Archiv der Kategorie: Phishing

Aktualisierung: Coronavirus in bösartigen Kampagnen

Von Trend Micro

Cyberkriminelle nutzen die Coronakrise in verschiedenen bösartigen Kampagnen. Das Virus wird als Köder in Email Spam, für BEC, Malware, Ransomware und in bösartigen Domänen eingesetzt. Und je weiter die Zahl der vom Virus Betroffenen weltweit steigt, desto mehr solcher Malware-Kampagnen entdecken die Sicherheitsforscher, die ständig weltweit Samples zu solchen Corona-bezogenen Aktivitäten sammeln. Der Beitrag beschreibt Angriffskampagnen, zeigt Schutzmaßnahmen auf und wird immer wieder aktualisiert! Neue Kampagnen mit Ransomware, betrügerischen Apps sowie Websites mit Fake-Versprechungen.

Update 26. März

Apps

In einer neuen Kampagne verbreiten Cyberkriminelle eine „Informations-App“ zu COVID-19, die angeblich von der Weltgesundheitsorganisation (WHO) stammt. Bleeping Computer berichtet, dass im Rahmen des Angriffs die Domain Name System (DNS)-Einstellungen in D-Link- oder Linksys-Routern gehackt werden, um Browser Alerts von besagter App darstellen zu lassen. Nutzer berichteten, dass sich ihre Browser ohne Interaktion automatisch öffneten und sie in einer Nachricht aufforderten, einen Button anzuklicken, um eine „COVID-19 Inform App“ herunterzuladen. Stattdessen wird der Oski Info Stealer auf das Gerät geladen. Diese Schädlingsvariante kann Browser Cookies, den Verlauf, Bezahlinformationen, gespeicherte Anmeldedaten, Kryptowährungs-Wallets und andere Daten stehlen.

Netwalker Ransomware

Eine neue Phishing-Kampagne verbreitet laut MalwareHunterTeam die Netwalker Ransomware, schreibt Bleeping Computer. Ein Anhang namens CORONAVIRUS.COVID-19.vbs enthält ein eingebettetes Ransomware Executable. Von den Opfern wird ein Lösegeld verlangt, das über eine Tor-Bezahlseite zu entrichten ist.

Sextortion-Betrug

Über eine neue Sextortion-Masche berichtet Sophos. Die Opfer werden per Email darüber informiert, dass der Angreifer alle Passwörter kennt und weitere Details zu dessen persönlichen Aktivitäten. Sollte sich der Betroffene weigern, die verlangten 4.000 $ in Bitcoin innerhalb von 24 Stunden zu zahlen, drohen die Cyberkriminellen, die Familie des Betroffenen mit dem Coronavirus zu infizieren. Es gibt keine Hinweise, ob der Angreifer tatsächlich Zugang zu den Daten hat.

Betrügerische Websites

Sicherheitsforscher fanden zwei Websites, (antivirus-covid19[.]site und corona-antivirus[.]com), die eine App anbieten, die angeblich vor Corona schützen kann. Erstere ist bereits nicht mehr zugänglich, die zweite schon. Die App „Corona Antivirus“ auf den Websites soll das Ergebnis der Forschung von Wissenschaftlern der Harvard Universität sein. Wer die App installiert, infiziert das eigene System mit BlackNET RAT Malware, die dann das System einem Botnet hinzufügt. Über das Botnet können die Hintermänner DDoS-Angriffe starten, Dateien auf das Gerät laden, Skripts ausführen, Screenshots erstellen, Tastaturanschläge aufnehmen, Bitcoin-Wallets stehlen und Browser Cookies sowie Passwörter sammeln.

Schließlich hat Das US-Justizministerium (DOJ) eine einstweilige Verfügung gegen die betrügerische Website coronavirusmedicalkit[.]com eingereicht. Die Website verkauft angeblich von der WHO zugelassene COVID-19-Impfstoffkits. Es sind jedoch noch keine solchen legitimen Coronavirus-Impfstoffe auf dem Markt erhältlich. Die Website verlangt 4,95 $ für die Lieferung. Dafür sollen Nutzer ihre Kreditkartendaten angeben. Die Website ist ebenfalls nicht mehr erreichbar.

Update 20. März:

Italien, eines der vom Virus am schlimmsten betroffenen Länder, wird auch von den Cyberkriminellen nicht verschont. Innerhalb der EMEA-Region steht das Land mit 11.000 Spam- und Malware-Vorfällen auf Platz drei. Die Sicherheitsforscher von Trend Micro entdeckten mehr als 6.000 Spam-Vorfälle in einer neuen Kampagne. Sowohl der Betreff („wichtige Infos zur Coronavirus-Vorsorge“) als auch die Nachricht selbst sind auf Italienisch verfasst. Der Absender verspricht ein Dokument im Anhang, das angeblich von der World Health Organization (WHO) kommt und heruntergeladen werden soll. Das bösartige Dokument enthält einen Trojaner. Die Indicators of Compromise beinhaltet der Originalbeitrag.

Update 16. März

Trend Micro entdeckte eine Email Spam-Kampagne, die chinesische und italienische Anwender zum Ziel hat. Die Erwähnung von Coronavirus im Betreff der chinesischen Variante soll potenzielle Opfer dazu bringen, einen bösartigen Anhang herunterzuladen. Weitere Untersuchungen ergaben, dass die genutzte Payload HawkEye Reborn ist, eine neuere Variante des Information Stealers HawkEye. Die Datei ist ein stark verschleiertes AutoIT-Skript, das zu einer ausführbaren Datei kompiliert wurde.

Im Fall des italienischen Spams wurde der Name der Infektion nicht im Betreff erwähnt sondern befand sich in der URL. Der Betreff bezog sich auf Rechnungen, und der Anhang enthielt Malware, die über die Ausführung eines PowerShell-Befehls eine Datei von einer COVID-19 bezogenen URL herunterlud.

Business Email Compromise (BEC)

Ein Business Email Compromise (BEC)-Angriff, der Coronavirus erwähnt, wurde von Agari Cyber Intelligence Division (ACID) gemeldet. Dahinter steckte Ancient Tortoise, eine cyberkriminelle Gruppe, die bereits von früheren BEC-Vorfällen bekannt ist. Sie kontaktieren zuerst die Buchhaltung eines Unternehmens und fordern eine Liste mit ausstehenden Zahlungen an, um dann die entsprechenden Kunden anzugehen und diese über Änderungen bei Bankverbindung und Zahlungsmethode aufgrund der Coronakrise zu „informieren“.

Malware

Eine interaktive Coronavirus-Karte wurde eingesetzt, um einen Information Stealer zu verbreiten, berichtete Brian Krebs. Die Karte, die die Johns Hopkins Universität erstellt hatte, ist ein interaktives Dashboard, das die Verbreitung des Coronavirus und die davon verursachten Todesfälle in der Welt anzeigt. Dies nutzten russische Mitglieder von Untergrundforen aus, um digitale Corona-Infektions-Kits zu verkaufen, die eine Java-basierte Malware installieren.

Ransomware

Eine neue Ransomware-Variante namens CoronaVirus wurde über eine gefälschte Wise Cleaner-Site verbreitet, die vorgeblich Systemoptimierung anbot, so das MalwareHunterTeam. Opfer luden dabei unwissentlich die Datei WSGSetup.exe von der Site herunter. Besagte Datei dient als Downloader für zwei Arten von Malware: die CoronaVirus Ransomware und ein Trojaner namens Kpot, der Passwörter stiehlt. Diese Kampagne folgt dem Trend, nicht allein Daten zu verschlüsseln, sondern auch Informationen zu stehlen.

Eine mobile Ransomware namens CovidLock kommt über eine bösartige Android App, die vorgeblich dabei hilft, COVID-19-Infizierte auszumachen. Die Ransomware sperrt die Smartphones ihrer Opfer und verlangt innerhalb von 48 Stunden ein Lösegeld von 100 $ in Bitcoin. Die Hintermänner drohen auch mit dem Löschen der Daten auf dem Telefon und der Veröffentlichung von Social-Media-Kontoinformationen.

Coronavirus-bezogene Angriffe in den verschiedenen Regionen der Welt

Trend Micro-Forscher haben die Coronavirus-bezogene Malware und die Spam-Angriffe im ersten Quartal 2020 (von Januar bis heute) auf Anwender weltweit analysiert und sie nach Regionen bewertet – Asia Pacific Region (APAC), Lateinamerika (LAR), Nordamerika (NABU) und Europa, Mittlerer Osten & Afrika Region (EMEA).

Die Daten stammen aus dem Smart Protection Network und wurden auf Basis heuristischer Muster zusammengestellt. Die Anzahl des Spam entspricht den Spam-Mails mit dem Wort „coronavirus” im Betreff. Die Zählung der Malware besteht hauptsächlich aus den mitgelieferten Malware-Dateien.

Bild 1. Weltweite Coronavirus-bezogene Malware- und Spam-Angriffe in Q1 2020

Die Grafik zeigt, dass bei den Anwendern in der EMEA-Region mit etwa 130.000 jeweils für Malware und Spam die meisten Angriffe zu verzeichnen waren. Es zeigt sich, dass in der EMEA-Region auf die Anwender in Großbritannien etwa ein Drittel aller Malware- und Spam-Angriffe (jeweils 41.000) der Region entfielen, gefolgt von Frankreich mit fast 24.000 Malware- und ca. 23.000 Spam-Angriffen.

Spam

Trend Micro-Sicherheitsforscher haben weltweite Samples gesammelt und festgestellt, dass viele Emails vorgeben, von offiziellen Organisationen zu kommen und Neuigkeiten sowie Empfehlungen bezüglich der Infektion zu enthalten. Wie die meisten anderen Spam-Angriffe auch umfassen sie einen bösartigen Anhang, so auch das folgende Beispiel mit dem Betreff „Corona Virus Latest Updates“ und dem US-Gesundheitsministerium als vermeintlicher Absender. Natürlich enthält der Anhang Malware.

Bild 2. COVID-19-bezogene Spam-Email

Viele der Spam-Mails beziehen sich auf Liefervorgänge, die sich angeblich wegen der Infektionen verschieben oder ein neues Auslieferungsdatum enthalten. Im folgenden Beispiel etwa soll der Anhang Einzelheiten über ein späteres Lieferdatum enthalten. Die Email gibt vor, aus Japan zu kommen und umfasst auch Details in Japanisch (im Screenshot unkenntlich gemacht)

Bild 3. COVID-19 -bezogene Spam-Email mit dem Thema verspäteter Liefertermin

Andere Spam-Mails waren in Italienisch oder Portugiesisch verfasst.

Malware-Dateien

Trend Micro fand auch Schadsoftware mit „corona virus“ im Dateinamen. Eine entsprechende Liste umfasst der Originalbeitrag.

Andere Sicherheitsforscher fanden Coronavirus-Landkarten und -Dashboards, die von Cyberkriminellen missbraucht werden. Forscher von Reason Labs fanden gefälschte Websites, die zum Herunterladen und Installieren von Malware führen. Eine Liste der heruntergeladenen Malware finden Sie im Originalbeitrag.

Domänen

Ebenso nutzen Domänennamen häufiger das Wort „corona“. Eine Liste umfasst der Originalbeitrag.

Schutz vor diesen Bedrohungen

Endpoint-Lösungen von Trend Micro wie Smart Protection Suites und Worry-Free™ Business Security können die Malware und damit zusammenhängende Domänen erkennen und blockieren. Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der von der Lösung gebotene Schutz wird kontinuierlich aktualisiert, um sicherzustellen, dass das System sowohl vor alten als auch neuen Angriffen gefeit ist. Trend Micro™ InterScan™ Messaging Security liefert umfassenden Schutz, der nach innen gerichtete Bedrohungen stoppt und nach außen gehende Daten sichert. Die Lösung blockiert Spam und andere Email-Bedrohungen. Ein mehrschichtiger Sicherheitsansatz ist darüber hinaus empfehlenswert, um alle Fronten zu schützen und Benutzer am Zugriff auf bösartige Domänen, die Malware liefern könnten, zu hindern.

Trickbot-Trojaner verbreitet sich als DLL und richtet sich auf Windows 10 aus

Originalbeitrag von Trend Micro

Verschiedenen Kampagnen machen deutlich, wie die Hintermänner des Banking-Trojaners Trickbot die Ausführungs- und Verschleierungstechniken des Schädlings weiterentwickelt haben. Zum einen kann der Trojaner jetzt als Dynamic Link Library (DLL)-Dateien verbreitet werden, zum anderen besitzt er derzeit Fähigkeiten, die exklusiv auf Windows 10 ausgerichtet sind.

Trickbot via DLL verbreiten

Statt wie bislang üblich eine EXE.-Datei als Loader zu nutzen, verwendet die neue Trickbot-Variante DLL-Dateien. Der Schädling wird von einem Word-Dokument abgelegt, das vermutlich über bösartige Anhänge in Spam-Mails verbreitet wird. Technische Einzelheiten beinhaltet der Originalbeitrag.

Trickbot wurde im August 2016 entdeckt. Der Banking-Trojaner stiehlt Email-Zugangsdaten von infizierten Computern. Die kompromittierten Mail-Konten nutzt er dann für die Verbreitung von bösartigen Mails. Die Hintermänner des Schädlings haben diesen mit immer neuen Fähigkeiten ausgestattet, wie etwa zum Vermeiden von Erkennung und Bildschirmsperren, sowie für das Remote Abgreifen von Anwendungs-Credentials. Auch zielte Trickbot bereits früher auf OpenSSH und OpenVPN oder wurde über verborgene JavaScript-Dateien verbreitet.

Ausschließlich auf Windows 10 ausgerichtete Fähigkeiten

Zu den exklusiv auf Windows 10 zugeschnittenen Funktionen gehören solche, die eine Erkennung in Sandboxen, die frühere Windows-Versionen nachahmen, verhindern. Technische Einzelheiten liefert der Originalbeitrag.

Schutz vor Trickbot

Angesichts von mehr als 250 Mio. kompromittierten Email-Konten müssen Unternehmen und Anwender die permanente Weiterentwicklung dieses Schädlings im Auge behalten. Als Schutzmaßnahme gegen den Trojaner sollten Unternehmen interne Schulungen zu den Möglichkeiten der Minderung der Gefahr durch Email-Bedrohungen durchführen. Mitarbeiter müssen lernen, bösartige Email zu erkennen. Es muss ihnen klar werden, dass sie keine Anhänge herunterladen dürfen oder Links aus unbekannten Quellen anklicken.

Sicherheitslösungen wie Trend Micro Email Security erkennen und stoppen Spam, bevor er Schaden anrichten kann. Trend Micro Smart Protection Suites beruht XGen™ Security und kombiniert Machine Learning-Technologien mit einer Reihe von Schutztechniken, um alle Sicherheitslücken auf jeglichen Endpunkten zu schließen und so den bestmöglichen Schutz vor fortgeschrittenen Angriffen zu liefern.

Eine Auflistung der Indicators of Compromise finden Sie im Originalbeitrag.

Zusätzliche Analysen von Angelo Deveraturda

Coronavirus als Köder in Spam, Malware und bösartigen Domänen

Von Trend Micro

Wie nicht anders zu erwarten war, nutzen mittlerweile Angreifer die Thematik rund um das Coronavirus (COVID-19) als Köder in ihren Email Spam-Attacken. Und je weiter die Zahl der vom Virus Betroffenen weltweit steigt, desto mehr solcher Malware-Kampagnen entdecken die Sicherheitsforscher, sowie auch die häufigere Verwendung der Wörter „coronavirus“ und „corona“ in Malware-Namen und bösartigen Domänen.

Trend Micro-Sicherheitsforscher haben weltweite Samples gesammelt und festgestellt, dass viele Emails vorgeben, von offiziellen Organisationen zu kommen und Neuigkeiten sowie Empfehlungen bezüglich der Infektion zu enthalten. Wie die meisten anderen Spam-Angriffe auch umfassen sie einen bösartigen Anhang. So auch das folgende Beispiel mit dem Betreff „Corona Virus Latest Updates“ und dem US-Gesundheitsministerium als vermeintlicher Absender. Natürlich enthält der Anhang Malware.

Bild 1. COVID-19-bezogene Spam-Email

Viele der Spam-Mails beziehen sich auf Versandvorgänge, die sich angeblich wegen der Infektionen verschieben oder ein neues Auslieferdatum enthalten. Im folgenden Beispiel etwa soll vorgeblich der Anhang Einzelheiten für ein späteres Lieferdatum enthalten. Die Email gibt vor, aus Japan zu kommen und umfasst auch Details in Japanisch (im Screenshot unkenntlich gemacht)

Bild 2. COVID-19 -bezogene Spam-Email mit dem Thema Lieferverspätung

Andere Spam-Mails waren auf Italienisch oder Portugiesisch verfasst.

Malware-Dateien und Domänen

Trend Micro fand auch Schadsoftware mit „corona virus“ im Dateinamen. Ebenso nutzen Domänennamen häufiger das Wort „corona“. Eine Liste beider umfasst der Originalbeitrag.

Schutz vor diesen Bedrohungen

Trend Micros Endpoint-Lösungen wie Smart Protection Suites und Worry-Free™ Business Security können die Malware und damit zusammenhängende Domänen erkennen und blockieren. Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der von der Lösung gebotene Schutz wird kontinuierlich aktualisiert, um sicherzustellen, dass das System sowohl vor alten als auch neuen Angriffen gefeit ist. Trend Micro™ InterScan™ Messaging Security liefert umfassenden Schutz, der nach innen gerichtete Bedrohungen stoppt und nach außen gehende Daten sichert. Die Lösung blockiert Spam und andere Email-Bedrohungen. Ein mehrschichtiger Sicherheitsansatz ist darüber hinaus empfehlenswert, um alle Fronten zu schützen und Benutzer am Zugriff auf bösartige Domänen, die Malware liefern könnten, zu hindern.

2019 blockiert Trend Micro 52 Milliarden Bedrohungen: Hacker erweitern ihr Repertoire

von Trend Micro

Abwechslung ist in den meisten Lebensbereichen willkommen, doch nicht in der Bedrohungslandschaft. Leider müssen sich Sicherheitsexperten heutzutage aber genau damit auseinandersetzen. Der Jahresbericht 2019 von Trend Micro zeigt, dass Hackern mittlerweile eine beispiellose Vielfalt an Tools, Techniken und Verfahren zur Verfügung steht. Bei 52 Milliarden einzigartigen Bedrohungen, die allein von den Trend Micro-Filtern erkannt wurden, könnte dies zu einer übermächtigen Herausforderung für viele IT-Sicherheitsabteilungen werden. Als Reaktion darauf überprüfen zu Recht viele CISOs ihren Ansatz für die Bedrohungsabwehr. Bei vielen von ihnen setzt sich die Erkenntnis durch, dass es sinnvoller ist, sich auf einen Anbieter zu konzentrieren, der den gesamten Schutz liefern kann, statt durch Investitionen in Best-of-Breed-Lösungen unter Umständen Sicherheitslücken zu schaffen und Budgetengpässe zu riskieren.

Zustandsaufnahme

Der Bericht liefert ein alarmierendes Bild einer von Volatilität und Chaos geprägten Bedrohungslandschaft. Finanziell motivierte Cyberkriminelle kooperieren und konkurrieren miteinander, um aus Attacken Profit zu schlagen. Leider gibt es eine Menge Betroffener, denn aufgrund gestiegener Investitionen in Cloud- und digitale Plattformen hat sich die Angriffsfläche im Unternehmen erheblich vergrößert.

Der Bericht hebt vor allem drei Trends hervor:

Ransomware ist auf dem Vormarsch: Obzwar die Anzahl der neuen Familien zurückgegangen ist,  ist die Zahl der entdeckten Ransomware-Komponenten im Laufe der Jahres um 10% auf 61 Millionen gestiegen. Im letzten Jahr hat es immer wieder erfolgreiche Angriffe auf deutsche mittelständische Unternehmen gegeben. Eine aktuelle Umfrage des TÜV-Verbands zeigte, dass in den vergangenen zwölf Monaten in Deutschland jedes zehnte Unternehmen Opfer eines Cyberangriffs geworden ist, wobei jeder fünfte Angriff Ransomware beinhaltete. Dabei spielte der Bankentrojaner Emotet häufig eine unrühmliche Rolle.

Phishing entwickelt sich weiterWie immer entfielen die meisten Bedrohungen (91%), die Trend Micro im vergangenen Jahr blockierte, auf Email-Angriffe, und ab 2018 stieg das Volumen um 15%. Das bedeutet, dass Phishing nach wie vor der Hauptvektor bei Angriffen auf Unternehmen ist. Obwohl insgesamt ein Rückgang der Gesamtzahl der Versuche, Phishing-Websites zu besuchen, zu verzeichnen war, gab es einige Spitzenwerte. Betrüger scheinen Office 365 im Visier zu haben und versuchen, Sicherheitsfilter zu umgehen. Die Zahl der eindeutigen Phishing-URLs, die die Microsoft-Cloud-Plattform fälschten, ist im Vergleich zum Vorjahr um 100% gestiegen. Die BEC-Angriffe, die nach Angaben des FBI im vergangenen Jahr höhere Kosten als jede andere Art von Cyberkriminalität verursachten, nahmen um 5% zu.

Die Supply Chain ist in Gefahr: Die digitale Supply Chain hat sich in den letzten Jahren rapide erweitert und setzt damit mehr Unternehmen einem Risiko aus. Besonders deutlich wurde dies im Bereich des elektronischen Handels im vergangenen Jahr, als es der Magecart Hacking-Gruppe gelang, schätzungsweise zwei Millionen Websites zu kompromittieren. Viele dieser Attacken konzentrierten sich auf Partner der Supply Chain. Auch beobachteten die Sicherheitsforscher einen Anstieg bei Angriffen, die sich auf die Kompromittierung von DevOps-Tools und -Deployments konzentrieren, wie z.B. fehlkonfigurierte Versionen der Docker Engine und ungesicherte Docker-Hosts.

Fazit

Dies ist aber nur die Spitze des Eisbergs. Die Forscher von Trend Micro stellten auch einen Anstieg bei mobiler Malware (6%), IoT-Anmeldungen über Brute-Force (189%) und vieles mehr fest. Um angesichts einer so breit gefächerten Palette von Bedrohungen die Kontrolle zu behalten, sollten CISOs den Ansatz der „Connected Threat Defense“ in Erwägung ziehen. Diese Strategie konsolidiert den Schutz über Gateways, Netzwerke, Server und Endpunkte hinweg auf einen einzigen Anbieter, der die Verteidigung auf jeder Ebene mit einem Fundament aus intelligentem Bedrohungswissen optimiert.

Die folgende Checkliste ist eine Überlegung wert:

  • Netzwerksegmentierung, regelmäßige Backups und kontinuierliche Netzwerküberwachung zur Bekämpfung von Ransomware,
  • Verbesserte Programme für das Sicherheitsverständnis, hilft Nutzern BEC- und Phishing-Versuche besser zu erkennen,
  • Monitoring von Schwachstellen und falschen Konfigurationen der Systeme der Supply Chain-Partner als Schutz vor Magecart-Angriffen,
  • Scannen von Container Images auf Malware und Sicherheitslücken während Build und Laufzeit,
  • Systeme und Software immer auf aktuellem Stand halten sowie
  • Richtlinien für Zweifaktor-Authentifizierung und dem Prinzip der geringsten Privilegien verhindern den Missbrauch von Tools, die über Admin-Logins zugänglich sind, etwa RDP und Entwickler-Tools.

Der gesamte 2019-Sicherheitsbericht steht online zur Verfügung.

Cyberspionage-Kampagne zielt auf Glücksspiel- und Wettfirmen

Von Trend Micro

2019 setzte sich Talent-Jump Technologies, Inc. mit Trend Micro in Verbindung im Zusammenhang mit einem Backdoor, den sie während einer Incident Response-Aktion entdeckt hatten. Die Sicherheitsforscher von Trend Micro analysierten den Schädling, der von einem Advanced Persistent Threat (APT)-Akteur, von Trend Micro „DRBControl“ genannt, eingesetzt wurde. Der Angreifer zielt auf Nutzer in Südostasien, vor allem auf Glücksspiel- und Wettfirmen. Zwar wurden auch Angriffe in Europa und dem Mittleren Osten berichtet, doch fand Trend Micro keine Beweise dafür. Die exfiltrierten Daten bestanden hauptsächlich aus Datenbanken und Quellcodes, was zu der Annahme veranlasst, dass der Hauptzweck der Gruppe die Cyberspionage ist. Die DRBControl-Kampagne greift ihre Ziele mit einer Vielzahl von Malware und Techniken an, die sich mit denen anderer bekannter Cyberspionageaktionen decken.

Rechercheergebnisse

Der Einbruch setzt in einem ersten Schritt auf Spear Phishing .docx-Dateien. Es werden drei Versionen der infizierten Dokumente verteilt. Der Angreifer nutzt zwei vorher noch nicht identifizierte Backdoors (technische Einzelheiten im Originalbeitrag). Einer der Backdoors setzt den Datei-Hosting-Service Dropbox als Command-and-Control (C&C)-Kanal sowie für das Ablegen verschiedener Payloads ein. In Dropbox Repositories fanden sich auch Informationen wie Befehle oder Tools, Daten zu den Workstations der Opfer und gestohlene Dateien. Dropbox ist darüber informiert und arbeitet gemeinsam mit Trend Micro an der Lösung des Problems.

Zum Arsenal des Cyberkriminellen gehören bekannte Schädlingsfamilien wie das Remote Access Tool PlugX und der HyperBro-Backdoor sowie benutzerdefinierte Tools für den Einsatz nach dem Exploit, so etwa ein Clipboard Stealer, ein Netzwerk Traffic-Tunnel, Brute-Force Tool, ein Retriever von IP-Adressen, ein Password Dumper und andere mehr. Die Kampagne weist einige Verbindungen zu den bekannten APT-Gruppen Winnti und Emissary Panda auf.

Fazit

Gezielte Angriffe unterscheiden sich in der Art und Weise, wie die Bedrohungsakteure bestimmte Ziele aktiv verfolgen und kompromittieren (z.B. durch Spear Phishing), um eine laterale Bewegung im Netzwerk und die Extraktion sensibler Informationen zu ermöglichen. Das Wissen um Angriffswerkzeuge, -techniken und -infrastruktur sowie um Verbindungen zu ähnlichen Angriffskampagnen liefert den notwendigen Kontext, um die potenziellen Auswirkungen abzuschätzen und Abwehrmaßnahmen zu ergreifen.

Detallierte Informationen liefert das Whitepaper „Uncovering DRBControl: Inside the Cyberespionage Campaign Targeting Gambling Operations“.

Eine Reise durch die IoT-Bedrohungslandschaft

Die offensichtlichen Vorteile von Internet of Things (IoT)-Geräten für Unternehmen und Verbraucher sowie deren Erschwinglichkeit haben dazu geführt, dass ihre Beliebtheit stark steigt. Viele sind für Plug-and-Play ausgelegt, vollständig kompatibel mit anderen Maschinen und lassen sich leicht von gängigen Anwendungen aus verwalten. Doch mit der zunehmenden Integration des IoT in Unternehmen und Privathaushalte vergrößert sich auch die damit zusammenhängende Bedrohungslandschaft. Trend Micro gibt einen Überblick über die wichtigsten Bedrohungen und Schwachstellen für IoT-Geräte am Rand oder innerhalb des Netzwerks und in der Cloud. Der Beitrag liefert auch Einblicke in den cyberkriminellen Untergrund.

Geräte am Rand des Netzwerks

Die Interaktion mit IoT-Geräten ist nicht mehr zu vermeiden. Abgesehen von Smartphones und Laptops statten Unternehmen ihre Büros mit Geräten aus, die die Sicherheit und Effizienz fördern, von intelligenten Leuchten bis hin zu Sicherheitskameras und vernetzten Druckern. Viele Devices halten auch Einzug in Wohnräume, so etwa vernetzte Kühlschränke bis hin zu intelligenten Thermostaten. Mit zunehmender Abhängigkeit von diesen Geräten muss deren Absicherung von höchster Bedeutung sein. Ein erster Schritt dahin besteht darin, ein Bewusstsein für mögliche Schwachstellen und Bedrohungen zu schaffen.

Home-Umgebungen

Smart Home-Geräte sind bekanntermaßen anfällig und Hacker nutzen dies natürlich aus. Wenn immer komplexere IoT-Umgebungen entstehen, so können Angreifer die Devices als Tor zum Netzwerk eines Nutzers missbrauchen. Dazu gehören smarte Glühbirnen, Schlösser, Fernseher und vieles mehr. Die Vernetzung öffnet Wohnungen für Eindringlinge, Informationsdiebstahl und das Ausspionieren.

Unternehmensumgebungen

Unternehmen sind sich der Bedrohungen für Laptops, Tablets oder Smartphones, mit denen ihre Mitarbeiter arbeiten, bewusst und haben Sicherheitsteams, die für den Schutz der Endpunkte im Netzwerk und des Netzes selbst zuständig sind. Doch bringen die Mitarbeiter auch eigene IoT-Geräte mit, die sie mit dem Unternehmensnetzwerk verbinden. Unternehmen müssen sich also auch mit Risiken und Bedrohungen auseinandersetzen – von gezielten Angriffen bis hin zu Hacking und Datenverstößen.

Bild 1. Persönliche IoT-Geräte in BYOD-Umgebungen stellen ein ernstes Risiko dar

Angreifer suchen ein exponiertes IoT-Gerät aus, das sie dann dafür benutzen, um auf das damit verbundene System zuzugreifen und so einen gezielten Angriffe zu starten. Selbst einfache Online-Recherchen können ihnen genügend Informationen liefern, um Schwachstellen im System eines Unternehmens zu finden und Schäden am Netzwerk und an den Vermögenswerten des Ziels zu verursachen.

Nicht gepatchte Geräte stellen häufig ein Risiko dar, weil Angreifer bekannte Schwachstellen ausnutzen können, um einzudringen und sich dann privilegierten Zugriff auf Unternehmensnetzwerke zu verschaffen. Es kann zu Dateneinbrüchen oder zu exponierten Daten kommen, Manipulation anderer Assets, Zugriff auf Server und Systeme, Einschleusen von Malware oder gar zur physischen Unterbrechung des Betriebs.

Hacker könnten auch angreifbare Geräte in ein Botnet integrieren. Botnets stellen ein großes Problem dar: Daten aus dem Trend Micro™ Smart Home Network von 2018 bis 2019 zeigen einen Anstieg von 180% bei Brute Force-Anmeldeversuchen. Diese Arten von Angriffen stehen  mit Botnets in Verbindung, da Cyberkriminelle diese Taktik nutzen, um mit einer Vielzahl aufeinanderfolgender Versuche ein Passwort zu erraten.

Netzwerke

Cyberkriminelle, die ein Unternehmenssystem kompromittieren, den Betrieb unterbrechen, Informationen stehlen oder auf vertrauliche Daten zugreifen wollen, nehmen typischerweise mit öffentlichen Netzwerken verbundene IoT-Geräte ins Visier. Darum ist es für die Sicherheit entscheidend, häufig verwendete Funktionalität und typische Devices in Unternehmen und zu Hause zu schützen.

  • Network Attached Storage (NAS). Diese Geräte waren schon immer angreifbar und damit beliebtes Ziel für Hacker. Die Ausnutzung bestimmter Schwachstellen ermöglicht es Angreifern, die Authentifizierung zu umgehen, Code auf dem Gerät auszuführen und Nutzerdaten herunterzuladen oder zu manipulieren. Sie werden auch von Ransomware oder anderer Schadsoftware angegriffen, um DDoS-Attacken zu starten oder Krypto-Mining auszuführen.
  • Universal Plug-and-Play (UPnP). Viele IoT-Geräte, wie Kameras, Spielekonsolen und Router umfassen ein Universal Plug-and-Play (UPnP)-Feature, über das die vernetzten Geräte kommunizieren, Daten austauschen oder Funktionen koordinieren. Nutzen Hacker nun Lücken in den UPnP-Funktionen aus, so können sie Maschinen kompromittieren oder gar die Kontrolle darüber übernehmen. Router und andere können zu Proxys umgewandelt werden, um die Herkunft von Botnets zu verschleiern, für DDoS-Angriffe (Distributed Denial of Service) eingesetzt oder gar zum Versenden von Spam genutzt werden.
  • Internet Protocol (IP). IP-Geräte lassen sich einfach installieren, sie skalieren gut und bieten Analytics. Leider sind sie auch für Sicherheitslücken anfällig. Sie werden mit den Standardeinstellungen und -anmeldedaten genutzt, sodass Hacker ein leichtes Spiel haben. Viele Malware-Autoren erstellen Schadsoftware für IP-Devices, so etwa TheMoon (eine der ältesten Familien dieser Gruppe) und Persirai.
  • Unsichere ältere Technologie. Häufig ist es ältere Technologie, die in einem Netzwerk oder in vernetzten Systemen eingesetzt wird, die Unternehmen einem bestimmten Risiko aussetzt. So beinhaltete die Faxploit-Sicherheitslücke Stack Overflow-Fehler in der Implementierung des Fax-Protokolls in bestimmten Druckern. Mit einer speziellen Faxnummer konnte ein Angreifer das Netzwerk und die damit verbundenen Systeme kapern, Geräte mit Malware infizieren oder Daten stehlen.

Bild 2. Typischer Angriffsablauf im Zusammenhang mit IP-Kameras

Cloud-Lösungen

Organisationen und sogar gewöhnliche Benutzer verwenden mittlerweile Cloud Computing und Cloud-basierte IoT-Lösungen für eine einfachere Geräteverwaltung und Datenspeicherung. Damit ergeben sich mehrere potenzielle Angriffsvektoren:

  • API-Gateways fungieren als Türöffner zur Cloud und begrenzen den Verkehr von IoT-Geräten. Und aufgrund der Art und Weise, wie sie genutzt werden, könnten falsch konfigurierte Gateways Geräte oder Dienste zu Sicherheitsbelastungen machen. Bedrohungsakteure können die Gateways für böswillige Aktivitäten wie das Fälschen einer Befehlssequenz nutzen, indem sie die Logik zwischen den APIs ändern und dadurch mehr Schwachstellen in den Prozess einbringen. Weitere mögliche Aktivitäten sind Benutzer-Spoofing, Man-in-the-Middle (MiTM)-Angriffe und Replays von Sitzungen.
  • Entwickler passen die Regeln und Richtlinien für IoT-Geräte, die mit Cloud-Servern verbunden sind, für das Identitäts- und Zugriffsmanagement (IAM) an. Fehlkonfigurationen innerhalb von Authentifizierungsrollen, Richtlinien oder zugewiesenen Schlüsseln beispielsweise können schwerwiegende Probleme verursachen. Hacker wären in der Lage, den Datenverkehr und den Zugriff zu kontrollieren, den Server zu beschädigen, komplexere Angriffe durchzuführen, den Cloud-Service zu kontrollieren oder einen Gast oder einen legitimen Gerätebenutzer zu fälschen.
  • Auch Fehlkonfigurationen in anderen Geräten, Cloud-Gateways und Infrastrukturen weisen Schwächen in der Sicherheit des Datenverkehrs oder des Pfades auf und setzen das Gerät oder den Cloud-Server Angriffen aus.

Cyberkrimineller Untergrund

Die Recherche zu cyberkriminellen Undergrundforen und Sites zeigt das steigende Interesse am Hacking von IoT-Geräten. Es gibt dort viele Angebote für entsprechende Services und sogar Anleitungen für den Missbrauch von Schwachstellen und das Hacken von Devices. Die angebotenen Dienste reichten vom Zugriff auf kompromittierte Geräte und die Nutzung von Botnets bis hin zu DDoS-Diensten und privaten IoT-basierten VPNs. Die Offerten gibt es in englischen Foren und Diskussionen, sowie auf russischen, portugiesischen, arabischen und spanischen Sites.

Weitere Forschungsergebnisse zu IoT-Bedrohungen finden Sie unter:

The IoT Attack Surface: Threats and Security Solutions

IoT Devices in the Workplace: Security Risks and Threats to BYOD Environments

From Homes to the Office: Revisiting Network Security in the Age of the IoT

Erste Schritte zur effizienten IoT-Gerätesicherheit

Städte, Büros und Häuser werden immer smarter. Eine neue Studie von Gartner schätzt, dass 2020 5,8 Mrd. Endpunkte in Unternehmens- und Automotive-IoT im Einsatz sein werden. Dank solcher Geräte sind tagtägliche Aufgaben und die Produktion zweifellos einfacher geworden. Doch welche Risiken gehen mit den neuen Technologien einher? Denn die Geräte werden an kritische Infrastrukturen angeschlossen, in wichtige betriebliche Aufgaben einbezogen, und enthalten auch kritische Daten. Gleichzeitig müssen sie gesichert werden.

IoT Hacks und Schwachstellen 2019

Es ist ungleich schwieriger, IoT-Geräte zu sichern als Laptops oder ein Mobiltelefon, denn viele dieser Geräte sind bei ihrer Entwicklung nicht auf Sicherheit ausgerichtet worden. Doch im Zuge der steigenden Bedrohungen wächst auch der Druck auf die Hersteller, ihre Produkte mit Sicherheitsmechanismen auszustatten. Trotz des breiten industriellen Einsatzes sind viele der Geräte mit veralteteten Systemen versehen, haben nicht gepatchte Schwachstellen und speichern ungesicherte Daten. In typischen Unternehmensumgebungen stellt die zunehmende Vernetzung weit verbreiteter operativer Netzwerke (einschließlich Geräte, Kommunikationskanäle und Anwendungen) eine vielfältige Angriffsfläche für Hacker dar.

IoT-Bedrohungen verbreiten sich immer weiter. Allein in diesem Jahr gab es mehrere kritische Sicherheitsvorfälle in verschiedenen Branchen, von denen Millionen von Geräten betroffen waren.

Weitere Informationen zu den einzelnen Sicherheitsvorfällen liefert der Originalbeitrag.

Fünf Schritte zur IoT-Sicherheit

Im Allgemeinen sind IoT-Geräte sehr unterschiedlich, und die Sicherung hängt auch vom jeweiligen Typ und Modell ab. In einem Bürogebäude kommt eine intelligente Glühbirne von einem anderen Hersteller als der intelligente Drucker, und das gesamte Steuerungssystem, das das Büro umfasst, verfügt über ein eigenes Betriebssystem. Um all diese unterschiedlichen IoT-Geräte effektiv zu sichern, sind ein übergreifender mehrschichtiger Sicherheitsplan und eine ständige Wartung erforderlich.

Beim Aufsetzen von IoT-Geräten bedarf es fünf erster Sicherheitsschritte:

  • Ändern der standardmäßig gesetzten Passwörter und das Anpassen von Sicherheitseinstellungen den jeweiligen Bedürfnissen entsprechend,
  • Deaktivieren aller Fähigkeiten, die nicht benötigt werden,
  • Für Geräte, die Anwendungen von Drittanbietern nutzen, nur legitime von vertrauenswürdigen Anbietern einsetzen,
  • Update der Geräte-Firmware und -anwendungen, damit das Gerät gegen bekannte Sicherheitslücken geschützt ist,
  • Beim Aufsetzen von Anwendungen auf Geräten sollten die erforderlichen Berechtigungen überprüft werden und der Zugriff darauf eingeschränkt werden.

Fünf Schritte zur Absicherung von Netzwerken und Router

In IoT-aktivierten Umgebungen können auch Netzgeräte und Router zum Risiko werden. Ein kompromittiertes IoT-Gerät kann möglicherweise dazu verwendet werden, um Malware auf weitere Geräte in demselben Netzwerk zu verbreiten. Beispielsweise kann ein smarter Drucker dazu verwendet werden, um Bürocomputer und andere smarte Geräte zu infizieren. Auch kompromittierter Router ist in der Lage, Malware an alle damit verbundenen Geräte zu verteilen.

Die folgenden Maßnahmen sind bei der Absicherung von Netzwerken und Routern hilfreich:

  • Mappen und Überwachen aller vernetzten Geräte. Einstellungen, Zugangsdaten, Firmware-Versionen sowie neue Patches sollten einbezogen werden. Dieser Schritt kann helfen zu beurteilen, welche Sicherheitsmaßnahmen zu ergreifen sind und welche Geräte möglicherweise ausgetauscht oder aktualisiert werden müssen.
  • Anwenden von Netzwerksegmentierung. Netzwerksegmentierung kann das Ausbreiten eines Angriffs verhindern und möglicherweise problematische Geräte, die nicht sofort vom Netz genommen werden können, isolieren.
  • Sicherstellen, dass die Netzwerkarchitektur sicher ist. Router sollten mit VLAN oder einer DMZ aufgesetzt sein – Segmentierungs- und Isolationsmechanismen, die eine zusätzliche Sicherheitsschicht für Netze bilden.
  • Befolgen von Best Practices für Router. Aktivieren der Router Firewall, WPS deaktivieren und das WPA2-Sicherheitsprotokoll aktivieren, starke Passwörter für den WLAN-Zugriff sind nur einige davon.
  • Deaktivieren von nicht benötigten Services wie Universal Plug and Play (UPnP). Schlecht konfigurierte Router mit aktivem UPnP sind kürzlich angegriffen worden. Dies zeigt deutlich, dass es wichtig ist, nicht benötigte Fähigkeiten und Services abzuschalten.

Für einen vollständigeren und mehrschichtigen Verteidigungsansatz, können Nutzer den umfassende Schutz etwa von Trend Micro™ Security und Trend Micro™ Internet Security wählen. Diese Lösungen bieten effiziente Schutzmaßnahmen vor Bedrohungen für IoT-Geräte, denn sie können Malware auf Endpoint-Ebene erkennen. Vernetzte Geräte lassen sich auch durch Lösungen wie Trend Micro™ Home Network Security und Trend Micro Smart Home Network™ (SHN) schützen, die den Internetverkehr zwischen dem Router und allen vernetzten Geräten prüfen. Die Trend Micro™ Deep Discovery™ Inspector-Netzwerk-Appliance kann alle Ports und Netzwerkprotokolle auf fortgeschrittene Bedrohungen überwachen.