Russischsprachige Hacker, Cybersicherheit und Cyberverbrechen in Russland – 7 Fragen an Nicholas Palmer von Group-IB

GroupIB

Group-IB wurde 2003 von Ilya Sachkov und Dmitry Volkov gegründet, die sich an der Bauman Moscow State Technical University kennen lernten. Group-IB ist in den Bereichen Computerforensik und Cybersicherheit tätig und unterstützt Unternehmen auf der ganzen Welt beim Schutz vor finanziellen Verlusten und Reputationsrisiken mit fundiertem Fachwissen über finanziell motivierte russischsprachige kriminelle Gruppen.


1. Group-IB wurde 2003 von einer Gruppe von Universitätsstudenten gegründet. Wie ist das Unternehmen entstanden und wie würden Sie die Bedingungen für IT-Startups in Moskau oder Russland im Allgemeinen beschreiben?

Zum Zeitpunkt der Gründung der Group-IB, war es für Unternehmen in Russland sehr schwierig, High-Tech-Verbrechen zu untersuchen. Daher begannen die Gründer mit forensischen Untersuchungen von Cyberkriminalität und der Sanierung von Cybernetzwerken betroffener Unternehmen. Dabei lernten die jungen Unternehmer viel über die Arbeitsweise von Cyberkriminellen, die von ihnen verwendeten Tools und Taktiken.

Aus dem aus Cyberuntersuchungen gewonnenem Wissen entwickelten die Unternehmer dann Technologien und Produkte, die dabei helfen Cyberbedrohungen zu überwachen, zu identifizieren und zu verhindern. So stellt das von Group-IB entwickelte Threat Intelligence umfassende Informationen über Cyberbedrohungen zur Verfügung, während das Group-IB Threat Detection System ermöglicht nach Bedrohungen zu suchen und effizient auf komplexe, gezielte Angriffe zu reagieren.

Bedingungen für IT-Startups in Moskau

Russland ist ein sehr spannendes Land für IT-Startups. Es gibt viel Talent, wenn es um Sicherheitstechniker, Programmierer und so weiter geht. Gleichzeitig sind die Kosten für diese Talente im Vergleich zu Europa oder Nordamerika niedriger. Die Hindernisse für die Gründung von IT-Startups sind daher deutlich geringer.

Warum glauben Sie, dass es in Russland so viele Talente gibt?

Um Talente zu entwickeln und zu fördern, wurden viele der Bildungsinstitutionen darauf ausgelegt, eine herausragende ingenieurwissenschaftliche Bildung zu gewährleisten, sowohl für das Bauwesen als auch für das technische Ingenieurwesen. Damit wurde die Grundlage für Bildung und Wachstum in diesem Sektor geschaffen.

Übrigens sind interessanterweise die meisten der finanziell motivierten Hacker russischsprachig.

GroupIB_logo

2. Laut Ihrer Website untersucht Group-IB 80 Prozent der hochkarätigen Cyberverbrechen in Russland und der GUS. Welche sind die häufigsten Verbrechen, mit denen Unternehmen in diesen Ländern zu tun haben?

Es gibt verschiedene Arten von Cyberkriminellen und Bedrohungen, mit denen Unternehmen zu tun haben.

Erstens, finanziell motivierte Cyberkriminelle, die versuchen, durch ihre Angriffe einen finanziellen Gewinn zu erzielen. Diese Gruppe setzt sich heute unter allen Arten von Cyberkriminalität durch. Häufig bilden sie große und qualifizierte Gruppen, die versuchen, Banken, Finanzorganisationen und andere Unternehmen anzugreifen.

Es gibt auch Hacker von Nationalstaaten. Der Hi-Tech Crime Trends Report 2018 der Group-IB enthält die 40 aktivsten cyberkriminellen, staatlich geförderten Gruppen. Es wird jedoch angenommen, dass die Gesamtanzahl viel höher ist. Solche Gruppen werden von verschiedenen Regierungen finanziert, wie beispielsweise von Nordkorea, Pakistan, China, USA, Russland, Iran oder der Ukraine. Zu den drei wichtigsten Herkunftsländern der aktivsten staatlich geförderten Hackergruppen gehören China, Nordkorea und der Iran. Ihre Maßnahmen zielen darauf ab, eine langfristige Präsenz in den Netzwerken der kritischen Infrastrukturen zu erreichen, meistens mit dem Ziel der Sabotage und Spionage. Sie zielen auf Unternehmen aus den Bereichen Energie, Nuklearenergie, Industrie, Wasser, Luftfahrt und auf kritische infrastrukturelle Einrichtungen ab.

Es gibt auch so genannte „Script-Kiddies“, meist Personen mit geringerem technischen Niveau, die versuchen, Probleme zu verursachen oder Websites zu zerstören. Manchmal sind sie politisch oder ideologisch motiviert und versuchen, ihre Unzufriedenheit auszudrücken, indem sie Störungen verursachen.

Häufigste Cyberverbrechen in Russland und der GUS

Russland ist ein „Testgebiet“ für finanziell motivierte Cyberkriminelle. Sie verbessern ihre Fähigkeiten in Russland, „exportieren“ diese Fähigkeiten dann und beginnen sich auf Europa, die USA, APAC und den Nahen Osten zu konzentrieren.

Russland erlebt daher die „erste Welle“ von Cyberangriffen, die meist von jüngeren, finanziell motivierten Hackergruppen begangen werden, die ihre Methoden testen und vor allem auf Banken in Russland abzielen. Hochqualifizierte russischsprachige Gruppen greifen in der Regel globale Unternehmen an.

GroupIB_meeting_room

3. Gibt es eine Tendenz zu Cyberverbrechen, die in Russland und der GUS häufiger auftreten als in Westeuropa?

Die Cyberkriminalität hat keine Grenzen, genauso wenig wie die Werkzeuge und Techniken der Täter. Russland und die GUS erleben ähnliche Frequenzen und ähnliche Arten von Cyberkriminalität wie westeuropäische Länder.

Bei Angriffen auf Einzelpersonen zum Beispiel, wächst die Zahl Web-Phishing Angriffe sowohl in Russland als auch weltweit weiter. Angriffe mit PC- und mobilen Trojanern, die sowohl für Anmeldeinformationen als auch für den Diebstahl von Zahlungsdaten verwendet werden können, kommen in Russland und der GUS sowie in Europa oder Amerika recht häufig vor.

Bezüglich der Angriffe auf Unternehmen und insbesondere auf den Finanzsektor, bleiben APT- („Advanced Persistent Threat“) Gruppen die größte Bedrohung für Banken und Finanzorganisationen, sowohl in Russland als auch international. Im Jahr 2018 entdeckte die Group-IB die neue cyberkriminelle Gruppe Silence. Es ist eine der größten Cyber-Bedrohungen für Banken weltweit, zusammen mit MoneyTaker, Lazarus und Cobalt. Diese Gruppen sind in der Lage, eine Bank zu kompromittieren, in isolierte Finanzsysteme einzudringen und Geld abzuheben. Drei von vier der Gruppen sind russischsprachig.

4. Eine hohe Anzahl von Cyber-Angriffen bleibt von betroffenen Unternehmen unbemerkt. Was sind Ihrer Meinung nach die Hauptgründe dafür?

Viele Unternehmen bemerken nicht, dass es ein Problem gibt, bis ihr Geld einen Geldautomaten verlässt oder Millionen von Dollar per Geldtransfer in ein anderes Land geschickt werden.

Der Hauptgrund dafür ist oft, dass Cyberkriminelle immer qualifizierter werden und öffentlich zugängliche Tools verwenden, die für Sicherheitssysteme sehr schwer zu verfolgen sind. Da diese legitimen Tools von jedem IT-Administrator oder sogar von regulären Mitarbeitern verwendet werden könnten, erkennt das System keine Anomalie, sodass Cyberkriminelle bis zu zwei Monate lang unbemerkt in einem Netzwerk bleiben können.

5. Was sind übliche Methoden von Hackern in ein System zu gelangen?

Der Weg in ein Netzwerk könnte eine simple Mail mit einem Link sein, der zu einer gefälschten Website führt, die genauso aussieht wie die Website des Unternehmens. Sobald der Mitarbeiter seine Login-Daten eingegeben hat, kann der Hacker in das System einsteigen. Durch den Zugriff auf das System, kann der Hacker dann zu anderen Computern im Netzwerk wechseln. Oftmals bewegen sich Cyberkriminelle „seitwärts“: Sie versuchen kontinuierlich, in andere Bereiche innerhalb des Netzwerks zu wechseln, um ihre Berechtigungen zu erhöhen, beispielsweise indem sie versuchen, Zugriff auf den Benutzernamen und das Passwort eines IT-Administrators zu erhalten, um mehr Rechte innerhalb des Netzwerks zu erhalten.

Es gibt auch fortgeschrittenere Angriffe, bei denen die Akteure sich viel mehr Zeit, oft Monate, lassen, um im System zu bleiben und mehr über Prozesse zu erfahren, bevor sie angreifen.

GroupIB2

6. Wie können Unternehmen sich vor Cyber-Angriffen schützen?

Unternehmen können sich vor Cyberkriminalität schützen, indem sie sich der Cyberkriminellen bewusst werden, die für ihre Segmente von Bedeutung sind und potenziell einen Angriff durchführen könnten. Außerdem sollten sie die Werkzeuge und Techniken, mit denen die Hacker Zugang zur Infrastruktur des Unternehmens erhalten können, kennen.

Cyberkriminelle sind Menschen, sie haben Muster und wenn man versteht wer der Gegner ist und welche Muster er hat, kann verhindert werden, dass die Angriffe stattfinden.

7. Was sind die aktuellen Trends, Entwicklungen und technischen Durchbrüche in der Cybersicherheitsbranche?

Einer der Trends ist die Nutzung von Threat Intelligence, die zuvor entwickelte Technologien der Cybersicherheitsindustrie integriert, um Informationen über Cyberkriminelle zu sammeln. Das Ziel ist diese Informationen zum Schutz vor Angriffen zu nutzen.

Ein weiterer Trend ist die Nutzung von künstlicher Intelligenz und maschinellem Lernen, um die Analyse von Anomalien in Daten zu verbessern. Computer, die in der Lage sind, Routineaufgaben zu analysieren und aus früheren Mustern zu lernen, erleichtern die Identifizierung von Bedrohungen und entlasten vor allem die menschlichen Analysten. Während der gesparten Zeit können sich menschliche Analysten auf die Erforschung anderer Arten von Risiken konzentrieren, die bisher unbemerkt geblieben sind.


Palmer Nicholas Palmer ist Director of International Business Development bei Group-IB. Er kam vor fünf Jahren zum Unternehmen und teilt die Leidenschaft für Technologie und Cybersicherheit.

 

 

 

 

 


Das könnte Sie auch interessieren

Das wertvollste Unternehmen im russischsprachigen Internet – der IT-Gigant Yandex im Überblick

Russlands IT-Branche – Steigende Exporte und staatliche Investitionen

Die Softwareindustrie in der Russischen Föderation und die Zukunftsaussichten für das russische Silicon Valley

Blockchain – zwischen Marktturbulenzen und Höhenflügen: Zur derzeitigen Situation in der Schweiz und Russland

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s