Russische und nordkoreanische Hacker stehlen 2 TB Daten von südkoreanischen Banken

Südkoreas Finanzbranche wurde von einem koordinierten Lieferkettenangriff getroffen, der mit russischen und nordkoreanischen Bedrohungsakteuren in Verbindung steht. Dies führte zum Einsatz der Qilin-Ransomware und zum Diebstahl sensibler Daten, wie das Cybersicherheitsunternehmen Bitdefender bestätigte.

Bei der Zusammenstellung der Recherchen für ihren Threat Debrief-Bericht vom Oktober gab Bitdefender an, mit den Untersuchungen der Kampagne begonnen zu haben, nachdem im September ein ungewöhnlicher Anstieg von Ransomware-dentin Südkorea festgestellt worden war. 

Das Land verzeichnete in diesem Monat 25 Angriffe, ein deutlicher Unterschied zum monatlichen Durchschnitt von nur zwei Fällen zwischen September 2024 und August dieses Jahres. 

Südkorea Ziel von Qilin-Ransomware-Angriffen

Laut einem Bericht ist Südkorea in diesem Jahr nach den USA das am zweitstärksten von Ransomware betroffene Land. Von den rund 33 Fällen, die das Software-Sicherheitsunternehmen identifiziertedentwurden 25 der Qilin-Ransomware-Gruppe zugeschrieben, und 24 der betroffenen Unternehmen waren im Finanzsektor tätig. 

„Bei dieser Operation wurden die Fähigkeiten einer großen Ransomware-as-a-Service (RaaS)-Gruppe, Qilin, mit der möglichen Beteiligung nordkoreanischer staatsnaher Akteure (Moonstone Sleet) kombiniert, wobei die Kompromittierung von Managed Service Providern (MSPs) als erster Zugriffsvektor genutzt wurde“, heißt es in dem Bericht.

Qilin zählt in diesem Jahr zu den aktivsten Ransomware-Gruppen . Sie operiert nach dem Modell „Ransomware-as-a-Service“ und forderte allein im Oktober über 180 Opfer. Laut Bedrohungsdaten der NCC Group ist die Gruppe für 29 % aller weltweiten Ransomware-Angriffe verantwortlich.

Obwohl der Name der Gruppe von einer chinesischen mythologischen Kreatur stammt, geht Bitdefender davon aus, dass Qilin russische Wurzeln hat. Die Untersuchung ergab, dass eines der Gründungsmitglieder, „BianLian“, auf Russisch und Englisch kommuniziert und in russischsprachigen Cyberkriminalitätsforen sehr aktiv ist. 

Die Gruppe vermeidet es außerdem, Organisationen in der Gemeinschaft Unabhängiger Staaten anzugreifendent eine gängige Regel bei Ransomware-Operationen mit Sitz in Russland.

Qilin rekrutiert Hacker für seine Angriffe, während die Hauptakteure einen Teil der illegalen Gewinne einstreichen. Die Gruppe rühmt sich außerdem, über ein „internes Journalistenteam“ zu verfügen, das ihren Partnern bei der Erstellung von Erpressungsnachrichten und Beiträgen für ihre Datenleck-Plattform hilft.

Laut einer Analyse von Bitdefender zur Korean Leaks-Kampagne gaben sich die Hacker als „Aktivisten“ und „Patrioten“ aus, indem sie politische Sprache verwendeten, um Botschaften im Propagandastil zu erstellen, und zielten auf den gesamten Finanzsektor des Landes ab. 

In einem Fall vom 20. August, der ein Bauunternehmen betraf, warnten die Angreifer, dass die gestohlenen Daten „militärischen Geheimdienstwert“ hätten. In der Nachricht wurde behauptet, dass Pläne und Zeichnungen für Hunderte von abgeschlossenen Projekten, darunter Brücken und Flüssigerdgastanks, nun öffentlich zugänglich seien. 

„Ein Bericht über den Inhalt dieser Dokumente wird bereits für Genosse Kim Jong-un vorbereitet“, hieß es in einer der durchgesickerten Diskussionen in Qilin-Foren, was darauf hindeutet, dass Hacker Informationen mit der nordkoreanischen Gruppenführung .

Qilin stiehlt in drei Wellen Daten im Umfang von insgesamt 2 TB.

Laut Bitdefender verlief die Korean-Leaks-Operation in drei Wellen, bei denen über eine Million Dateien und zwei Terabyte Daten von 28 bekannten Opfern gestohlen wurden. Beiträge, die mit vier weiteren Organisationen in Verbindung standen, wurden später von der Datenleaks-Website entfernt, möglicherweise aufgrund von Lösegeldzahlungen oder internen Entscheidungen der Betreiber.

Die erste Welle wurde am 14. September veröffentlicht und umfasste zehn Opfer aus dem Finanzmanagementsektor. Die zweite Welle folgte zwischen dem 17. und 19. September mit neun weiteren Fällen, während die dritte Welle zwischen dem 28. September und dem 4. Oktober veröffentlicht wurde und neun weitere Organisationen betraf. 

„Wir verfügen über Daten zu Dutzenden von Unternehmen. Die Korean Leaks sind ein Grund, Geld vom koreanischen Aktienmarkt abzuziehen, denn wir besitzen eine Datenmenge, deren Veröffentlichung dem gesamten koreanischen Markt einen schweren Schlag defiwird. Und wir werden es defitun“, lautete eine Drohung der Hacker während der zweiten Angriffswelle.

Laut Bitdefender stellten die Angreifer die Kampagne als Versuch dar, Korruption aufzudecken, einschließlich Drohungen mit der Veröffentlichung von Dokumenten, die „Beweise für Börsenmanipulationen“ liefern könnten, sowie der Namen „bekannter Politiker und Geschäftsleute in Korea“.

Am 23. September berichtete die koreanische Nachrichtenzeitung JoongAng Daily, dass mehr als 20 Vermögensverwaltungsgesellschaften infiziert nach dem Einbruch in den Dienstanbieter GJTec mit Ransomware