Schlagwort-Archive: Trojaner

Von Banking-Trojaner zu Ransomware: erfolgreiche Angriffskaskade

In diesem Jahr hat es immer wieder erfolgreiche Angriffe auf deutsche mittelständische Unternehmen gegeben. Viele dieser Organisationen setzen keine Cloud-Umgebungen ein und verlassen sich auf Perimeter-Schutz für ihre Inhouse-Datacenter. Eine aktuelle Umfrage des TÜV-Verbands ergab, dass in den vergangenen zwölf Monaten in Deutschland jedes zehnte Unternehmen Opfer eines Cyberangriffs geworden ist, wobei jeder fünfte Angriff Ransomware beinhaltete. Viele große Unternehmen haben das Risiko erkannt und ihre Systeme gesichert. Doch die kleinen und mittelständischen Firmen wie auch öffentliche Einrichtungen (Krankenhäuser etwa) sind am meisten gefährdet. Opfer von Ransomware-Angriffen wurden beispielsweise das Württembergische Staatstheater und die Messe in Stuttgart.

Auch der Bankentrojaner Emotet schlug immer wieder zu, so im Netzwerk der Stadtverwaltung Neustadt am Rübenberge, und das Netz der Heise Gruppe war ebenfalls Ziel des Trojaners. Emotet gerät seit seiner Entdeckung 2014 durch Trend Micro immer wieder in die Schlagzeilen, weil er als einer der „zerstörerischsten“ gilt und permanent weiter entwickelt wird. In nur fünf Jahren schaffte es die Schadsoftware, sich zu einer der berüchtigtsten Cyberbedrohungen zu entwickeln – eine, deren Angriffe Kosten von bis zu 1 Mio. $ für die Wiederherstellung verursachen, so das US-CERT.

Der Erfolg der Gruppe hinter Emotet in ihren Angriffen auf mittelständische Unternehmen liegt zum einen daran, dass laut Expertenmeinung die cyberkriminelle Gruppe mindestens zehn Jahre Erfahrung mit Banking-Malware und Info-Stealern hat, und zum anderen waren ihre Angriffe speziell auf mittelständische Unternehmen zugeschnitten. Dafür setzten sie solide Techniken ein. Die Cyberkriminellen nutzen die gestohlenen Zugangsdaten für weitere Angriffe, verkaufen sie im Untergrund oder setzen auf Ransomware. Nicht jedes Unternehmen oder jede Behörde ist trotz der Verschlüsselung von kritischen Systeme bereit, das geforderte Lösegeld zu zahlen. Zu diesem Vorgehen ist auch dringend zu raten! Auch wenn die Opfer auf die Forderungen eingehen, so ist das noch keine Garantie dafür, dass sie ihre Daten wiederbekommen. Und solange die Kriminellen mit ihrer Erpressung erfolgreich sind, werden sie weitermachen.

Das Angriffsschema wird durch die Implementierung von Trickbot erweitert. Dahinter steht möglicherweise eine zweite Gruppe, die dann übernimmt, oder möglicherweise einfach nur eine andere Abteilung derselben cyberkriminellen Unternehmung ist bzw. zumindest eng damit kollaboriert. Trickbot wird von Emotet nachgeladen und verursacht die eigentlichen Schäden. Trickbot ist ein Info Stealer, sodass die Kriminellen wahrscheinlich Credentials abgreifen und diese zu Geld machen. Auch hier gilt, dass die Hintermänner eine mindestens zehnjährige Karriere aufweisen und ihre Erfahrungen aus früheren Schadsoftware-Kreationen wie Dridex / Fridex / Dyreza einfließen lassen, so die Experten.

Die Trickbot-Kriminellen wiederum arbeiten mit einer Gruppe zusammen, die RYUK (Post-intrusion Ransomware) einsetzt. Diese Gruppe wird dann benachrichtigt, wenn erstere Gruppe die Art von Zielen findet (mittelständische Unternehmen mit flachen Netzwerken), die für RYUK möglicherweise leichte Beute ist. Sie verkaufen den Zugang an RYUK, die dann einige Wochen über laterale Bewegungen im Netzwerk dies auskundschaftet, bis alle Schwachpunkte gefunden sind, Backups entfernt und Sicherheitsmaßnahmen außer Kraft gesetzt wurden und die Kriminellen Kenntnis darüber erlangt haben, wieviel das Unternehmen zahlen kann. Dann erst setzen sie ihre Ransomware zugleich in allen kritischen Services ein – manchmal sogar mit einem zeitgleichen anderen Angriff, um InfoSec abzulenken. Unternehmen stehen dann unter Umständen ohne Backups da, mit kritischen Systemen, die außer Funktion sind, und haben keine andere Wahl, als eine erkleckliche Lösegeldsumme zu zahlen, um den Betrieb — wenn alles gut läuft – wieder aufnehmen zu können. Die drei Gruppen (oder vielleicht eine einzige) wiederholen einfach dieses unglaublich erfolgreiche Angriffsmodell wieder und wieder.

Fazit

Und wenn sich herausstellt, dass ein Angriffsmodell so gut funktioniert, übernehmen natürlich auch andere Gruppen die Angriffsabfolge mit unterschiedlicher Malware wie etwa Lockergoga oder Bitpaymer.

Da Emotet(artige) Angriffe insbesondere auch Email-Daten abgreifen, müssen sich Unternehmen auch mit dem Thema Business Email Compromise (BEC) beschäftigen. Bei der so genannten „Chef-Masche“ geht es um einen Angriff, bei dem sich der Kriminelle als Führungskraft des Opferunternehmens ausgibt und den Mail-Empfänger anweist, eine Finanztransaktion durchzuführen. Zugangsdaten, die sich für BEC eignen, sind vermutlich für Emotet-Akteure für den Weiterverkauf interessant.

Des Weiteren sollten Organisationen auch genauestens analysieren, ob und wenn ja in welchem Maße, Risiken für die eigenen Kunden entstehen. In diesem Zusammenhang ist es wichtig  beispielsweise zu prüfen, ob per Fernwartung Zugang zu anderen Netzen, etc. besteht. All diese Prozesse/Fähigkeiten könnten von Angreifern ausgenutzt werden.

Das Bundesamt für Sicherheit in der Informationstechnik hat einen ausführlichen Ratgeber mit  Maßnahmen zum Schutz vor Emotet und gefährlichen Email-Angriffen allgemein veröffentlicht.

Trend Micro-Lösungen

Da Emotet eine dateilose Bedrohung ist, sind alle Schutzmechanismen, die auf Dateierkennung basieren, als Verteidigung ungeeignet. Zu diesen zählen beispielsweise Pattern (Black- und Whitelist) sowie bestimmte Arten des maschinellem Lernens und auch Sandbox-Verfahren, die nicht so konfiguriert sind wie die Unternehmenssysteme, also z.B. mit und ohne installierter Powershell.

Moderne Sicherheitstools wie Trend Micro ApexOne verwenden deshalb verschiedenste Verfahren um auch mit dieser Art von Problemen umzugehen. So kann beispielsweise der Scanner verhaltensbasierte Analyse bzw. Runtime Machine Learning einsetzen, mit deren Hilfe das System an sich überwacht wird. Da für die weitere Verbreitung der Angreifer vorwiegend Sicherheitslücken ausnützt, sind natürlich auch sämtlich Mechanismen (Tools) relevant, die nicht vorhandene Patches erkennen und ein System auch im Innenverhältnis – also gegen seine direkten Nachbarn – verteidigt mithilfe von Virtual Patching/Vulnerability Protection. Auch eine kundenspezifische Sandbox, die ein Unternehmenssystem täuschend echt nachahmt und wie ein Honeypot funktioniert, kann die Angreifer in die Falle locken.

Bei Angriffen dieser Kategorie sollten Anwender sich allerdings nicht darüber täuschen lassen, dass die kriminellen Profis unter Umständen nur sehr schwache Spuren in den einzelnen Umgebungen hinterlassen. Es ist deshalb auch wichtig, die einzelnen Indikatoren, die auf Clients, Servern und im Netzwerk sichtbar werden, zu korrelieren, um sich ein Bild darüber zu machen, wo der Angriff begonnen und wie er sich danach verbreitet hat und welche System aktuell davon betroffen sind. Für ein solches Gesamtbild reicht ein einzelnes Tool in der Regel nicht aus: Es ist vielmehr eine Frage einer Security Strategie mit zugehörigen Tools.

Trend Micro nennt das X Detection & Response (XDR) für die Expertenanalyse der Datensätze aus den Trend-Micro-Lösungen im Unternehmen. Das „X“ in der Bezeichnung steht für umfangreiche Daten aus verschiedenen Quellen, mit denen versteckte Bedrohungen besser entdeckt werden können. Es geht um neue, integrierte Fähigkeiten für Detection & Response über E-Mail, Netzwerke, Endpunkte, Server und Cloud-Workloads hinweg. Unternehmen erhalten damit umfassenden Überblick über ihren Sicherheitsstatus. Gleichzeitig können sie kleinere Vorfälle aus verschiedenen Sicherheits-Silos miteinander in Verbindung bringen, um komplexe Angriffe zu erkennen, die sonst unentdeckt bleiben würden. Durch die Verbindung von Erkennungen, Telemetriedaten, Prozessdaten und Netzwerk-Metadaten über E-Mail, Netzwerk, Endpunkte und Cloud-Workloads wird die Notwendigkeit manueller Tätigkeiten minimiert. Zudem werden Ereignisse schnell korreliert, die Menschen angesichts der täglichen Flut von Sicherheitswarnungen aus verschiedenen Silos nicht verarbeiten können. Die Ereignisinformationen werden zusätzlich um weitere Daten aus Trend Micros globalem Netzwerk für Bedrohungsinformationen ergänzt und die Erkennung durch spezifische Regeln verfeinert, mit denen Experten die wichtigsten Bedrohungen priorisieren können.

Tesla wird Partner für Hacking-Wettbewerb Pwn2Own 2019

Der diesjährige Hacking-Wettbewerb Pwn2Own wird vom 20. bis 22. März in Vancouver stattfinden und wird von der Zero Day Initiative (ZDI) von Trend Micro organisiert. Die Veranstaltung umfasst in diesem Jahr erstmals eine Automotive-Kategorie.

Die Liste der zu hackenden Geräte wurde in diesem Jahr um ein Tesla Model 3 erweitert. Damit setzt der diesjährige Pwn2Own-Wettbewerb den verstärkten Fokus auf IoT-Geräte (Internet of Things/Internet der Dinge) fort, der bereits den Ende 2018 durchgeführten Pwn2Own Tokyo ausgezeichnet hat. Dort standen erstmals Consumer-IoT-Geräte auf der Liste der anzugreifenden Geräte. Tesla führte als erster Automobilhersteller bereits 2012 Over-the-Air-Updates durch und lieferte seitdem hunderte solcher Updates aus. Die Teilnahme des Unternehmens an dem Wettbewerb stellt einen weiteren Schritt hin zur Ära der vernetzten Geräte dar.

„Seit 2007 ist Pwn2Own zu einem branchenweit führenden Wettbewerb geworden, der die Schwachstellenforschung bei den heute wichtigsten Plattformen fördert“, sagt Udo Schneider, Security Evangelist bei Trend Micro. „Über die Jahre haben wir immer wieder neue Kategorien und Ziele hinzugefügt, um den Fokus der Forscher auf solche Bereiche zu lenken, die für Unternehmen und Verbraucher wichtiger werden. In diesem Jahr arbeiten wir mit einigen der wichtigsten Unternehmen der Technologie-Branche zusammen, um dieses Engagement weiter auszubauen und relevante Schwachstellenforschung zu ermöglichen.“

Anzugreifende Geräte

Die Partnerschaften erweitern die Liste der Ziele des Wettbewerbs um neue Plattformen. Dazu zählen unter anderem Virtualisierungsplattformen, Unternehmensanwendungen und Web-Browser. Die vollständige Liste der anzugreifenden Geräte umfasst die Kategorien Automotive, Virtualisierung, Browser sowie Unternehmensanwendungen und serverseitige Funktionen. Einzelheiten dazu finden Sie hier.

Fazit

Mit der diesjährigen Ausweitung des Pwn2Own kommt Trend Micro dem Ziel näher, durch Partnerschaften mit den wichtigsten Anbietern in diesen Bereichen die vernetzte Welt sicherer zu machen. Das Unternehmen hat dazu vor Kurzem mehrere Initiativen verkündet, unter anderem ein Joint Venture mit Moxa, sowie ein Programm, mit dem IoT-Hersteller die Sicherheit ihrer Geräte während des Entwicklungsprozesses verbessern können.

Wasser- und Energiewirtschaft im Visier des cyberkriminellen Untergrunds

Bei der Erforschung von angreifbaren kritischen Infrastrukturen in der Wasser- und Energiewirtschaft fanden die Experten von Trend Micro eine Reihe von exponierten Industrial Control Systems (ICS) sowie Human Machine Interfaces (HMIs). Sie analysierten auch das Risiko für diese Systeme, vor allem angesichts des aktiven Interesses der verschiedenen cyberkriminellen Gruppen im Untergrund daran. Beweis dafür, wie real die Gefahr ist, war der Angriff auf das ukrainische Stromnetz 2015. Es gibt verschiedene Einträge in den Untergrundforen, die sich mit dem Thema befassen – je nach Motivation des Verfassers.

Zum Teil stammen die Beiträge zu ICS/SCADA in der Infrastruktur für Wasser- und Energiewirtschaft von Personen, die mehr Informationen zu Proofs of Concept (POCs), Schwachstellen und Exploits haben wollen – ein gefährliches Wissen in den falschen Händen. Interessanterweise gibt es aber auch Interessenten an kostenlosem SCADA-Wissen, die diesen Weg den Kosten professioneller Schulungen vorziehen. Andere wiederum geben die Gründe für ihr Interesse nicht preis. Weitere Konversationen in den Foren sind aktionsbezogener und kreisen um Ideen für mögliche Gewinne aus ICS/SCADA-Systemen. Auch werden Posts zu Bug Bounty-Programmen von Unternehmen neu gepostet.

Schon die Tatsache, dass diese Gespräche im Untergrund stattfinden, zeigt, dass für Unternehmen bei der Verbesserung der Sicherheit Eile geboten ist. Angesichts der Tatsache, dass die Recherche exponierte Systeme in kleinen und mittleren Unternehmen gefunden hatte, sollte auch ein Hinweis darauf sein, dass Unternehmen jeglicher Größe in allen Bereichen Ziel von Angriffen werden können.

Weitere Einsichten zu exponierten CI HMIs sowie eine detaillierte Darstellung der Bedrohungsakteure liefert das Whitepaper „Exposed and Vulnerable Critical Infrastructure: Water and Energy Industries“.

Fake Super Mario Run App stiehlt Kreditkarteninformationen

Originalbeitrag von Jordan Pan, Mobile Threats Analyst

Bereits im Dezember letzten Jahres berichtete Trend Micro über gefälschte Apps, die die Popularität des mobilen Spiels Super Mario Run nutzten, um Schadsoftware zu verteilen. Nun haben die Sicherheitsforscher noch mehr bösartige Android Apps gefunden, die denselben Trick anwenden und Kreditkarteninformationen der Nutzer stehlen.
Weiterlesen

Android-Schadsoftware MilkyDoor als Nachfolger von DressCode

Originalartikel von Echo Duan and Jason Gu, Mobile Threat Response Engineers

Der Schaden, den mobile Schadsoftware in Unternehmen anrichten kann, wird immer umfassender, denn Mobilgeräte werden zur beliebtesten Plattform für den flexiblen Zugriff und die Verwaltung von Daten. Die Sicherheitsforscher von Trend Micro fanden kürzlich 200 verschiedene Android-Apps (Installationszahlen zwischen 500.000 und einer Million), die einen Backdoor beinhalteten: MilkyDoor (ANDROIDOS_MILKYDOOR.A).
Weiterlesen

IDC MarketScape für weltweite E-Mail Security führt Trend Micro als „Leader“

Originalbeitrag von Wendy Moore

Das Marktforschungsinstitut IDC hat Trend Micro im „IDC MarketScape: Worldwide Email Security 2016 Vendor Assessment“ (Dezember 2016).als „Leader“ eingestuft.

Weiterlesen →