Versteckte Bedrohungen mit schwerwiegenden Folgen
Bedrohungen mit
schwerwiegenden
Folgen
. . .
In der ersten Jahreshälfte 2019 mussten sich Organisationen mit einer Vielzahl an eingehenden Bedrohungen beschäftigen und – noch dringender – diejenigen bewältigen, die in ihren Systemen bereits Fuß gefasst hatten. Dabei herrschte Malware vor, die legitime oder freigegebene Tools ausnutzte, um schädliche Handlungen auszuführen – “Living off the Land” genannt. Ransomware, eine altbekannte Bedrohung, orientierte sich auf bestimmte Ziele neu. Phishing, eine weitere ständige Gefahr, nutzte neue Plattformen, um Opfer zu finden. Auch die Anzahl an offengelegten Schwachstellen mit großen Auswirkungen war besorgniserregend. Dies belegt erneut, wie dringend notwendig es ist, die realen Risiken zu verstehen, mit denen Unternehmenssysteme konfrontiert sind.
Der Sicherheitsüberblick zur Jahresmitte erläutert diese und andere Bedrohungen, die in der ersten Jahreshälfte 2019 ihre Spuren hinterlassen haben. Darüber hinaus bietet er die neuesten Erkenntnisse zum Thema Sicherheit, damit Anwender und Organisationen die richtigen Lösungen und Verteidigungsstrategien finden, um sich vor Bedrohungen zu schützen.
. . .
Ransomware
Beachtenswerte Vorfälle
In der ersten Jahreshälfte 2019 gingen Cyberkriminelle in Bezug auf ihre Ransomware-Ziele wählerischer vor. Sie konzentrierten sich hauptsächlich auf multinationale und Großunternehmen und sogar auf Regierungseinrichtungen. Zu Ihrer Vorgehensweise gehörten auf Mitarbeiter zugeschnittene Phishing-E-Mails, Exploits von Sicherheitslücken, um auf ein Netzwerk zuzugreifen, und laterale Bewegungen im Netzwerk.
Die Ransomware LockerGoga traf beispielsweise ein norwegisches Produktionsunternehmen, das die Produktion in mehreren Anlagen im März unterbrechen musste. Dies hatte letztendlich finanzielle Verluste in Höhe von 55 Millionen USD zur Folge. Die Stadt Baltimore im US-Staat Maryland musste 5,3 Millionen USD für Wiederherstellung aufbringen, nachdem ihre Systeme im Mai mit der Ransomware RobbinHood infiziert worden waren.
Einige kommunale Einrichtungen wurden offenbar unter Druck gesetzt, Lösegeld zu zahlen – mit dem Versprechen, die betroffenen Systeme könnten schnell wieder hergestellt und für ihre öffentlichen Dienstleistungen verwendet werden. Bemerkenswert ist, dass drei Stadtverwaltungen in Florida im Verlauf von mehreren Wochen von unterschiedlichen Ransomware-Angriffen betroffen waren: Riviera Beach von einer nicht identifizierten Ransomware-Variante, Lake City und Key Biscayne von der berüchtigten Ransomware Ryuk.
Riviera Beach
600.000 USD29. Mai
Lake City
460.000 USD10. Juni
Key Biscayne
Keine Zahlung gemeldet23. Juni
Diese komplexen Angriffe und hohen Zahlungen entsprachen dem insgesamt starken Anstieg an Ransomware-Angriffen, der sich zwischen der zweiten Jahreshälfte 2018 und der ersten Jahreshälfte 2019 zeigte. Im Gegensatz dazu war die Anzahl an neuen Ransomware-Familien rückläufig.
Komplexe Vorgehensweisen
Darüber hinaus ließen sich destruktive Vorgehensweisen erkennen, die über die Dateiverschlüsselung hinausgingen. Einige Ransomware-Varianten verfügten über beachtenswerte Eigenschaften, die die Chancen verringerten, Dateien und Systeme wiederherzustellen. Beispiele:
- Ryuk– Infizierung über Spam
– infizierte Systeme möglicherweise nicht mehr bootfähig - LockerGoga– Infizierung über kompromittierte Anmeldeinformationen
– ändert Passwörter zu den Anwenderkonten in den infizierten Systemen; Neustarts der infizierten Systeme nicht möglich - RobbinHood– Infizierung über unsichere Remote-Desktops oder Trojaner
– verschlüsselt alle Dateien mit einem eindeutigen Schlüssel - BitPaymer– Infizierung über kompromittierte Konten und E-Mails, die Dridex enthalten
– nutzt das Tool PsExec aus - MegaCortex– Infizierung über kompromittierte Controller
– deaktiviert bestimmte Prozesse - Nozelesn– Infizierung über Spam
– Nymaim, zugehöriger Trojaner-Downloader, nutzt dateilose Techniken zum Laden der Ransomware.
Unsere Daten zeigten, dass in der ersten Jahreshälfte verschiedene Ransomware-Familien aktiv waren. Die am häufigsten entdeckte Ransomware-Familie war jedoch nach wie vor die berüchtigte WannaCry-Familie. Diese wurde weit häufiger entdeckt als alle anderen Ransomware-Familien zusammen.
Monatsvergleich zwischen Erkennungen von WannaCry und allen anderen Ransomware-Familien zusammen in der ersten Jahreshälfte 2019
. . .
‘Living off the Land’-
Bedrohungen
Dateilose Vorfälle
Halbjahresvergleich der blockierten dateilosen Vorfälle
Wie prognostiziert, nutzten Bedrohungsakteure verstärkt legitime Tools für Systemadministration und Penetrationstests aus, um ihre schädlichen Aktivitäten zu verbergen. Diese Praxis wird als “Living off the Land” bezeichnet. Die so genannten dateilosen Bedrohungen sind nicht als herkömmliche Malware erkennbar. Dies liegt daran, dass sie in der Regel nicht auf die Festplatte schreiben, sondern im Arbeitsspeicher eines Systems ausgeführt werden, in der Registry gespeichert sind oder normal freigegebene Tools ausnutzen, beispielsweise PowerShell, PsExec oder Windows Management Instrumentation.
Beispiele für auffallende Bedrohungen, die dateilose Techniken nutzten:
Diese Bedrohungen hatten etwas gemeinsam: Sie nutzten PowerShell aus. Auch wenn PowerShell ein praktisches Tool für Systemadministratoren ist, können Cyberkriminelle mit diesem Tool Payloads starten, ohne eine Datei im lokalen Speicher des betroffenen Systems schreiben oder ausführen zu müssen.
Makro-Malware
Im Hinblick auf Makro-Malware kam es in der zweiten Jahreshälfte 2018 zu einem leichten Rückgang. Die meisten unserer Erkennungen von Makro-basierten Bedrohungen waren auf Powload zurückzuführen und betrafen hauptsächlich Spam-E-Mails. Powload hat sich im Lauf der Jahre weiterentwickelt: Er variiert die bereitgestellten Payloads, setzt Steganographie ein und verwendet sogar regionsspezifische Marken oder regionsspezifisches Vokabular. Darüber hinaus ließen sich weitere Familien von Makro-Malware in Spam-Kampagnen beobachten, die Trojaner für Datendiebstähle wie Trickbot übertrugen und für Cyberspionage verwendet wurden.
Halbjahresvergleich der Erkennungen von Makro-Malware ohne Powload und Makro-Malware mit Powload
Exploit-Kits
Unsere Daten zeigten einen leichten Anstieg bei blockierten Zugriffen auf Sites mit Exploit-Kits ab der zweiten Jahreshälfte 2018. Dennoch war die Anzahl der Erkennungen in der ersten Jahreshälfte 2019 weit entfernt von derjenigen in der Hochphase der Exploit-Kits. Exploit-Kits nutzen jede Gelegenheit, die sich bietet – etwa alte, aber dennoch nutzbare Schwachstellen und verschiedene Payloads, die sie an ihre spezifischen Anforderungen anpassen.
Halbjahresvergleich der Fälle von blockiertem Zugriff auf URLs, die Exploit-Kits hosteten
Ein beachtenswertes Exploit-Kit in der ersten Jahreshälfte 2019 war Greenflash Sundown. Die ShadowGate-Kampagne nutzte dieses Kit über eine weiterentwickelte „Living off the Land“-Version, die Payloads mithilfe eines aktualisierten PowerShell-Loads dateilos ausführen kann. Die letzte beachtenswerte Aktivität verzeichnete ShadowGate im April 2018, als dieses Exploit-Kit über Greenflash Sundown Malware für Kryptowährungs-Mining in Ostasien verbreitete.
. . .
Messaging-Bedrohungen
Phishing-Angriffe
Die Phishing-Aktivitäten gingen in der ersten Jahreshälfte 2019 zurück. Unsere Daten zeigten 18 Prozent weniger blockierte Zugriffe auf Phishing-Sites durch eine eindeutige Client-IP-Adresse. Dieser Rückgang kann mehrere Ursachen haben, beispielsweise eine stärkere Sensibilisierung der Anwender in Bezug auf Phishing-Angriffe. Interessanterweise ließen sich jedoch im gleichen Zeitrahmen 76 % mehr blockierte eindeutige Phishing-URLs beobachten, die Microsoft Office 365 vortäuschten, vor allem Outlook.
Die Cyberkriminellen, die ausnutzen, dass Menschen bekannten Marken und Tools vertrauen, gingen jetzt noch einen Schritt weiter. Für ihre Phishing-Angriffe verwendeten sie auch Social-Engineering-Bedrohungen auf mehreren Plattformen.
Foto-Apps für Android wurden für einen Phishing-Angriff verwendet, der auf den Diebstahl von Bildern abzielte.
Eine Phishing-Kampagne verwendete die Wasserloch-Technik, um die Anmeldeinformationen der Anwender zu stehlen.
Cyberkriminelle tarnten betrügerische Anmeldeseiten mithilfe der Browser-Erweiterung SingleFile.
Kompromittierende Vorgehensweisen
Business Email Compromise (BEC) ist ein einfacher und immer kostspieligerer Angriff, vor dem sich Unternehmen in Acht nehmen müssen. BEC-Betrüger imitieren in der Regel CEOs und andere Führungskräfte, um ahnungslose Mitarbeiter mithilfe von Social-Engineering-Techniken zu animieren, Gelder auf das Konto des Betrügers zu überweisen.
BEC gehört seit vielen Jahren zur Bedrohungslandschaft. Die Betrüger haben neue Wege gefunden, ihre Opfer auszunutzen. Folglich haben sie auch persönliche E-Mail-Konten und E-Mail-Konten von Anbietern kompromittiert und E-Mail-Konten von Rechtsanwälten vorgetäuscht. Außerdem gab es Fälle, die unsere Prognose unterstützen, BEC-Betrüger würden Mitarbeiter weiter unten in der Unternehmenshierarchie ins Visier nehmen.
Auch Sextortion, eine Messaging-Bedrohung, die auf persönlichen Schaden und den Verlust von Reputation abzielt, ist auf dem Vormarsch. Laut unserer Daten gab es in der ersten Jahreshälfte 2019 viermal so viele Sextortion-Angriffe über Spam wie in der zweiten Hälfte des Vorjahres. Diesen Trend hatten wir letztes Jahr prognostiziert. Er überrascht nicht, da die meisten Beschwerden im Zusammenhang mit Erpressung, die 2018 beim FBI eingingen, mit Sextortion zusammenhingen.
Da Sextortion ein sehr persönlicher und sensibler Angriff ist, sieht sich das Opfer sehr wahrscheinlich gezwungen, den Forderungen des Erpressers nachzugeben. In einem spezifischen Fall im April versuchten böswillige Akteure, Geld von italienischsprachigen Anwendern zu erpressen, indem sie drohten, kompromittierende Videos zu veröffentlichen.
Halbjahresvergleich: Sextortion-bezogene Spam-E-Mails (Erkennungen)
. . .
Schwachstellen
Schwachstellen auf Hardware-Ebene
Die Offenlegung von Meltdown und Spectre Anfang 2018 führte zu völlig neuen Herausforderungen hinsichtlich der Eingrenzung von Schwachstellen und der Patches für diese. In der ersten Jahreshälfte 2019 wurden mehr Schwachstellen auf Hardware-Ebene aufgedeckt.
Im Februar zeigten Forscher mit einem Proof-of-Concept, wie Hacker Enklaven ausnutzen könnten, die auf den Schutz von und den Zugriff auf Daten in den Software Guard Extensions (SGX) von Intel ausgelegt sind. Bei diesen SGX-Enklaven handelt es sich um eine Reihe von Anweisungen in den Core- und Xeon-Prozessoren von Intel.
Im Mai deckten Forscher verschiedene Microarchitectural-Data-Sampling-Schwachstellen in modernen Intel-Prozessoren auf. Ihre Auswirkungen wurden anhand der Seitenkanal-Angriffe ZombieLoad, Fallout und Rogue In-Flight Data Load (RIDL) mit Methoden demonstriert, die denen von Meltdown und Spectre ähneln. Mithilfe dieser Seitenkanal-Angriffe konnten Hacker Code ausführen und Daten herausfiltern.
Fehler mit schwerwiegenden Folgen
Gefährliche Schwachstellen beherrschten die Bedrohungslandschaft in der ersten Jahreshälfte 2019. Die meisten Schwachstellen, die unser Programm Zero-Day-Initiative (ZDI) meldete, wurden im Schweregrad „hoch“ eingestuft. Das zeigt ihre schwerwiegenden Folgen.
107NIEDRIG
101MITTEL
335HOCH
40KRITISCH
Dies sind Beispiele für die auffallenden Schwachstellen, die sich in der ersten Jahreshälfte 2019 zeigten, und für die Gefahren, die den Unternehmen daraus entstehen können:
CVE-2019-0708
Kann Malware mit außerordentlichen Verbreitungsfähigkeiten ausstatten
CVE-2019-1069
Kann Hackern den Zugriff auf geschützte Dateien ermöglichen
CVE-2019-5736
Kann Hackern die vollständige Kontrolle über den Host ermöglichen, auf dem ein betroffener Container ausgeführt wird
CVE-2019-1002101
Kann Anwender dazu bringen, schädliche Container-Images herunterzuladen
CVE-2019-9580
Kann unautorisierten Zugriff auf Server ermöglichen
. . .
IoT- und IIoT-Angriffe
Botnet- und Wurm-Kriege
Wie prognostiziert kämpften Botnets und Würmer um die Kontrolle über gefährdete, mit dem Internet of Things (IoT) verbundene Geräte. Die Kontrahenten, die versuchten, ihre Konkurrenten hinauszudrängen und im wahrsten Sinne des Wortes auszulöschen – Bashlite, Mirai-Varianten wie Omni, Hakai und Yowai – hatten ein Verfahren gemeinsam: Sie scannten auf infizierten IoT-Geräten nach Konkurrenten, löschten deren Malware und betteten ihre eigenen Payloads ein.
Angriffe auf kritische Infrastrukturen
Das Industrial Internet of Things (IIoT) hat verändert, wie Industrieanlagen und kritische Infrastrukturen arbeiten. Es sorgt dafür, dass betriebliche Aktivitäten immer effizienter und transparenter werden. Die Konvergenz von Betriebstechnologie (Operational Technology, OT) und Informationstechnologie (IT) birgt jedoch auch neue Sicherheitsrisiken und breitere Angriffsflächen.
Laut einer im März veröffentlichten Umfrage waren 50 Prozent der befragten Organisationen in den letzten zwei Jahren einem Angriff auf kritische Infrastruktur ausgesetzt. 2019 schienen sich böswillige Akteure mit IIoT-Zielen zu befassen. Die Hacker-Gruppe Xenotime, die hinter der Malware Triton (auch als Trisis bekannt) vermutet wird, untersuchte die industriellen Kontrollsysteme (Industrial Control Systems, ICSs) von Energieversorgungsnetzen in den USA und in der Region Asien-Pazifik. Die Malware suchte nach den Remote-Login-Portalen ihrer Opfer und nach Schwachstellen in deren Netzwerken und listete diese auf.
. . .
BEDROHUNGSLAGE
Die Anzahl der blockierten Bedrohungen durch E-Mails, Dateien und URLs ist im zweiten Jahresquartal leicht zurückgegangen: Quartalsvergleich der blockierten Bedrohungen durch E-Mails, Dateien und URLs sowie von Reputationsabfragen zu E-Mails, Dateien und URLs in der ersten Jahreshälfte 2019
Quartalsvergleich der blockierten schädlichen Android-Apps in der ersten Jahreshälfte 2019
Quartalsvergleich der Abfragen von Android-Apps in der ersten Jahreshälfte 2019
PDF hat XLS als häufigsten Dateityp für Anhänge von Spam-E-Mails knapp überholt: Verteilung der für Anhänge von Spam-E-Mails verwendeten Dateitypen in der ersten Jahreshälfte 2019
Zur Jahresmitte lässt sich sagen, dass 2019 viele hartnäckige und verdeckte Bedrohungen entdeckt wurden, die zu jeder Zeit bereit sind, Schwachstellen bei Personen, in Prozessen und Technologien zu suchen und auszunutzen. Es gibt keinen einfachen Weg, sich umfassend dagegen zu wehren. Unternehmen und Anwender brauchen einen mehrschichtigen Ansatz, der zu ihren individuellen Sicherheitslücken passt. Gateways, Netzwerke, Server und Endpunkte müssen geschützt werden. Unternehmen, die Malware mit komplexeren Techniken ausgesetzt sind, benötigen Lösungen, die menschliche Kompetenz und Sicherheitstechnologien kombinieren. Solche Lösungen sind besser dafür geeignet, Bedrohungen zu erkennen, zu korrelieren, auf sie zu reagieren und sie zu beheben.
Mit unserem vollständigen Sicherheitsüberblick zur Jahresmitte, “Versteckte Bedrohungen mit schwerwiegenden Folgen”, erhalten Sie tiefere Einblicke in die beachtenswertesten Bedrohungen der ersten Jahreshälfte 2019 und entsprechende Lösungen.
. . .
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.
- Ransomware Spotlight: Ransomhub
- Unleashing Chaos: Real World Threats Hidden in the DevOps Minefield
- From Vulnerable to Resilient: Cutting Ransomware Risk with Proactive Attack Surface Management
- AI Assistants in the Future: Security Concerns and Risk Management
- Silent Sabotage: Weaponizing AI Models in Exposed Containers