Prag, Tschechische Republik, 09. Mai 2022 – Avast (LSE:AVST), ein weltweit führender Anbieter von digitaler Sicherheit und Privatsphäre, veröffentlicht seinen Q1/2022 Threat Report, der aktuelle Cyber-Bedrohungen in Bezug auf den Krieg zwischen Russland und der Ukraine aufzeigt. Der aktuelle Report beleuchtet eine aus Russland stammende APT-Gruppe, die Nutzer in der Ukraine angreift, DDoS-Tools, die gegen russische Websites eingesetzt werden, sowie Ransomware-Angriffe auf Unternehmen in der Ukraine. Darüber hinaus zeigen die Ergebnisse, dass auch Cyberkriminelle von den physischen Kriegsgeschehnissen betroffen sind und dies zu einem leichten Rückgang von Ransomware und der vorübergehenden Einstellung der Informationsdiebstahls-Malware „Raccoon Stealer“ geführt hat. In Deutschland konnte für das erste Quartal ein Höchstwert von Tech-Support-Scams festgestellt werden, bei denen Nutzer*innen der Eindruck vermittelt wird, der Computer sei infiziert und man solle eine Support-Hotline anrufen.

Cyber-Krieg: Ukraine und Russland
“Wir sehen oft Parallelen zwischen den Ereignissen in der realen Welt und der digitalen Bedrohungslandschaft, wenn es darum geht, wie Bedrohungen verbreitet werden und welche Ziele sie haben. In Q1/2022 haben wir einen signifikanten Anstieg der Angriffe mit bestimmten Malware-Typen in Ländern festgestellt, die in den Russland-Ukraine-Konflikt verwickelt sind. Im Vergleich zu Q4/2021 verzeichneten wir einen Anstieg von mehr als 50 Prozent bei Angriffen mit Remote-Access-Trojanern (RAT) und einen Anstieg von mehr als 20 Prozent bei Angriffen mit Informationsdiebstahl-Malware, die wir in der Ukraine, Russland und Belarus blockiert haben und die zur Informationsbeschaffung oder Spionage eingesetzt werden könnten”, so Jakub Kroustek, Avast Malware Research Director. “Zusätzlich haben wir 30 Prozent mehr Versuche blockiert, neue Geräte zu infizieren, um Botnets in Russland beizutreten. Gleiches gilt für einen Anstieg von 15 Prozent in der Ukraine, mit dem Ziel, Geräte-Armeen aufzubauen, die DDoS-Angriffe auf Medien und andere kritische Websites und Infrastrukturen durchführen können. Andererseits haben wir in Russland und der Ukraine 50 Prozent weniger Adware-Angriffe blockiert, was darauf zurückzuführen sein könnte, dass weniger Menschen online gehen, insbesondere in der Ukraine." 

Kurz vor Beginn des Krieges in der Ukraine beobachteten die Avast Threat Labs mehrere Cyberangriffe, die vermutlich von russischen APT-Gruppen durchgeführt wurden. „Gamaredon“, eine bekannte und aktive APT-Gruppe, steigerte ihre Aktivitäten Ende Februar rapide und verbreitete ihre Malware an ein breites Zielpublikum (darunter auch Endverbraucher) und suchte so nach für sie interessanten Opfern, um Spionage zu betreiben. Eine Ransomware namens „HermeticRansom“, für die Avast ein Entschlüsselungs-Tool veröffentlicht hat, wurde vermutlich ebenfalls von einer APT-Gruppe verbreitet. 

Avast-Forscher*innen spürten Tools auf, die von sogenannten “Hacktivisten-Communities” zur Durchführung von DDoS-Angriffen auf russische Websites eingesetzt werden. Die Researcher*innen entdeckten Webseiten, darunter eine Wettervorhersageseite, die den Code enthielten, mit dem diese Angriffe über den Browser der Website-Besucher*innen ohne deren Zustimmung durchgeführt wurden. Diese Art von Angriffen nahm gegen Ende des Quartals ab. Ein als Dienst verkauftes Botnet wurde im März für eine DDoS-Kampagne in Verbindung mit der Sodinokibi (REvil)-Ransomware-Gruppe verwendet. Darüber hinaus haben Malware-Autoren den Krieg genutzt, um Malware wie Remote-Access-Trojaner (RATs) zu verbreiten, indem sie E-Mails mit bösartigen Anhängen verschickten, die angeblich wichtige Informationen über den Krieg enthielten. 

Auswirkungen des Ukraine-Kriegs auf die Cyberkriminalität
Malware-Autoren und -Betreiber waren direkt vom Krieg betroffen. Ein Beispiel hierfür ist der angebliche Tod des führenden Entwicklers von „Raccoon Stealer“, der zu einer vorübergehenden Einstellung der Malware führte. 

Die Avast Threat Labs beobachteten auch weiterhin einen leichten Rückgang von 7 Prozent      bei Ransomware-Angriffen weltweit in Q1/2022 im Vergleich zu Q4/2021, was vermutlich auf den Krieg in der Ukraine zurückzuführen ist, von wo aus viele Ransomware-Betreiber und Tochterunternehmen operieren. Damit sind die Ransomware-Angriffe das zweite Quartal in Folge zurückgegangen. In Q4/2021 konnte der Rückgang auf eine Zusammenarbeit von Staaten, Regierungsbehörden und Sicherheitsanbietern bei der Jagd auf Ransomware-Autoren und -Betreiber zurückgeführt werden. Weitere Gründe für den Rückgang von Ransomware könnten sein, dass eine der aktivsten und erfolgreichsten Ransomware-Gruppen, „Maze“, ihre Tätigkeit im Februar eingestellt hat, sowie der anhaltende Trend, dass Ransomware-Banden sich mehr auf gezielte Angriffe auf große Ziele konzentrieren (Großwildjagd) als auf normale Betreiber*innen mittels Spray-and-Pray-Techniken.

Der Krieg führte auch zu einer Spaltung innerhalb der Conti-Ransomware-Bande, da ein ukrainischer Forscher interne „Geschäfts“-Dateien der Bande und den Quellcode der Conti-Ransomware durchsickern ließ, nachdem die Gruppe Russland die Treue erklärt und Ransomware-Vergeltung für Cyberangriffe gegen Russland versprochen hatte. Die Leaks führten vorübergehend zu einem Rückgang der Conti-Ransomware.

Ausnahmen sind Mexiko, Japan und Indien, wo die Wahrscheinlichkeit, dass ein Nutzer auf Ransomware stößt, in Q1/2022 um 120 Prozent, 37 Prozent  beispielweise 34 Prozent im Vergleich zu Q4/2021 gestiegen ist.

Marktanteil von Emotet verdoppelt, TDS verbreitet bösartige Kampagnen
Darüber hinaus zeigt der Bericht, dass Emotet seinen Marktanteil seit dem letzten Quartal verdoppelt hat. Insbesondere beobachtete Avast im März einen deutlichen Anstieg der Infektionsversuche durch das Emotet-Botnet. Außerdem wurde ein Traffic Direction System (TDS) namens Parrot TDS entdeckt, das bösartige Kampagnen über 16.500 infizierte Websites verbreitet. Zusätzlich enthält der Report eine Zusammenfassung darüber, wie Avast-Forscher*innen Hinweise gefunden haben, wie „Meris“, eines der größten Botnet-as-a-Service-Netzwerke, das hauptsächlich aus mehr als 230.000 anfälligen MikroTik-Endgeräten besteht, in den letzten Jahren mehrere groß angelegte Angriffe ermöglichte. 

Geht es um mobile Endgeräte als Ziele änderten die Akteure ihre Taktik bezüglich der Verbreitung von Adware und Premium-SMS-Abonnements – zwei Bedrohungen, die nach wie vor weit verbreitet sind. Während früher der Google Play Store für die Verbreitung dieser Bedrohungen genutzt wurde, verwenden bösartige Akteure jetzt Browser-Popup-Fenster und Benachrichtigungen, um bösartige Apps unter den Verbrauchern zu verbreiten.

Der vollständige Avast Bedrohungsbericht Q1/2022 kann im Avast Decoded Blog eingesehen werden: https://go.fischerappelt.de/e/304191/h-avast-q1-2022-threat-report-/23nv8k/602265661?h=fTdpf21DKjcKKP7rdVS-Uykjux45hvO1SjhSOnS9U0g