Netskope Threat Labs verfolgt Gegner, die es aktiv auf Netskope-Kunden abgesehen haben, um deren Motivationen, Taktiken und Techniken besser zu verstehen. Wir nutzen diese Informationen dann, um unseren Kunden dabei zu helfen, ihre Systeme gegen diese Angreifer zu verteidigen. Die von Netskope Threat Labs verfolgten Gegner werden je nach ihren Motiven im Allgemeinen in zwei Kategorien eingeteilt.
Kriminell
Das Hauptziel krimineller Gegnergruppen ist der finanzielle Gewinn, und zu ihren Werkzeugen gehören in der Regel Datendiebe und Ransomware. Erpressung ist für Cyberkriminelle seit mehreren Jahren ein äußerst lukratives Geschäft; im Jahr 2022 wurden Lösegeldzahlungen in Höhe von schätzungsweise 457 Millionen US-Dollar geleistet. Die meisten kriminellen Angreifer haben ihre Operationen diversifiziert und nutzen sowohl Ransomware als auch Infostealer, um die Wahrscheinlichkeit zu erhöhen, dass das Opfer zahlt. Wenn die Verschlüsselung ihrer Systeme mit Ransomware nicht ausreicht, um sie zur Zahlung zu bewegen, hilft vielleicht die öffentliche Veröffentlichung der aus dem Unternehmen gestohlenen vertraulichen Informationen. Obwohl wir versuchen, jede kriminelle Gegnergruppe entsprechend dem Land zu benennen, in dem sie operiert, arbeiten viele Gruppen grenzüberschreitend. Darüber hinaus arbeiten viele mittlerweile im Rahmen eines Affiliate-Modells, wodurch ihre Geschäftstätigkeit noch stärker verstreut ist. Daher assoziieren wir eine Gruppe typischerweise mit dem Land oder der Region, aus der ihre Kernmitglieder vermutlich stammen.
Geopolitisch
Geopolitisch gegnerische Gruppen werden durch geopolitische Probleme motiviert. Dabei handelt es sich in der Regel um Nationalstaaten oder deren Stellvertreter und ihre Aktivitäten spiegeln typischerweise umfassendere politische, wirtschaftliche, militärische oder soziale Konflikte wider. Beispielsweise starteten russische Gegnergruppen Cyberangriffe auf die Ukraine, die zeitgleich mit ihrer Invasion in diesem Land stattfanden. Geopolitische Gruppen führen typischerweise Cyberoperationen gegen andere Nationalstaaten durch, und derartige Operationen sind zu einem entscheidenden Bestandteil der modernen internationalen Beziehungen geworden. Die Grenzen zwischen geopolitischen und kriminellen Gegnern verschwimmen mitunter, da einige geopolitische Gruppen auch finanziell motivierte Aktivitäten ausüben. Beispielsweise finanziert das derzeitige nordkoreanische Regime die Entwicklung seines Raketenprogramms durch Cyberkriminalität. Die konkreten Cyber-Operationen geopolitischer Gegner sind unterschiedlich und umfassen beispielsweise Cyber-Spionage gegen staatliche und nichtstaatliche Organisationen sowie die Sabotage kritischer Infrastrukturen mit dem Ziel, einen Gegner zu destabilisieren. Geopolitische Gegner betreiben außerdem Informationskrieg, verbreiten Propaganda, manipulieren die öffentliche Meinung und beeinflussen Wahlen.
Es kann schwierig sein, eine Aktivität einer bestimmten gegnerischen Gruppe zuzuordnen. Gegner versuchen, ihre wahre Identität zu verbergen oder starten sogar gezielt False-Flag-Operationen, bei denen es so aussieht, als ob ihre Angriffe von einer anderen Gruppe stammen. Mehrere Gruppen wenden häufig dieselben Taktiken und Techniken an. Manche gehen sogar so weit, genau dieselben Werkzeuge zu verwenden oder sogar die Infrastruktur gemeinsam zu nutzen. Schon die Definition gegnerischer Gruppen kann eine Herausforderung darstellen, da sich Gruppen weiterentwickeln oder Mitglieder zwischen Gruppen wechseln. Aus diesen Gründen sind die Zuschreibungen der Gegner unscharf und können sich ändern und weiterentwickeln, wenn neue Informationen ans Licht kommen. Im weiteren Verlauf dieses Berichts präsentieren wir Statistiken zu den auf der Netskope Security Cloud-Plattform beobachteten gegnerischen Aktivitäten und den Gruppen, die höchstwahrscheinlich für diese Aktivitäten verantwortlich sind.