Angriffe auf südkoreanische Finanzdienstleister über die Supply Chain

Bitdefender Bitdefender   |
  • Banken / Versicherungen, Lieferkette
  • Einsteiger

Angriffe auf südkoreanische Finanzdienstleister über die Supply Chain.

Bitdefender hat eine Analyse von Ransomware-Angriffen auf südkoreanische Finanzdienstleister vorgestellt.  Urheber der Angriffe ist die normalerweise wirtschaftlich motiviert agierende Ransomware-as-a-Service-Gruppe Qilin. Möglicherweise arbeitete Qilin diesmal mit Moonstone Sleet, einer Gruppe aus Nordkorea mit Regierungshintergrund, zusammen.

Zusammenfassung (TL; DR):

  • Qilin-Gruppe führte Propaganda-Kommunikation durch – mit ganz Südkorea und seiner Finanzindustrie als Ziel
  • Qilin-Gruppe ist eine der aktivsten Ransomware-Gruppen in der Bitdefender-Telemetrie
Angriffe auf südkoreanische Finanzdienstleister über die Supply Chain
Qilin-Post über den Zugriff auf Daten eines südkoreanischen Unternehmens. Erst in einem letzten Post kehrten die Akteure zu einem „sachlicheren“ Stil der Opferbekanntgabe zurück und entfernten auch die Nennung von Opfer-Unternehmen aus ihren Posts. (@Bitdefender)

Die Angreifer gingen dabei den Weg über die Supply Chain und nutzen Schwachstellen von Serviceanbietern als Eintrittstor für ihre großangelegten Ransomware-Aktionen. Die Attacken sind ein weiteres Beispiel, wie offenbar geopolitische Faktoren zunehmend das cyberkriminelle Geschehen beeinflussen. Sie belegen auch, wie politischer Hacktivismus eine Renaissance innerhalb der Cyberkriminalität zu erleben scheint.

Die Qilin-Gruppe führte eine hochgradig politisierte Propaganda-Kommunikation durch – mit ganz Südkorea und seiner Finanzindustrie als plakativ propagiertem Ziel. Die Hacker motivierten ihre Zugriffe zu Beginn ihrer Kommunikation als Kampagne gegen die gesamte südkoreanische Finanzindustrie. Zudem bekannten sich die Urheber in ihren Posts auf Data-Leakage-Seiten zum Zugriff auf sicherheitsrelevante Informationen zu Brücken, Tunneln oder Flüssiggastanks. Dieses Auftreten unterscheidet sich von herkömmlichen Ransomware-Posts. Qilin versuchte später, die Kommunikation auf ihrer Data Leak Site zu löschen.

Die Qilin-Gruppe, eine der aktivsten Ransomware-Gruppen in der Bitdefender-Telemetrie in den letzten Monaten, benennt sich zwar nach einem Wesen der chinesischen Mythologie, ist aber wahrscheinlich russischen Ursprungs. Einer Ihrer Gründungsmitglieder kommuniziert in Russisch und Englisch. Die Gruppe ist sehr aktiv in russischen Foren. Die Regel der Akteure, keine Staaten der ehemaligen „Gruppe unabhängiger Staaten“ – dem Nachfolger der Sowjetunion – anzugehen, spricht auch dafür. In ihrer Kommunikation über WikiLeaksV2, einer Seite für die Publikation politischer Manifeste sowie gestohlener Daten außerhalb des Darknets, charakterisieren sie sich als politische Aktivisten und Patrioten für ihr Land.

Zurück zu allen News

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung