Nordkorea: Hacker setzen Ransomware ein und geben sich als Robin Hood


Erpresserviren
Nordkoreanische Hacker überfallen Unternehmen “um die Lücke zwischen arm und reich zu schließen”

Eine Person in einem roten Pullover steht vor einer Variante der nordkoreanischen Flagge

Hacker aus Nordkorea sind nicht neu – die Verkleidung als Robin Hood allerdings schon.

Eine bisher unbekannte Hacker-Gruppe, die sich “H0lyGh0st” nennt, greift seit September 2021 Unternehmen an. Auf deren Kommunikationsplattform im Darknet geben sich die Cybergangster als edle Kämpfer gegen das Unrecht dieser Welt aus.

Sicherheitsexperten von Microsoft warnen: Eine Hacker-Gruppierung namens “H0lyGh0st” treibt im Netz ihr Unwesen. Bei den mutmaßlichen Tätern soll es sich nach Angaben der Forschergruppe um Nordkoreaner handeln, die bei ihren Angriffen auf altbewährte Werkzeuge zurückgreifen. 

Demnach suchen sich die Hacker meist kleinere Unternehmen als Ziel und verschlüsseln deren Daten. Als Beweis dafür, dass nur “H0lyGh0st” in der Lage ist, die Dateien wieder lesbar zu machen, schickt die Bande ihren Opfern ein Beispiel einer entschlüsselten Datei, die eindeutig aus dem Fundus der Angegriffenen stammt.

Danach folgt die Forderung nach einem Lösegeld in der Kryptowährung Bitcoin und diverse Drohungen, dass bei Missachtung des Ultimatums Daten – und damit oftmals Firmengeheimnisse – offen ins Netz gestellt würden.

Microsoft schreibt, dass “H0lyGh0st” offenbar in Verbindung mit der Hacker-Bande “Plutonium” (aka DarkSeoul oder Andariel) stehe, zum Teil sogar deren Tools verwende. 

Der “gute” Hacker fordert bis zu 100.000 Euro

Das Besondere an “H0lyGh0st” ist deren Webseite im Darknet. Die Gruppe verwendet eine rudimentär zusammengebastelte Webseite als Kommunikationsplattform für die Opfer, beschreibt sich aber auch selbst ein wenig genauer.

Dort heißt es: “Für was wir kämpfen? Ganz einfach: Um die Lücke zwischen arm und reich zu schließen. Um armen und hungernden Menschen zu helfen. Um das Bewusstsein für Sicherheit in Ihrem Unternehmen zu schärfen.”

Die Experten stufen diese heldenhafte Nachricht lediglich als Vorwand ein, um die Angriffe zu legitimieren, heißt es. Auf der Webseite der Hacker gibt es zudem keinerlei Informationen über die Gesamthöhe der Lösegelder, Ziele der Gruppe oder auch etwaige Spendentöpfe, die man mit der Beute in feinster Robin-Hood-Manier gefüllt hat. Aus Chats wisse man, dass “H0lyGh0st” zwischen 1,2 und 5 Bitcoins von Opfern verlange. Umgerechnet (18.7.22) also zwischen 25.000 und 100.000 Euro.

Ratschläge für Unternehmen

Was die wahren Motive hinter den Angriffen betrifft, ist Microsoft sich nicht sicher. Einerseits sei es bekannt, dass Nordkorea Hacker beschäftige, um Devisen ins Land zu holen und finanzielle Verluste durch Sanktionen und die Corona-Pandemie auszugleichen, andererseits könne es sich bei den Hackern auch um Privatpersonen handeln, die in ureigenem Interesse handeln. Für beide Theorien fehlen den Experten handfeste Beweise.

Nachfolgend schlüsselt Microsoft auf, aus welchen Bestandteilen die Software von “H0lyGh0st” besteht und wie man den Einsatz der Schadsoftware korrekt erkennt. Den hauseigenen Virenschutz “Defender” habe man indes bereits geupdatet und ihn befähigt, die Erpresserviren der Bande zu erkennen.

Es folgen allgemeine Tipps, wie sich Unternehmen gegen Angriffe dieser Art vorbeugend schützen können und was im Ernstfall zu tun ist. Eine simple Software zum Entschlüsseln betroffener Daten wird bislang nicht angeboten.

Quelle: Microsoft



Quellenlink https://www.stern.de/digital/online/nordkorea–hacker-setzen-ransomware-ein-und-geben-sich-als-robin-hood-32551570.html?utm_campaign=alle-nachrichten&utm_medium=rss-feed&utm_source=standard