Archiv der Kategorie: Cyberuntergrund

Aufkommende Ransomware-Techniken für gezielte Angriffe

Originalartikel von Trend Micro

Wie Trend Micro im Halbjahresbericht 2020 darlegt, sagen die Zahlen zur Lösegeldforderung auf den ersten Blick nicht mehr viel aus. Zwar ist die Zahl der Infektionen, der Offenlegungen von Unternehmen und der Ransomware-Familien zurückgegangen, doch der geschätzte Geldbetrag, der für den Zugriff auf die verschlüsselte Daten ausgegeben wurde, ist stetig gestiegen. Cyberkriminelle greifen Institutionen und Unternehmen an, für die der Zugriff auf ihre Daten und die Wiederherstellung ihre Systeme sehr wichtig ist. Deshalb können die Kriminellen exorbitante Lösegeldforderungen stellen.

Bild 1. Die Gesamtzahl der Ransomware-Familien ist von 2012 bis 2020 zurückgegangen (oben). Das zeigen die monatlichen Erkennungszahlen für neue Ransomware-Familien im ersten Halbjahr 2020 (unten).

Die Bedrohungsakteure zielen nicht mehr auf einzelne Benutzer und Maschinen ab, um zufällige Ransomware-Infektionen auszulösen. Deshalb fehlt es in der Öffentlichkeit an Aktualisierungen und Mundpropaganda über deren Verbreitung. Betroffene Unternehmen und Behörden versuchen, Stillschweigen über die Angelegenheit zu bewahren, bis sie intern gelöst ist. Die Öffentlichkeit wird erst dann auf diese Vorfälle aufmerksam gemacht, wenn Nachforschungen angestellt oder wenn Vorfälle schliesslich gemeldet werden. Doch diese Verlautbarungen geben nur wenige Einzelheiten (wenn überhaupt) darüber, wie die Organisationen zu Opfern wurden oder ob dabei Lösegeld gezahlt wurde. Leider bietet die Bezahlung von Cyberkriminellen keine Garantie dafür, dass die Dateien wieder zugänglich werden oder dafür, dass es in Zukunft keine weiteren Angriffe geben kann.

Arten der Ransomware

Wie bereits erwähnt, gibt ein Vergleich der Erkennungszahlen mit denen von 2019 ein nur unvollständiges Bild des Geschehens. Eine Analyse der Techniken und Routinen der früher und derzeit installierten Ransomware macht deutlich, dass die Cyberkriminellen mittlerweile ihre Aufmerksamkeit auf bestimmte Ziele und grössere Geldsummen lenken, die sie von ihren Opfern erpressen können. Diese Ziele sind häufig in Branchen oder Organisationen mit kritischen öffentlichen Geschäftsvorgängen und Infrastrukturen zu finden.

Bedrohungsakteure können immer noch willkürlich Spam-E-Mails an ein Verzeichnis von E-Mail-Adressen senden, um mindestens ein Opfer anzulocken. Doch die jüngsten Angriffe sind gezielter, und die Opfer wurden vorher ausgekundschaftet, um einen grösstmöglichen Gewinn zu erzielen. Im Laufe der Jahre haben die Forscher drei verschiedene Arten von Ransomware beobachtet mit verschiedenen Routinen für das Eindringen in die Systeme der Opfer.

Wurm-basierte oder Legacy Ransomware

Wurm-basierte Ransomware verbreitet sich ähnlich den Würmern über replizierte Kopien ihrer selbst durch Systeme. Legacy Ransomware nutzt den eingestellten Support für Betriebssysteme aus. Sie setzen auf Schwachstellen als Einstiegspunkte und beeinträchtigen andere Systeme im Netzwerk auch ohne menschliche Interaktion. Einige dieser Bedrohungsvektoren lassen sich verhindern, wenn von den Herstellern veröffentlichte Patches aufgespielt oder die virtuellen Patches von Sicherheitsanbietern heruntergeladen werden, wenn der Support für ein Betriebssystem endet.

Ransomware-Routinen, die Zero-Day-Schwachstellen ausnutzen, können jedoch den grössten Schaden in Systemen anrichten. Ein Beispiel dafür ist WannaCry, das 2017 eingeführt wurde, Monate nachdem die Gruppe Cyberkrimineller Shadow Brokers mehrere Hacker-Tools veröffentlichte, darunter EternalBlue. Die Ransomware verbreitete sich rasch in Unternehmen auf der ganzen Welt und hielt Systeme als Geiseln und deren Betrieb im Stillstand, bis Forscher den Kill Switch in der Kodierung der Routine fanden.

Gängige Ransomware

Diese Art von Ransomware wird über Spam verbreitet. Cyberkriminelle kennen die Opfer nicht und senden die infizierten E-Mails einfach an eine Liste von Adressen, die sie gesammelt, gestohlen oder gekauft haben. Sie setzen Social Engineering-Techniken ein, um die Opfer zu täuschen, so dass diese die E-Mail oder den bösartigen Anhang öffnen und so ihre Systeme mit Lösegeldern infizieren.

Bei den meisten dieser Routinen verschlüsselt die Malware fast alle Arten von Dateien, die sich in einem System befinden können, wie z. B. Mediendateien, Dokumente, ausführbare Dateien und Anwendungen. Zu diesen Routinen gehört vermutlich auch eine Datei oder eine ausführbare Datei, in der die Höhe des Lösegeldes angegeben ist, sowie Support-Anweisungen, wie die Opfer Kryptowährungen erwerben können, um ihre Dateien wiederherzustellen. Dennoch gibt es keine Garantie dafür, dass ihnen der Entschlüsselungsschlüssel zugesandt wird oder dass ihre Dateien nach Zahlung des Lösegelds wiederhergestellt werden.

20162017201820192020 1H
LOCKY82,805WCRY321,814WCRY616,399WCRY416,215WCRY109,838
KOVTER50,390CERBER40,493GANDCRAB14,623LOCKY7,917LOCKEY6,967
NEMUCOD46,276LOCKY29,436LOCKY10,346CERBER5,556CERBER2,360
CERBER40,788CRYSIS10,573CERBER8,786GANDCRAB4,050CRYSIS1,100
CRYPTESLA26,172SPORA8,044CRYSIS2,897RYUK3,544SODINOKIBI727

Tabelle 1. Top fünf Ransomware-Familien von 2016 bis zum ersten Halbjahr 2020 (Daten aus dem Smart Protection Network, SPN)

Lesen Sie die Historie dieser Familien im Originalartikel.

Solch gängige Ransomware ist mittlerweile ein geringeres Problem für Unternehmen. Viele heute verfügbare Sicherheitssysteme und auch veröffentlichte Patches umfassen Mechanismen, die über verhaltensbasierte und Dateiüberwachungs-Technologien die Malware erkennen.

Gezielte oder auf Einbrüchen basierte Ransomware

Gezielte oder auf einem Einbruch basierte Ransomware beinhaltet die Techniken in Routinen, die in den letzten Jahren eingesetzt wurden. Diese Art von Ransomware dringt in ein System mittels z.B. gestohlener RDPs ein, über nicht gepatchte Schwachstellen und schlecht gesicherte Anwendungen. Von Untergrund-Websites können Cyberkriminelle Zugangsdaten wie RDP-Benutzernamen und Passwörter erwerben. Sie können auch Social-Engineering-Techniken einsetzen, um die benötigten Zugangsdaten zu phishen, oder die Zielcomputer mit Malware wie InfoStealer infizieren, um die Bedrohungsvektoren zu finden, die sie missbrauchen können.

Cyberkriminelle nutzen die genannten Zugangsdaten auch, um in die Systeme eines Unternehmens einzubrechen. Manchmal wird dies mit einer Eskalation der Privilegien, Tools oder Methoden kombiniert, die die installierte Sicherheit ausschalten. Im Fall des Vorhandenseins von technologisch fortschrittlicheren Systeme, wie z.B. Verhaltens-/Dateierkennung, ist Living Off the Land Binaries and Scripts (LOLBAS) eine Möglichkeit, der Erkennung beim Ausführen von Ransomware zu entgehen.

Auch hier fügen die Kriminellen Anleitungen in die Lösegeldforderung mit ein, wie das Opfer Bitcoins erwerben kann. Da die Erpresser ihre Ziele kennen, ist die Forderung häufig höher als bei den gängigen Ransomware-Angriffen. Sie setzen darauf, dass die Unternehmen ihre Dateien bzw. Systeme sofort wieder nutzen müssen. Cyberkriminelle können auch Fristen setzen, damit die Sicherheitsteams die Infektion vor Ablauf der Zeit unmöglich allein beheben können und deswegen das Opferunternehmen gezwungen ist zu zahlen. Mittlerweile drohen einige Cyberkriminelle ihren Opfern auch, die verschlüsselten Dateien zu veröffentlichen oder  die gestohlenen Informationen im Untergrund zu verkaufen, sollte das Lösegeld nicht rechtzeitig bezahlt werden.

Bei dieser Art der Ransomware-Angriffe werden nicht alle Dateien verschlüsselt, sondern eher bestimmte Dateitypen oder Anwendungen, die für den Alltagsgeschäftsbetrieb unerlässlich sind, so etwa Systemdateien und ausführbare Dateien. Auch hier gibt es keine Garantie, dass die Dateien wieder verwendbar sind, wenn das Opfer zahlt. Auch besteht die Gefahr, dass die Kriminellen weitere Arten von Malware installieren, die nicht auffindbar ist und für weitere Angriffe genutzt wird.

Zu den Zielen gehören auch mittelständische Betriebe wie Krankenhäuser, die als einträglich angesehen werden, weil ihre Sicherheitssysteme weniger fortschrittlich sein könnten und sie dennoch über genügend Ressourcen verfügen, um das Lösegeld zu bezahlen.

Im Jahr 2016 begannen Crysis und Dharma als gängige Arten von Ransomware. Die Techniken beider Routinen änderten sich jedoch schnell, um höher bezahlte potenzielle Opfer durch den Einsatz anderer Software und gestohlener RDPs anzugreifen. Dharma zeigte, wie vielseitig Ransomware sein kann, denn die Malware passte ihre Routinen an und nutzte andere legitime Software, um die Überwachung und Aufmerksamkeit umzulenken. Crysis wiederum nahm Unternehmen ins Visier und erlangte selbst nach der Entfernung der Malware wieder Zugang,  indem sie andere angeschlossene Geräte wie Drucker und Router für spätere Angriffe infizierte. Sie wurde als RaaS im Untergrund angeboten und war damit auch weiteren Hackern leicht zugänglich.

Charakteristiken neuer Techniken und Ziele

Diese Ransomware-Techniken des Eindringens in Systeme gezielter Opfern sind nicht neu. Unternehmen und Institutionen mit kritischer Infrastruktur gelten als hochwertige Ziele Da zudem im Untergrund mehr gestohlene Daten wie RDP-Zugangsdaten angeboten werden, können sich riskante Online-Gewohnheiten (wie das Recycling von Benutzernamen und Passwörtern) nicht nur für einzelne Benutzer, sondern auch für ein ganzes Unternehmen als schädlich erweisen.

Bild 2. Die wichtigsten Zielbranchen auf der Grundlage der Ransomware-Erkennung für 1H 2020 (Daten aus dem Trend Micro Smart Protection Network)

Die Ransomware-Routinen sind nun in der Lage, mit fortgeschrittenen Verschleierungstechniken ihre Erkennung zu vermeiden. Auch können sie über die Beschränkung auf nur wenige und bestimmte Dateitypen manche Sicherheitssysteme umgehen, vor allem solche ohne Monitoring von Dateien und Verhalten. So erlauben es die Routinen der Ransomware  Ryuk, das Netzwerk zu infizieren und dann durch laterale Bewegung nach Systemen zu suchen, die den grössten Gewinn versprechen.

Ransomware-Trends

Die Sicherheitsforscher gehen davon aus, dass die eingesetzten Routinen bezüglich ihrer Installation und Verschleierungstechniken komplexer werden und noch mehr Unternehmen und Behörden ins Visier nehmen.

Ebenso werden auch weiterhin mehr Regierungsbehörden und Grossunternehmen mit ihren Assets und nach aussen gerichteten Systeme zum Ziel werden. Von Websites, Anwendungen, E-Mails, Dateien und zentralisierten Kontrollsystemen bis hin zu firmeneigenen Geschäfts- und vertraulichen Sicherheitsinformationen könnten Kunden und Mitarbeiter gleichermassen gefährdet sein.

Auch das Industrial Internet of Things (IIoT) und Industrial Control Systems (ICS) könnten profitable Ziele darstellen. Produktionslinien und Lieferketten dienen als Ziele und Bedrohungsvektoren, und Störungen in diesen automatisierten Sektoren könnten sich nicht nur für das Unternehmen, sondern auch für die Wirtschaft und den Ruf eines Landes als katastrophal erweisen.

Fazit

Es gibt einige Best Practices, die Einzelpersonen, Unternehmen und Institutionen zu ihrem Schutz beachten sollten:

  • Gute Passwort-Strategie verwenden: Keine Benutzernamen und Passwörter für die Online-Konten und –Geräte wiederverwenden sowie die Standard-Anmeldedaten für alle Geräte ändern.
  • Netzwerksegmentierung einführen: Unternehmen sollten das Prinzip der geringsten Privilegien umsetzen und den Zugriff auf wichtige Daten und Systemverwaltungswerkzeuge einschränken.
  • Überprüfen der RDP-Servereinstellungen: Sie müssen regelmässig überwacht und aktualisiert werden. Empfehlenswert ist auch der Einsatz eines Brute-Force-Schutzsystems für RDP-Server sowie die stetige Aktualisierung der Anzahl der Benutzer und Konten mit RDP-Zugriff. Benutzer mit RDP-Zugriff müssen komplizierte und sichere Passwörter verwenden, die regelmässig geändert werden.
  • Überwachen der nach aussen gerichteten Server: IT-Teams sollten gewährleisten, dass die Patch-Zeitpläne eingehalten werden. Bei Implementierungsschwierigkeiten sind virtuelle Patching-Lösungen ein bewährtes Schutzmittel.
  • Aufbewahren der Sicherheitskopien von wichtigen Informationen: Mit der 3-2-1-Methode werden drei Sicherungskopien in mindestens zwei verschiedenen Formaten aufbewahrt, von denen eine separat und ausserhalb des Standorts lagert.
  • Ungeprüfte und verdächtige E-Mails und eingebettete Links nicht öffnen: Ist der Absender unbekannt, und sind die Nachricht und ihre Anhänge nicht verifiziert, so sollte die Nachricht gelöscht und/oder melden die E-Mail sofort an das Sicherheitsteam gemeldet werden.
  • Konsequentes Patchen und Aktualisieren der Systeme, Netzwerke, Software, Geräte, Server und Anwendungen: Sobald die Hersteller Patches oder Updates veröffentlichen, sollten diese angewendet werden, um zu verhindern, dass Schwachstellen offen bleiben, die von Bedrohungsakteuren ausgenutzt werden können.
  • Auf keine Lösegeldforderungen eingehen: Die Bezahlung ermutigt Cyberkriminellen nur, ihre Aktivitäten fortzusetzen. Es gibt auch keine Garantie dafür, dass verschlüsselte Daten abgerufen oder nicht gestohlen werden oder dass es nicht zu anderen späteren Angriffen kommt.

Trend Micro-Lösungen

Ein mehrschichtiger Ansatz kann Ransomware davon abhalten, Netzwerke und Systeme zu erreichen. Unternehmen sollten ihre gesamte IT-Infrastruktur vor Malware und Einbrüchen schützen. Mittelständler können den Schutz von Trend Micro™ Worry-Free™ Services Advanced, und für Heimanwender bietet Trend Micro Internet Security funktionsreichen Schutz für bis zu zehn Geräten. Trend Micro Ransomware File Decryptor Tool kann Dateien entschlüsseln, die von bestimmten Ransomware-Varianten verschlüsselt wurden.

Der Lebenszyklus eines kompromittierten (Cloud) Servers

Originalbeitrag von Bob McArdle

Trend Micro Research hat ein breit angelegtes Forschungsprojekt zum cyberkriminellen Hosting und zur Infrastruktur im Untergrund durchgeführt. Ein erster Report dazu beschäftigte sich mit dem Angebot von Hacker-Infrastrukturen im Untergrund. In dem aktuellen zweiten Teil geht es um den Lebenszyklus von kompromittierten Servern und den verschiedenen Phasen, um daraus Gewinn zu schlagen. Es gilt dabei zu beachten, dass es für Kriminelle keine Rolle spielt, ob der Server On-Premise oder in der Cloud betrieben wird.

Cloud- versus On-Premise-Server

Cyberkriminellen ist es gleichgültig, wo sich die Server befinden. Sie können den Speicherplatz und die Rechenressourcen ausnutzen oder Daten stehlen, egal auf welche Art von Server sie zugreifen. Alles, was am meisten exponiert ist, wird höchstwahrscheinlich missbraucht.

Mit fortschreitender digitalen Transformation und zunehmendem Arbeiten von zuhause werden Cloud-Server am wahrscheinlichsten Bedrohungen ausgesetzt. Leider sind viele IT-Teams in Unternehmen nicht darauf eingerichtet, für die Cloud denselben Schutz zu bieten wie für On-Premise-Server.

Die Forscher betonen, dass dieses Szenario nur für Cloud-Instanzen gilt, die die Speicher- oder Verarbeitungsleistung eines lokalen Servers replizieren. Container oder serverlose Funktionen fallen nicht der gleichen Art von Kompromittierung zum Opfer. Wenn der Angreifer das Cloud-Konto kompromittiert – im Gegensatz zu einer einzelnen laufenden Instanz – entsteht ein völlig anderer Angriffszyklus, da die Angreifer Rechenressourcen nach Belieben in Anspruch nehmen können. Obwohl dies möglich ist, liegt der Fokus der Erforschung nicht darauf.

Alarmsignale für einen Angriff

Viele IT- und Sicherheitsteams suchen möglicherweise nicht nach früheren Stadien des Missbrauchs. Bevor Server jedoch von Ransomware betroffen sind, gibt es andere Alarmsignale, die die Teams auf die Bedrohung aufmerksam machen könnten.

Wenn ein Server kompromittiert und für Kryptowährungs-Mining (auch als Kryptomining bekannt) verwendet wird, kann dies eine der grössten Alarmsignale für das Sicherheitsteam sein. Die Entdeckung von Cryptomining Malware, die auf irgendeinem Server läuft, sollte dazu führen, dass das Unternehmen unverzüglich Massnahmen ergreift und eine Reaktion auf den Vorfall (Incident Response) einleitet, um diesen Server zu sperren.

Dieser Indicator of Compromise (IOC) ist wichtig, denn obwohl Cryptomining-Malware im Vergleich zu anderen Malware-Typen häufig als weniger schwerwiegend angesehen wird, dient sie auch als Taktik zum Geld machen. Sie kann im Hintergrund laufen, während der Serverzugriff für weitere bösartige Aktivitäten verkauft wird. Beispielsweise könnte der Zugang für die Nutzung als Server für unterirdisches Hosting verkauft werden. Gleichzeitig könnten die Daten exfiltriert und als persönlich identifizierbare Informationen (PII) oder für Industriespionage verkauft werden, auch könnten sie für einen gezielten Ransomware-Angriff verscherbelt werden. Dieses Szenario nutzen zumindest einige Access-as-a-Service (AaaS)-Kriminelle als Teil ihres Geschäftsmodells.

Lebenszyklus eines Angriffs

Attacken auf kompromittierte Server folgen einem allgemeinen Muster:

  • Ursprüngliche Kompromittierung: In dieser Phase ist es klar, dass ein Krimineller den Server übernommen hat.
  • Asset-Kategorisierung: Dies ist die Phase der Bestandsaufnahme. Der Kriminelle nimmt seine Einschätzung anhand von Fragen vor, wie etwa: Welche Daten befinden sich auf diesem Server? Besteht die Möglichkeit einer lateralen Bewegung zu etwas Lukrativerem? Wer ist das Opfer?
  • Exfiltrierung sensibler Daten: Der Kriminelle stiehlt unter anderem Unternehmens-E-Mails, Client-Datenbanken und vertrauliche Dokumente. Dies kann jederzeit nach der Kategorisierungsphase passieren, wenn der Angreifer etwas Wertvolles entdeckt hat.
  • Kryptowährungs-Mining: Während der Angreifer einen Kunden für den Serverraum, einen Zielangriff oder andere Mittel zur Geldgewinnung sucht, wird Cryptomining eingesetzt, um im Verborgenen Geld zu verdienen.
  • Wiederverkauf oder Nutzung für gezielte Angriffe mit dem Ziel, mehr Geld zu verdienen: Abhängig davon, was der Kriminelle bei der Kategorisierung der Assets findet, könnte er seinen eigenen gezielten Ransomware-Angriff planen, den Serverzugang für Wirtschaftsspionage oder für weitere Zwecke verkaufen.

Der Lebenszyklus eines kompromittierten Servers bezüglich der Möglichkeiten Gewinn daraus zu ziehen

Häufig ist der Einsatz gezielter Ransomware die letzte Phase. In den meisten Fällen zeigt die Kategorisierung der Assets Daten auf, die zwar für das Unternehmen wertvoll sind, die sich jedoch nicht unbedingt für Spionage eignen.

Ein tiefgreifendes Verständnis der Server und des Netzwerks ermöglicht es Kriminellen hinter einem gezielten Ransomware-Angriff, das Unternehmen dort zu treffen, wo es am meisten schmerzt. Diese Kriminellen kennen den Datenbestand, wissen, wo sie sich befinden, ob es Backups der Daten gibt und vieles mehr. Mit einer so detaillierten Blaupause der Organisation können sie kritische Systeme abriegeln und ein höheres Lösegeld fordern. Das zeigt auch der Halbjahresbericht 2020 von Trend Micro.

Darüber hinaus hat zwar ein Ransomware-Angriff die sichtbare Dringlichkeit für die Abwehr, aber derselbe Angriff könnte auch darauf hinweisen, dass etwas weitaus Schwerwiegenderes wahrscheinlich bereits stattgefunden hat: der Diebstahl von Unternehmensdaten, und dies ist bei der Reaktionsplanung des Unternehmens zu berücksichtigen. Noch wichtiger ist, dass sobald ein IOC für Krypto-Währung gefunden wurde, das Unternehmen in der Lage ist, den Angreifer sofort zu stoppen, um später erhebliche Zeit und Kosten zu sparen.

Letztendlich ist die Sicherheit der Hybrid-Cloud von entscheidender Bedeutung, um diesen Lebenszyklus zu verhindern, unabhängig davon, wo die Daten eines Unternehmens gespeichert sind.

Hacker-Infrastrukturen als Hosting-Angebot im Untergrund

Originalartikel von Vladimir Kropotov, Robert McArdle, and Fyodor Yarochkin, Trend Micro Research

Im cyberkriminellen Untergrund stellt die Hosting-Infrastruktur eines Kriminellen die Grundlage für sein gesamtes Geschäftsmodell dar. Sie beinhaltet Anonymisierungsdienste, um die Aktivitäten vertraulich zu halten, Command-and-Control (C&C)-Server für den Missbrauch der Rechner der Opfer und Diskussionsforen für die Kommunikation mit anderen Kriminellen. Kriminelle Anbieter liefern Dienste und Infrastrukturen, die andere Kriminelle für die Ausführung ihrer Angriffe benötigen. Ein solcher Hosting-Service kann die Bereitstellung von Hosting-Infrastrukturen, von Domain-Namen, Fast-Flux-Infrastrukturen, Traffic-Beschleunigern, virtuellen und dedizierten Servern und virtuellen privaten Netzwerken (VPNs) umfassen. Gehostete Infrastrukturen werden auch für das Versenden von Phishing-Emails, den Handel mit illegalen Waren in Online-Shops und das Hosten von Virtual Private Systems (VPS), von denen aus Angriffe gestartet werden können, eingesetzt.

Hosting Services im Untergrund

Plattformen im kriminellen Untergrund bieten eine breite Palette von Diensten für kriminelle Hacker. Dazu gehören Bulletproof Hosting und Proxies bis hin zu VPS und VPNs. Interessanterweise finden sich solche Dienste auch in Foren, die mit Online-Wetten, Online-Marketing und Suchmaschinenoptimierung (SEO) zu tun haben.

Es gibt darüber hinaus auch Chat-Gruppen auf Online-Messenger-Plattformen wie VK, Telegram und WhatsApp, die zur Werbung für die oben genannten Dienste genutzt werden. Die Anzeigen in Untergrundforen und sozialen Netzwerken hatten dieselben Kontaktinformationen wie die Verkäufer, stellten die Forscher fest. Dies widerlegt die bestehende Vorstellung, dass Kriminelle nur im Untergrund illegale Waren verkaufen. Sie bieten ihre Marktplätze auch im legalen Netz an.

Dies ist der aktuelle Status des Untergrundmarkts – gut etabliert mit Foren voller Angebote und Communities von Akteuren unterschiedlicher Reife. Die Untergrundmarktplätze haben sich weiterentwickelt und besitzen Strukturen, die die legitimer Geschäfte widerspiegeln. Die Anbieter haben detaillierte Geschäftsmodelle und Systeme entwickelt, die gängige Zahlungsmittel wie PayPal, Mastercard, Visa und Kryptowährungen akzeptieren.

Die Produktpalette im Untergrund ist vielfältig. Abgesehen von den diversen Angeboten von Kreditkarten-Dumps und Skimmern, gibt es Hacking-Dienste in dedizierten Shops, die dedizierte Server, SOCKS-Proxies, VPNs und Distributed Denial-of-Service (DDoS)-Schutz anbieten.

Bild 1. Online-Shop, der dedizierte Hosting-Server anbietet

Die Sicherheitsforscher fanden offizielle Wiederverkäufer von öffentlichen Hosting-Diensten, die in Untergrundforen werben. Diese Provider haben eine legitime Kundschaft und werben im Internet. Mehrere Reseller kümmern sich jedoch auch um Kriminelle im Untergrund, entweder mit oder ohne Wissen des Unternehmens.

Es gibt auch Akteure im Untergrund, die Referenzlinks von Hosting-Providern sharen und sogar Empfehlungsprämien von der Community kassierten. Hosts werden häufig von kriminellen Akteuren wegen ihrer Anonymität und ihrer Möglichkeiten des Missbrauchs diskutiert und beworben.

Bild 2. Werbung für kompromittierte Hosts in einem Untergrundforum

Social Media-Plattformen, die kriminelle Anbieter und Käufer ausnutzen

Wie jedes Unternehmen, das Waren und Dienstleistungen an potenzielle Abnehmer verkauft, werben auch kriminelle Händler. Verkäufer nutzen verschiedene Plattformen, um für ihre Produkte und Dienstleistungen zu werben: Chat-Kanäle, Hacking-Foren und Social Media-Posts.

So gab es beispielsweise einen Hosting-Service, der im sozialen Netzwerk VK als geeignet beworben wurde, um Brute-Force-Angriffe und Massen-Internet-Scans über Masscan, Nmap und ZMap durchzuführen.

Fazit

Ein gutes Wissen, den kriminellen Untergrund betreffend, ist von entscheidender Bedeutung, um Organisationen, der InfoSec-Community und den Strafverfolgungsbehörden dabei zu helfen, mit der Cyberkriminalität umzugehen und sie einzudämmen. Ein zweiter Teil zu der Forschung von Trend Micro stellt dar, wie Cyberkriminelle Infrastrukturkomponenten erwerben und einsetzen, so etwa kompromittierte Assets und dedizierte Hosting-Server.

Details zu der aktuellen Forschung umfasst das Whitepaper „The Hacker Infrastructure and Underground Hosting: An Overview of the Cybercriminal Market“. Es gibt Einblicke in die Funktionsweise einer Untergrundwirtschaft und die Grundlagen von krimineller Online-Infrastruktur.

Russische Gruppe führt mehr als 200 BEC-Kampagnen

Eine russische Gruppe namens Cosmic Lynx hat mehr als 200 Business Email Compromise (BEC)-Kampagnen gegen hunderte multinationaler Unternehmen geführt, so das Sicherheitsunternehmen Agari. Die Kampagnen gab es seit 2019 in 40 Ländern, und die Kriminellen verlangten von ihren Opfern insgesamt 1,27 Millionen Dollar.

Wie viele andere Gruppen zielte auch Cosmic Lynx auf gehobene Führungskräfte in Positionen wie Geschäftsführer (28%), Vizepräsident (24%), General Manager (23%), CEO (8%), Finanzchef (7%), Präsident (7%) und andere (4%).

Um diese Ziele zu täuschen, bedienen sich die Cyberkriminellen einer zweifachen Identitätstäuschung: Zuerst geben sie sich als der CEO des Unternehmens aus, dann als legitimer Anwalt einer in Großbritannien ansässigen Anwaltskanzlei. Zuerst schicken die Angreifer, die sich als CEO des Unternehmens ausgeben, eine Email an einen Mitarbeiter, in der sie auf die Notwendigkeit eines „externen Rechtsbeistands“ hinweisen. In der Email heisst es, dass es sich um eine zeitkritische Angelegenheit handele, um ein Gefühl der Dringlichkeit zu erzeugen. Antwortet der Mitarbeiter, wird er aufgefordert, sich per Mail mit einem angeblichen Anwalt auszutauschen und soll dann Geld an Konten überweisen, die vorgeblich mit der Anwaltskanzlei in Verbindung stehen, in Wirklichkeit aber von der Gruppe kontrollierte Scheinkonten sind. Die geforderten Summen belaufen sich auf 1,27 Millionen von US-Dollar.

Bei den meisten Angriffen werden kostenlose Mail-Konten und Domänen verwendet, die eine sichere Mail- und Netzwerkinfrastruktur nachahmen (z.B. Secure-Mail-Gateway, verschlüsselter SMTP-Transport, MX-Secure-Net). Die Gruppe registrierte auch einige ihrer Domänen bei einem Bulletproof Hosting- und einem anonymen Domänen-Provider.

Neben BEC wurde die Gruppe auch mit anderen bösartigen Aktivitäten wie die Verbreitung von Emotet, Trickbot und Click-Fraud-Malware in Verbindung gebracht. Sie sollen auch hinter einem Carding-Marktplatz und gefälschten Dokumenten-Websites stecken.

Die Verluste durch BEC betrugen 2019 1,7 Milliarden Dollar, berichtet das FBI.

Kampf gegen BEC

Die von Trend Micro™ Cloud App Security entdeckten BEC-Versuche stiegen von mehr als 100.000 in 2018 auf fast 400.000 in 2019, ein Mehr von 271%. Diese Spitzenwerte sind beachtlich, wenn man bedenkt, dass viele BEC-Kampagnen keine innovativen Taktiken anwenden müssen, um erfolgreich zu sein. Die Nachahmung von Schlüsselfiguren im Unternehmen, die Andeutung von Dringlichkeit und die Nutzung aktueller Ereignisse als Lockmittel (wie die Coronavirus-Pandemie) sind nur einige der bewährten Strategien, die von Cyberkriminellen eingesetzt werden, um ahnungslose Mitarbeiter zu täuschen. Durch die ständige Entwicklung neuer Techniken durch Cyberkriminelle, wie die Verwendung von Deepfakes, neuen Kanälen und verschiedenen Dateiformaten für Anhänge, wandelt sich BEC weiterhin zu einer noch ernsteren Bedrohung.

Um das Risiko finanzieller Verluste durch BEC-Betrug zu vermeiden, sollten Unternehmen ihre Mitarbeiter mit folgenden Best Practices vertraut machen:

  • Verifizieren von Anfragen für Geldüberweisungen durch Bestätigung der Richtigkeit des Absenders mit anderen Mitteln als Mail. Festlegen eines zweiten Freigabeprozesses ist auch empfehlenswert.
  • Untersuchen von Mails, um gefälschte Adressen zu erkennen. Einige Kampagnen verwenden Emails, die den echten Adressen bis auf einen geringfügigen Unterschied in einigen wenigen Zeichen sehr ähnlich sind.
  • Wissen über die jeweils neuesten Mail-Betrügereien hilft dabei, diese schneller zu erkennen.

Unterstützung beim Blockieren von BEC-Bedrohungen liefern auch Sicherheitslösungen, die auf künstliche Intelligenz und Machine Learning setzen.

  • Trend Micro Cloud App Security kann Microsoft Office 365- und andere Cloud-Services über Sandbox Malware-Analysen für BEC und andere fortgeschrittene Bedrohungen schützen.
  • Trend Micro™ Email Security analysiert Email Header und Inhalte mithilfe von fortschrittlichem maschinellem Lernen und ausgeklügelten Regeln, um BEC und andere Bedrohungen zu erkennen und zu stoppen.

Schlagabtausch: der unvermeidliche Cyber-Rüstungswettlauf

von Richard Werner, Business Consultant

Eine treibende Kraft bestimmt die cyberkriminelle Wirtschaft und die Bedrohungslandschaft: Gut gegen Böse, oder besser gesagt, Gesetzeshüter, Forscher, Anbieter und Cybersicherheits-Experten auf der einen Seite und Cyberkriminelle auf der anderen. Dieses Katz-und-Maus-Spiel wird seit fast zwei Jahrzehnten ausgetragen, aber im Zuge der technologischen Innovationen und des gesellschaftlichen Wandels im Allgemeinen scheint es sich in den letzten Jahren beschleunigt zu haben. Nach einer neuen eingehenden Analyse der Cyberkriminalität im Untergrund der letzten Jahre gelangen die Sicherheitsforscher zu dem Schluss, dass die Massnahmen der Strafverfolgungsbehörden die Gegner im Untergrund in Unruhe versetzen. Im Gegenzug aber entwickeln die Kriminellen jedoch ihre Werkzeuge und Taktiken weiter, um eine neue Art von Angriffen zu Geld zu machen.

Die guten Nachrichten zuerst: Die neue Analyse des kriminellen Untergrunds ergab, dass die Schliessung von Dark-Web-Marktplätzen durch die Polizei in den letzten Jahren definitiv Wirkung zeigt. Die Zerschlagung grosser Websites wie AlphaBay, Evolution und Hansa hat bei den Online-Händlern zu Unsicherheit und Paranoia geführt. Obwohl viele Sites noch immer in Betrieb sind, so z.B. Nulled, Joker’s Stash und Hackforums, gibt es keinen einzigen dominanten Anbieter mehr in der Spur der Silk Road. Darüber hinaus klagen die Nutzer über anhaltende Anmeldeprobleme und DDoS-Angriffe, die vermutlich das Werk von Strafverfolgungsbehörden sind.

Als Gesamteffekt dieser Bemühungen der Polizeibehörden hat sich Misstrauen in das Dark Web eingeschlichen. Händler sind nicht nur vor Betrügereien der Administratoren auf der Hut, sondern befürchten auch, dass die Polizei diese Seiten bereits infiltriert haben könnte. Es ist ermutigend zu sehen, dass die viele harte Arbeit und die jahrelange Zusammenarbeit zwischen Polizei und Unternehmen des privaten Sektors wie etwa Trend Micro Wirkung zeigt.

Die Kriminellen schlagen zurück

Cyberkriminelle sind jedoch bekanntermassen einfallsreich und agil. Als Reaktion auf diese Untergrabung des Vertrauens Online entstand eine neue Website namens DarkNet Trust, wo sich der Ruf von Anbietern verifizieren lässt, indem Profile auf verschiedenen Untergrundseiten durchsucht und Benutzernamen und PGP-Fingerabdrücke überprüft werden können. Des Weiteren stellte Joker’s Stash auf Blockchain-DNS um, um der polizeilichen Überwachung zu entgehen, und der P2P-Markt OpenBazaar wirbt mit einer Android- und iOS-App, die es den Benutzern erlaubt, privat zu chatten. Viele Cyberkriminelle nutzen inzwischen den vor allem bei Gamern beliebten Instant Messaging-Dienst Discord, um anonym zu kommunizieren, und viele Dark-Foren und -Marktplätze haben sogar ihre eigenen Discord-Server aufgebaut. Andere benutzen die legitime E-Commerce-Plattform Shoppy.gg, um ihre Waren zu verkaufen.

Cyberkriminelle sind wie eh und je anpassungsfähig und zielen auf Organisationen, die dank veränderter Arbeitsweisen neuen Bedrohungen ausgesetzt sind. Das aufgrund der COVID-bezogenen Beschränkungen weit verbreitete Home Office hat dazu geführt, dass viele Mitarbeiter Rechner benutzen, die nicht so gut geschützt sind wie ihre Pendants im Unternehmen. Zudem sind Nutzer zu Hause stärker abgelenkt, und IT-Sicherheitsteams haben Mühe, all diese neuen Endpunkte zu ermitteln und zu patchen, insbesondere da VPNs mit hoher Belastung zu kämpfen haben.

Es ist damit zu rechnen, dass es weiterhin Betrügereien mit staatlichen Konjunkturfonds geben wird und dass ein breites Interesse an neuen Informationen über das Virus besteht. VPN-Malware und insbesondere DDoS-Dienste werden in der Untergrundwirtschaft ebenfalls stark nachgefragt werden, und immer mehr Angebote von Botnets bestehend aus kompromittierten Heimnetzwerken als Service tauchen auf. Die Sicherheitsforscher gehen auch von der Zunahme gezielter Angriffe aus, die über potenziell ungesicherte Heimcomputer in Unternehmensnetzwerke einzudringen versuchen. Diese Bedrohungen stellen eine Art umgekehrtes BYOD-Szenario dar: Statt dass Nutzer ihre Geräte in den Unternehmensbereich mitbringen, wird das Unternehmensnetzwerk jetzt mit dem Heimnetzwerk zusammengeführt.

Weiterentwicklung der Tools

Wie sieht also die Zeit nach COVID-19 aus? Es ist interessant festzustellen, dass in den letzten fünf Jahren in vielen Bereichen die Preise erheblich gesunken sind: So ist beispielsweise der Preis für Kryptographie-Services von etwa 1000 $/Monat im Jahr 2015 auf heute nur noch 20 $ gesunken. In anderen Bereichen bleiben die Preise jedoch stabil und in einigen steigen sie gar. Fortnite Logins können heute im Durchschnitt für etwa 1.000 $ verkauft werden. Man kann davon ausgehen, dass relativ neue Entwicklungen wie IoT-Botnets und Cyber-Propaganda-Services den kriminellen Verkäufern auch in den kommenden Jahren viel Geld einbringen werden.

Im Moment machen Cyberkriminelle auch hohe Profite mit dem Verkauf von „Access-as-a-Service“. Dies hat sich von Angeboten im Zusammenhang mit dem Remote-Desktop-Protokoll (RDP) zum Verkauf von Zugang zu gehackten Geräten und Unternehmensnetzwerken entwickelt. Ein Bedrohungsakteur verscherbelte Zugriff auf eine US-Versicherungsgesellschaft für 1.999 $ und zu einer europäischen Softwarefirma für 2.999 $.

Der potenziell grösste Wachstumsbereich in der cyberkriminellen Wirtschaft liegt jedoch langfristig in der KI. Künstliche Intelligenz wird bereits in Bot-Services wie Luckybot eingesetzt, die behaupten, Würfel-Wurfmuster auf Glücksspiel-Websites vorhersagen und komplexe Roblox CAPTCHAs lösen zu können. Es wird auch ein potenziell lukrativer Markt für Sextorsions-Angriffe auf der Basis von Deep Fakes entstehen.

Fazit

Die gute Nachricht ist, dass gleichzeitig auch Sicherheitshersteller wie Trend Micro Neuerungen einführen, um nicht nur laufende Angriffe besser aufzudecken, sondern auch Wege zu finden, wie man die Hintermänner aufspüren und ausschalten kann. Es besteht kaum eine Chance, dass dieses Wettrüsten jemals enden wird, aber zumindest haben die letzten Jahre gezeigt, dass wir etwas bewirken und es den Bösewichten schwerer machen können, schnelles Geld zu verdienen.

Den gesamten Bericht finden Interessierte hier.