analysierten Opfern der Fall. Wir haben außerdem Bedrohungsakteure identifiziert, die mit Erpressung drohen, bei ihren Angriffen auf Halbleiterunternehmen jedoch keine Ransomware einsetzen. Dies zeigt, dass sowohl technischere als auch nicht-technische Bedrohungsakteure mit der entsprechenden Absicht und dem entsprechenden Willen Halbleiterunternehmen ins Visier nehmen.

Da Halbleiter das Herzstück elektronischer Geräte wie Smartphones, Computer, Autos, Haushaltsgeräte, Fernseher und moderner medizinischer Diagnoseausrüstung bilden, hätte jede Störung der Halbleiterindustrie vermutlich Auswirkungen auf alle anderen Fertigungssektoren. Wir sind davon überzeugt, dass die Betreiber von Ransomware-Angriffen Halbleiterunternehmen als wertvolle Ziele betrachten und die Medienberichterstattung nutzen, um Druck auf die Opfer auszuüben und sie dazu zu bringen, zu verhandeln und das Lösegeld zu zahlen, da Halbleiter für die Weltwirtschaft eine so große Bedeutung haben.

Die Halbleiterhersteller haben Mühe, mit der weltweiten Nachfrage Schritt zu halten, was zu einem seit 2020 anhaltenden Chipmangel geführt hat. Wir gehen davon aus, dass finanziell motivierte Ransomware-Banden diese Gelegenheit nutzen, um Halbleiterunternehmen ins Visier zu nehmen, da jede Unterbrechung ihrer Betriebsabläufe Auswirkungen auf die globale Lieferkette hätte, die durch die COVID-19-Pandemie bereits belastet ist. Dadurch erhöht sich die Wahrscheinlichkeit, dass die betroffenen Unternehmen das Lösegeld zahlen. Darüber hinaus könnten kriminelle Organisationen oder staatliche Bedrohungsakteure die Halbleiterindustrie ins Visier nehmen, um die globale Lieferkette zu stören. Wir gehen davon aus, dass es sehr wahrscheinlich ist, dass staatlich unterstützte Gruppen Ransomware krimineller Gruppen einsetzen, um das Vertrauen in die Halbleiterfertigungsbranche zu zerstören und den Ausbau der Chip-Produktionskapazitäten strategisch zu verzögern. Im April 2022 berichtete CNBC, dass der anhaltende Mangel an Halbleitern „das BIP-Wachstum beeinträchtigen und die Inflation ankurbeln könnte“. Der Mangel könnte sich in einer Inflationssteuer niederschlagen, die zu Preissteigerungen von bis zu drei Prozent für die betroffenen Elektronikprodukte wie Autos, Fernseher und Touchscreen-Computer führt. Bei manchen von ihnen sind die Bestellungen seit sechs Monaten oder mehr im Rückstand.

Im Jahr 2018 wurde die Taiwan Semiconductor Manufacturing Company (TSMC) Opfer eines schweren Ransomware-Angriffs durch WannaCry, einer Gruppe, die angeblich Verbindungen zu Nordkorea hat. In der Folge musste TSMC mehrere seiner Chipfabriken schließen. Der Angriff betraf mehr als 10.000 Maschinen in einigen der modernsten Anlagen von TSMC und verzögerte die Produktion von Chips, die in den zukünftigen iPhone-Serien von Apple verwendet werden sollen, was zu Umsatzeinbußen von etwa 256 Millionen US-Dollar führen könnte. TSMC stellt auch Prozessoren und andere Siliziumchips für globale Technologiegiganten wie Advanced Micro Devices (AMD), NVIDIA und Qualcomm her.

Im Jahr 2022 beobachteten wir, dass sowohl AMD – ein amerikanisches multinationales Halbleiterunternehmen mit Sitz in Santa Clara, Kalifornien – als auch NVIDIA Opfer von Datendiebstahl bzw. Erpressung wurden; AMD wurde im Januar 2022 von der RansomHouse-Bande angegriffen und NVIDIA wurde im März 2022 von der Lapsus$ Group angegriffen und erpresst. Wir haben auch festgestellt, dass Halbleiterhersteller wie Samsung, Ignitarium, Diodes Inc., Etron Technology und SilTerra Malaysia Sdn. Bhd. und Semikron waren im Jahr 2022 bisher von Ransomware-Angriffen betroffen.

Strategische Bedeutung von Halbleitern für die USA und China

Die USA verfolgen seit langem eine umfassende Strategie, um China den Zugang zu kritischer Chipherstellungstechnologie zu verwehren. Die chinesische Semiconductor Manufacturing International Corp (SMIC) ist seit September 2020 mit US -Sanktionen belegt, als die US-Regierung die mögliche Verwendung der Produkte des Chipherstellers in militärischen Anwendungen sowie mögliche Verbindungen zum chinesischen Militär als Grund anführte.

SMIC plante, im vierten Quartal 2020 hochwertige 7-nm-Chips herzustellen , um mit etablierten Halbleiterunternehmen wie TSMC, Intel und Samsung zu konkurrieren. Der Plan von SMIC, dies zu tun, wurde durch US-Sanktionen negativ beeinflusst, die SMIC daran hinderten, dringend benötigte Ausrüstung und Design-Tools zu beschaffen. SMIC gilt seit Langem als Chinas nationaler Vorreiter in der Chipproduktion und wird voraussichtlich Chinas Streben nach Selbstversorgung mit Halbleitern anführen, da die Halbleiterproduktion in Chinas Fünfjahresplan 2021 eine hohe Priorität einnimmt.

Ende Juli 2022 berichtete Tom’s Hardware laut dem Analystenunternehmen TechInsights, dass SMIC auf Basis seines 7-nm-Prozessknotens Chips für ein Bitcoin (BTC)-Miner-SoC produziert und seit Juli 2021 ausliefert. TechInsights hat den Chip rückwärts entwickelt und berichtet, dass die ersten Bilder eine genaue Kopie der 7-nm-Prozesstechnologie von TSMC sind; TSMC hatte SMIC zweimal (2002 und 2006) wegen des Kopierens seiner Technologie verklagt. Die Asia Times berichtete , es gebe Befürchtungen, dass die US-Sanktionen den Vormarsch der chinesischen Halbleitertechnologie nicht aufhalten könnten. Taiwan wirft China zudem vor, durch den Diebstahl von Technologie und die Abwerbung von Ingenieuren einen Wirtschaftskrieg gegen den taiwanesischen Technologiesektor zu führen. Zudem besteht die Befürchtung, dass China den Erfolg Taiwans in der Halbleiterindustrie durch Industriespionage nachahmen möchte. Eine Abwanderung der Halbleiterindustrie von Taiwan nach China würde Taiwans Identität als wichtiger Akteur in der Weltwirtschaft schwächen und seinen Anspruch auf staatliche Autonomie weiter delegitimieren.

Laut TrendForce machen die Top-5-Gießereien fast 90 % des weltweiten Marktanteils aus , wobei TSMC mit 52,1 % den ersten Platz und SMIC mit 5,2 % im vierten Quartal 2021 den fünften Platz einnimmt. TSMC verfügt über einen deutlichen Marktanteil, der etwa zehnmal so groß ist wie der von SMIC.

Abbildung 1: Die 10 weltweit größten Gießereien nach Umsatz im vierten Quartal 2021 (Quelle: TrendForce)

Abbildung 2: Chronologische Daten zum Wachstum der Halbleiterchip-Technologie von TSMC, wobei 5 nm im Jahr 2020 der neueste und hochwertigste Chip ist (Quelle: TSMC)

Am 9. August 2022 unterzeichnete US-Präsident Joe Biden ein parteiübergreifendes Gesetz, das die Wettbewerbsfähigkeit der USA gegenüber China durch Investitionen von 52,7 Milliarden US-Dollar in die heimische Halbleiterproduktion und wissenschaftliche Forschung stärken soll. Der Gesetzentwurf mit dem Titel „ CHIPS (Creating Helpful Incentives to Produce Semiconductors) and Science Act of 2022“ umfasst sowohl Investitions- als auch Steuererleichterungen, um Investitionen in die Halbleiterfertigung zu fördern. Der Gesetzentwurf sieht 39 Milliarden Dollar an Produktionsanreizen vor, darunter zwei Milliarden Dollar für Altchips, die in Autos und Verteidigungssystemen verwendet werden, 13,2 Milliarden Dollar für Forschung und Entwicklung sowie die Entwicklung der Belegschaft und 500 Millionen Dollar für die internationale Sicherheit von Informations- und Kommunikationstechnologie sowie für Aktivitäten in der Halbleiter-Lieferkette. Es sieht außerdem eine Investitionssteuergutschrift von 25 % für Kapitalaufwendungen zur Herstellung von Halbleitern und zugehöriger Ausrüstung vor. Diese Anreize zielen darauf ab, die inländische Versorgung sicherzustellen, Zehntausende lukrative Gewerkschaftsarbeitsplätze im Baugewerbe und Tausende weitere Arbeitsplätze für hochqualifizierte Fachkräfte im verarbeitenden Gewerbe zu schaffen und zusätzliche private Investitionen in Höhe von Hunderten Milliarden Dollar anzustoßen. Ein ähnliches Gesetz wurde im Februar 2022 in der Europäischen Union vorgeschlagen .

Um die Mittel nutzen zu können, „ist es den Subventionsempfängern für die nächsten zehn Jahre untersagt, ihre Produktion in China über ‚Legacy-Halbleiter‘ hinaus auszuweiten – definiert als Chips, die mit 28-Nanometer-Prozesstechnologie oder älter hergestellt werden.“ Das Gesetz soll talentierte Mitarbeiter und Investitionen im Halbleiterbereich in die USA locken und gleichzeitig verhindern, dass globale Chipgiganten wie TSMC und Samsung Electronics ihre Kapazitäten in China mit US-Mitteln ausbauen. Das chinesische Außenministerium lehnt den Gesetzentwurf entschieden ab , da er Klauseln enthält, die Investitionen im Land einschränken.

Was die Kapazitäten bei der Herstellung von Halbleiterchips betrifft, liegt China immer noch hinter den USA, Taiwan und Südkorea zurück. Die USA initiierten die Chip 4-Allianz, bestehend aus den USA, Taiwan, Südkorea und Japan, mit dem strategischen Ziel, China aus den Halbleiter-Wertschöpfungsketten auszuschließen; diese Initiative wurde von China verurteilt und bekämpft. Die chinesische Regierung behauptet, dass die USA versuchten, das Problem der Chipversorgung als Waffe auszunutzen, und forderte Südkorea auf, der Chip-Allianz nicht beizutreten.

China ist bestrebt, neue Fertigungstechnologien zu erwerben, um mit den USA konkurrieren zu können, und hat die Chipindustrie durch den Diebstahl geistigen Eigentums ins Visier genommen. Wir gehen davon aus, dass neben staatlichen Bedrohungsakteuren auch finanziell motivierte Ransomware-Gruppen einen stärkeren Anreiz haben, Daten anzugreifen, zu stehlen und zu verschlüsseln. Durch Ransomware-Angriffe können Informationen gestohlen werden, die sich als potenziell vorteilhaft für das Wachstum und die Weiterentwicklung der chinesischen Halbleiterindustrie erweisen könnten. Darüber hinaus können sie das strategische Ziel erreichen, die Produktionsprozesse und die Weiterentwicklung der US-Halbleiterindustrie und ihrer Verbündeten, insbesondere Taiwan, Südkorea und Japan, zu verzögern.

Bemerkenswerter Diebstahl geistigen Eigentums und Hochrisikovorfälle

Fallstudie 1: SMIC hat viele Ingenieure von TSMC abgeworben

Süd China morgen Post berichtete , dass viele Ingenieure von SMIC, darunter auch wichtige leitende Manager, aus Taiwan, vor allem von TSMC, abgeworben wurden und dass SMIC von TSMC wegen angeblichen Diebstahls geistigen Eigentums bei der Einstellung ehemaliger TSMC-Mitarbeiter verklagt wurde. Reuters berichtete im Mai 2022 außerdem, dass Taiwan Razzien bei zehn chinesischen Unternehmen durchgeführt habe, die im Verdacht standen, illegal Chip-Ingenieure und technische Talente abzuwerben, um die Geheimnisse seiner Halbleiterchip-Industrie zu schützen und zu verhindern, dass China an entscheidende Technologie zur Chipherstellung gelangt.

Fallstudie 3: Japanische Polizei löst höchste Alarmstufe wegen möglichen Spionageversuchs durch Russen aus

Am 28. Juli 2022 informierten die japanischen Polizeibehörden mehrere japanische Halbleiterunternehmen darüber, dass ein Mitarbeiter der russischen Handelsvertretung Kontakt zu Mitarbeitern japanischer Halbleiterunternehmen gehabt habe. Die japanische Polizei geht davon aus, dass der Mitarbeiter möglicherweise Spionagetätigkeiten durchgeführt und versucht hat, technische Informationen des Unternehmens zu stehlen. Die Alarmierung der Halbleiterunternehmen ist Teil der wirtschaftlichen Sicherheitsmaßnahmen der japanischen Regierung, um einen Technologietransfer in andere Länder zu verhindern.

Zunehmende Spannungen zwischen den USA und China und der Besuch von Sprecherin Pelosi bei TSMC

Am 2. August 2022 reiste die Sprecherin des US-Repräsentantenhauses, Nancy Pelosi, trotz der Androhung chinesischer Vergeltungsmaßnahmen nach Taiwan und brachte damit ihre Unterstützung für Taiwan zum Ausdruck. Das chinesische Außenministerium verurteilte den Besuch aufs Schärfste und bezeichnete ihn als „schwerwiegenden Verstoß gegen die Ein-China-Politik und die Bestimmungen der drei gemeinsamen Kommuniqués zwischen China und den USA“. Aus Protest gegen den Besuch bestellte die chinesische Regierung den US-Botschafter in China, Nicholas Burns, ein. China warnte zudem vor schwerwiegenden Konsequenzen für Taiwan und die USA. Am 3. August 2022 startete Chinas Militär großangelegte Luft- und Seeübungen rund um Taiwan. Darüber hinaus beschränkte China den Handel mit Taiwan, stoppte den Export von Sand für die Halbleiterproduktion und beschränkte den Import taiwanesischer Zitrusfrüchte und bestimmter Fischarten.

Im Rahmen des Besuchs von Sprecherin Pelosi in Taiwan traf sie am 3. August 2022 mit dem Vorsitzenden von TSMC, Mark Liu, zusammen, wo sie den oben erwähnten CHIPS and Science Act besprachen, ein Gesetz, das als Plan Washingtons zur Stärkung der Rolle der USA in den globalen Lieferketten für Halbleiter wahrgenommen wird. Gleichzeitig wurde bei dem Treffen auch die strategische Bedeutung Taiwans und von TSMC deutlich, das High-End-Halbleiter liefert, die für den technologischen Fortschritt sowohl der USA als auch Chinas von entscheidender Bedeutung sind. Vor dem Besuch von Sprecherin Pelosi hatte TSMC-Vorsitzender Liu bemerkt , dass im Falle einer Invasion Taiwans durch China die modernste Chipfabrik der Welt „funktionsunfähig“ gemacht würde, und warnte, dass ein militärischer Konflikt zwischen Taiwan und China schwerwiegende wirtschaftliche Folgen für China, Taiwan, die USA und die westlichen Länder im Allgemeinen hätte.

Russland, ein enger Verbündeter Chinas, verurteilte den Besuch von Sprecherin Pelosi in Taiwan. Maria Sacharowa, Sprecherin des russischen Außenministeriums, sagte, der Besuch sei ein provokativer Versuch Washingtons, Druck auf China auszuüben, mit dem Russland in den letzten Jahren eine starke Partnerschaft aufgebaut hat. „Die USA sind ein staatlicher Provokateur“, sagte sie. „Russland bekräftigt das Prinzip ‚ein China‘ und lehnt die Unabhängigkeit der Insel [Taiwan] in jeglicher Form ab.“

Bedrohungsanalyse

Durch Recherchen in Darknet-Ransomware-Erpressungsblogs und Telegram-Kanälen von Akteuren, die Bedrohungen durch Ransomware und Erpressung darstellen, haben wir die folgenden angegriffenen Halbleiterunternehmen identifiziert und außerdem die TTPs dieser Ransomware- und Erpressungsgruppen analysiert.

Abbildung 3: Große Ransomware-Angriffe auf Halbleiterunternehmen im ersten Halbjahr 2022 (Quelle: Recorded Future)

Lapsus$ Group – NVIDIA (USA) und Samsung (Südkorea)

NVIDIA

Wir betrachten die Lapsus$ Group nicht als Ransomware-Gang, sondern eher als eine Bedrohungsgruppe auf niedriger Ebene, die finanziell motiviert ist und auf Datenerpressung spezialisiert ist. Die von der Gruppe gezeigten TTPs unterscheiden sich von denen anderer Ransomware-Gruppen. Die Lapsus$-Gruppe setzt keine Ransomware ein, sondern exfiltriert Daten über die folgenden Angriffsvektoren:

• Phishing und Website-Verunstaltung
• Groß angelegte Social-Engineering- und Erpressungskampagnen gegen mehrere Organisationen unter Einsatz der folgenden Mittel:
  • Einsatz des RedLine Infostealers zum Abrufen von Passwörtern und Sitzungstoken
  • Erwerb von Zugangsdaten und Sitzungstoken in kriminellen Untergrundforen und Shops
  • SIM-Austausch
  • Ausnutzen ungepatchter Schwachstellen auf intern zugänglichen Servern, einschließlich JIRA, GitLab und Confluence
  • Durchsuchen von Code-Repositories und Kollaborationsplattformen nach offengelegten Anmeldeinformationen und geschützten Informationen

Am 25. Februar 2022 gab die Lapsus$ Group, auch bekannt als „DEV-0537“, bekannt, dass sie Daten im Wert von 1 TB vom US-Chiphersteller NVIDIA exfiltriert habe. Wie bei typischen doppelten Erpressungskampagnen von Ransomware-Gruppen in den vergangenen Jahren drohte die Lapsus$ Group mit der Veröffentlichung der Daten, falls NVIDIA die Lösegeldforderung nicht bezahle. Eine der spezifischeren Erpressungsmethoden der Lapsus$ Group bestand darin, mit der Veröffentlichung von Informationen darüber zu drohen, wie die Lite Hash Rate (LHR)-Begrenzer in bestimmten NVIDIA-Chipsätzen (GA102 und GA104) umgangen werden können. LHR bezieht sich auf eine NVIDIA-Technologie, die die Hashing-Rate begrenzt, wenn der Chip erkennt, dass er zum Mining von Ethereum (ETH) verwendet wird. Darüber hinaus führte der Angriff Berichten zufolge dazu, dass interne Systeme von NVIDIA, beispielsweise der E-Mail-Dienst, zwei Tage lang offline waren. Zudem behauptete die Lapsus$ Group in ihrem ersten Post, sie hätte eine Textdatei mit gehashten Passwörtern aller NVIDIA-Mitarbeiter offengelegt. Mehrere Nachrichten der Bedrohungsgruppe deuteten darauf hin, dass sie etwa eine Woche lang Zugriff auf die Netzwerke von NVIDIA hatte und Daten zu Schaltplänen, Treibern und Firmware stahl, darunter auch Falcon, eine spezielle Klasse von Mikrocontrollern in allen Grafikprozessoren (GPUs) von NVIDIA.

Die Drohung der Lapsus$ Group, Informationen zur LHR-Begrenzung zu veröffentlichen, beruht sehr wahrscheinlich auf ihrem Verständnis des GPU-Marktes, der in den letzten Jahren aufgrund der Abhängigkeit der Kryptowährungs-Miner von GPUs unter Versorgungsengpässen und hohen Preisen litt, da Kryptowährungs-Miner mit Gamern auf der ganzen Welt um den Kauf aller verfügbaren GPUs sowohl für das Mining als auch für Spiele konkurrierten. GPUs sind für PC-Gamer unverzichtbar, um Videospiele der neuesten Generation mit höheren Auflösungen und Reaktionszeiten spielen zu können, da GPUs für ein flüssiges visuelles Erlebnis für Gamer sorgen. Die Preise für GPUs haben erst aufgrund des allgemeinen Preisrückgangs bei Kryptowährungen (insbesondere bei Bitcoin und Ethereum) in den letzten Monaten begonnen zu sinken . Die LHR-Begrenzung hat in den vergangenen Wochen gesondert Sicherheitsbedenken aufgeworfen, da Berichte aufkamen , wonach ein Tool, das angeblich die Technologie umgehen könne, einen Trojaner einsetzt. Zusammen unterstreichen diese Episoden das anhaltende Interesse von Cyberkriminellen am Ökosystem der Kryptowährungen.

Abbildung 4: Der Preis für Nvidias RTX 3070 GPU war im November 2021 deutlich höher als zum Zeitpunkt der Markteinführung im Jahr 2020 (Quelle: PCMag)

Wie Tech Radar hervorhebt, steht die Drohung der Lapsus$ Group, die LHR-beschränkenden Spezifikationen zu veröffentlichen, im Widerspruch zu ihrer Forderung, dass NVIDIA diese Beschränkung selbstständig aufhebt, wenn im Gegenzug keine Daten durchsickern. Dieser Widerspruch weist sehr wahrscheinlich darauf hin, dass die Lapsus$ Group entweder nicht versteht, wie eine Umgehung funktionieren würde, oder dass sie diese Daten nicht besitzt und dies vortäuscht, um ihre eigenen oder die Kryptowährungs-Mining-Bemühungen anderer zu unterstützen.

Nachdem die Lapsus$ Group im Februar 2022 die Code-Signatur-Zertifikate von NVIDIA geleakt hatte, stellten Sicherheitsforscher fest, dass die durchgesickerten Zertifikate zum Signieren von Malware verwendet wurden, wodurch sich Schadprogramme als legitim ausgeben und die Sicherheitsvorkehrungen auf Windows-Rechnern umgehen konnten.

Bei dem Angriff im Februar 2022 wurden 20 GB an Daten vom GPU-Hersteller erbeutet, darunter Daten zu Hardware-Schemata, Firmware, Treibern, E-Mail-Konten und Passwort-Hashes von mehr als 71.000 Mitarbeitern. Die Gruppe begann, diese Daten online zu veröffentlichen, nachdem NVIDIA sich geweigert hatte, mit ihnen zu verhandeln. Das Leck umfasste zwei gestohlene Code-Signatur-Zertifikate, die von NVIDIA-Entwicklern zum Signieren ihrer Treiber und ausführbaren Dateien verwendet wurden. Obwohl beide gestohlenen NVIDIA-Zertifikate abgelaufen sind, erlaubt Windows weiterhin das Laden eines mit den Zertifikaten signierten Treibers in das Betriebssystem. Den Sicherheitsforschern zufolge wurden bösartige Binärdateien mit den gestohlenen Zertifikaten signiert , um legitime NVIDIA-Programme vorzutäuschen, die in der Malware-Beispieldatenbank VirusTotal auftauchten.

Berichten zufolge wurden die signierten Binärdateien als Mimikatz erkannt, ein Tool zur lateralen Bewegung, das es Angreifern ermöglicht, die auf dem System gespeicherten Anmeldeinformationen aufzuzählen und anzuzeigen. Darüber hinaus wurden Malware und Hacking-Tools erkannt, darunter Cobalt Strike Beacons und Backdoors sowie Remote Access Trojaner (RATs), darunter QuasarRAT.

Abbildung 5: Im Februar 2022 behauptete die Lapsus$ Group, 1 TB Daten von NVIDIA exfiltriert zu haben (Quelle: Telegram)

Abbildung 6: Einzelheiten zum Datendiebstahl bei NVIDIA, der 71.335 E-Mail-Adressen von Mitarbeitern und NTLM-Passwort-Hashes umfasste (Quelle: haveibeenpwned)

Samsung

Laut einem Bericht von Security Affairs vom 5. März 2022 übernahm die Lapsus$-Gruppe die Verantwortung für die Weitergabe gestohlener Daten von Samsung Electronics. Zu den gestohlenen Daten gehörten angeblich:

• Quellcode für jedes Trusted Applet (TA), das in der TrustZone-Umgebung von Samsung installiert ist und für vertrauliche Vorgänge verwendet wird
• Algorithmen für alle biometrischen Entsperrvorgänge, einschließlich Quellcode, der direkt mit dem Sensor kommuniziert
• Bootloader-Quellcode für alle aktuellen Samsung-Geräte, einschließlich Knox-Daten und Code zur Authentifizierung
• Verschiedene weitere Daten, darunter vertrauliche Daten von Qualcomm
• Vollständiger Quellcode der Technologie zur Autorisierung und Authentifizierung von Samsung-Konten, einschließlich APIs und Diensten

Die Lapsus$ Group hat die durchgesickerten Daten in drei komprimierte Dateien aufgeteilt. Die Verfügbarkeit der Beispieldaten wurde auf dem Telegrammkanal angekündigt und mit einer Torrent-Datei zum Herunterladen geteilt. Die Torrent-Datei bietet außerdem eine Zusammenfassung der in 3 komprimierten Dateien verfügbaren Inhalte:

• Teil 1 enthielt einen Dump des Quellcodes und zugehörige Daten zu Sicherheit/Verteidigung/Knox/Bootloader/TrustedApps und verschiedenen anderen Elementen
• Teil 2 enthielt einen Dump des Quellcodes und zugehörige Daten zur Gerätesicherheit und Verschlüsselung
• Teil 3 enthielt verschiedene Repositories von Samsung GitHub: Mobile Defense Engineering, Samsung-Konto-Backend, Samsung-Pass-Backend/Frontend und SES (Bixby, Smartthings, Store)

Am 7. März 2022 bestätigte Samsung gegenüber Bloomberg, dass bestimmte interne Unternehmensdaten nach einer Sicherheitsverletzung einer unbefugten Partei zugänglich gemacht worden seien. Ausgehend von Samsungs ersten Untersuchungen beschränkt sich der Verstoß auf den Quellcode im Zusammenhang mit dem Betrieb von Galaxy-Geräten, umfasst jedoch nicht die personenbezogenen Daten (PII) von Kunden und Mitarbeitern.

Abbildung 7: Im März 2022 drohte die Lapsus$ Group damit, den Samsung-Quellcode auf ihrem Telegram-Kanal zu leaken (Quelle: Telegram)

Festnahmen

Am 1. April 2022 gab die City of London Police bekannt, dass zwei namentlich nicht genannte Teenager, ein 16-Jähriger und ein 17-Jähriger, die mutmaßlich mit der Lapsus$ Group in Verbindung standen, wegen Beteiligung an böswilligen Aktivitäten angeklagt worden seien.

Laut Michael O'Sullivan, Kriminalinspektor der City of London Police, wurden im Rahmen der Ermittlungen drei Fälle von unbefugtem Zugriff auf einen Computer mit der Absicht, die Zuverlässigkeit der Daten zu beeinträchtigen, sowie jeweils ein Fall von Betrug durch falsche Angaben und unbefugtem Zugriff auf einen Computer mit dem Ziel, den Zugriff auf die Daten des Opfers zu sperren, festgestellt . Darüber hinaus wurde dem namentlich nicht genannten 16-Jährigen vorgeworfen, einen Computer mit gesichertem Zugriff auf eine Programmfunktion unberechtigt ausgestattet zu haben.

Beide im Ermittlungsverfahren angeklagten Personen gelten als Minderjährige, was die Offenlegung ihrer Identität einschränkt. Die beiden namentlich nicht genannten Teenager gehören zu den sieben Verdächtigen der Kampagne, bei der am 30. März 2022 70 GB an Daten des Softwaredienstleistungsgiganten Globant geleakt wurden; der Vorfall wird noch immer untersucht.

LockBit 2.0 – Ignitarium (Indien) und LockBit 3.0 – Dioden (USA)

Laut der von The Record by Recorded Future zusammengestellten Ransomware-Viktimologie hat die 2019 in Betrieb genommene LockBit-Ransomware Conti überholt und ist gemessen an der Zahl der öffentlich bekannten Opfer die am weitesten verbreitete Ransomware. Untersuchungen von Mandiant zufolge wurden mehrere Einbrüche mit der LockBit-Ransomware UNC2165 zugeschrieben, einer finanziell motivierten Bedrohungsakteursgruppe, die zahlreiche Überschneidungen mit der öffentlich als Evil Corp bekannten Gruppe aufweist.

Die LockBit Gang, die Betreiber der LockBit-Ransomware, haben in den letzten fünf Monaten zwei Halbleiterunternehmen zu Opfern gemacht. Das erste war Ignitarium (ignitarium[.]com), ein Boutique-Designhaus für Silizium und eingebettete Systeme in Indien, das erstmals am 23. März 2022 auf LockBit 2.0 Leaked Data (dem Erpressungsblog von LockBit 2.0) erschien. Das zweite Unternehmen war Diodes, Inc. (diodes[.]com), ein globaler Halbleiterhersteller mit Hauptsitz in Plano, Texas, USA, dessen gestohlene Daten erstmals am 29. Juni 2022 auf dem neu gestalteten LockBit 3.0-Blog mit dem Namen LockBit 3.0 Leaked Data hochgeladen wurden. Im Fall Ignitarium konnten die gestohlenen Daten, darunter der Quellcode des Unternehmens, kostenlos heruntergeladen werden. Im Fall Diodes behauptete der Bedrohungsakteur, über 2 TB an Firmendaten zu verfügen, darunter technische Dokumente wie „Datenblätter, Röntgenaufnahmen, Anleitungen, Tests, Kommentare von Ingenieuren, Produktionskosten und Waferherstellungspläne“. Das Datenpaket enthielt angeblich auch „vertrauliche Informationen“ des Unternehmens, etwa „Bankunterlagen, Verträge mit den Herstellern der Computerausrüstung, Bestell- und Versandpapiere [und] interne Firmenkorrespondenz, darunter Bankkorrespondenz und Korrespondenz mit Kundenunternehmen“. Der Erpresserbrief enthielt außerdem konkrete Anweisungen, wie zum Beispiel:

• Um die Frist für die Datenfreigabe um 24 Stunden zu verlängern, ist eine Zahlung von 10.000 US-Dollar erforderlich.
• Eine Zahlung von 14.453.391 US-Dollar für die Vernichtung aller Informationen
• Darüber hinaus kann man jederzeit 14.453.391 US-Dollar bezahlen, um die Daten herunterzuladen

Die Bedrohungsakteure haben außerdem die folgenden Wallets für Zahlungen eingerichtet:

• BTC-Geldbörse: bc1q9elveqafa7m2e0vdeenjp46qukvjjgpffh2rys
• Monero (XMR)-Wallet: 48XyFEbDz4117SopGgaSjAaMK2uXqvnmq7W2wFXKUFPJNdTLFUvgKyx82jcRiWXBDv9ojbijGYyqz9edtrsgZG9NMHG7Xff

Zum Zeitpunkt dieses Berichts ist in diesen Geldbörsen keine Zahlung/Transaktion erschienen.

Abbildung 8: Ankündigung des Diodes Inc.-Hacks mit Countdown-Timer zur Datenfreigabe auf der Erpresser-Website von LockBit 3.0 (Quelle: Durchgesickerte Daten zu LockBit 3.0)

LockBit 2.0

Im Juni 2021 tauchte eine aktualisierte Version der LockBit-Ransomware mit dem Namen LockBit 2.0 Ransomware auf, die dem RaaS-Modell folgte und es „Partnern ermöglichte, es nach Belieben zu nutzen, vorausgesetzt, ein Prozentsatz der illegal erzielten Gewinne wird als Provision an die LockBit-Betreiber weitergegeben“, so das Australian Cyber Security Centre (ACSC). LockBit 2.0 war für Angriffe weltweiten Ausmaßes verantwortlich. Darüber hinaus haben wir, seit LockBit 2.0 am 13. Juli 2021 erstmals auf seiner Erpresser-Website „LockBit 2.0 Leaked Data“ veröffentlichte, Verweise auf Organisationen in den folgenden Sektoren identifiziert: Software, Automobil, Bankwesen, Gastgewerbe, Informationstechnologie, Einzelhandel, Dienstleistungen, Telekommunikation und mehr. Es wurde beobachtet, dass LockBit 2.0 eine bestehende Sicherheitslücke in den Fortinet-Produkten FortiOS und FortiProxy (CVE-2018-13379) ausnutzte, um sich anfänglichen Zugriff auf bestimmte Opfernetzwerke zu verschaffen.

LockBit 3.0

Am 27. Juni 2022 startete die LockBit Gang ihren neuesten RaaS-Betrieb, LockBit 3.0. Die LockBit Gang hat außerdem ein Bug-Bounty-Programm ins Leben gerufen, das angeblich das erste seiner Art im Darknet ist. Dabei bittet die RaaS-Gruppe Sicherheitsforscher um die Einreichung von Fehlerberichten und erhält im Gegenzug Auszahlungen zwischen 1.000 und 1 Million US-Dollar.

Es ist derzeit unklar, welche technischen Änderungen LockBit Gang an seinem Verschlüsseler vorgenommen hat; die Lösegeldforderungen heißen jedoch nicht mehr „Restore-My-Files.txt“, und sind stattdessen zum Format [id] gewechselt. README.txt. Laut BleepingComputer hat die Bedrohungsgruppe mit der Einführung von LockBit 3.0 auch ein neues Erpressungsmodell eingeführt, bei dem interessierten Käufern die Möglichkeit gegeben wird, gestohlene Daten zu kaufen, während die LockBit 3.0-Angriffe noch im Gange sind. Abhängig vom Volumen der gestohlenen Daten können Käufer diese entweder direkt herunterladen oder bei größeren Paketen Torrents nutzen. Darüber hinaus wiesen Forscher bei Trend Micro darauf hin , dass Teile des Codes von LockBit 3.0 offenbar von der BlackMatter-Ransomware übernommen wurden, daher der Spitzname LockBit Black.

Das Kopfgeldprogramm ist ein überarbeitetes RaaS-Programm, das Belohnungen für die Veröffentlichung personenbezogener Daten hochwertiger Ziele sowie für Exploits in der Websicherheit bietet. LockBit Gang bietet Kopfgelder auch für andere Kategorien an, darunter: Website-Fehler, Verschlüsselungsfehler, Doxxing, TOX Messenger und TOR-Netzwerk. In denselben Posts auf seiner Bug-Bounty-Seite bat LockBit Gang auch um innovative Methoden und Ideen zur Verbesserung seines Ransomware-Betriebs. Laut seiner Erpresser-Website akzeptiert LockBit Gang Lösegeldzahlungen in seinen üblichen Kryptowährungen BTC und Monero (XMR), hat aber angekündigt, dass es jetzt auch Zcash (ZEC) akzeptieren wird.

RansomHouse — AMD (USA)

Am 1. Mai 2022 stellten wir fest, dass AMD auf der Website von RansomHouse aufgeführt war. Die Bedrohungsakteure behaupteten, Daten im Wert von 450 GB von AMD exfiltriert zu haben, darunter Forschungs- und Finanzinformationen. Die Bedrohungsakteure stellten eine kostenlose Datenprobe zum Download bereit, die mehr als 77.000 mutmaßlich kompromittierte Geräte von AMD enthielt, und verspotteten das mutmaßliche Opfer, weil es aufgrund der Verwendung leicht zu erratender Passwörter für mangelhafte Sicherheit sorgte.

Abbildung 9: RansomHouse veröffentlichte Daten von AMD auf seiner Erpressungswebsite und machte sich über die mangelhafte Sicherheit lustig (Quelle: RansomHouse)

RansomHouse gibt an, keine Ransomware zu verwenden, und konzentriert sich stattdessen darauf, über ungepatchte Sicherheitslücken in Netzwerke einzudringen, um die Daten der Opfer zu stehlen. Es tauchte im Dezember 2021 auf, nachdem es sein erstes Opfer, die Saskatchewan Liquor and Gaming Authority (SLGA), angegriffen hatte. Als Opfer werden außerdem NVIDIA und Samsung aufgeführt, die ebenfalls von der Lapsus$ Group kompromittiert wurden.

Laut Brett Callow, Bedrohungsanalyst bei Emisoft, wird die RansomHouse-Plattform angeblich von „Clubmitgliedern“ genutzt, die Angriffe mit ihren eigenen Tools durchführen , darunter auch der Ransomware White Rabbit. Dies weicht jedoch von anderen Behauptungen ab, wonach RansomHouse die Daten der Opfer nicht mithilfe einer Ransomware-Variante verschlüsselt und die Erpressung ausschließlich auf der Drohung von RansomHouse basiert, die gestohlenen Dateien preiszugeben. Im Bericht von Cyberint vom 23. Mai 2022 wurde darauf hingewiesen, dass die bekanntere Datendiebstahl- und Erpressungsgruppe Lapsus$ Group auf ihrem Telegrammkanal für RansomHouse geworben hat. Während der genaue Ursprung von RansomHouse unklar bleibt, gehen die Forscher von Cyberint aufgrund einiger von Cyberint überwachter Telegram-Kommunikationen davon aus, dass die Bedrohungsgruppe aus erfahrenen Red-Team-Pentestern besteht.

LV Ransomware – SilTerra Malaysia Sdn. Bhd. und Semikron

Am 4. Juni 2022 haben wir festgestellt, dass SilTerra Malaysia Sdn. Bhd., ein malaysischer Halbleiterhersteller, wurde auf der von LV Ransomware betriebenen Erpressungswebsite LV Blog aufgeführt. Das Unternehmen, das früher als Wafer Technology bekannt war, wurde 1995 gegründet. Den Bedrohungsakteuren zufolge umfassten die kompromittierten Daten im Umfang von 1 TB Geschäftsplanungsdokumente, Versicherungsinformationen, Finanzdaten, Mitarbeiterdaten, Kundendaten und mehr, die alle zum Download zur Verfügung standen.

Am 4. August 2022 identifizierten wir außerdem Semikron, einen in Deutschland ansässigen unabhängigen Hersteller von Leistungshalbleiterkomponenten, als Opfer auf der Erpressungswebsite LV Blog. Die Bedrohungsakteure behaupteten, 2 TB an Daten von Semikron gestohlen zu haben, darunter Geheimhaltungsvereinbarungen, Zeichnungen, Mitarbeiterdaten, Verträge, Finanzdaten, Investitionsdaten und Kundendaten. Darüber hinaus behaupteten die Bedrohungsakteure, dass Semikron-Netzwerke zahlreiche Hintertüren und Schwachstellen aufweisen, und leiteten Besucher des Erpresserblogs auf eine andere TOR-basierte Website um, um auf 10 % der verfügbaren Daten zuzugreifen. Zur Aushandlung der Datenerfassung wurde außerdem ein qTox-Handle miteinbezogen.

Obwohl wir die Angriffsvektoren, die zu den Ransomware-Angriffen gegen SilTerra Malaysia und Semikron geführt haben, nicht identifizieren konnten, glauben wir, dass die LV-Ransomware, auch bekannt als „.0nzo8yk-Virus“, die bereits im Juni 2020 in freier Wildbahn identifiziert wurde, eine modifizierte Version der Ransomware-Variante REvil/Sodinokibi v2.03 ist, die von den Betreibern der LV Ransomware Gang übernommen wurde. Zu den wichtigsten technischen Aktualisierungen der von der LV Ransomware Gang implementierten Schadsoftware gehörte die Entfernung der Command-and-Control-Server (C2), die von den REvil-Betreibern zur Verfolgung von Infektionen verwendet und durch eigene Server ersetzt wurden. Wir haben in Darknet-Foren oder anderen Quellen keine Werbung, Verkäufe oder Anwerbung von Partnern für die LV-Ransomware festgestellt.

Abbildung 10: Im Erpressungsblog zur LV-Ransomware wird behauptet, die Gruppe habe Daten im Wert von 1 TB von SilTerra Malaysia Sdn. gestohlen. Bhd. (Quelle: LV Blog)

Abbildung 11: LV-Ransomware-Erpressungsblog behauptet, die Gruppe habe 2 TB an Daten von Semikron gestohlen (Quelle: LV-Blog)

Kuba-Ransomware – Etron Technology (Taiwan)

Am 13. Juni 2022 behauptete ein Beitrag von Cuba Leaks, der Erpressungswebsite von Cuba Ransomware, dass sie am 1. Juni 2022 erstmals Dateien von Etron Technology (etron[.]com), einem fabriklosen IC-Design- und Produktionsunternehmen, erhalten hätten. Zum Download stehen Ihnen Finanzunterlagen, Korrespondenzen mit Bankmitarbeitern, Kontobewegungen, Bilanzen, Steuerunterlagen, Vergütungen sowie der Quellcode zur Verfügung. Am 8. Juni 2022 berichtete Trend Micro Inc. über eine neue Variante der Ransomware der Cuba Ransomware Gang, die Ende April 2022 bei zwei Angriffen auf in Asien ansässige Organisationen eingesetzt wurde.

Etron Technology wurde im Februar 1991 gegründet und ist auf Pufferspeicher und System-on-Chips spezialisiert. Etron Technology war Pionier bei Taiwans „National Sub-micron Project“ und beteiligte sich an der Entwicklung der ersten 8-Zoll-Wafer-Sub-micron-Technologie Taiwans, wodurch eine solide Grundlage für die DRAM- und SRAM-Industrien in Taiwan geschaffen wurde. Als börsennotiertes Unternehmen mit Hauptsitz in Taiwan ist Etron Technology bestrebt, die Grenzen zwischen der Asien-Pazifik-Region und dem internationalen Markt zu überbrücken. Das Unternehmen unterhält aktive Geschäftsbeziehungen mit Unternehmen in den USA, Europa, Japan und anderen asiatischen Ländern.

Seit dem ersten Auftauchen der Cuba Ransomware Gang im Februar 2020 ist ihre Schadsoftware viele Male in neuen Varianten wieder aufgetaucht. Die neueste Variante, die Ende April 2022 entdeckt wurde, zeigte optimierte Ausführungs- und Infektionstechniken. Das Update ermöglichte es Cuba Ransomware, Prozesse und Dienste, darunter in Microsoft Outlook, Microsoft Exchange und MySQL, besser zu beenden. Diese Dienste und Prozesse werden beendet, sodass weitere Dateien und Anwendungen im infizierten System verschlüsselt werden können. Die vollständige Liste der von der Ransomware betroffenen Prozesse und Dienste finden Sie im Bericht von Trend Micro.

Ein weiterer bemerkenswerter Unterschied in der Variante vom April 2022 sind die erweiterten Safelist-Verzeichnisse und Dateitypen. Diese neueste Variante der Cuba Ransomware vermeidet daher bei der Verschlüsselung mehr Verzeichnisse und Dateitypen. Dies geschieht wahrscheinlich, um eine Entdeckung zu vermeiden. Darüber hinaus hat die Cuba Ransomware Gang in der neuen Variante nur zwei Befehle beibehalten, bei denen es sich um verzeichnis- oder standortbezogene Ausdrücke handelt. Frühere Varianten, wie die im März 2022 gesehene 1, enthielten mehr Befehle und Funktionen. Die Angreifer haben außerdem ihre Lösegeldforderung aktualisiert und erklärt, dass die erbeuteten Daten auf ihrer Erpresser-Website veröffentlicht werden, wenn sich die Opfer weigern, innerhalb einer vorgegebenen Zeitspanne mit den Angreifern zu verhandeln. Dies deutet auf eine neue Absicht hin, DDoS-Angriffe gegen Opfer mit der Methode der doppelten Erpressung durchzuführen. Der Erpresserbrief enthält außerdem „qTox“, das technischen Live-Support für die Verhandlungen des Opfers über die Lösegeldzahlung ermöglicht.

Der Zeitpunkt des Angriffs und die Bekanntgabe, dass Etron Technology ein Opfer war, deuten darauf hin, dass die neue Variante höchstwahrscheinlich beim Angriff auf Etron Technology zum Einsatz kam. Es deutet auch darauf hin, dass Etron Technology sich höchstwahrscheinlich weigerte, das Lösegeld innerhalb der vorgegebenen Verhandlungszeit zu zahlen, was zur Veröffentlichung ihrer Daten bei Cuba Leaks führte.

Abbildung 12: Cuba Ransomware veröffentlichte Daten von Etron Technology auf seiner Erpresser-Website (Quelle: Cuba Leaks)

Ransomware-Partnerregeln zur Nichtverschlüsselung von Daten kritischer Infrastrukturen

Ransomware-Partner sind nur den Ransomware-Betreibern bekannt und müssen bestimmte, von den Ransomware-Betreibern festgelegte Regeln befolgen. So gestatten etwa die Betreiber von LockBit 3.0 ihren Partnern die Zusammenarbeit mit anderen Ransomware-Betreibern, verlangen von ihnen aber, dass sie derartige Aktivitäten melden und die Gründe dafür sowie die Gründe erklären, die ihnen an der Konkurrenz gefallen. LockBit 3.0 verbietet seinen Partnern außerdem ausdrücklich die Verschlüsselung von Dateien in kritischer Infrastruktur wie Kern- und Wärmekraftwerken. Dies ist unserer Ansicht nach eine Maßnahme, um zu verhindern, dass das US-Außenministerium Ressourcen abzweigt, um gegen den Betreiber der Ransomware vorzugehen. Allerdings werden Halbleiterunternehmen auf ihrer Seite mit den Regeln für verbundene Unternehmen nicht eindeutig als kritische Infrastruktur definiert, was es verbundenen Unternehmen technisch gesehen ermöglichen könnte, nicht nur Daten zu stehlen, sondern auch Dateien von Halbleiterfirmen zu verschlüsseln. Solche Partnerprogramme können als Win-Win-Situation sowohl für Bedrohungsgruppen als auch für Ransomware-Betreiber angesehen werden, da Bedrohungsgruppen bestehende Ransomware-Familien nutzen können, um Informationen von Halbleiterunternehmen zu verschlüsseln und zu stehlen, und Ransomware-Betreiber, die in erster Linie finanziell motiviert sind, einen Teil des von der Bedrohungsgruppe geforderten Lösegelds erhalten.

Abbildung 13: Die Regeln von LockBit 3.0 erlauben es verbundenen Unternehmen, mit anderen Ransomware-Betreibern zusammenzuarbeiten, und verbieten verbundenen Unternehmen ausdrücklich, Dateien von Unternehmen mit kritischer Infrastruktur zu verschlüsseln. Allerdings ist es verbundenen Unternehmen gestattet, Daten kritischer Infrastrukturen unverschlüsselt zu stehlen. (Quelle: Durchgesickerte Daten zu LockBit 3.0)

Jede Cyber-Bedrohungsgruppe, die die Grenzen überschreitet und auf kritische Infrastrukturen in den USA abzielt, wird wahrscheinlich von der US-Regierung angeklagt. Am 11. August 2022 lobte das US-Außenministerium eine Belohnung von bis zu 10 Millionen US-Dollar für jeden aus, der Informationen zu fünf hochrangigen Conti-Ransomware-Mitgliedern liefern kann – das „Rewards of Justice“-Programm bietet finanzielle Belohnungen für Informationen zu Bedrohungsakteuren, die die nationale Sicherheit der USA beeinträchtigen. BleepingComputer berichtete, dass die Ransomware-Marke Conti zwar geschlossen wurde, die Mitglieder jedoch weiterhin voll aktiv sind und in anderen Ransomware-Operationen und Erpressungsgruppen tätig sind. Da das „Rewards of Justice“-Programm Einzelpersonen auch dazu anregt, Informationen über bösartige Cyberaktivitäten mit ausländischem Bezug zu liefern, die auf die kritische Infrastruktur der USA abzielen, ist es unwahrscheinlich, dass ausländische Bedrohungsgruppen das Risiko eingehen möchten, identifiziert zu werden und mit einem Kopfgeld belegt zu werden. Wir sind davon überzeugt, dass es für diese Bedrohungsgruppen einfacher ist, Cyberangriffe durchzuführen, indem sie vorhandene Ransomware-Familien nutzen, um eine direkte Zuordnung zu diesen Gruppen zu verhindern.

Abbildung 14: Das US-Außenministerium bietet eine Belohnung von bis zu 10 Millionen US-Dollar für Informationen über Personen, die an böswilligen Cyberaktivitäten teilnehmen, die auf wichtige US-Infrastrukturen abzielen. Dazu gehören auch Personen, die auf Anweisung oder unter der Kontrolle einer ausländischen Regierung handeln (Quelle: US-Außenministerium).

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) listet 16 kritische Infrastruktursektoren auf , deren Vermögenswerte, Systeme und Netzwerke – ob physisch oder virtuell – als so wichtig für die USA gelten, dass ihre Lahmlegung oder Zerstörung schwerwiegende Auswirkungen auf die nationale Sicherheit, die nationale wirtschaftliche Sicherheit, die nationale öffentliche Gesundheit oder Sicherheit oder eine Kombination dieser Faktoren hätte. Die Halbleiterindustrie wird von der US-Regierung derzeit nicht als kritischer Infrastruktursektor definiert und auch nicht explizit unter dem kritischen Fertigungssektor aufgeführt. Zum Zeitpunkt der Erstellung dieses Artikels ist die Halbleiterindustrie zwar noch nicht als kritischer Infrastruktursektor aufgeführt, doch angesichts der zunehmenden Anerkennung ihrer strategischen Bedeutung und der Pläne der US-Regierung, die inländische Chipproduktion zu unterstützen, halten wir es für sehr wahrscheinlich, dass die US-Regierung Halbleiterunternehmen in Zukunft als kritischen Infrastruktursektor einstuft. Dies würde als neue Abschreckungsmaßnahme dienen, um zu verhindern, dass Ransomware-Partner diese Industrie ins Visier nehmen.

Wir glauben außerdem, dass staatliche Bedrohungsakteure möglicherweise bereits mit RaaS-Betreibern verbunden sind und verschiedene Ransomware-Familien verwenden, um Cyberangriffe durchzuführen, deren Hauptziel darin besteht, geistiges Eigentum von Halbleiterunternehmen zu stehlen. Auf diese Weise können diese staatlichen Bedrohungsakteure leicht verfügbare Ransomware verwenden, um Informationen zu verschlüsseln und zu stehlen, und die Cyberangriffe wie Angriffe von Ransomware-Gruppen aussehen lassen. Während Angriffe auf hochkarätige Ziele wie kritische Infrastrukturen und Halbleiterunternehmen weltweit die Aufmerksamkeit der Öffentlichkeit auf sich ziehen, agieren Bedrohungsgruppen oft unter dem Deckmantel der Anonymität und schieben die Schuld stattdessen auf Ransomware-Gruppen.

Chinesische APT-Gruppe nutzt Ransomware-Angriffe als Deckmantel für IP-Diebstahl

Obwohl wir keine direkten Verbindungen zwischen staatlich geförderten Bedrohungsaktivitätsgruppen und den in diesem Bericht beschriebenen Cyberangriffen auf Halbleiterunternehmen finden konnten, haben Forscher von Secureworks Bronze Starlight aufgedeckt , einen in China ansässigen APT-Akteur, der seit 2021 aktiv ist. Bronze Starlight nutzt Ransomware- und Doppelerpressungsangriffe als Tarnung für systematische, staatlich geförderte Cyber-Spionage und Diebstahl geistigen Eigentums. Secureworks berichtete, dass drei Viertel der Opfer von Bronze Starlight Organisationen seien, die typischerweise für staatlich geförderte chinesische Cyber-Spionagegruppen von Interesse seien, darunter Pharmaunternehmen, Entwickler elektronischer Komponenten und Fertigungsunternehmen. Die APT-Gruppe hat bei ihren Angriffen mindestens fünf Ransomware-Varianten verwendet, nämlich: LockFile, AtomSilo, Rook, Night Sky und Pandora. Die Gruppe verwendet eine doppelte Erpressungstaktik, indem sie vertrauliche Daten verschlüsselt und den betroffenen Organisationen damit droht, die Daten öffentlich zu machen. Dadurch entsteht nach außen hin der Eindruck, Bronze Starlight sei finanziell motiviert.

Secureworks behauptet jedoch, dass das wirkliche Ziel offenbar Cyber-Spionage und Diebstahl geistigen Eigentums zur Unterstützung chinesischer Wirtschaftsziele sei und dass die APT-Gruppe mit jeder Ransomware-Familie nur eine kleine Zahl von Opfern über kurze Zeiträume ins Visier genommen habe. Diese kurzen Zeiträume und die geringe Zahl an Opfern verhindern, dass die Sicherheitsforscher zu viel Aufmerksamkeit auf sich ziehen, was dazu führt, dass die Malware eher Ransomware-Gruppen als einer APT-Gruppe zugeschrieben wird. Solche Merkmale stehen nicht im Einklang mit der Vorgehensweise typischer Ransomware-Partner; diese führen in der Regel so viele Angriffe wie möglich auf mehrere Organisationen aus, um aus ihren kriminellen Aktivitäten den größtmöglichen finanziellen Gewinn zu ziehen. In diesem Fall wählte Bronze Starlight sorgfältig Ziele mit hochwertigem geistigem Eigentum aus, das für die chinesische Regierung wertvoll ist, und griff keine anderen Organisationen an, die nicht über scheinbar wertvolle Informationen oder Daten verfügten. Berichten zufolge nutzte Bronze Starlight außerdem den HUI Loader sowie eine relativ seltene Version von PlugX, einem Remote Access Trojaner (RAT), der ausschließlich mit von China unterstützten Bedrohungsgruppen in Verbindung steht.

Anmerkung des Herausgebers: Dieser Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.