Ukraine-Krieg wirbelt die Organisierte Digitalkriminalität durcheinander

Ransomware-Attacken, Überlastangriffe auf Websites oder digitale Ausspähaktionen – Die Ukraine und Russland waren jahrelang Schwerpunkte der weltweiten Cyberkriminalität. Doch der Krieg in der Ukraine hat alles verändert. Die Branche muss sich neu orientieren.

8 Minuten
A military officer stands guard near the wreckage of a damaged shopping mall in Podilskyi district of Kyiv by the Russian air strikes, amid Russian invasion. Local media have reported that the attack has caused 4 deaths.

Der Brain Drain ist enorm: Viele russische IT-Sicherheitsexperten haben ihre Heimatland verlassen. Viele Gruppen der organisierten digitalen Kriminalität profitieren jetzt von Regierungsaufträgen. Aber andererseits klappt die Verteilung ihrer Ransomware auf europäische und amerikanische Rechner nicht mehr so richtig. Dieser Markt ist ziemlich eingebrochen.

Hacken unter Kriegsbedingungen

In der Ukraine haben sich zahlreiche Sicherheitsspezialisten dem IT-Freiwilligenverband des dortigen Verteidigungsministeriums angeschlossen, um digitale Angriffe auf russische Einrichtungen auszuführen. Zwar sind noch einige wenige kriminelle IT-Konzerne und kleinere Hackergruppen hier tätig. Aber die können derzeit nur unter Kriegsbedingungen arbeiten.

„Das ist eine sehr unübersichtliche und komplexe Situation“, urteilt Costin Raiu vom IT-Sicherheitsunternehmen Kaspersky. Sein Team hat die derzeit in der Ukraine tätigen cyberkriminellen Gruppen genauer analysiert. „Gamaredon, auch bekannt als Operation Armageddon, und UNC1151, für die Operation Ghostwriter verantwortlich, sind da an erster Stelle zu nennen; gleich danach kommt die Conti-Gruppe“, erläutert Raiu.

Die Gruppe UNC1151 arbeitet für den russischen Militärgeheimdienst GRU. Gamaredon soll an digitalen Angriffen auf Luftabwehrstellungen der ukrainischen Armee und auf Datenbanken des Verteidigungsministeriums in Kiew am 24. Februar verantwortlich sein. So gesehen sind deren Auftragsbücher jetzt voll mit Staatsaufträgen.

Conti soll verschiedene Angriffe mit der Wiper-Software im Auftrage russischer Regierungsstellen ausgeführt haben. Die sahen zunächst wie  Ransomware-Angriffe aus, löschten aber die Daten der angegriffen Systeme komplett, statt sie nur zu verschlüsseln. Dukes, also APT29, und Sofacy, besser bekannt unter APT28, profitieren ebenfalls von russischen Staatsaufträgen, die sie in erster Linie gegen ukrainische digitale Infrastruktur durchführen.

Hinzu kommen unterschiedliche Hacktivisten, Hacker also, die aus politischen Motiven in das Geschehen eingreifen und Angriffe durchführen. Die haben sich teilweise dem IT-Freiwilligenverband angeschlossen, zu dessen Gründung unter anderem der ukrainische IT-Sicherheitsunternehmer Yegor Aushev in Hackerforen aufgerufen hatte.

Sie haben Feedback? Schreiben Sie uns an info@riffreporter.de!