Ransomware-Angriff auf brasilianisches Ministerium

Das mit dem brasilianischen Wirtschaftsministerium verbundene Sekretariat des Finanzministeriums (STN) wurde am 13. August Opfer eines Ransomware-Angriffs.

Laut eines Vermerks auf der Website der Einrichtung wurden sofort Eindämmungsmaßnahmen ergriffen und die Bundespolizei hinzugezogen. Die Auswirkungen der kriminellen Handlungen werden derzeit von Sicherheitsexperten des STN und des Sekretariats für digitale Verwaltung bewertet. Zudem werden Abhilfemaßnahmen getroffen.

Nach Angaben des STN wurden die Strukturierungssysteme der Institution, einschließlich des Integrierten Systems der Finanzverwaltung (SIAFI) und der Systeme für die Staatsverschuldung, nicht beschädigt.

Das Sekretariat des Schatzamtes ist für die Verwaltung der finanziellen Mittel der föderalen Regierung zuständig, die hauptsächlich aus den von den Bürgern gezahlten Steuern stammen. Außerdem bewertet es die Haushaltslage des Landes und gibt die Staatsanleihen des Landes aus. Diese haben sich zu einem brasilianischen Investitionsprogramm, dem Tesouro Direto, entwickelt, dessen Motto es ist, eine sichere Geldanlage zu sein.

Laut der Website CISOAdivisor haben die Betreiber der Ransomware-Gruppe Everest vor Wochen in einem Posting erwähnt, sich Zugang zu einem Netzwerk der Generalstaatsanwaltschaft des Finanzministeriums verschafft zu haben. Nach Angaben der Hacker wurden insgesamt 3,1 GB an Daten gepostet, die Dateien wurden jedoch von der Posting-Adresse gelöscht. In dem Posting wurde nicht erwähnt, dass auch das Wirtschaftsministerium betroffen war.

Andere Ereignisse

Dies ist nicht der erste Fall eines Ransomware-Angriffs auf brasilianische Regierungsbehörden, über den in letzter Zeit berichtet wurde.

Im November 2020 war der Oberste Gerichtshof (STJ) nicht mehr funktionsfähig, nachdem er während einer Verhandlung angegriffen worden war. Als Vorsichtsmaßnahme wurden virtuelle Sitzungen und Videokonferenzen sowie Verfahrensfristen ausgesetzt, bis die Systeme wiederhergestellt waren. Laut der Website von CISOAdivisor geht aus einem Audiobericht eines Mitarbeiters im IT-Bereich der Behörde hervor, dass es sich um einen Ransomware-Angriff handelte, bei dem mehr als 1.200 Server verschlüsselt wurden – die meisten davon virtuelle Maschinen.

In dem Bericht heißt es, dass die virtualisierte Umgebung mit allen Informationen der IT-Abteilung des STJ verschlüsselt wurde, mit Ausnahme der Gerichtsverfahren, die in einem separaten Bereich des virtualisierten Systems ausgeführt werden. Laut dem Fachmann, der den Bericht verfasst hat, „ist die gesamte IT-Abteilung fast in Trauer, weil man einen solchen Vorfall nicht erwartet.“

Eine Lösegeldforderung, die auf einem der verschlüsselten Computer gefunden wurde, zeigt, dass die RansomExx-Bande hinter dem Einbruch in STJ steckt.

Laut einer anonymen Quelle auf der Website Bleemping Computer wurden die Systeme des Gerichtshofs des Bundesstaates Pernambuco (TJPE) am 27. Oktober 2020 ebenfalls von der RansomExx-Gruppe angegriffen. Dabei wurden die Dateien mit der Erweiterung .tjpe911 verschlüsselt. RansomEXX geht sehr zielgerichtet vor, wobei jedes seiner Muster den verschlüsselten Namen der Opferorganisation trägt. Außerdem verwenden sowohl die verschlüsselte Dateierweiterung als auch die E-Mail-Adresse zur Kontaktaufnahme mit der Cyber-Gang den Namen des Opfers.

Die Betreiber von RansomExx veröffentlichten Ende 2020 auch vertrauliche Dokumente von Embraer, Brasiliens führender Luft- und Raumfahrtindustrie und einer der wichtigsten der Welt, im Dark Web. Die Gruppe hatte sich in das Netzwerk des Unternehmens gehackt und die Server verschlüsselt. Die Namen der durchgesickerten Dateien lassen vermuten, dass es sich unter anderem um Handelsverträge, Fotos von Flugsimulationen und Quellcode handelte.

Kürzlich wurde auch der taiwanesische Hardwarekomponentenhersteller Gigabyte Opfer der RansomEXX-Gruppe, die damit drohte, 112 GB gestohlener Daten zu veröffentlichen, falls kein Lösegeld gezahlt würde. Der Angriff fand Anfang August statt und betraf mehrere Websites des Unternehmens, darunter auch die Support-Seite.

Ransomware-Angriffe, die finanzielle Verluste verursachen und die Aktivitäten von Unternehmen lahmlegen, nehmen in Brasilien stark zu. Nach Angaben von Check Point Software haben diese Angriffe in dem Land seit Anfang 2021 um 92 % zugenommen. Sie folgen damit dem weltweiten Trend, der in diesem Zeitraum einen Anstieg der Angriffe um 41 % verzeichnete.

Nach Angaben des Unternehmens waren Lateinamerika und Europa die Gebiete, die am meisten unter Ransomware-Angriffen zu leiden hatten. Sie verzeichneten einen Anstieg von 62 % bzw. 59 % ihrer Zahlen. Die am stärksten betroffenen Sektoren sind das Bildungswesen (Anstieg um 347 %), das Transportwesen (186 %), der Einzelhandel/Großhandel (162 %) und das Gesundheitswesen (159 %).

Zu den wichtigsten von Check Point aufgezeigten Trends gehören:

• Globale Zunahme von Cyberangriffen: In der ersten Hälfte des Jahres 2021 lag die durchschnittliche wöchentliche Zahl der Angriffe pro Unternehmen in der EMEA-Region bei 777, was einem Anstieg von 36 % entspricht. Organisationen in der APAC-Region erlebten 1.338 wöchentliche Angriffe, was einem Anstieg von 13 % entspricht. In Europa war ein Anstieg von 27 % zu verzeichnen, während in Lateinamerika die wöchentlichen Angriffe auf Unternehmen um 19 % zunahmen.

• Die Zahl der Ransomware- und „Dreifach-Erpressungs-“ Angriffe hat zugenommen: Weltweit ist die Zahl der Ransomware-Angriffe auf Unternehmen in der ersten Jahreshälfte 2021 im Vergleich zum Vorjahreszeitraum um 93 % gestiegen. Die Angreifer stehlen nicht nur sensible Daten von Unternehmen und drohen damit, diese zu veröffentlichen, wenn kein Lösegeld gezahlt wird, sondern haben es auch zunehmend auf die Kunden und/oder Geschäftspartner dieser Unternehmen abgesehen und fordern auch von diesen ein Lösegeld.

• Angriffe auf die Lieferkette haben ebenfalls zugenommen: Der bekannte Angriff auf die Lieferkette von SolarWinds stach im Jahr 2021 aufgrund seines Ausmaßes und seines Einflusses hervor, aber es gab auch andere ausgeklügelte Angriffe auf die Lieferkette, wie Codecov im April und kürzlich auf Kaseya.

• Es gibt einen Wettlauf um die Nachfolge von Emotet: Nachdem dieses Botnet im Januar zusammengebrochen ist, gewinnen andere Malware wie Trickbot, Dridex, Qbot und IcedID schnell an Popularität.

Prognose für die zweite Hälfte des Jahres 2021

Laut den Analysten von Check Point wird Ransomware trotz gesetzlicher Maßnahmen gegen Angriffe und Bedrohungen zunehmen. Der zunehmende Einsatz von Tools zur Systempenetration wird Hackern die Möglichkeit geben, ihre Angriffe in Echtzeit anzupassen. Die Popularisierung von Angriffen, die auf kollaterale Opfer abzielen, wird eine spezifische Sicherheitsstrategie erfordern, die darauf abzielt, diesen Schaden zu minimieren.

„In der ersten Jahreshälfte 2021 haben Cyberkriminelle ihre Praktiken weiter angepasst, um die Verlagerung auf hybride Arbeitsweisen auszunutzen. Sie zielen auf die Lieferketten von Unternehmen und die Netzwerkverbindungen zu Partnern ab, um so viele Störungen wie möglich zu verursachen”, sagt Maya Horowitz, Director of Threat Intelligence Research bei Check Point Research (CPR) Division.