Entwicklung der IT-Bedrohungen im ersten Quartal 2017

Inhalt

Überblick

Zielgerichtete Attacken und Malware-Kampagnen

Mehr Wiper-Schädlinge

Sinn und Zweck der meisten zielgerichteten Attacken ist der Diebstahl sensitiver Daten. Allerdings ist das nicht immer der Fall. Manchmal löschen Angreifer die Daten auch, anstatt (oder ebenso wie) zu versuchen, auf vertrauliche Informationen zuzugreifen. In den vergangenen Jahren konnten wir einige Lösch-Attacken dieser Art beobachten. Dazu zählen auch die Angriffe des Schädlings Shamoon (auch bekannt als ‚Disttrack‘), von dem angenommen wird, dass er im Jahr 2012 zum Löschen von Daten auf mehr als 30.000 Computern bei Saudi Aramco benutzt wurde, sowie das schädliche Wiper-Programm Dark Seoul, das in dem Angriff auf Sony Pictures im Jahr 2013 eingesetzt wurde.

Entwicklung der IT-Bedrohungen im ersten Quartal 2017

Im November 2016 trat Shamoon erneut in Erscheinung und nahm Organisationen in verschiedenen kritischen und wirtschaftlichen Bereichen Saudi-Arabiens ins Visier. Bisher haben wir drei Angriffswellen unter Verwendung der Malware Shamoon 2.0 beobachten können, die jeweils am 17. November 2016, 29. November 2016 und 23. Januar 2017 aktiviert wurden.

Diese Attacken weisen viele Ähnlichkeiten mit den früheren Angriffswellen auf, kommen jetzt aber mit neuen Tools und Techniken daher. Die Angreifer verschaffen sich zunächst die Administratoren-Zugangsdaten für das angepeilte Netzwerk. Daraufhin erstellen sie ein individuell maßgeschneidertes Löschprogramm (Shamoon 2.0), das die gestohlenen Zugangsdaten benutzt, um sich weitreichend innerhalb der Organisation auszubreiten. Schließlich wird das Wiper-Programm an einem vordefinierten Datum aktiviert und lässt die infizierten Computer unbrauchbar zurück. Die Schlussetappe des Angriffs läuft dabei vollständig automatisiert ab und macht keinerlei Kommunikation mit dem C2-Zentrum (Command-and-Control) der Angreifer erforderlich.

Shamoon 2.0 enthält überdies eine Ransomware-Komponente. Diese wurde bisher noch nicht in freier Wildbahn verwendet, daher ist unbekannt, ob die Angreifer diesen Teil der Plattform zu ihrem finanziellen Vorteil oder aus idealistischen Gründen einsetzen wollen.

Im Laufe der Untersuchungen der Attacken von Shamoon 2.0 entdeckte Kaspersky Lab auch ein bis dahin unbekanntes Löschprogramm. Diese Malware mit dem Namen StoneDrill scheint ebenfalls auf Organisationen in Saudi-Arabien abzuzielen. StoneDrill ist bezüglich seines „Stils“ Shamoon in vielerlei Hinsicht ähnlich, denn der Schädling kommt mit zahlreichen interessanten Merkmalen und Techniken daher, die eine bessere Erkennungsvermeidung ermöglichen. Ein StoneDrill-Opfer (das im chemischen Sektor tätig ist) wurde im Kaspersky Security Network (KSN) in Europa ausgemacht. Daher glauben wir, dass der Bedrohungsakteur hinter StoneDrill seine schädliche Aktivität vom Mittleren Osten nach Europa ausweitet.

Entwicklung der IT-Bedrohungen im ersten Quartal 2017

Der auffälligste Unterschied zwischen beiden Schadprogrammen liegt im Löschprozess selbst. Shamoon verwendet einen Festplattentreiber für den direkten Zugriff auf die Festplatte, während StoneDrill das Löschprogramm direkt in den vom Opfer bevorzugten Browser einschleust.

StoneDrill weist zudem Ähnlichkeiten zu einer unter dem Namen NewsBeef (alias ‚Charming Kitten‘) bekannten APT-Gruppe auf, die ihren Namen aufgrund der Nutzung des Browser Exploitation Framework (BEeF) erhielt. Zu diesen Ähnlichkeiten gehören auch bekannte WinMain- und Betriebssystemsignaturen, Update-Befehle und die Namen von C2-Servern. Es ist nicht bekannt, ob die hinter den Schadprogrammen Shamoon und StoneDrill stehenden Gruppen identisch sind, oder ob sie lediglich ähnliche Interessen verfolgen und Opfer in denselben Regionen angreifen. Letzteres erscheint uns am wahrscheinlichsten.

Entwicklung der IT-Bedrohungen im ersten Quartal 2017

Neben dem Löschmodul umfasst StoneDrill auch eine Backdoor, die bei Spionageoperationen gegen eine Reihe von Zielen eingesetzt wurde.

Den vollständigen Bericht über Shamoon 2.0 und StoneDrill finden Sie hier. Wenn Sie unsere APT Intelligence Reports abonnieren, erhalten Sie sofortigen Zugriff auf unsere Untersuchungen und Entdeckungen sowie auf umfassende technische Daten.

EyePyramid

Wie wir bereits feststellen konnten, müssen zielgerichtete Attacken nicht unbedingt auf hohem technischen Niveau ablaufen, um erfolgreich zu sein. Im Januar 2016 wurde durch die Festnahme zweier Verdächtiger durch die italienische Polizei eine Reihe von Cyberattacken publik, die sich gegen prominente Politiker, Banker, Freimaurer und Mitglieder von Strafverfolgungsbehörden richtete.

Die bei den ‚EyePyramid‘-Angriffen verwendete Malware war technisch anspruchslos, doch trotzdem ausreichend, um den Angreifern Zugriff auf alle Ressourcen auf den Computern ihrer Opfer zu verschaffen. Die Untersuchungen der Polizei förderten 100 aktive Opfer in dem Server zutage, der zur Unterbringung der Malware benutzt wurde. Es gab allerdings Hinweise darauf, dass die Angreifer in den letzten paar Jahren tatsächlich etwa 1.600 Opfer im Visier hatten. Zu ihren Opfern, die meisten von ihnen in Italien ansässig, gehörten Anwaltskanzleien, Beraterdienste, Universitäten und Kardinäle aus dem Vatikan.

Entwicklung der IT-Bedrohungen im ersten Quartal 2017

Der Bericht der italienischen Polizei enthielt keine technischen Details darüber, wie die Malware verbreitet wurde, bis auf die Tatsache, dass Spear-Phishing zum Einsatz kam. Allerdings wurde eine Reihe von C2-Servern sowie E-Mail-Adressen identifiziert, die von den Angreifern benutzt wurden, um die gestohlenen Daten herauszuziehen. Mit Hilfe dieser Informationen erstellten wir bei Kaspersky Lab eine YARA-Regel, die auf maßgeschneiderten E-Mail-Adressen, C2-Servern, Lizenzen für die von den Angreifern verwendeten maßgeschneiderten Mailing-Bibliothek sowie speziellen, in der Attacke verwendeten IP-Adressen basiert. Wir haben sie dann durch unsere Systeme laufen lassen, um zu sehen, ob es Übereinstimmungen mit irgendwelchen bekannten Samples gibt. Unsere ursprüngliche YARA-Regel förderte zwei Samples zutage, mit deren Hilfe wir eine spezifischere YARA-Regel erstellen konnten, die wiederum 42 Samples in unserer Kollektion identifizierte. Eine neuerliche Suche brachte weitere Details über EyePyramid ans Tageslicht. Die Attacken basierten auf Social Engineering-Tricks, die die Opfer dazu bringen sollten, die an die Spear-Phishing-Mails angehängten infizierten Dateien zu öffnen und auszuführen. Bei den Attachments handelte es sich um ZIP- und 7ZIP-Archive, die die Malware enthielten. Die Angreifer verwendeten zahlreiche Leerzeichen, um die Dateierweiterung zu tarnen, was einmal mehr das niedrige technische Niveau der Angriffe unterstreicht.

Von der Erstellung der Zeitstempel der Samples ausgehend, die echt zu sein scheinen, wurden die meisten in den Attacken verwendeten Samples in den Jahren 2014/2015 kompiliert.

Entwicklung der IT-Bedrohungen im ersten Quartal 2017

Es ist klar, dass Cyberkriminelle auch dann erfolgreich sein können, wenn ihre Malware weder technisch ausgefeilt noch schwer zu detektieren ist. Die mangelhafte OPSEC (operational security) dieser Kampagne (die sich beispielsweise manifestiert in der Verwendung von IP-Adressen, die mit ihrem eigenen Unternehmen in Verbindung gebracht werden, sowie den Gesprächen über Opfer in normalen Telefonaten oder die Verwendung von WhatsApp) zeigt eindeutig, dass hier Amateure am Werk waren. Trotzdem ist es ihnen gelungen, über Jahre aktiv zu bleiben und ihren Opfern Gigabytes von Daten zu entwenden.

Den vollständigen Bericht über EyePyramid finden Sie hier.

Das schwächste Glied in der stärksten Kette zerstören

In der Mitte des Jahres 2016 gerieten mehr als 100 israelische Soldaten ins Visier eines gerissenen Bedrohungsakteurs. Die Attacke kompromittierte ihre Geräte und schleuste ihre Daten auf den C2-Server der Angreifer.

Das C4I der Israelischen Streitkräfte (IDF Israeli Defense Forces) sowie das Information Security Department der IDF konnten sich zusammen mit Forschern von Kaspersky Lab eine Liste der Opfer verschaffen, auf der sich ausnahmslos Soldaten der Israelische Streitkräfte befanden, die ihren Dienst um den Gazastreifen herum leisten.

Diese Kampagne, die nach Ansicht der Experten erst in den Anfängen steckt, richtet sich gegen Android-Geräte. Nachdem das Gerät kompromittiert wurde, startet ein raffinierter Prozess zum Erfassen von Informationen, wobei die Video- und Audio-Fähigkeiten des Gerätes, die SMS-Funktionen und der Standort ausgenutzt werden.

Die Angriffe selbst sind nicht sehr raffiniert, sie fußen in erster Linie auf Social Engineering-Techniken. Die Angreifer bringen Ihre Opfer dazu, eine schädliche Anwendung zu installieren, während sie fortwährend versuchen, mit Hilfe sozialer Netzwerke vertrauliche Informationen abzugreifen – die Gruppe scheint insbesondere den Facebook Messenger besonders aktiv zu nutzen. Die meisten von den Angreifern verwendeten Avatare (virtuelle Teilnehmer in der Social-Engineering-Etappe des Angriffs) locken die Opfer mit erotischen Themen, wobei sie sie beispielsweise bitten, eindeutige Fotos zu schicken und ihnen im Gegenzug gefakte Bilder von Teenager-Mädchen schicken. Die Avatare geben vor, aus anderen Ländern zu stammen, wie z.B. aus Kanada, Deutschland, der Schweiz oder anderen.

Das Opfer wird dazu gebracht, eine App von einer schädlichen URL herunterzuladen. Die App sammelt Daten vom Telefon des Opfers, unter anderem allgemeine Infos (wie Netzwerkbetreiber, GPS-Standort, IMEI, etc.), Kontakte, Browser-Verlauf, SMS, Fotos. Die App ist zudem in der Lage, Video- und Audio-Aufzeichnungen zu erstellen.

Entwicklung der IT-Bedrohungen im ersten Quartal 2017

Die IDF, die die Ermittlungen gemeinsam mit Kaspersky Lab leiteten, ist der Meinung, dass es sich hierbei nur um den Startschuss zu einer umfassenderen Kampagne handelt, deren Ziel es ist, Daten über die Verteilung der Bodentruppen, die Taktiken und die Ausrüstung der Israelischen Streitkräfte sowie Echtzeit-Informationen zu stehlen.

Unseren vollständigen Bericht über diese Kampagne finden Sie hier.

Die Nicht-Nachhaltigkeit des Speichers

Während der Untersuchung eines Cybervorfalls suchen Sicherheitsexperten nach allen nur erdenklichen Hinweisen, die die Angreifer im Netzwerk ihres Opfers hinterlassen haben könnten. Zu diesem Zweck inspizieren sie beispielsweise die Log-Dateien, suchen nach Dateien auf der Festplatte, schauen in der Registry nach und checken den Speicher.

Doch jedes dieser Dinge hat eine unterschiedliche ‚Shelf-Lebensdauer‘: Mit anderen Worten heißt das, dass die Hinweise für die Analysten über einen längeren oder kürzeren Zeitraum verfügbar sind, je nach dem, wo sie sich befinden. Die auf einer Festplatte gespeicherten Daten stehen einem forensischen Analysten vermutlich über einen langen Zeitraum zur Verfügung: Doch wie wir aus dem Fall Duqu 2.0 gelernt haben, kann anspruchsvolle Malware auch nach der Installation bewusst alle Spuren von der Festplatte löschen, sich selbst nur im Speicher hinterlassend. Daher ist Speicher-Forensik für die Analyse von Malware und deren Funktionen kritisch wichtig.

Ein weiterer wichtiger Aspekt einer Attacke sind die Tunnel, die von den Angreifern installiert werden. Cyberkriminelle (wie etwa die Hintermänner von Carbanak und GCMAN) können zu diesem Zweck PLINK verwenden; Duqu 2.0 benutzte einen speziellen Treiber.

In unseren Prognosen für 2017 sahen wir eine Zunahme kurzlebiger Infektionen vorher – mit speicherresistenter Malware, die für ein allgemeines Ausspähen vorgesehen ist und keinen Anspruch auf Nachhaltigkeit erhebt. In hochsensiblen Umgebungen, in denen Geheimhaltung höchste Priorität hat, ist ein Angreifer unter Umständen schon überaus zufrieden, wenn es ihm gelingt, ein System so lange auszuspionieren, bis die Malware während eines Neustarts aus dem Speicher gelöscht wird. Denn so ist es weniger wahrscheinlich, dass die Schadsoftware entdeckt und ihre Aktivität unterbunden wird.

Während unserer Ermittlungen in einem noch nicht sehr lange zurückliegenden Fall stellten unsere Experten fest, dass bei Bank-Attacke, bei der Standard-Hilfsprogramme unter Windows, wie SC und NETSH, ausgenutzt wurden, sowohl Speicher-basierte Malware als auch Tunnelling zum Einsatz kamen. Die Bedrohung war ursprünglich von dem IT-Sicherheitsteam der Bank aufgedeckt worden, nachdem es Meterpreter-Code innerhalb des physikalischen Speichers eines Domainkontrollers gefunden hatte. Wir waren an der forensischen Analyse beteiligt und entdeckten, dass PowerShell-Skripte innerhalb er Windows-Registry benutzt worden waren. Wir fanden zudem heraus, dass das Programm NETSH verwendet worden war, um den Traffic vom Host des Opfers auf den C2 der Angreifer zu tunneln.

Entwicklung der IT-Bedrohungen im ersten Quartal 2017

Einzelheiten zu dieser Untersuchung finden Sie hier.

Mit Hilfe des Kaspersky Security Network fanden wir mehr als 100 Unternehmensnetzwerke, die mit den bösartigen PowerShell-Skripten in der Registry infiziert waren.

Entwicklung der IT-Bedrohungen im ersten Quartal 2017

Wir wissen nicht, ob sie alle von demselben Angreifer infiziert wurden. Während unserer Analyse der betroffenen Bank fanden wir heraus, dass die Angreifer mehrere Third-Level-Domains in den folgenden länderspezifischen Top-Level-Domains benutzten: .GA, .ML und .CF. Der Vorteil dieser Domains liegt für die Angreifer darin, dass sie kostenlos sind und nach Erlöschen der Domain keine WHOIS-Informationen beinhalten. Die Tatsache, dass die Angreifer das Metasploit-Framework, Windows-Standardhilfsprogramme und unbekannte Domains ohne WHOIS-Informationen verwendeten, macht die Attribution fast unmöglich. Die ihnen ähnlichsten Gruppen mit denselben TTPs sind Carbanak und GCMAN.

Techniken wie diese werden immer üblicher, insbesondere bei Angriffen auf Finanzinstitutionen. Daten können unter Zuhilfenahme von Standardprogrammen und einigen Tricks abgegriffen werden, ohne dass der Einsatz von Malware erforderlich ist. Solche kurzlebigen Attacken unterstreichen die Notwendigkeit von anspruchsvollen, proaktiven Technologien und Anti-Malware-Lösungen, wie etwa die Technologie System Watcher von Kaspersky Lab.

KopiLuwak: eine neue JavaScript-Payload von Turla

Die russischsprachige APT-Gruppe Turla (auch bekannt als ‚Snake‘, ‚Uroburos‘, ‚Venomous Bear‘ und ‚KRYPTON‘) ist mindestens seit 2007 aktiv (und vielleicht sogar schon länger). Ihre Aktivitäten stehen mit vielen prominenten Vorfällen in Verbindung, unter anderem mit der Attacke aus dem Jahr 2008 gegen das United States Central Command (der Buckshot Yankee-Vorfall) und einem Angriff gegen den Schweizer Rüstungskonzern RUAG, der noch nicht so lange zurückliegt. Wir haben mehrfach über diese Aktivitäten berichtet (hier, hier, hier und hier). Die Gruppe intensivierte ihre Aktivitäten im Jahr 2014 und nahm die Ukraine, EU-nahe Institutionen, Regierungen von EU-Ländern, Außenministerien auf der ganzen Welt, Medienunternehmen und möglicherweise mit Korruption in Verbindung stehende Ziele in Russland ins Visier. In den Jahren 2015 und 2016 hat die Gruppe ihre Vorgehensweise verändert und ist vom Epic Turla-Wasserloch-Framework auf das Gloog Turla-Framework umgestiegen, das noch immer aktiv ist. Die Gruppe hat zudem seine Spear-Phishing-Aktivitäten mit den Skipper-/WhiteAtlas-Attacken ausgeweitet, bei denen neue Malware zum Einsatz kam. Kürzlich hat die Gruppe ihre Satelliten-basierten C2-Registrierungen gegenüber dem Jahresdurchschnitt von 2015 um das Zehnfache erhöht.

Im Januar twitterte John Lambert von Microsoft (@JohnLaTwC) über ein schädliches Dokument, das eine ‚sehr interessante .JS-Backdoor‚ in Umlauf bringt. Seit Ende November 2016 konnte Kaspersky Lab beobachten, dass Turla diese neue JavaScript-Payload und eine spezielle Makro-Variante verwendet. Das ist eine Technik, die wir vorher bereits bei den ‚ICEDCOFFEE‘-Payloads von Turla beobachtet haben (Einzelheiten dazu gibt es in einem Bericht aus dem Juni 2016, der den Kunden des Kaspersky APT Intelligence Services zur Verfügung steht). Während die Zustellungsmethode der von ICEDCOFFEE auf gewisse Weise gleicht, unterscheidet sich das JavaScript deutlich und scheint hauptsächlich zu dem Zweck entwickelt worden zu sein, um die Erkennung zu vermeiden.

Die Zielausrichtung dieser neuen Malware steht in Einklang mit früheren Turla-Kampagnen und richtet sich gegen Außenministerien und andere Regierungsorganisationen in ganz Europa. Die Angriffsfrequenz ist allerdings wesentlich geringer als bei ICEDCOFFEE, die Zahl der Opferorganisationen bewegt sich im einstelligen Bereich (Stand Januar 2017). Wir sind fest davon überzeugt, dass dieses neue JavaScript in Zukunft als Zustellungsmechanismus und Opfer-Profiler noch sehr viel intensiver eingesetzt werden wird.

Die Malware ist recht simpel, jedoch in ihrer Funktionalität flexibel. Sie führt beim Opfer eine Reihe von Standard-Profiling-Befehlen aus und ermöglicht es den Angreifern, via Wscript willkürliche Befehle auszuführen.

Den vollständigen Bericht über KopiLuwak finden Sie hier.

Das Dokument enthält ein schädliches Makro, das den schon früher von Turla verwendeten Makros sehr ähnelt, um Wipbot, Skipper und ICEDCOFFEE in Umlauf zu bringen. Die Turla-Gruppe operiert weiterhin im Wesentlichen mit in Office-Dokumente eingebetteten Makros. Das scheint eine recht simple Taktik für derart raffinierte Angreifer zu sein, aber sie hat sie doch in die Lage versetzt, hochprominente Ziele zu kompromittieren. Wir empfehlen Unternehmen, Makros zu deaktivieren und es den Mitarbeitern nicht zu erlauben, derartigen Content zu aktivieren, sofern es nicht absolut notwendig ist.

Entwicklung der IT-Bedrohungen im ersten Quartal 2017

Das oben abgebildete Lockvogeldokument zeigt einen offiziellen Brief der Botschaft von Katar in Zypern an den Außenminister von Zypern. Ausgehend von dem Dokumentendamen – ‚National Day Reception (Dina Mersine Bosio Ambassador’s Secretary).doc‘, haben wir angenommen, dass es von dem Sekretariat des katarischen Botschafters an den Außenminister gesendet worden sein könnte und möglicherweise darauf hinweist, dass die Turla-Gruppe schon über mindestens ein System innerhalb des diplomatischen Netzwerks von Katar die Kontrolle übernommen hat.

Der beste Schutz vor zielgerichteten Attacken ist ein vielschichtiger Ansatz, der traditionelle Anti-Viren-Technologien und Patch-Management, Host Intrusion Detection und eine Default-Deny-Whitelisting-Strategie in sich vereint. Laut einer Studie des Australian Signals Directorate können 85% aller analysierten zielgerichteten Attacken durch die Anwendung von vier einfachen Vermeidungsstrategien gestoppt werden: Einsatz von Weißen Listen für Anwendungen, Aktualisieren von Anwendungen, Aktualisieren des Betriebssystems und Einschränken von administrativen Rechten.

Malware-Stories

Stehenbleiben: Geld oder Dateien!

Im achtzehnten Jahrhundert wurde Reisenden in England (oder anderswo) von Wegelagerern aufgelauert, Dieben, die Kutschen auf öffentlichen Straßen überfielen und den Insassen ihr Geld und ihre Wertsachen stahlen. Diese Wegelagerer drohten ihren Opfern üblicherweise mit der Forderung „Stehenbleiben: Geld oder Leben!“ Ransomware ist eine Spielart dieser Straßenräuberei im digitalen Zeitalter – mit dem Unterschied, dass es unsere Daten sind, die gekapert werden und dass die Forderung des „Wegelagerers“ jetzt auf dem Bildschirm angezeigt wird.

Im Jahr 2016 gab es mehr als 1.445.000 Ransomware-Angriffe, sowohl auf Unternehmen als auch auf Individuen. Die drastische Zunahme dieser Attacken in den letzten Jahren wird von dem Erfolg befeuert, den die Cybergangster mit dieser Art von Malware haben – Ransomware lässt sich leicht in bare Münze umsetzen und macht nur geringe Investitionskosten pro Opfer erforderlich.

Von den 62 neuen Daten verschlüsselnden Erpresserprogrammfamilien, die wir im letzten Jahr entdeckt haben, wurden mindestens 47 von russischsprachigen Cyberkriminellen entwickelt. Im Februar veröffentlichten wir einen Bericht über die russische Ransomware-Wirtschaft. Es ist klar, dass die Entwicklung von Ransomware untermauert ist von einem flexiblen und nutzerfreundlichen Ökosystem im Cyberuntergrund, das es den Verbrechern ermöglicht, Angriffskampagnen zu starten, ganz egal, über welche technischen Fähigkeiten und über welche finanziellen Mittel sie verfügen. Unsere Experten konnten drei Ebenen identifizieren, auf denen Interessierte ins illegale Ransomware-Business einsteigen können.

Die erste Ebene beinhaltet die Entwicklung und Aktualisierung von Ransomware-Familien. Dafür sind fortgeschrittene Programmierfähigkeiten erforderlich. Die auf dieser Ebene wirkenden Akteure sind die privilegiertesten Mitglieder des Ransomware-Untergrunds, da sie den Schlüssel zu dem gesamten Ökosystem bilden. Die zweite Ebene umfasst die Entwicklung und den Support von Partnerprogrammen zur Verteilung der Ransomware. Das erledigen kriminelle Communities, die die Ransomware mit Hilfe von zusätzlichen Tools wie Exploit-Packs und Spam ausliefern. Die dritte Ebene besteht in der Teilnahme als Partner bei solchen Affiliate-Programmen. Die Mitglieder auf dieser Ebene stehen auf der niedrigsten Sprosse der Leiter und ihre Aufgabe besteht darin, den Betreibern der Partnerprogramme gegen einen Teil des Erlöses bei der Verbreitung der Malware zu helfen: Die einzige hierfür erforderliche Qualifikation besteht einerseits in der Bereitschaft, illegale Aktivitäten zu betreiben und andererseits in den erforderlichen finanziellen Mittel, um an einem Partnerprogramm teilnehmen zu können.

Es ist uns gelungen, große Gruppen von russischsprachigen Kriminellen zu identifizieren, die auf die Entwicklung und Verteilung von Verschlüsselungs-Ransomware spezialisiert sind. Diese Gruppen können Dutzende von verschiedenen Partnern zusammenbringen, von denen jeder sein eigenes Affiliate-Programm betreibt. Die Liste der Opfer umfasst nicht nur individuelle Nutzer, sondern auch kleine und mittelständische Unternehmen, ja sogar Konzerne. Während sie ursprünglich ausschließlich Organisationen in der Russischen Föderation ins Visier nahmen, richtet sich ihre Aufmerksamkeit jetzt auf Unternehmen in anderen Teilen der Welt. Die Tageseinnahmen eines Partnerprogramms können zehntausende, unter Umständen sogar hunderttausende von Dollar betragen: Davon können sich die Verbrecher um die 60 Prozent als Reingewinn in die Tasche stecken.

Im März berichteten wir über eine neue Ransomware-Familie namens PetrWrap, die in Angriffen auf Organisationen eingesetzt wurde. Sobald sie einen Fuß in der Tür eines anvisierten Unternehmens haben, verwenden die Angreifer das Tool PsExec, um auf allen Computern Ransomware zu installieren. Ein besonders interessanter Aspekt dieser Ransomware ist die Tatsache, dass die Angreifer die wohl bekannte Ransomware Petya benutzen, um die Daten zu verschlüsseln. Obwohl Petya auch als ‚Ransomware-as-a-Service‘ angeboten wird, machen die Angreifer von dieser Möglichkeit keinen Gebrauch. Stattdessen integrieren sie ein Sample der Petya-Ransomware in die Datensektion der Malware und benutzen Petya, um die Computer ihrer Opfer zu infizieren. Ein spezielles Modul patcht die originale Petya-Ransomware ‚im Flug‘. So können die Angreifer die Tatsache verbergen, dass sie Petya benutzen.

Zielgerichtete Ransomware-Attacken auf Organisationen werden immer üblicher. Die Gruppen, die Erpressersoftware in zielgerichteten Attacken verwenden, versuchen typischerweise angreifbare Server mit ungeschütztem RDP-Zugriff zu finden. Nachdem sie in das Netzwerk einer Organisation eingedrungen sind, benutzen sie spezielle Frameworks wie Mimikatz, um an die Zugangsdaten zu gelangen, die sie benötigen, um die Ransomware im gesamten Netzwerk zu installieren. Um sich vor solchen Attacken zu schützen, müssen Organisationen ihre Server-Software immer auf dem aktuellen Stand halten, sichere Passwörter für die Fernwartungssysteme benutzen, Sicherheitslösungen auf ihren Servern installieren und Schutzlösungen mit Komponenten für die verhaltensbasierte Erkennung auf allen Endpoints verwenden.

Das Internet der kaputten Dinge

Manch einer erinnert sich vielleicht, dass Cyberkriminelle im Oktober 2016 ein aus mit dem Internet verbundenen Heimgeräten (wie IP-fähige Kameras, digitale Videorekorder, Videoüberwachungskameras und Drucker) bestehendes Botnetz zur Durchführung von DDoS-Attacken verwendeten. Zu diesem Zweck infizierten die Angreifer angreifbare Geräte mit der Mirai-Malware. Diese Operation war nicht nur deswegen etwas Besonderes, weil sie IoT-Geräte (Internet of Things) missbrauchte, sondern auch weil der so generierte DDoS-Traffic alles jemals da gewesene überstieg. Diese DDoS-Attacke brachte einen Teil des Internets zum Erliegen und war so besorgniserregend, dass sowohl das FBI als auch das Ministerium für Innere Sicherheit der Vereinigten Staaten ermittelten. Zu der Zeit schlossen sie aufgrund der enormen Leistungsstärke des Mirai-Botnets nicht aus, dass ein Nationalstaat in die Aktion involviert ist. Doch selbst der Umfang dieser Attacken macht nicht die Arbeit eines Nationalstaates erforderlich. Die Zeit wird zeigen, ob Nationalstaaten ihre destruktive Aktivität direkt vor unseren Augen im Internet der Dinge verbergen werden – die Kapazitäten dafür sind zweifellos vorhanden. Möglicherweise werden wir erleben, wie Nationalstaaten in Versuchung geraten, weite Teile des Internets mit Hilfe dieses noch jungen Toolsets außer Gefecht zu setzen.

Im Februar wurde über eine Plattform übergreifende Win32-basierte Malware berichtet, die Mirai verbreitet sowie über ein Botnetz in freier Wildbahn. In den öffentlichen Diskussionen darüber wurde gemutmaßt, dass hier ein völlig neuer IoT-Bot von und auf Windows-Geräte migriert. Aber das ist nicht der Fall: Es ist vielmehr so, dass nun ein früher aktives Windows-Botnet eine Variante des Mirai-Bots verbreitet. Diese Zulieferer-Variante, die Mirai-Downloader verbreitet, sahen wir erstmals im Januar. Doch dieser Windows-Bot an sich ist nicht neu. Die Methoden des Windows-Bots zur Verbreitung von Mirai sind ebenfalls sehr eingeschränkt – er liefert die Mirai-Bots zu einem Linux-Host von einem Windows-Host, wenn er erfolgreich das Passwort für eine entfernte Telnet-Verbindung geknackt hat.

Wir wurden also nicht Zeugen eines sensationellen Sprungs von Linux-Mirai zu Windows-Mirai. Aber wir haben es durchaus mit einer neuen Bedrohung zu tun und tatsächlich wird Windows benutzt, um Mirai auf bis dahin unerreichbare Ressourcen zu transportieren. Insbesondere könnten angreifbare SQL-Server unter Windows ein Problem werden, da sie dem Internet zugewandt sein können und Zugriff haben auf in privaten Netzwerken verbundene IP-basierte Kameras, digitale Videorekorder, Media-Center-Software und andere interne Geräte.

Das Auftreten einer beliebigen Art von Mirai-Crossover zwischen den Plattformen Linux und Windows ist beklagenswert. Ebenso wie die Veröffentlichung von Quellcode für den Banken-Trojaner Zeus der Online-Community Jahre währende Probleme bescherte, wird auch die Veröffentlichung des Quellcodes des IoT-Bots Mirai der Internet-Infrastruktur in den kommenden Jahren enorme Probleme bereiten. Das ist erst der Anfang.

Als Reaktion auf das riesige Problem, das das für die Internet-Infrastruktur bedeuten könnte, hat das Team von Kaspersky Lab zusammen mit dem CERT an zahlreichen erfolgreichen Abschaltaktionen von Command- und Control-Servern teilgenommen, die ein Problem für Partner hätten darstellen können, die einfach Benachrichtigungen bereitstellen. Während einige Sicherheitsforscher diese Abschaltaktionen als frucht- und sinnloses Bemühen ansehen könnten, führten unsere Bemühungen für große Netzwerke zu einer Befreiung von großvolumigen DDoS-Attacken. Wir sind sehr froh darüber, mit noch mehr Netzwerkbetreibern zusammenzuarbeiten, damit wir unsere Verbindungen zu CERTs, Strafverfolgungsbehörden und anderen Partnern auf der ganzen Welt nutzen können, um auf diesem Erfolg aufzubauen.

Unseren Bericht finden Sie hier.

Wie bei vielen anderen Attacken auch, in die kompromittierte IoT-Geräte involviert sind, machen sich die Angreifer auch in diesem Fall die Tatsache zunutze, dass viele Leute das im Werk voreingestellte Passwort nicht ändern, wenn sie ein smartes Gerät kaufen. Dadurch wird es Hackern sehr leicht gemacht, auf das Gerät zuzugreifen – sie müssen lediglich das Standardpasswort ausprobieren. Außerdem gibt es für viele Geräte keine Firmware-Updates. IoT Geräte sind für Cyberkriminelle auch daher besonders attraktiv, da sie rund um die Uhr mit dem Internet verbunden sind.

Heutzutage sind wir von smarten Geräten umgeben. Dazu gehören auch alltägliche Haushaltsgeräte wie Telefone, Fernseher, Thermostaten, Kühlschränke, Babyphones, Fitness-Armbänder und Kinderspielzeuge. Doch ebenfalls dazu gehören Autos, medizinische Geräte, Videoüberwachungskameras und Parkuhren. Einige Häuser werden heute sogar mit eingebauter „Intelligenz“ geplant. Das allgegenwärtige Wi-Fi bringt alle diese Geräte online, als Teil des Internets der Dinge (Internet of Things – IoT). Diese Dinge wurden entwickelt, um uns das Leben zu erleichtern. Seitdem Gebrauchsgegenstände in der Lage sind, Daten automatisch zu sammeln und zu übertragen, ohne dass menschliche on erforderlich wäre, funktionieren sie sehr viel effektiver und effizienter. Doch eine Welt aus verbundenen Alltagsgegenständen bietet auch eine viel größere Angriffsfläche für Cyberkriminelle. Solange IoT-Geräte ungeschützt sind, können die persönlichen Daten, die sie miteinander austauschen, kompromittiert werden – sie können entweder Ziel eines Angriffs sein oder für einen Angriff missbraucht werden.

Eins der mit IoT-Geräten zusammenhängenden Probleme besteht darin, dass es sich dabei häufig um alltägliche Gebrauchsgegenstände handelt, die uns schon lange bevor es das Internet überhaupt gab, nützliche Dienste geleistet haben. Daher sehen wir den Computer in diesen Objekten nicht. Das wird nirgends deutlicher als beim Kinderspielzeug. In den letzten zwei Jahren wurden zu verschiedenen Gelegenheiten Bedenken bezüglich der Sicherheit und bezüglich des Datenschutzes rund um Kinderspielzeuge laut. (Lesen Sie mehr dazu hier, hier und hier).

Im Februar gab es ähnliche Bedenken über die Spielzeugpuppe My Friend Cayla. Die Bundesnetzagentur, die deutsche Telekommunikations-Aufsichtsbehörde, empfahl Eltern, die die Puppe gekauft hatten, diese aufgrund der bestehenden Bedenken zu zerstören.

Alle, die zu Hause verbundene Geräte/IoT-Geräte benutzen, sind am besten damit beraten, alle Standardpasswörter auf allen Geräten zu ändern (und dabei einmalige, komplexe Passwörter zu benutzen), um zu vermeiden, dass aus der Ferne darauf zugegriffen werden kann. Zu diesen Geräten zählen auch Heimrouter, die das Einfallstor in Ihr Heimnetzwerk bilden. Manch einer mag nun angesichts solcher Erklärungen versucht sein, die Verbindung aller Geräte zum Internet zu kappen, doch in der heutigen, zunehmend verbundenen Welt ist das nicht realistisch. Obgleich es immer gut ist, sich die Funktionen eines smarten Gerätes einmal genau anzuschauen und diejenigen zu deaktivieren, die nicht wirklich gebraucht werden. Doch eine gute Passwort-Organisation kann schon viel dazu beitragen, Cyberverbrecher von Ihren Geräten fernzuhalten. Diese Art von umfassender Attacke unterstreicht einmal mehr wie dringlich es ist, dass die Hersteller die Gerätesicherheit schon in die Planung einbeziehen und nicht erst im Nachhinein aktiv werden.

Datenlecks

An den beständigen Strom von Sicherheitslecks, mit dem wir Monat für Monat aufs Neue konfrontiert werden, haben wir uns bereits gewöhnt. Das erste Quartal bildete diesbezüglich keine Ausnahme, unter anderem mit Attacken auf Barts Health Trust, Sports Direct, Intercontinental Hotels Group und ABTA.

Einige Lecks sind das Ergebnis des Diebstahls sensitiver Daten, was wiederum die Folge davon ist, dass viele Unternehmen keine adäquaten Maßnahmen ergreifen, um sich selbst zu schützen. Jede Organisation, die persönliche Daten verwaltet, hat die Pflicht, diese angemessen und effektiv zu schützen. Dazu gehört auch das Hashen und Salten der Kundenpasswörter und das Verschlüsseln anderer sensibler Daten.

Die Kunden können den Schaden eines Sicherheitslecks bei einem Online-Provider einschränken, indem sie nur einmalige und komplexe Passwörter verwenden: Ein ideales Passwort umfasst mindestens 15 Zeichen und besteht aus einer Mischung aus Buchstaben, Zahlen und Symbolen von der gesamten Tastatur. Alternativ dazu kann man auch eine Passwortmanager-App verwenden, die all das automatisch verwaltet. Die Nutzung der Zwei-Faktoren-Authentifizierung ist – sofern der Provider diese Möglichkeit anbietet – ebenfalls eine gute Sache: Der Nutzer muss dabei einen von einem Hardware-Token generierten Code eingeben oder an ein mobiles Gerät senden, um auf eine Site zugreifen oder zumindest um Änderungen an den Kontoeinstellungen vornehmen zu können.

Das Veröffentlichen sensitiver Information greift in den letzten Jahren immer weiter um sich. Diesen Trend haben wir bei Kaspersky Lab bereits im Jahr 2015 vorhergesagt. ‚Hacktivisten‘, Kriminelle und von Nationalstaaten gesponserte Angreifer gleichermaßen haben sich das strategische Offenlegen privater Bilder, Informationen, Kundenlisten und Codes zu eigen gemacht, mit dem Ziel, die Betroffenen bloßzustellen. Während einige dieser Angriffe strategisch zielgerichtet sind, sind andere auch das Produkt von Opportunismus, wenn die Angreifer ihren Vorteil aus der schwachen Cybersicherheit ihrer Opfer ziehen.

Im Februar veröffentlichte WikiLeaks mehr als 8.000 Dokumente, die auch als ‚Vault 7‘ bezeichnet werden. Diese Dokumente beschreiben Taktiken und Tools, mit deren Hilfe man in Computer führender Hersteller eindringen kann, sie beschreiben, wie man die darauf installierten Sicherheitslösungen umgeht und sogar, wie man eine falsche Fährte legt. Der erste Schwung derartiger veröffentlichter Dokumente (datiert auf die Zeit zwischen 2013 und 2016) beinhaltet eine Dokumentation darüber, wie man gängige Browser, Smartphones und Computer unter Windows, Mac OS und Linux kompromittiert. Nachfolgende Veröffentlichungen von Daten hatten in erster Linie die Entwicklung von Malware zum Inhalt, die Firmware unter Mac OS und IOS kompromittiert, insbesondere EFI- und UEFI-Firmware, sowie Methoden zur Vermeidung der Detektion. Weitere Einzelheiten dazu finden Sie hier und hier.

Es ist anzunehmen, dass diese Praxis sich in Zukunft noch weiter ausbreiten wird. Anwender und Unternehmen gleichermaßen sollten Verschlüsselung anwenden, um sensitive Daten zu schützen und sicherstellen, dass sie Updates installieren, sobald diese verfügbar sind, um die Wahrscheinlichkeit zu verringern, dass ihre Daten gestohlen oder öffentlich bloßgestellt werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.