Cybersicherheitsexperten von Palo Alto Networks haben eine beunruhigende Entwicklung aufgedeckt: Die nordkoreanische Hackergruppe Andariel, auch bekannt als Jumpy Pisces, scheint mit den Betreibern der Ransomware Play zusammenzuarbeiten. Diese Entdeckung markiert eine beispiellose Allianz zwischen einer staatlich unterstützten Hackergruppe und einem kriminellen Ransomware-Netzwerk, was potenziell zu komplexeren und gefährlicheren Cyberangriffen führen könnte.
Anatomie eines hochentwickelten Cyberangriffs
Die Forscher von Palo Alto Networks kamen zu diesem Schluss nach der Analyse eines Cyberangriffs im Mai 2024. Die Angreifer verschafften sich zunächst Zugang zum Netzwerk einer nicht genannten Organisation über einen kompromittierten Benutzeraccount. Anschließend nutzten sie laterale Bewegungstechniken, um ihre Position im System zu festigen, wobei sie Tools wie das Sliver-Framework und den Dtrack-Backdoor (auch bekannt als Valefor und Preft) einsetzten.
Besonders bemerkenswert ist, dass diese Tools bis Anfang September mit dem Command-and-Control-Server der Angreifer kommunizierten, bevor die Play-Ransomware im Netzwerk des Opfers eingesetzt wurde. Dies deutet auf eine langfristige Präsenz der Hacker im kompromittierten System und eine sorgfältige Vorbereitung der finalen Angriffsphase hin.
Fortgeschrittene Taktiken und Tools im Einsatz
Vor der Bereitstellung der Play-Ransomware führten die Angreifer eine Reihe vorbereitender Aktionen durch:
- Sammlung von Anmeldeinformationen
- Privilege Escalation
- Entfernung von EDR-Sensoren (Endpoint Detection and Response)
Darüber hinaus setzten die Hacker eine trojanisierte Binärdatei ein, um sensible Informationen aus gängigen Browsern wie Google Chrome, Microsoft Edge und Brave zu stehlen. Dieses bösartige Tool sammelte Browsing-Verläufe, Formular-Autofill-Daten und Kreditkarteninformationen.
Beweise für die Verbindung zwischen Andariel und Play
Die Forscher von Palo Alto Networks identifizierten mehrere Schlüsselfaktoren, die auf eine Zusammenarbeit zwischen Andariel (Jumpy Pisces) und den Play-Ransomware-Betreibern hindeuten:
- Verwendung desselben kompromittierten Benutzerkontos durch beide Gruppen
- Aufrechterhaltung der Verbindung zum Sliver-Command-and-Control-Server (172.96.137[.]224) bis zum Tag vor der Ransomware-Bereitstellung
- Abschaltung des Sliver-Servers unmittelbar vor dem Play-Angriff
Potenzielle Kooperationsszenarien
Experten ziehen zwei Hauptszenarien für die Interaktion zwischen Andariel und Play in Betracht:
- Offizielle Partnerschaft: Andariel (Jumpy Pisces) könnte ein vollwertiger Partner der Play-Gruppe geworden sein, was eine engere Zusammenarbeit und Ressourcenteilung bedeuten würde.
- Initial Access Broker (IAB): Andariel könnte als IAB fungiert und den Zugang zum kompromittierten Netzwerk an die Play-Betreiber verkauft haben. Dieses Szenario ist wahrscheinlicher, wenn Play tatsächlich kein Ransomware-as-a-Service (RaaS)-Modell verwendet, wie die Gruppe behauptet.
Die aufgedeckte Verbindung zwischen der nordkoreanischen Hackergruppe Andariel und den Play-Ransomware-Betreibern stellt eine ernsthafte Bedrohung für die Cybersicherheit von Organisationen weltweit dar. Diese Allianz könnte zu ausgefeilteren und zerstörerischeren Angriffen führen, die staatliche Ressourcen mit kriminellen Taktiken kombinieren. Organisationen wird dringend empfohlen, ihre Cybersicherheitsmaßnahmen zu verstärken, mit besonderem Fokus auf den Schutz von Anmeldeinformationen, die Überwachung von Netzwerkaktivitäten und die Erkennung von Anomalien. Nur ein umfassender Ansatz zur Cybersicherheit kann dieser wachsenden Bedrohung effektiv begegnen.
