Video Poster Image

Global Threat Intelligence Report Executive Brief

Berichtszeitraum: Dezember 2022–Februar 2023
Lesen Sie den gesamten Bericht (auf Englisch)

In diesem Berichtszeitraum schützte BlackBerry seine Kunden weltweit vor mehr als 1,5 Millionen Cyberattacken. Das waren im Durchschnitt mehr als 17.000 Angriffe pro Tag oder mehr als 12 Attacken pro Minute. Unter diesen Bedrohungen befanden sich 200.454 einzigartige Malware-Samples, was durchschnittlich 2.252 neuartigen Malware-Samples pro Tag und 1,5 neuen Samples pro Minute entspricht. Ein 50%iger Anstieg gegenüber dem vorangegangenen Berichtszeitraum.

Keine Geräteart und kein Betriebssystem blieben von Malware verschont. Das liegt bekanntlich an der breiten Verfügbarkeit und den geringen Kosten für kommerzialisierte Malware-as-a- Service (MaaS) und Ransomware-as-a-Service (RaaS). Durch diese Services können auch technisch unerfahrene Gruppen und motivierte Einzelpersonen schwere Vorfälle auslösen.

Weitere Highlights in diesem Bericht sind die Aufschlüsselung von Malware-Typen nach Betriebssystem, bemerkenswerte Threats, Bedrohungsakteure und Waffen sowie gängige MITRE- und Erkennungstechniken. Außerdem dürfen Sie sich auf eine detaillierte Erläuterung von folgenden aktuellen Themen freuen:

  • Geopolitisch motivierte Angriffe
  • Mögliche Auswirkungen von ChatGPT und aufstrebenden KI-basierten Tools
  • Zunahme von SEO-Poisoning
  • Einzigartige Bedrohungslandschaften für die folgenden Branchen:
    • Finanzindustrie
    • Gesundheitswesen
    • Fertigungsindustrie
    • Energiewirtschaft
    • Behörden und öffentliche Einrichtungen

AKTUELLE TRENDS UND ENTWICKLUNGEN

Dieser Bericht beleuchtet die folgenden bemerkenswerten Trends.

Geopolitisch motivierte Angriffe

Auch im weiteren Verlauf des Krieges gegen die Ukraine gingen die russischen Cyberangriffe auf die ukrainische Regierung und die Bevölkerung unvermindert weiter. In diesem Berichtszeitraum hat das BlackBerry Threat Research and Intelligence Team seine Erkenntnisse über eine neue Kampagne einer von Russland geförderten Angreifergruppe veröffentlicht, die Unternehmen und Einzelpersonen in der Ukraine seit einem Jahrzehnt attackiert.

Die neue Kampagne setzt auf Phishing-Köder, die in Russisch und Ukrainisch geschrieben sind und die den Anschein erwecken, dass sie von ukrainischen Behörden stammen. Außerdem sorgen Geolokalisierungsfunktionen dafür, dass nur IP-Adressen in der Ukraine kompromittiert werden.

Die mehrstufige Ausführungskette tarnt sich als Datenverkehr von einer beliebten Messaging-App, was die Unterscheidung zwischen bösartigen Aktivitäten und normalem Datenverkehr erschwert. Andere Attacken gegen die Ukraine verwendeten den Remote Access Trojaner DarkCrystal.

Geopolitisch motivierte Angriffe häuften sich auch in Pakistan, wo ein bisher unbekannter Bedrohungsakteur potenzielle Aussteller einer Technologiekonferenz attackierte, die von der pakistanischen Marine gesponsert wurde. Ähnliches geschah in Israel, wo ein neuer Ransomware-Stamm eine Universität ins Visier nahm und die Lösegeldforderung regierungs- und israelfeindliche Inhalte enthielt. Auch die Malware-Angriffe auf den Energiesektor in den USA, die mit Russland in Verbindung gebracht werden, könnten einen politisch motivierten Hintergrund haben.

ChatGPT und KI-gestützte Bedrohungen

Der interaktive KI-Chatbot ChatGPT wurde im November 2022 veröffentlicht. Es dauerte nur ein paar Wochen bis Cyberkriminelle damit begannen, ihre neuen Möglichkeiten zu diskutieren und zu testen. ChatGPT und andere aufstrebende Tools scheinen hilfreich beim Schreiben von bösartigem Code, überzeugenden Deepfakes und Phishing- Ködern zu sein. Außerdem können sie bei der schnellen Analyse und Identifizierung potenziell wertvoller Dateien auf den Zielsystemen helfen.

SEO-Poisoning

Die Suchmaschinenoptimierung (SEO) hält zahlreiche Techniken bereit, mit denen man die Sichtbarkeit der eigenen Webseiten in beliebten Suchmaschinen erhöhen kann. Dies machen sich Bedrohungsakteure beim SEO-Poisoning zunutze. Sie optimieren kompromittierte Webseiten, damit sie im Ranking hochrutschen und den Anschein erwecken, als würden sie von einer bekannten und vertrauenswürdigen Quelle stammen. Durch das „Ausleihen“ der Reputation legitimer Webseiten werden die Opfer zu den kompromittierten Seiten gelockt, wo ihre Systeme attackiert werden. Das SEO-Poisoning hat im Berichtsquartal zugenommen, vor allem im Gesundheitswesen, und wird sich vermutlich noch weiter ausbreiten.

ANGEGRIFFENE BRANCHEN

Der Report betrachtet die Bedrohungslandschaft für fünf der weltweit wichtigsten Branchen.

Finanzindustrie

Im Berichtszeitraum bemerkten die mit BlackBerry® Technologien geschützten Finanzinstitutionen 231.510 Malware-Attacken, was einem Durchschnitt von 2.601 Attacken pro Tag entspricht. Insgesamt gab es 3.004 Attacken, die neue Malware-Samples nutzten, was einem Durchschnitt von 34 einzigartigen Attacken pro Tag entspricht.

Die aktivste Ransomware-Familie bei den Angriffen auf die Finanzinstitute war BlackCat. In diesem Zusammenhang wurde der RedLine Infostealer besonders häufig eingesetzt, um sensible Informationen und die Anmeldedaten von den Geräten der Opfer abzugreifen und sie anschließend auf dem Schwarzmarkt zu verkaufen.

Gesundheitswesen

Cylance® Endpoint Security erkannte und verhinderte im Berichtszeitraum 5.246 einzigartige Malware-Samples und über 93.000 individuelle Attacken auf das Gesundheitswesen. Durchschnittlich wurden somit 59 neue bösartige Samples pro Tag identifiziert. Die Gesundheitsbranche muss sich demnach auch weiterhin mit beträchtlichen Sicherheitsbedrohungen auseinandersetzen.

Bei den Angriffen auf das Gesundheitswesen kamen im Berichtszeitraum vor allem Emotet-Botnet betriebene Dropper und Downloader, der RedLine Infostealer sowie BlackCat, Royal und Mallox-Ransomware zum Einsatz. Außergewöhnlich war der LockBit-Angriff im Dezember auf ein Kinderkrankenhaus (The Hospital for Sick Children in Toronto). Er führte zu Verzögerungen im Labor, bei der Radiologie und legte Telefone sowie das Gehaltsabrechnungssystem der Belegschaft lahm. Zwei Wochen später entschuldigte sich LockBit und stellte den Code für die Entschlüsselung kostenlos zur Verfügung.

Fertigungsindustrie

Im Berichtszeitraum legten auch die trojanisierten Krytominer, die es auf die Computerressourcen der Fertigungsindustrie abgesehen hatten, zahlenmäßig zu. Außerdem attackierte die Vice Ransomware-Gruppe ein Fertigungsunternehmen in Brasilien und die Play Ransomware-Gruppe einen in den USA ansässigen Hersteller. Darüber hinaus entdeckte ein Security Researcher eine Schwachstelle in der Lieferketten- Management-App eines Autoherstellers. Weil der Spezialist den Hersteller direkt über seine Entdeckung informierte, wurde die Schwachstelle beseitigt, bevor sie ausgenutzt werden konnte.

Energiewirtschaft

Im Berichtszeitraum kam es auch zu verschiedenen Angriffen auf den Energiesektor. Im Visier der Angreifer standen kritische Infrastrukturen, Zulieferer und Energieversorger. Die Ransomware-Gruppe ALPHV attackierte einen privaten Erdgas- und Erdölproduzenten in den USA. Zwar behauptete das Unternehmen, dass es nur zu minimalen Störungen gekommen sei, aber mehr als 400 GB Daten wurden geleakt. ALPHV sorgte auch für den Ausfall der Onlinesysteme bei einem kolumbianischen Energiezulieferer. Außerdem gab es auch Malware-Angriffe mit Russland-Bezug auf die US- Energiewirtschaft, beispielsweise den Einsatz von PIPEDREAM bei den Versuchen, die industriellen Kontrollsysteme (ICS) in der Strom- und Erdgasinfrastruktur zu kompromittieren.

Behörden und öffentliche Einrichtungen

Im Berichtszeitraum stoppten die Cylance Endpoint Security Lösungen mehr als 40.000 individuelle Attacken gegen Behörden und öffentliche Einrichtungen. Unter diesen Bedrohungen waren 6.318 einzigartige Malware-Samples, was durchschnittlich ungefähr 70 einzigartigen Samples pro Tag entspricht.

Der Großteil der Bedrohungen ging auf bekannte Infostealer wie RedLine und SmokeLoader zurück. Open-Source- Bedrohungen wie njRAT und Allakore wurden ebenfalls entdeckt. In Guam und auf den Philippinen kam es zu Attacken auf Regierungssysteme mit multiplen Bedrohungen, die über infizierte USB-Geräte verteilt wurden.

AUSBLICK UND EMPFEHLUNGEN

Der Ausblick des BlackBerry Threat Research and Intelligence Teams für den nächsten Berichtszeitraum und das gesamte Jahr 2023 umfasst folgende Themen:

  • Anhaltende russische Cyberangriffe gegen die Ukraine und ihre Verbündeten
  • Steigende Angriffe auf die Lieferkette in allen Branchen
  • Wachsende Zahl von KI-generierten oder KI- unterstützten Cyberangriffen

Diese Kurzfassung enthält Highlights und Empfehlungen aus dem Global Threat Intelligence Report – Ausgabe April 2023. Für detaillierte Informationen lesen Sie bitte den kompletten Report.