Bitdefender hat eine Analyse von Ransomware-Angriffen auf Unternehmen im südkoreanischen Finanzmarkt vorgestellt. Urheber der Angriffe ist die normalerweise wirtschaftlich motiviert agierende Ransomware-as-a-Service-Gruppe Qilin. Möglicherweise arbeitete Qilin diesmal mit Moonstone Sleet, einer Gruppe aus Nordkorea mit Regierungshintergrund, zusammen. Die Angreifer gingen dabei den Weg über die Supply-Chain und nutzen Schwachstellen von Serviceanbietern als Eintrittstor für ihre großangelegten Ransomware-Aktionen. Die Attacken sind ein weiteres Beispiel, wie offenbar geopolitische Faktoren zunehmend das cyberkriminelle Geschehen beeinflussen. Sie belegen auch, wie politischer Hacktivismus eine Renaissance innerhalb der Cyberkriminalität zu erleben scheint.
Die Qilin-Gruppe führte eine hochgradig politisierte Propaganda-Kommunikation durch – mit ganz Südkorea und seiner Finanzindustrie als plakativ propagiertem Ziel. Die Hacker motivierten ihre Zugriffe zu Beginn ihrer Kommunikation als Kampagne gegen die gesamte südkoreanische Finanzindustrie. Zudem bekannten sich die Urheber in ihren Posts auf Data-Leakage-Seiten zum Zugriff auf sicherheitsrelevante Informationen zu Brücken, Tunneln oder Flüssiggastanks. Dieses Auftreten unterscheidet sich von herkömmlichen Ransomware-Posts. Qilin versuchte später, die Kommunikation auf ihrer Data-Leak-Site zu löschen.
Die Qilin-Gruppe, eine der aktivsten Ransomware-Gruppen in der Bitdefender-Telemetrie in den letzten Monaten, benennt sich zwar nach einem Wesen der chinesischen Mythologie, ist aber wahrscheinlich russischen Ursprungs. Einer ihrer Gründungsmitglieder kommuniziert in Russisch und Englisch. Die Gruppe ist sehr aktiv in russischen Foren. Die Regel der Akteure, keine Staaten der ehemaligen „Gruppe unabhängiger Staaten“ – dem Nachfolger der Sowjetunion – anzugehen, spricht auch dafür. In ihrer Kommunikation über WikiLeaksV2, einer Seite für die Publikation politischer Manifeste sowie gestohlener Daten außerhalb des Darknets, charakterisieren sie sich als politische Aktivisten und Patrioten für ihr Land.
Info: Die komplette Analyse findet sich unter: https://businessinsights.bitdefender.com/korean-leaks-campaign-targets-south-korean-financial-services-qilin-ransomware.
#Bitdefender
