Cybersicherheitsexperten von Kaspersky Lab haben kürzlich entdeckt, dass die Hackergruppe Twelve, die monatelang inaktiv schien, ihre Angriffe auf russische Staatsunternehmen fortsetzt. Diese Entwicklung unterstreicht die anhaltende Bedrohung durch hochspezialisierte Cybergruppen und die Notwendigkeit erhöhter Wachsamkeit im digitalen Raum.
Hintergrund und neue Erkenntnisse
Die Gruppe Twelve, die seit April 2023 russische Organisationen ins Visier nimmt, war nach der Sperrung ihres Telegram-Kanals im Frühjahr 2024 vorübergehend von der Bildfläche verschwunden. Ende Juni 2024 registrierten Sicherheitsexperten jedoch einen Angriff, der die charakteristischen Techniken und Command-and-Control-Server von Twelve aufwies. Dies deutet darauf hin, dass die Gruppe ihre Aktivitäten fortsetzt und möglicherweise bald wieder öffentlich in Erscheinung treten wird.
Angriffsmethoden und Taktiken
Twelve spezialisiert sich auf die Verschlüsselung und anschließende Zerstörung von Daten, was die Wiederherstellung der IT-Umgebung erheblich erschwert. Das Hauptziel der Hacker besteht darin, den Zielorganisationen maximalen Schaden zuzufügen. Die genauen Aufklärungsmethoden der Gruppe sind nicht bekannt, aber es wird vermutet, dass sie IP-Bereiche in ganz Russland anhand von Geotags scannen und versuchen, VPN-Server und internetfähige Anwendungen zu identifizieren, die als Einstiegspunkte dienen könnten.
Verwendete Tools und Techniken
Die Gruppe verlässt sich ausschließlich auf bekannte und frei verfügbare Tools und Webshells, darunter:
- ngrok
- Cobalt Strike
- mimikatz
- chisel
- BloodHound
- PowerView
- adPEAS
- CrackMapExec
- Advanced IP Scanner
- PsExec
In den meisten untersuchten Angriffen erlangten die Hacker Zugang zur Infrastruktur der Opfer durch gültige lokale oder Domänen-Konten sowie VPN- oder SSH-Zertifikate. Nach dem Eindringen nutzten sie RDP (Remote Desktop Protocol) für laterale Bewegungen innerhalb des Netzwerks.
Verbindungen zu anderen Gruppen
Experten haben festgestellt, dass Twelve gemeinsame Infrastrukturen, Dienstprogramme und Techniken (TTP) mit der Ransomware-Gruppe DARKSTAR (früher als Shadow und Comet bekannt) teilt. Dies deutet darauf hin, dass die Hacker demselben Syndikat oder Aktivitätscluster angehören könnten. Während die Aktionen von Twelve typischerweise einen hacktivistischen Charakter aufweisen, folgt DARKSTAR dem klassischen Schema der doppelten Erpressung.
Prävention und Schutzmaßnahmen
Da Twelve keine eigenen Entwicklungen einsetzt, gehen Forscher davon aus, dass ihre Angriffe rechtzeitig erkannt und verhindert werden können, bevor sie erheblichen Schaden an der Infrastruktur einer Organisation anrichten. Unternehmen sollten ihre Cybersicherheitsmaßnahmen verstärken, insbesondere im Hinblick auf die Absicherung von VPN-Zugängen und die Überwachung von Remote-Desktop-Aktivitäten.
Die anhaltenden Aktivitäten der Gruppe Twelve verdeutlichen die Notwendigkeit einer ständigen Wachsamkeit und Anpassung der Cybersicherheitsstrategien. Organisationen, insbesondere im staatlichen Sektor, sollten ihre Sicherheitsmaßnahmen regelmäßig überprüfen und aktualisieren, um sich vor solchen gezielten Angriffen zu schützen. Die Zusammenarbeit mit Cybersicherheitsexperten und der Einsatz fortschrittlicher Erkennungs- und Präventionssysteme sind entscheidend, um die Widerstandsfähigkeit gegen diese evolvierende Bedrohungslandschaft zu stärken.