Archiv der Kategorie: Cyberuntergrund

Ransomware-Angriffe setzen auf das Weihnachtsgeschäft

Originalartikel von Trend Micro Research

Cyberkriminelle haben in letzter Zeit ihre Ransomware-Angriffe vor allem auf den Einzelhandel konzentriert, wissend wie schlimm es für diese Unternehmen sein kann, wenn sie die Geschäftstätigkeit während der für sie wichtigen Vorweihnachtszeit und dem Black Friday stören. Eine Ransomware-Attacke könnte für den Händler den Verlust von tausenden Verkaufschancen bedeuten, wenn das Geschäft keine zufriedenstellende Dienstleistung bietet. Ein Überblick über die aktiven Ransomware-Familien und Handlungsempfehlungen.

Daten aus der Sicherheitsinfrastruktur Trend Micro Smart Protection Network™ zeigten eine Reihe von Ransomware-Familien, die bei Angriffen gegen Einzelhandelsunternehmen eingesetzt wurden. Sekhmet, eine relativ neue Familie mit umfangreichen Verschleierungs-Fähigkeiten, wies die zweithöchste Anzahl von erkannten Ransomware-Dateien auf. Es ist nicht viel bekannt über Sekhmet, doch hat sie Berichten zufolge bereits Schlagzeilen gemacht. Die Schadsoftware verschlüsselt nicht nur Dateien, die Hintermänner drohen auch damit, gestohlene Daten zu veröffentlichen, sollte das Opfer das Lösegeld nicht bezahlen. Für Einzelhändler bedeutet dies, es könnten Kundendaten an die Öffentlichkeit geraten, was auch rechtliche Konsequenzen hätte.

Einige Varianten werden auch als Ransomware-as-a-Service (RaaS) angeboten, sodass deren Einsatz nicht auf die Malware-Autoren beschränkt ist, was vermutlich einen Anstieg der Angriffe mit Sekhmet und Co. bewirken wird.

Traditionelle Ransomware aktiv

Auch Angriffe mit weiteren Ransomware-Veteranen wie Cerber und Crysis zeigen die Daten. Diese beiden Familien gibt es seit Jahren, und sie gelten als „traditonelle“ Schädlinge, die sich vor allem über Social Engineering-Techniken und E-Mails verbreiten. Dennoch wurden sie durch neuere Erpressungssoftware nicht verdrängt und durchliefen mehrere Updates, die neue Fähigkeiten hinzufügten, vor allem bezüglich ihrer Aktivitäten im Verborgenen und der Verhinderung der Entdeckung.

Die Crysis-Familie zielte auf Unternehmen weltweit. Sie wird auch als RaaS angeboten, sodass auch technisch nicht versierte Akteure damit angreifen können. Die Ransomware-Familie verbreitet sich über Remote Desktop Protocol (RDP)-Angriffe. Deshalb sollten Unternehmen die Aktualisierung und Verbesserung der RDP-Anmeldeinformationen priorisieren, Zweifaktor-Authentifizierung einführen und den RDP-Port auf einen Nicht-Standard Port (oder den RDP-Zugang ganz schliessen) setzen.

Cerber, vor allem in den USA aktiv, bietet Partnern RaaS-Dienste. Der Betrieb von Cerber ist hocheffizient und bietet Automatisierung für kriminelle Akteure, die die Plattform nutzen, oder auch für Zahloptionen. Damit ist die Schadsoftware für Cyberkriminelle sehr attraktiv, die nicht über das nötige Wissen oder die Ressourcen verfügen.

Die Trend Micro-Daten zeigen allgemein, dass Ransomware-Familien, die als RaaS angeboten werden, sehr beliebt sind. Es ist sehr wahrscheinlich, dass nicht nur die grossen Gruppen hier aktiv sind, sondern auch kleinere, die möglicherweise versuchen, die lukrative Shopping-Zeit zu nutzen.

Die Forscher fanden auch viele WannaCry-bezogene Dateien. Die Schadsoftware erlangte 2017 traurige Berühmtheit, nachdem ihre erste Kampagne hunderttausende Computer weltweit infiziert hatte. Seitdem ist sie Grundbestandteil der Cyber-Kriminalität geblieben, selbst mit dem Auftauchen neuerer Ransomware-Familien wie Ryuk.

Weitere Bedrohungen für Einzelhändler

Ransomware ist nicht die einzige Bedrohung für den Einzelhandel. Eine der prominentesten Gangs, die Online Shopping-Systeme angreift, ist Magecart. Sie setzt auf Skimming-Angriffe, um online Kreditkarteninfos abzugreifen, und zielt auf jede Art von Online-Opfer – von Shops bis zu Hotel-Buchungssites und sogar auf lokale US-Regierungsbehörden. Häufig griffen die die Hintermänner die Supply Chain an und kompromittierten Drittanbieter-Software von Systemintegratoren (wie etwa E-Commerce Service Provider), indem sie bösartige Skripts einschleusten.

Verteidigung gegen Ransomware

Obwohl Ransomware in verschiedenen Formen und mit unterschiedlichen Fähigkeiten daherkommt, bleiben die Methoden, mit denen der Zugriff auf einen Zielcomputer erfolgt, relativ gleich. Ransomware-Betreiber verwenden oft Social Engineering-E-Mails, um im System Fuss zu fassen, eine einfache Taktik, die leicht vereitelt werden kann. Unternehmen sollten ihre Mitarbeiter über Social-Engineering-Techniken wie Spam und Spear-Phishing aufklären und den Nutzer dazu anhalten, nicht auf E-Mail-Anhänge und Links aus verdächtigen oder nicht verifizierten Quellen zu klicken, da diese zu den häufigsten Infektionsvektoren für Ransomware gehören.

Darüber hinaus müssen Unternehmen Systemsoftware patchen und aktualisieren, um alle Schwachstellen zu beheben, die böswillige Akteure zur Infektion von Systemen nutzen können. Ransomware kann auch Schwachstellen für laterale Bewegung ausnutzen, nachdem sie in das Netzwerk eingedrungen ist, so dass ein böswilliger Akteur einen einzelnen Rechner als Einstiegspunkt benutzen und von dort aus zu anderen Systemen und Geräten wechseln kann. Das Patchen von Bugs ist besonders wichtig für Einzelhandelsunternehmen, da WannaCry, die am weitesten verbreitete Ransomware-Familie in der Branche, Schwachstellen als Teil ihrer Routine ausnutzt.

E-Commerce-Geschäfte sollten ihre Sites und Anwendungen einem Audit unterziehen, um sicherzustellen, dass sie so sicher wie möglich sind. Sie sollten regelmässig Backups von Store- und Kundendaten erstellen, vorzugsweise unter Anwendung der 3-2-1-Regel (drei Kopien in zwei verschiedenen Formaten mit mindestens einer Kopie ausserhalb des Standorts). Eine weitere Option ist der Einsatz von Intrusion-Prevention-Software, die Netzwerkangriffe erkennen und verhindern sowie anfällige Systeme virtuell patchen kann.

Cloud of Logs: Kriminelle nutzen die Cloud für ihre Prozesse

Originalartikel von Robert McArdle, Director Threat Research

Es wird viel Wirbel um die Cloud gemacht, und dies ist auch gerechtfertigt. Schliesslich lassen sich mithilfe des Konzepts Ressourcen optimieren, Zeit sparen, die Automatisierung erhöhen und einen Teil der Sicherheitsverantwortung abgeben. Aber auch Cyberkriminelle nutzen die Cloud: Gestohlene Zugangsinformationen und Infos über Nutzer werden in der Cloud vorgehalten und auf Abonnement- oder Einmalbasis vermietet. Trend Micro hat diesen Trend ausführlich untersucht. In einem Sample-Datenset von 1.000 Logs konnten die Sicherheitsforscher 67.712 URLs für kompromittierte Konten identifizieren. Der Zugang zu diesen so genannten „Cloud of Logs“ lässt sich über eine monatliche Gebühr von 350 – 1000 $ erwerben. Die Logs umfassen unter Umständen Millionen E-Mails und Passwörter für beliebte Sites wie Google, Amazon, Twitter, Facebook und PayPal.

Gestohlene Zugangsdaten führen zu kompromittierten Unternehmen, und die Cloud macht diesen Prozess effektiver denn je. Es geht nicht um Kriminelle, die die Cloud-Infrastruktur von Firmen angreifen, sondern darum, dass sie die Cloud-Technologie dafür verwenden, ihre Abläufe zu verbessern und zu erweitern.

Die Wiederverwendung von Zugangsdaten ist ein weit verbreitetes Problem in vielen Unternehmen. Deshalb ist es wichtig, die persönlichen Daten der Mitarbeiter bei einer Risikobewertung des Unternehmens ebenfalls zu berücksichtigen.

Neuer Markt für Cyberkriminalität entsteht

Der Diebstahl von Anmeldedaten hat in den letzten Jahren zugenommen, da Angreifer massenhaft Anmeldedaten und damit verbundene E-Mail-Adressen oder Domänennamen erbeuten. Dies ist eine der grundlegendsten und seit langem bestehenden Bedrohungen für Unternehmen weltweit.

Doch nutzt eine grosse Mehrheit der heutigen Angriffe immer noch die grundlegendsten Sicherheitsschwächen aus: die Wiederverwendung von Passwörtern als eine der häufigsten. So könnte zum Beispiel ein Mitarbeiter ein Passwort für sein persönliches Konto auch als Passwort für seine Unternehmensdomäne wiederverwenden. Und die Anmeldedaten für dieses persönliche Account können in diesen Cloud-basierten Logs landen, um von anderen Kriminellen für einen neuen Cyberangriff wiederverwendet zu werden. Allein in sechs der identifizierten Cloud-Logs fanden die Forscher insgesamt 5 TB Logs, also Millionen kompromittierter persönlicher Nutzerdaten.

Im Allgemeinen sieht ein „traditioneller“ Verlauf von Cyberverbrechen über den Diebstahl von Zugangsdaten folgendermassen aus:

  • Eine kriminelle Gruppe kompromittiert ihre Opfer mit verschiedenen Mitteln und setzt Malware zum Informationsdiebstahl ein, um an die Account-Daten der Opfer (Verbraucher und Unternehmen) zu gelangen. Aufgrund der Wiederverwendung von Passwörtern kann jedes kompromittierte persönliche Konto das Unternehmen in Gefahr bringen.
  • Die Kriminellen lagern diese Accounts an einen zentralen Ort aus, einen Server, den sie kontrollieren.
  • Angesichts des Datenvolumens ist eine manuelle Verarbeitung unmöglich – daher starten sie einige einfache Suchläufe über die Daten, um die erfolgversprechenden Konten und Daten (Kreditkarten, E-Mail, Netflix usw.) zu finden. Für jede dieser zielgerichteten Suchen sieht die Gruppe die Listen manuell durch, um herauszufinden, welche dieser Accounts einen effektiveren Zugriff auf ein hochwertiges Ziel ermöglicht. Das ist zeitaufwändig, wenn man Zehntausende Logs und ein Team von vielleicht einem halben Dutzend Personen zur Verfügung hat, die auch noch andere Rollen in der Gruppe haben – der Prozess kann also Tage bis Wochen dauern.
  • Die nicht genutzten Konten werden gebündelt und auf Untergrundmarktplätzen zum Verkauf angeboten. Dies sind die „Filetstücke“, die sich immer gut verkaufen und die leicht zu verarbeiten sind – aber es lässt sich viel mehr daraus machen. Die Zeit, bis zum Verkauf beträgt nicht mehr als ein paar Wochen, da die Daten mit der Zeit „abgestanden“ sind.
  • Der Rest der Daten wird weitgehend verworfen – obwohl sie für den passenden Käufer von Wert sein könnten.
  • Dann erfolgen die Einbrüche bei neuen Opfern, und der Zyklus geht weiter.

Der neue Ablauf beginnt wie der erste, doch gibt es einige Verbesserungen und Zusätze:

  • Die Gruppe transferiert die Logs nun kurz auf einen zentralen Server und nimmt Kürzungen vor, lädt den Rest dann aber sofort in eine „Cloud of Logs“ hoch. Die Rentabilität der „Cloud of Logs“ und das planbare monatliche Gebührenmodell (das für Streaming-Dienste so gut funktioniert) bedeuten, dass es in ihrem Interesse ist, dies als Haupteinnahmequelle zu betrachten. Dadurch verkürzt sich die Zeit von der ersten Kompromittierung bis zum Verkauf von ein paar Wochen auf Tage oder Stunden.
  • Statt einer Gruppe wird es so viele Gruppen geben, die die Daten durchsuchen, wie die Cloud of Logs-Plattform es erlaubt.
  • Als Ergebnis werden nicht nur mehr Accounts als früher zu Geld gemacht, sondern auch die Zeitspanne vom ursprünglichen Datendiebstahl bis zur Wiederverwendung gegen Unternehmen verkürzt sich von ein paar Wochen auf Tage oder gar Stunden.
  • Da die meisten Verstösse nicht sofort entdeckt werden, hat zum Zeitpunkt der Erkennung häufig bereits eine andere Gruppe von Angreifern den ersten Einbruch für den Zugang zum Netzwerk genutzt, um sich dort auf einem Unternehmensserver einzunisten, oder um Ziele für einen Angriff über Social Engineering, BEC-Betrug oder Ransomware zu finden.

Unabhängig vom Endziel nutzen Kriminelle Cloud-Ressourcen, um schneller zu werden und ihre Angriffe weiter zu streuen.

Neue Rollen in cyberkriminellen Gangs

Kriminelle Unternehmen werden Data-Mining-Spezialisten benötigen, um den grösstmöglichen Ertrag aus jedem Terabyte gestohlener Daten zu erzielen. Diese Rolle in der cyberkriminellen Organisation wird nicht darin bestehen, Zugangsdaten zu stehlen oder zu vermarkten, sondern diese Person wird die Daten nach ihrer Bedeutung trennen. Ein idealer Kandidat in diesem neuen Cloud-gesteuerten Geschäftsmodell wird maschinelles Lernen nutzen, um effizient jeden Datentyp zu identifizieren und den für verschiedene Käufer attraktiven zu bündeln. Datenanalysten und Experten für maschinelles Lernen sowie Cloud-Architekten sind in der Geschäftswelt sehr gefragt, und Cyberkriminelle schätzen deren Wissen genauso.

Folgen für die Verteidigungsstrategie von Unternehmen

Das kriminelle Potenzial der gestohlenen Daten wird in vollem Umfang genutzt, da die Informationen unter verschiedenen Cyberkriminellen verteilt werden, die auf verschiedene Verbrechen spezialisiert sind. Zudem nutzen sie Cloud-Technologien genau wie Unternehmen, um agiler zu agieren.

Für die Verteidigungsstrategie eines Unternehmens ist die Zeitspanne vom Diebstahl einer Information bis zu ihrer Verwendung in einem Angriff viel kürzer. Das bedeutet, Organisationen haben jetzt viel weniger Zeit, um den Vorfall des Diebstahls von Anmeldeinformationen zu erkennen und darauf zu reagieren.

Organisationen müssen die Grundlage ihrer Sicherheitshaltung stärken, um Verstösse schnell zu erkennen. Auch die Schulung von Mitarbeitern bezüglich der Basis der Cybersicherheit und wie ihre Sorgfalt zum Schutz des Unternehmens beitragen kann ist wichtig. .

Den vollständigen Bericht über diesen neuen Markt finden Interessierte hier.

Cyberkriminelle spielen um Gewinne aus verbrecherischen Aktivitäten

Originalbeitrag von Erin Johnson, Vladimir Kropotov und Fyodor Yarochkin

Im Halbjahresbericht zur Sicherheit 2020 zeigte Trend Micro auf, wie sich die COVID-19-Pandemie auf die Sicherheitsbranche auswirkt. Sie hat nicht nur die Art verändert, wie der Betrieb abläuft (und dementsprechend die Mitarbeiter agieren), sondern auch bestimmte kriminelle Aktivitäten gefördert, vor allem während der Zeit der Kontaktbeschränkungen. Einige dieser Tätigkeiten beziehen sich auf „Freizeitaktivitäten“, doch verbringen die Cyberkriminellen ihre Zeit anders als der Normalbürger, denn deren Beschäftigungen führen zu noch mehr Kriminalität. Das Untergrund-Monitoring der Sicherheitsforscher zeigte mehrere Arten der „Unterhaltung“, einschliesslich solcher, die Preise anbot, die aus dem kriminellen Betrieb stammen.

Cyberkriminelle scheinen mit dem Fortschreiten der Pandemie bestimmte Arten von Online-Wettbewerben zu bevorzugen. Dazu gehören:

  • Online Rap-Wettbewerbe
  • Pokerturniere
  • Gedichtwettbewerbe
  • Persönliche Sportturniere

Oberflächlich betrachtet erscheint dies alles wie ein unschuldiger Spass, an dem auch normale Menschen teilnehmen. Unter dem Deckmantel von Spass und Spiel jedoch verbirgt sich ein weitaus beunruhigenderes Szenario: Bei diesen scheinbar legitimen Aktivitäten werden kriminell erworbene Güter als Preise verliehen. Diese reichen von Kreditkarten-Dumps bis hin zu persönlich identifizierbaren Informationen (PII).

Viele dieser Preise werden mit arglistigen Mitteln erworben und können dazu verwendet werden, mehr Cyberkriminalität zu fördern. Beispielsweise werden PII häufig für Identitätsdiebstahl verwendet, während Kreditkarten-Dumps dazu dienen, Kreditkartenbetrug zu begehen.

Nicht nur die Preise sondern auch die Rechtmässigkeit einiger der Aktivitäten selbst sind fragwürdig. Beispielsweise sind Pokerturniere möglicherweise nicht legal, da Online-Poker in einigen Ländern verboten ist. Die Quarantänebeschränkungen während der Pandemie haben jedoch die Häufigkeit von Untergrund-Pokerturnieren erhöht. Einige Mitglieder eines Untergrundforums schlugen sogar vor, die Häufigkeit der Turniere von wöchentlich auf täglich zu erhöhen, da aufgrund der Covid-19-Restriktionen mehr freie Zeit zur Verfügung steht. Pokerturniere sind im Untergrund überaus populär geworden.

Insgesamt bot etwa die Hälfte der untersuchten kriminellen Online-Plattformen eine Art Covid-19-bezogenes Unterhaltungsprogramm an. Einige schienen ziemlich unschuldig, wie etwa ein Geschichtenwettbewerb mit Geldpreisen, während andere Belohnungen krimineller Natur anboten. Einige Untergrund-Pokerclubs gewähren aktiven Spielern zusätzliche Forenprivilegien, wie etwa Rabatte auf Treuhand-Serviceprovisionen für den Geldwechsel. So erhielten im Juni Teilnehmer einen 50-prozentigen Rabatt auf diese Dienste.

Auch Rap- oder Gedicht-Wettbewerbe haben an Beliebtheit zugenommen und wurden mit ähnlichen Preisen ausgestattet, etwa Teilnahmegebühren bei Pokertournieren.

Gestohlene Preise für die kriminellen Spiele

Die Aktivitäten selbst stellen im Allgemeinen kein Problem dar, doch die ausgelobten Preise für die Gewinner sind das kriminelle Element dabei. Sie werden üblicherweise von den Foren-Teilnehmern im Untergrund gestiftet und fördern Kriminalität.

Unter anderem gehören folgende Preise dazu:

  • Zugang zu Cloud-basierten Logdateien von gestohlenen Daten, einschliesslich PII und gestohlenen Kreditkarten.
  • Lizenzen für Linken Sphere, einen angepassten Browser, der gestohlene Anmeldedaten und Systemfingerabdrücke verwendet, um die Erkennung durch ein Anti-Betrugssystem zu vermeiden. Kriminelle verwenden diese normalerweise, um gestohlene Kreditkarten oder Zugangsdaten zu Zahlungssystemen zu vermarkten.
  • Eine VISA Gold Card (mit einer siebenmonatigen Garantie), die über gescannte, aus einer Leckage stammende IDs registriert ist.
  • Ein Skript zur Automatisierung der Erstellung von geklonten Websites und E-Shops. Untergrundakteure verwenden diese oft, um Benutzeranmeldeinformationen, PII, Kreditkarten, elektronische Geldbörsen und andere monetäre Werte zu sammeln, indem sie Benutzer dazu verleiten, sich anzumelden und auf einer geklonten Version einer Website einzukaufen.
  • Eine Lizenz für Software zur Verhinderung der Erkennung von Kreditkartenbetrug, zusammen mit 50 benutzerdefinierten Konfigurationen. Diese Software wird zusammen mit gestohlenen Zahlungsinformationen verwendet, um den rechtmäßigen Kreditkartenbesitzer nachzuahmen und gleichzeitig die Erkennung durch Anti-Betrugssysteme zu vermeiden.
  • Geldpreise, die ursprünglich aus kriminellen Aktivitäten stammen, sowie viele andere Preise.

Viele weitere Details zum Thema bietet der Originalbeitrag.

Fazit

Die Preise – und ihre Verwendung für weitere böswillige Aktivitäten – stellen eine Belastung für Einzelpersonen und Organisationen dar, die bereits unter der Pandemie leiden.

Die Mittel für den Lebensunterhalt und die Finanzen der Menschen als Aktivposten zu behandeln, der gegen Unterhaltung eingetauscht wird, ist zynisch, umso mehr unter den gegenwärtigen Umständen. Darüber hinaus sind die spezifischen (kriminalitätsfördernden) Software-Lizenzen, die als Preise angeboten werden, sehr wertvoll – vor allem auch für Cyberkriminelle. Die Anti-Betrugs-Erkennungssoftware Linken Sphere kostet etwa 100 US-Dollar pro Monat, bzw. 500 US-Dollar für ein sechsmonatiges Abonnement.

Diese Bedrohungen sind nicht neu – Kreditkartenbetrug, Identitätsdiebstahl und gestohlene Software gibt es schon seit Jahren. Doch kriminell erworbene Assets, die als Preise für die persönliche Unterhaltung verwendet werden, sind ein Phänomen, das die Mentalität dieser Kriminellen zeigt: Die gestohlenen Assets sind einfach Vermögenswerte, die vergeben, gehandelt oder verschenkt werden können. Für die Opfer ist es jedoch ganz anders, da ihr Lebensunterhalt wie gedruckte Scheine in einem soziopathischen Monopolspiel herumgereicht wird.

Die Mission von Trend Micro besteht darin, das Internet zu einem sichereren Ort zu machen, und wir werden weiterhin proaktiv die kriminellen Aktivitäten im Internet bekämpfen.

Raffinierter BEC-Betrug trifft französische Unternehmen

Originalbeitrag von Cedric Pernet, Senior Threat Researcher

Die hochgradig anonyme und oft vertraulich ausgelegte Natur des Internets hat zu einer Verbreitung von Betrügereien geführt, die darauf abzielen, von Menschen und Organisationen Geld abzuschöpfen. Trend Micro hat diese Betrügereien im Laufe der Jahre verfolgt und gesehen, wie sie sich von einfachen Schemata zu ausgefeilten Kampagnen entwickelt haben. Eine der gefährlichsten Betrugsmaschen heutzutage ist Business Email Compromise (BEC). Dieser Trick hat Unternehmen 2019 1,7 Mrd. $ Verluste beschert. Trend Micro hat bereits häufig über BEC-Themen berichtet. Ziel dieses Beitrags nun ist es, anhand einer sehr raffinierten Kampagne, die mithilfe von Social Engineering eine Vielzahl von französischen Unternehmen ins Visier nahm, Anwendern nochmals die Gefahren ins Bewusstsein zu bringen.

Bild 1.der Ablauf des BEC-Betrugs

Bei der Recherche verschiedener BEC-Attacken stiessen die Sicherheitsforscher auf einen Vorfall, bei dem böswillige Akteure sich als ein französisches Unternehmen in der Metallverarbeitungsindustrie ausgaben, das seine Dienstleistungen für viele verschiedene Unternehmen anbietet.

Die Täter registrierten am 27. Juli eine Domäne, die der legitimen Domäne des Unternehmens sehr ähnlich ist (wobei die gefälschte Domäne einen falsch geschriebenen Firmennamen hat) und benutzten sie, um E-Mails an ihre Ziele zu senden. Die betrügerische E-Mail, deren Absender sich als echter Mitarbeiter des Unternehmens ausgab, enthielt eine dringende Aufforderung an die Empfänger, die Bankverbindung des Unternehmens auf ein neues Konto bei einer italienischen Bank zu ändern. Die Mail umfasste zwei PDF-Anhänge mit einem Bestätigungsschreiben der durchgeführten Änderung und eine Datei mit den neuen Bankdaten.

Gleich nachdem die Forscher den Betrug bemerkt hatten, wandten sie sich an die Zielfirma (die sehr kooperativ war) und bemühten sich gemeinsam die Auswirkungen auf das Unternehmen zu verhindern. Darüber hinaus hatten sie eine Beschwerde eingereicht und sich an die italienische Bank gewandt, um den Betrugsversuch zu stoppen.

Nachforschungen

Eine Recherche auf der Unternehmens-Website zeigte, dass die Betrüger tatsächlich einen Mitarbeiter der Firma als vorgebliche Absender ausgesucht hatten, der jedoch nicht, wie in der Mail angegeben, in der Buchhaltung beschäftigt war sondern als Webmaster. Möglicherweise wählten sie aufgrund der Informationen, die sie vorher gefunden hatten, eine zufällige Person aus.

Die Betrüger machten interessanterweise einige Fehler:

  • Sie vergassen, den Zielnamen in der Kopfzeile des E-Mail-Inhalts zu ändern und gaben so den Namen eines anderen Ziels Preis. Ein aufmerksamer Mitarbeiter hätte dies möglicherweise als ungewöhnlich bemerken und misstrauisch werden können.
  • Zudem gab es eine weitere Version der PDF-Datei mit dem Konto, das für die Änderung der Bankverbindung verwendet wurde, jedoch nicht die Zielfirma als Konteninhaber auswies sondern eine Einzelperson, deren Namen vor allem in der Elfenbeinküste häufig vorkommt.

Die E-Mail-Adresse für die Registrierung der betrügerischen Domain wurde seit 2019 für die Registrierung mehrerer anderer Domains verwendet, die alle ähnliche Namen wie legitime französische Firmendomains aufweisen, aber auch hier zum Teil mit leichten Fehlern. Die verwendete E-Mail-Adresse schien nicht kompromittiert worden zu sein und wurde wahrscheinlich von den böswilligen Akteuren selbst erstellt.

Aus dieser Liste geht auch hervor, dass die Angreifer auf eine breite Palette von Branchen abzielen. Es konnte zwar nicht bestätigt werden, dass alle diese Domänen für BEC-Betrug genutzt wurden, aber mindestens einen weiteren Fall gab es, in dem die Betrüger eine Organisation aus der Gesundheitsbranche im Visier hatten.

Französische Steuerbehörde als Köder

In vielen BEC-Schemata infizieren die Täter die Rechner ihrer Ziele mit Malware, die es ihnen ermöglicht, E-Mails zu lesen – und damit Informationen zu sammeln. Sobald die Cyberkriminellen Zugang zu den Mailboxen ihrer Ziele haben, suchen sie nach Material über die Personen, die mit den Finanz- und Buchhaltungsabteilungen der Organisation zu tun haben. Darüber hinaus bemühen sich die Angreifer auch um Informationen über die Kunden und Partner des Unternehmens. Mit dieser Methode können sich BEC-Betrüger dann als Mitarbeiter ausgeben, um ein Opfer mittels Social Engineering für ihre Ziele einzuspannen.

Dies ist das übliche BEC-Vorgehen. Für diesen Fall gab es jedoch Beweise, dass die Cyberkriminellen zwar ebenfalls Malware verwendeten, diese letztlich aber gar nicht wirklich brauchten. Stattdessen nutzten sie eine alternative – und zugegebenermassen clevere – Methode, um selbst nach den Finanzdaten ihres Ziels zu fahnden.

Mit Hilfe der betroffenen Organisation konnten die Forscher herausfinden, wie die Cyberkriminellen vorgegangen waren: Sie stellten ihre E-Mails so dar, als stammten sie vom französischen Finanzamt, um Informationen über ihr Ziel zu sammeln. Etwas mehr als zwei Wochen vor der Registrierung der gefälschten Domain schickten die Angreifer eine E-Mail an das Unternehmen, die angeblich vom General Directorate of Public Finances (DGFiP) stammte und Steuernachfragen betraf. In einem PDF-Anhang forderte das vorgebliche Finanzamt Informationen für die Kunden des Unternehmens, Mitarbeiter und Finanzdaten, wobei das Schreiben sehr echt aussah und formuliert war. Lediglich ein aufmerksamer Blick auf die Adresse zeigte eine leichte Unstimmigkeit. Sobald die Betrüger die gewünschten Informationen hatten, konnten sie die nächste Phase des Angriffs starten. Weitere Einzelheiten beinhaltet der Originalbeitrag.

Breitgefächerte Ziele

Eine Suche nach ähnlichen E-Mails in den Systemen der Forscher erbrachte mindestens 73 verschiedene französische Unternehmen, die von diesen Cyberkriminellen anvisiert worden waren.

Bild 2. Die Verteilung der von diesem BEC-Betrug anvisierten Unternehmen nach Branchen

Die am meisten ins Visier genommene Branche in dieser BEC-Kampagne ist die verarbeitende Industrie, insbesondere Fertigungsunternehmen, die High-Tech-Produkte und -Materialien herstellen. Zahlreiche der anvisierten Unternehmen arbeiten mit vielen verschiedenen Dienstleistungsanbietern und Partnern zusammen, so dass Anträge auf Änderungen der Bankverbindungen weniger verdächtig erscheinen. Es ist sehr wahrscheinlich, dass der Betrug weiter verbreitet ist, als dies aus den vorliegenden Daten hervorgeht.

Zusätzlich zur Kontaktaufnahme und Zusammenarbeit mit der ersten untersuchten Organisation, wurden auch die anderen Zielpersonen informiert.

Verteidigung gegen BEC-Angriffe

Unternehmen sind gut beraten, ihre Mitarbeiter bezüglich der Funktionsweise von BEC-Betrug und ähnlichen Bedrohungen zu schulen. Diese Tricks erfordern keine besonderen technischen Fähigkeiten. Sie benötigen lediglich ein einziges kompromittiertes Konto und Services, die im cyberkriminellen Untergrund leicht erhältlich sind. Daher sind folgende Best Practices von grossem Nutzen:

  • Alle E-Mails eingehend prüfen. Besondere Vorsicht ist bei unregelmässig ankommenden E-Mails angebracht, die von hochrangigen Führungskräften verschickt werden, insbesondere bei solchen, die ungewöhnlich dringlich scheinen. E-Mails, in denen es um Forderungen nach Geld geht, sollte immer geprüft werden, ob es sich um ungewöhnliche Anfragen handelt.
  • Das Bewusstsein der Mitarbeiter schärfen. Mitarbeiter müssen geschult werden, Unternehmensrichtlinien überprüft und gute Sicherheitsgewohnheiten aufgebaut werden.
  • Verifizieren aller Änderungen des Zahlungsziels von Lieferanten, indem eine zweite Unterschrift eines Firmenmitarbeiters gefordert wird.
  • Mit Kundengewohnheiten auf dem Laufenden sein, einschliesslich der Details und Gründe für Zahlungen.
  • Anfragen immer verifizieren. Bestätigen der Anfragen für Geldtransfers mit Hilfe der telefonischen Verifizierung als Teil der Zweifaktor-Authentifizierung (2FA). Dabei sollten bekannte, vertraute Nummern und nicht die in den E-Mail-Anfragen angegebenen Details genutzt werden.
  • Unverzügliche Meldung eines jeden Vorfalls an die Strafverfolgungsbehörden oder bei der Beschwerdestelle für Internet-Kriminalität (IC3).

Trend Micro-Lösungen

Die E-Mail- sowie Endpoint-Sicherheitsfähigkeiten der Trend Micro User Protection– und Network Defense-Lösungen können Mail-Nachrichten blocken, die in BEC-Angriffen verwendet werden, und erkennen auch fortgeschrittene Malware. Die InterScan Messaging Security Virtual Appliance als Teil der User Protection-Lösungen bietet Schutz vor Angriffen, die Social Engineering-Taktiken verwenden, wie etwa BEC.

Kriminelle Methoden: Das Bulletproof Hosting-Geschäft

Originalartikel von Vladimir Kropotov, Robert McArdle und Fyodor Yarochkin, Trend Micro Research

Viele cyberkriminelle Aktionen zeigen ein gewisses Mass an Organisation, Planung und irgendeine Form der Grundlage, die den technischen Scharfsinn des Einzelnen oder der Gruppe dahinter widerspiegelt. Zum Modus Operandi eines Cyberkriminellen gehört die Nutzung der Untergrundinfrastruktur. In der Reihe „Underground Hosting“ haben die Autoren dargelegt, wie cyberkriminelle Waren in den Marktplätzen verkauft und welche Arten von Dienstleistungen angeboten werden. Dieser letzte Teil der Reihe widmet sich den Methoden, die Kriminelle anwenden, um ihre Güter zu sichern und im Geschäft zu überleben.

Da Infrastruktur-anbietende Plattformen sehr unterschiedlich sind, ist es schwierig, bösartige Quellen aufzudecken.

Das Whitepaper „The Hacker Infrastructure and Underground Hosting: Cybercrime Modi Operandi and OpSec“ beleuchtet das Ökosystem des Bulletproof Hostings aus Sicht der Kriminellen und zeigt deren „Überlebensstrategien“ sowie die Hauptschwächen, die Forschern und den Strafverfolgungsbehörden bei ihrer Arbeit helfen können.

Kriminelle Verkäufer nutzen zum Schutz ihrer Geschäfte unterschiedliche Mechanismen. Die Angebote bei diesen „Geschäften“ sind häufig auf die jeweiligen Wünsche und Forderungen der Kriminellen abgestimmt. Bulletproof-Hosting (BPH)-Services, auch als missbrauchsresistente Dienste bekannt, und in einigen Fällen auch Offshore-Hosting, umfassen in der Regel kompromittierte Assets und Infrastrukturen mit einem hohen Mass an Widerstandsfähigkeit gegen Missbrauch. Die Provider bieten ihren Kunden oft Unterstützung an, indem sie frühzeitige Benachrichtigungen über Missbrauchsanfragen austauschen und sogar Server automatisch in einen anderen IP-Raum verschieben.

Ein Bulletproof Host setzt verschiedene Methoden ein, um die unter seinen Fittichen operierenden Verbrechen aufrechtzuerhalten und Schutz vor den Strafverfolgungsbehörden zu bieten. Die BPH-Dienste tendieren dazu, Ressourcen strategisch global zu verteilen und dabei lokale Vorschriften und geografische Besonderheiten zu berücksichtigen. Eine Darstellung der Merkmale von Bulletproof-Hosting Providern liefert der Originalbeitrag.

Das Hosting auf kompromittierten Assets ist die billigste Variante, mit dem Vorbehalt, dass die Hosts nicht lange überleben. Hosting-Anbieter, die über ihre Rechenzentren und Infrastruktur verfügen, sind für Systeme rentabler, die eine langfristige Verfügbarkeit erfordern.

IP-Adressen, die ein Untergrundforum zwischen Januar und April 2020 genutzt hat

Die Überlebensfähigkeit der Hosts hängt von der Anpassungsfähigkeit der Betreiber ab. Wenn das Geschäft eingestellt wird, können als Reaktion auf Missbrauchsanfragen neue Briefkastenfirmen gegründet werden. Ein Upstream-Provider könnte IP-Bereiche einfach in neue Unternehmen übertragen. Einige Provider verlagern sogar ihren Virtual Private Server (VPS), um es den Strafverfolgungsbehörden zu erschweren, Systeme zu beschlagnahmen. In Verbindung mit Front-End-Reverse-Proxies gewährleisten Hosts auch eine Hochverfügbarkeit der Dienste. Zum Beispiel kann ein Host für einen bestimmten Zeitraum kontinuierlich von einem Standort aus agieren, bevor er aktiv zwischen verschiedenen Ländern hin- und herwechselt.

Die von Kriminellen bevorzugten Standorte nach Ländern, Aktivitäten (auf der Basis des Hosting-Feedbacks von Untergrundakteuren)

Achtung: [Y]es: Untergrund-Akteure erwähnen diesen Standort; [N]o: Untergrund-Akteure raten aktiv von der Nutzung diesem Standort ab; [M]aybe: Untergrund-Akteure erwähnen gelegentlich diesen Standort mit Einschränkungen, etwa die Zielregion

Aufgrund der vielen standortabhängigen Unterschiede bei Beschränkungen und Dienstleistungen kombinieren kriminelle Verkäufer Vorteile, um ihr Geschäftsmodell zu optimieren. Viele der BPH-Anzeigen beschreiben nicht nur die Art des Hostings, sondern auch das Land, in dem sich die Ausrüstung physisch befindet.

Die BPH-Anbieter scheinen auch gut über die regionalen Rechtsvorschriften informiert zu sein und darüber, wie die Strafverfolgungsbehörden reagieren und international zusammenarbeiten. Es ist üblich, dass die Betreiber die Anzahl nützlicher Log-Dateien minimieren und von anonymen Quellen wie Tor-Netzwerken auf das System zugreifen.

Auch gibt es die Möglichkeit, genauso wie in der legalen Welt, im Markt vorhandene Hosting Provider zu vergleichen. Unter anderem fanden die Forscher eine Site, auf der mehr als 1.000 Hostings miteinander verglichen wurden, und zwar nach verschiedenen Fähigkeiten, Kategorien sowie Kundenbeurteilungen.

Kriminelle Ansätze zur Vermeidung von DDoS –Angriffen und Forum Scraping

Untergrundforen sind häufige Ziel von Distributed Denial of Service (DDoS)-Angriffen durch verärgerte Forumsmitglieder und Konkurrenten. Eine Ausfallzeit kann den Ruf eines Forums erheblich beeinträchtigen und folglich dazu führen, dass Mitglieder zu Foren von Konkurrenten wechseln. Der Schutz vor DDoS-Angriffen hingegen erhöht den Ruf eines Forums als stabile Plattform.

Ein über einen DDoS-Schutzservice gesichertes Forum

Forumsbetreiber setzen auch verschiedene Mechanismen gegen automatisiertes Scraping ihrer Inhalte ein. Sicherheitsforscher und Strafverfolgungsbehörden setzten auf Scraping, um die Aktivitäten der Akteure im Untergrund zu analysieren. Einige Foren ermöglichen temporären oder nicht autorisierten Nutzern den Zugriff auf lediglich zehn Seiten innerhalb von 24 Stunden.

Wie legitime Websites verwenden auch kriminelle Foren Captcha-Systeme, um ihre Seiten vor automatischem Scraping und Besuchen durch Suchmaschinen und Bots zu schützen. Einige Underground-Akteure haben sie sich jedoch kreative Ersatzlösungen für Captcha ausgedacht. Sites stellen in der Regel zufällige Fragen zu verschiedenen Anwendungsbereichen – einige davon erfordern Kenntnisse über den kulturellen Hintergrund des Zielpublikums des Forums.

Beispiele der Fragen, die statt Captcha genutzt werden

Der Screenshot zeigt ein Beispiel für ein solches System, das mit einer Kategorie von Fragen zum Allgemeinwissen beginnt, bevor es zu einer Frage geht, die Nicht-Muttersprachler, die sich auf maschinelle Übersetzung verlassen, überfordern könnte.

Aufkommende Ransomware-Techniken für gezielte Angriffe

Originalartikel von Trend Micro

Wie Trend Micro im Halbjahresbericht 2020 darlegt, sagen die Zahlen zur Lösegeldforderung auf den ersten Blick nicht mehr viel aus. Zwar ist die Zahl der Infektionen, der Offenlegungen von Unternehmen und der Ransomware-Familien zurückgegangen, doch der geschätzte Geldbetrag, der für den Zugriff auf die verschlüsselte Daten ausgegeben wurde, ist stetig gestiegen. Cyberkriminelle greifen Institutionen und Unternehmen an, für die der Zugriff auf ihre Daten und die Wiederherstellung ihre Systeme sehr wichtig ist. Deshalb können die Kriminellen exorbitante Lösegeldforderungen stellen.

Bild 1. Die Gesamtzahl der Ransomware-Familien ist von 2012 bis 2020 zurückgegangen (oben). Das zeigen die monatlichen Erkennungszahlen für neue Ransomware-Familien im ersten Halbjahr 2020 (unten).

Die Bedrohungsakteure zielen nicht mehr auf einzelne Benutzer und Maschinen ab, um zufällige Ransomware-Infektionen auszulösen. Deshalb fehlt es in der Öffentlichkeit an Aktualisierungen und Mundpropaganda über deren Verbreitung. Betroffene Unternehmen und Behörden versuchen, Stillschweigen über die Angelegenheit zu bewahren, bis sie intern gelöst ist. Die Öffentlichkeit wird erst dann auf diese Vorfälle aufmerksam gemacht, wenn Nachforschungen angestellt oder wenn Vorfälle schliesslich gemeldet werden. Doch diese Verlautbarungen geben nur wenige Einzelheiten (wenn überhaupt) darüber, wie die Organisationen zu Opfern wurden oder ob dabei Lösegeld gezahlt wurde. Leider bietet die Bezahlung von Cyberkriminellen keine Garantie dafür, dass die Dateien wieder zugänglich werden oder dafür, dass es in Zukunft keine weiteren Angriffe geben kann.

Arten der Ransomware

Wie bereits erwähnt, gibt ein Vergleich der Erkennungszahlen mit denen von 2019 ein nur unvollständiges Bild des Geschehens. Eine Analyse der Techniken und Routinen der früher und derzeit installierten Ransomware macht deutlich, dass die Cyberkriminellen mittlerweile ihre Aufmerksamkeit auf bestimmte Ziele und grössere Geldsummen lenken, die sie von ihren Opfern erpressen können. Diese Ziele sind häufig in Branchen oder Organisationen mit kritischen öffentlichen Geschäftsvorgängen und Infrastrukturen zu finden.

Bedrohungsakteure können immer noch willkürlich Spam-E-Mails an ein Verzeichnis von E-Mail-Adressen senden, um mindestens ein Opfer anzulocken. Doch die jüngsten Angriffe sind gezielter, und die Opfer wurden vorher ausgekundschaftet, um einen grösstmöglichen Gewinn zu erzielen. Im Laufe der Jahre haben die Forscher drei verschiedene Arten von Ransomware beobachtet mit verschiedenen Routinen für das Eindringen in die Systeme der Opfer.

Wurm-basierte oder Legacy Ransomware

Wurm-basierte Ransomware verbreitet sich ähnlich den Würmern über replizierte Kopien ihrer selbst durch Systeme. Legacy Ransomware nutzt den eingestellten Support für Betriebssysteme aus. Sie setzen auf Schwachstellen als Einstiegspunkte und beeinträchtigen andere Systeme im Netzwerk auch ohne menschliche Interaktion. Einige dieser Bedrohungsvektoren lassen sich verhindern, wenn von den Herstellern veröffentlichte Patches aufgespielt oder die virtuellen Patches von Sicherheitsanbietern heruntergeladen werden, wenn der Support für ein Betriebssystem endet.

Ransomware-Routinen, die Zero-Day-Schwachstellen ausnutzen, können jedoch den grössten Schaden in Systemen anrichten. Ein Beispiel dafür ist WannaCry, das 2017 eingeführt wurde, Monate nachdem die Gruppe Cyberkrimineller Shadow Brokers mehrere Hacker-Tools veröffentlichte, darunter EternalBlue. Die Ransomware verbreitete sich rasch in Unternehmen auf der ganzen Welt und hielt Systeme als Geiseln und deren Betrieb im Stillstand, bis Forscher den Kill Switch in der Kodierung der Routine fanden.

Gängige Ransomware

Diese Art von Ransomware wird über Spam verbreitet. Cyberkriminelle kennen die Opfer nicht und senden die infizierten E-Mails einfach an eine Liste von Adressen, die sie gesammelt, gestohlen oder gekauft haben. Sie setzen Social Engineering-Techniken ein, um die Opfer zu täuschen, so dass diese die E-Mail oder den bösartigen Anhang öffnen und so ihre Systeme mit Lösegeldern infizieren.

Bei den meisten dieser Routinen verschlüsselt die Malware fast alle Arten von Dateien, die sich in einem System befinden können, wie z. B. Mediendateien, Dokumente, ausführbare Dateien und Anwendungen. Zu diesen Routinen gehört vermutlich auch eine Datei oder eine ausführbare Datei, in der die Höhe des Lösegeldes angegeben ist, sowie Support-Anweisungen, wie die Opfer Kryptowährungen erwerben können, um ihre Dateien wiederherzustellen. Dennoch gibt es keine Garantie dafür, dass ihnen der Entschlüsselungsschlüssel zugesandt wird oder dass ihre Dateien nach Zahlung des Lösegelds wiederhergestellt werden.

20162017201820192020 1H
LOCKY82,805WCRY321,814WCRY616,399WCRY416,215WCRY109,838
KOVTER50,390CERBER40,493GANDCRAB14,623LOCKY7,917LOCKEY6,967
NEMUCOD46,276LOCKY29,436LOCKY10,346CERBER5,556CERBER2,360
CERBER40,788CRYSIS10,573CERBER8,786GANDCRAB4,050CRYSIS1,100
CRYPTESLA26,172SPORA8,044CRYSIS2,897RYUK3,544SODINOKIBI727

Tabelle 1. Top fünf Ransomware-Familien von 2016 bis zum ersten Halbjahr 2020 (Daten aus dem Smart Protection Network, SPN)

Lesen Sie die Historie dieser Familien im Originalartikel.

Solch gängige Ransomware ist mittlerweile ein geringeres Problem für Unternehmen. Viele heute verfügbare Sicherheitssysteme und auch veröffentlichte Patches umfassen Mechanismen, die über verhaltensbasierte und Dateiüberwachungs-Technologien die Malware erkennen.

Gezielte oder auf Einbrüchen basierte Ransomware

Gezielte oder auf einem Einbruch basierte Ransomware beinhaltet die Techniken in Routinen, die in den letzten Jahren eingesetzt wurden. Diese Art von Ransomware dringt in ein System mittels z.B. gestohlener RDPs ein, über nicht gepatchte Schwachstellen und schlecht gesicherte Anwendungen. Von Untergrund-Websites können Cyberkriminelle Zugangsdaten wie RDP-Benutzernamen und Passwörter erwerben. Sie können auch Social-Engineering-Techniken einsetzen, um die benötigten Zugangsdaten zu phishen, oder die Zielcomputer mit Malware wie InfoStealer infizieren, um die Bedrohungsvektoren zu finden, die sie missbrauchen können.

Cyberkriminelle nutzen die genannten Zugangsdaten auch, um in die Systeme eines Unternehmens einzubrechen. Manchmal wird dies mit einer Eskalation der Privilegien, Tools oder Methoden kombiniert, die die installierte Sicherheit ausschalten. Im Fall des Vorhandenseins von technologisch fortschrittlicheren Systeme, wie z.B. Verhaltens-/Dateierkennung, ist Living Off the Land Binaries and Scripts (LOLBAS) eine Möglichkeit, der Erkennung beim Ausführen von Ransomware zu entgehen.

Auch hier fügen die Kriminellen Anleitungen in die Lösegeldforderung mit ein, wie das Opfer Bitcoins erwerben kann. Da die Erpresser ihre Ziele kennen, ist die Forderung häufig höher als bei den gängigen Ransomware-Angriffen. Sie setzen darauf, dass die Unternehmen ihre Dateien bzw. Systeme sofort wieder nutzen müssen. Cyberkriminelle können auch Fristen setzen, damit die Sicherheitsteams die Infektion vor Ablauf der Zeit unmöglich allein beheben können und deswegen das Opferunternehmen gezwungen ist zu zahlen. Mittlerweile drohen einige Cyberkriminelle ihren Opfern auch, die verschlüsselten Dateien zu veröffentlichen oder  die gestohlenen Informationen im Untergrund zu verkaufen, sollte das Lösegeld nicht rechtzeitig bezahlt werden.

Bei dieser Art der Ransomware-Angriffe werden nicht alle Dateien verschlüsselt, sondern eher bestimmte Dateitypen oder Anwendungen, die für den Alltagsgeschäftsbetrieb unerlässlich sind, so etwa Systemdateien und ausführbare Dateien. Auch hier gibt es keine Garantie, dass die Dateien wieder verwendbar sind, wenn das Opfer zahlt. Auch besteht die Gefahr, dass die Kriminellen weitere Arten von Malware installieren, die nicht auffindbar ist und für weitere Angriffe genutzt wird.

Zu den Zielen gehören auch mittelständische Betriebe wie Krankenhäuser, die als einträglich angesehen werden, weil ihre Sicherheitssysteme weniger fortschrittlich sein könnten und sie dennoch über genügend Ressourcen verfügen, um das Lösegeld zu bezahlen.

Im Jahr 2016 begannen Crysis und Dharma als gängige Arten von Ransomware. Die Techniken beider Routinen änderten sich jedoch schnell, um höher bezahlte potenzielle Opfer durch den Einsatz anderer Software und gestohlener RDPs anzugreifen. Dharma zeigte, wie vielseitig Ransomware sein kann, denn die Malware passte ihre Routinen an und nutzte andere legitime Software, um die Überwachung und Aufmerksamkeit umzulenken. Crysis wiederum nahm Unternehmen ins Visier und erlangte selbst nach der Entfernung der Malware wieder Zugang,  indem sie andere angeschlossene Geräte wie Drucker und Router für spätere Angriffe infizierte. Sie wurde als RaaS im Untergrund angeboten und war damit auch weiteren Hackern leicht zugänglich.

Charakteristiken neuer Techniken und Ziele

Diese Ransomware-Techniken des Eindringens in Systeme gezielter Opfern sind nicht neu. Unternehmen und Institutionen mit kritischer Infrastruktur gelten als hochwertige Ziele Da zudem im Untergrund mehr gestohlene Daten wie RDP-Zugangsdaten angeboten werden, können sich riskante Online-Gewohnheiten (wie das Recycling von Benutzernamen und Passwörtern) nicht nur für einzelne Benutzer, sondern auch für ein ganzes Unternehmen als schädlich erweisen.

Bild 2. Die wichtigsten Zielbranchen auf der Grundlage der Ransomware-Erkennung für 1H 2020 (Daten aus dem Trend Micro Smart Protection Network)

Die Ransomware-Routinen sind nun in der Lage, mit fortgeschrittenen Verschleierungstechniken ihre Erkennung zu vermeiden. Auch können sie über die Beschränkung auf nur wenige und bestimmte Dateitypen manche Sicherheitssysteme umgehen, vor allem solche ohne Monitoring von Dateien und Verhalten. So erlauben es die Routinen der Ransomware  Ryuk, das Netzwerk zu infizieren und dann durch laterale Bewegung nach Systemen zu suchen, die den grössten Gewinn versprechen.

Ransomware-Trends

Die Sicherheitsforscher gehen davon aus, dass die eingesetzten Routinen bezüglich ihrer Installation und Verschleierungstechniken komplexer werden und noch mehr Unternehmen und Behörden ins Visier nehmen.

Ebenso werden auch weiterhin mehr Regierungsbehörden und Grossunternehmen mit ihren Assets und nach aussen gerichteten Systeme zum Ziel werden. Von Websites, Anwendungen, E-Mails, Dateien und zentralisierten Kontrollsystemen bis hin zu firmeneigenen Geschäfts- und vertraulichen Sicherheitsinformationen könnten Kunden und Mitarbeiter gleichermassen gefährdet sein.

Auch das Industrial Internet of Things (IIoT) und Industrial Control Systems (ICS) könnten profitable Ziele darstellen. Produktionslinien und Lieferketten dienen als Ziele und Bedrohungsvektoren, und Störungen in diesen automatisierten Sektoren könnten sich nicht nur für das Unternehmen, sondern auch für die Wirtschaft und den Ruf eines Landes als katastrophal erweisen.

Fazit

Es gibt einige Best Practices, die Einzelpersonen, Unternehmen und Institutionen zu ihrem Schutz beachten sollten:

  • Gute Passwort-Strategie verwenden: Keine Benutzernamen und Passwörter für die Online-Konten und –Geräte wiederverwenden sowie die Standard-Anmeldedaten für alle Geräte ändern.
  • Netzwerksegmentierung einführen: Unternehmen sollten das Prinzip der geringsten Privilegien umsetzen und den Zugriff auf wichtige Daten und Systemverwaltungswerkzeuge einschränken.
  • Überprüfen der RDP-Servereinstellungen: Sie müssen regelmässig überwacht und aktualisiert werden. Empfehlenswert ist auch der Einsatz eines Brute-Force-Schutzsystems für RDP-Server sowie die stetige Aktualisierung der Anzahl der Benutzer und Konten mit RDP-Zugriff. Benutzer mit RDP-Zugriff müssen komplizierte und sichere Passwörter verwenden, die regelmässig geändert werden.
  • Überwachen der nach aussen gerichteten Server: IT-Teams sollten gewährleisten, dass die Patch-Zeitpläne eingehalten werden. Bei Implementierungsschwierigkeiten sind virtuelle Patching-Lösungen ein bewährtes Schutzmittel.
  • Aufbewahren der Sicherheitskopien von wichtigen Informationen: Mit der 3-2-1-Methode werden drei Sicherungskopien in mindestens zwei verschiedenen Formaten aufbewahrt, von denen eine separat und ausserhalb des Standorts lagert.
  • Ungeprüfte und verdächtige E-Mails und eingebettete Links nicht öffnen: Ist der Absender unbekannt, und sind die Nachricht und ihre Anhänge nicht verifiziert, so sollte die Nachricht gelöscht und/oder melden die E-Mail sofort an das Sicherheitsteam gemeldet werden.
  • Konsequentes Patchen und Aktualisieren der Systeme, Netzwerke, Software, Geräte, Server und Anwendungen: Sobald die Hersteller Patches oder Updates veröffentlichen, sollten diese angewendet werden, um zu verhindern, dass Schwachstellen offen bleiben, die von Bedrohungsakteuren ausgenutzt werden können.
  • Auf keine Lösegeldforderungen eingehen: Die Bezahlung ermutigt Cyberkriminellen nur, ihre Aktivitäten fortzusetzen. Es gibt auch keine Garantie dafür, dass verschlüsselte Daten abgerufen oder nicht gestohlen werden oder dass es nicht zu anderen späteren Angriffen kommt.

Trend Micro-Lösungen

Ein mehrschichtiger Ansatz kann Ransomware davon abhalten, Netzwerke und Systeme zu erreichen. Unternehmen sollten ihre gesamte IT-Infrastruktur vor Malware und Einbrüchen schützen. Mittelständler können den Schutz von Trend Micro™ Worry-Free™ Services Advanced, und für Heimanwender bietet Trend Micro Internet Security funktionsreichen Schutz für bis zu zehn Geräten. Trend Micro Ransomware File Decryptor Tool kann Dateien entschlüsseln, die von bestimmten Ransomware-Varianten verschlüsselt wurden.

Der Lebenszyklus eines kompromittierten (Cloud) Servers

Originalbeitrag von Bob McArdle

Trend Micro Research hat ein breit angelegtes Forschungsprojekt zum cyberkriminellen Hosting und zur Infrastruktur im Untergrund durchgeführt. Ein erster Report dazu beschäftigte sich mit dem Angebot von Hacker-Infrastrukturen im Untergrund. In dem aktuellen zweiten Teil geht es um den Lebenszyklus von kompromittierten Servern und den verschiedenen Phasen, um daraus Gewinn zu schlagen. Es gilt dabei zu beachten, dass es für Kriminelle keine Rolle spielt, ob der Server On-Premise oder in der Cloud betrieben wird.

Cloud- versus On-Premise-Server

Cyberkriminellen ist es gleichgültig, wo sich die Server befinden. Sie können den Speicherplatz und die Rechenressourcen ausnutzen oder Daten stehlen, egal auf welche Art von Server sie zugreifen. Alles, was am meisten exponiert ist, wird höchstwahrscheinlich missbraucht.

Mit fortschreitender digitalen Transformation und zunehmendem Arbeiten von zuhause werden Cloud-Server am wahrscheinlichsten Bedrohungen ausgesetzt. Leider sind viele IT-Teams in Unternehmen nicht darauf eingerichtet, für die Cloud denselben Schutz zu bieten wie für On-Premise-Server.

Die Forscher betonen, dass dieses Szenario nur für Cloud-Instanzen gilt, die die Speicher- oder Verarbeitungsleistung eines lokalen Servers replizieren. Container oder serverlose Funktionen fallen nicht der gleichen Art von Kompromittierung zum Opfer. Wenn der Angreifer das Cloud-Konto kompromittiert – im Gegensatz zu einer einzelnen laufenden Instanz – entsteht ein völlig anderer Angriffszyklus, da die Angreifer Rechenressourcen nach Belieben in Anspruch nehmen können. Obwohl dies möglich ist, liegt der Fokus der Erforschung nicht darauf.

Alarmsignale für einen Angriff

Viele IT- und Sicherheitsteams suchen möglicherweise nicht nach früheren Stadien des Missbrauchs. Bevor Server jedoch von Ransomware betroffen sind, gibt es andere Alarmsignale, die die Teams auf die Bedrohung aufmerksam machen könnten.

Wenn ein Server kompromittiert und für Kryptowährungs-Mining (auch als Kryptomining bekannt) verwendet wird, kann dies eine der grössten Alarmsignale für das Sicherheitsteam sein. Die Entdeckung von Cryptomining Malware, die auf irgendeinem Server läuft, sollte dazu führen, dass das Unternehmen unverzüglich Massnahmen ergreift und eine Reaktion auf den Vorfall (Incident Response) einleitet, um diesen Server zu sperren.

Dieser Indicator of Compromise (IOC) ist wichtig, denn obwohl Cryptomining-Malware im Vergleich zu anderen Malware-Typen häufig als weniger schwerwiegend angesehen wird, dient sie auch als Taktik zum Geld machen. Sie kann im Hintergrund laufen, während der Serverzugriff für weitere bösartige Aktivitäten verkauft wird. Beispielsweise könnte der Zugang für die Nutzung als Server für unterirdisches Hosting verkauft werden. Gleichzeitig könnten die Daten exfiltriert und als persönlich identifizierbare Informationen (PII) oder für Industriespionage verkauft werden, auch könnten sie für einen gezielten Ransomware-Angriff verscherbelt werden. Dieses Szenario nutzen zumindest einige Access-as-a-Service (AaaS)-Kriminelle als Teil ihres Geschäftsmodells.

Lebenszyklus eines Angriffs

Attacken auf kompromittierte Server folgen einem allgemeinen Muster:

  • Ursprüngliche Kompromittierung: In dieser Phase ist es klar, dass ein Krimineller den Server übernommen hat.
  • Asset-Kategorisierung: Dies ist die Phase der Bestandsaufnahme. Der Kriminelle nimmt seine Einschätzung anhand von Fragen vor, wie etwa: Welche Daten befinden sich auf diesem Server? Besteht die Möglichkeit einer lateralen Bewegung zu etwas Lukrativerem? Wer ist das Opfer?
  • Exfiltrierung sensibler Daten: Der Kriminelle stiehlt unter anderem Unternehmens-E-Mails, Client-Datenbanken und vertrauliche Dokumente. Dies kann jederzeit nach der Kategorisierungsphase passieren, wenn der Angreifer etwas Wertvolles entdeckt hat.
  • Kryptowährungs-Mining: Während der Angreifer einen Kunden für den Serverraum, einen Zielangriff oder andere Mittel zur Geldgewinnung sucht, wird Cryptomining eingesetzt, um im Verborgenen Geld zu verdienen.
  • Wiederverkauf oder Nutzung für gezielte Angriffe mit dem Ziel, mehr Geld zu verdienen: Abhängig davon, was der Kriminelle bei der Kategorisierung der Assets findet, könnte er seinen eigenen gezielten Ransomware-Angriff planen, den Serverzugang für Wirtschaftsspionage oder für weitere Zwecke verkaufen.

Der Lebenszyklus eines kompromittierten Servers bezüglich der Möglichkeiten Gewinn daraus zu ziehen

Häufig ist der Einsatz gezielter Ransomware die letzte Phase. In den meisten Fällen zeigt die Kategorisierung der Assets Daten auf, die zwar für das Unternehmen wertvoll sind, die sich jedoch nicht unbedingt für Spionage eignen.

Ein tiefgreifendes Verständnis der Server und des Netzwerks ermöglicht es Kriminellen hinter einem gezielten Ransomware-Angriff, das Unternehmen dort zu treffen, wo es am meisten schmerzt. Diese Kriminellen kennen den Datenbestand, wissen, wo sie sich befinden, ob es Backups der Daten gibt und vieles mehr. Mit einer so detaillierten Blaupause der Organisation können sie kritische Systeme abriegeln und ein höheres Lösegeld fordern. Das zeigt auch der Halbjahresbericht 2020 von Trend Micro.

Darüber hinaus hat zwar ein Ransomware-Angriff die sichtbare Dringlichkeit für die Abwehr, aber derselbe Angriff könnte auch darauf hinweisen, dass etwas weitaus Schwerwiegenderes wahrscheinlich bereits stattgefunden hat: der Diebstahl von Unternehmensdaten, und dies ist bei der Reaktionsplanung des Unternehmens zu berücksichtigen. Noch wichtiger ist, dass sobald ein IOC für Krypto-Währung gefunden wurde, das Unternehmen in der Lage ist, den Angreifer sofort zu stoppen, um später erhebliche Zeit und Kosten zu sparen.

Letztendlich ist die Sicherheit der Hybrid-Cloud von entscheidender Bedeutung, um diesen Lebenszyklus zu verhindern, unabhängig davon, wo die Daten eines Unternehmens gespeichert sind.

Hacker-Infrastrukturen als Hosting-Angebot im Untergrund

Originalartikel von Vladimir Kropotov, Robert McArdle, and Fyodor Yarochkin, Trend Micro Research

Im cyberkriminellen Untergrund stellt die Hosting-Infrastruktur eines Kriminellen die Grundlage für sein gesamtes Geschäftsmodell dar. Sie beinhaltet Anonymisierungsdienste, um die Aktivitäten vertraulich zu halten, Command-and-Control (C&C)-Server für den Missbrauch der Rechner der Opfer und Diskussionsforen für die Kommunikation mit anderen Kriminellen. Kriminelle Anbieter liefern Dienste und Infrastrukturen, die andere Kriminelle für die Ausführung ihrer Angriffe benötigen. Ein solcher Hosting-Service kann die Bereitstellung von Hosting-Infrastrukturen, von Domain-Namen, Fast-Flux-Infrastrukturen, Traffic-Beschleunigern, virtuellen und dedizierten Servern und virtuellen privaten Netzwerken (VPNs) umfassen. Gehostete Infrastrukturen werden auch für das Versenden von Phishing-Emails, den Handel mit illegalen Waren in Online-Shops und das Hosten von Virtual Private Systems (VPS), von denen aus Angriffe gestartet werden können, eingesetzt.

Hosting Services im Untergrund

Plattformen im kriminellen Untergrund bieten eine breite Palette von Diensten für kriminelle Hacker. Dazu gehören Bulletproof Hosting und Proxies bis hin zu VPS und VPNs. Interessanterweise finden sich solche Dienste auch in Foren, die mit Online-Wetten, Online-Marketing und Suchmaschinenoptimierung (SEO) zu tun haben.

Es gibt darüber hinaus auch Chat-Gruppen auf Online-Messenger-Plattformen wie VK, Telegram und WhatsApp, die zur Werbung für die oben genannten Dienste genutzt werden. Die Anzeigen in Untergrundforen und sozialen Netzwerken hatten dieselben Kontaktinformationen wie die Verkäufer, stellten die Forscher fest. Dies widerlegt die bestehende Vorstellung, dass Kriminelle nur im Untergrund illegale Waren verkaufen. Sie bieten ihre Marktplätze auch im legalen Netz an.

Dies ist der aktuelle Status des Untergrundmarkts – gut etabliert mit Foren voller Angebote und Communities von Akteuren unterschiedlicher Reife. Die Untergrundmarktplätze haben sich weiterentwickelt und besitzen Strukturen, die die legitimer Geschäfte widerspiegeln. Die Anbieter haben detaillierte Geschäftsmodelle und Systeme entwickelt, die gängige Zahlungsmittel wie PayPal, Mastercard, Visa und Kryptowährungen akzeptieren.

Die Produktpalette im Untergrund ist vielfältig. Abgesehen von den diversen Angeboten von Kreditkarten-Dumps und Skimmern, gibt es Hacking-Dienste in dedizierten Shops, die dedizierte Server, SOCKS-Proxies, VPNs und Distributed Denial-of-Service (DDoS)-Schutz anbieten.

Bild 1. Online-Shop, der dedizierte Hosting-Server anbietet

Die Sicherheitsforscher fanden offizielle Wiederverkäufer von öffentlichen Hosting-Diensten, die in Untergrundforen werben. Diese Provider haben eine legitime Kundschaft und werben im Internet. Mehrere Reseller kümmern sich jedoch auch um Kriminelle im Untergrund, entweder mit oder ohne Wissen des Unternehmens.

Es gibt auch Akteure im Untergrund, die Referenzlinks von Hosting-Providern sharen und sogar Empfehlungsprämien von der Community kassierten. Hosts werden häufig von kriminellen Akteuren wegen ihrer Anonymität und ihrer Möglichkeiten des Missbrauchs diskutiert und beworben.

Bild 2. Werbung für kompromittierte Hosts in einem Untergrundforum

Social Media-Plattformen, die kriminelle Anbieter und Käufer ausnutzen

Wie jedes Unternehmen, das Waren und Dienstleistungen an potenzielle Abnehmer verkauft, werben auch kriminelle Händler. Verkäufer nutzen verschiedene Plattformen, um für ihre Produkte und Dienstleistungen zu werben: Chat-Kanäle, Hacking-Foren und Social Media-Posts.

So gab es beispielsweise einen Hosting-Service, der im sozialen Netzwerk VK als geeignet beworben wurde, um Brute-Force-Angriffe und Massen-Internet-Scans über Masscan, Nmap und ZMap durchzuführen.

Fazit

Ein gutes Wissen, den kriminellen Untergrund betreffend, ist von entscheidender Bedeutung, um Organisationen, der InfoSec-Community und den Strafverfolgungsbehörden dabei zu helfen, mit der Cyberkriminalität umzugehen und sie einzudämmen. Ein zweiter Teil zu der Forschung von Trend Micro stellt dar, wie Cyberkriminelle Infrastrukturkomponenten erwerben und einsetzen, so etwa kompromittierte Assets und dedizierte Hosting-Server.

Details zu der aktuellen Forschung umfasst das Whitepaper „The Hacker Infrastructure and Underground Hosting: An Overview of the Cybercriminal Market“. Es gibt Einblicke in die Funktionsweise einer Untergrundwirtschaft und die Grundlagen von krimineller Online-Infrastruktur.

Russische Gruppe führt mehr als 200 BEC-Kampagnen

Eine russische Gruppe namens Cosmic Lynx hat mehr als 200 Business Email Compromise (BEC)-Kampagnen gegen hunderte multinationaler Unternehmen geführt, so das Sicherheitsunternehmen Agari. Die Kampagnen gab es seit 2019 in 40 Ländern, und die Kriminellen verlangten von ihren Opfern insgesamt 1,27 Millionen Dollar.

Wie viele andere Gruppen zielte auch Cosmic Lynx auf gehobene Führungskräfte in Positionen wie Geschäftsführer (28%), Vizepräsident (24%), General Manager (23%), CEO (8%), Finanzchef (7%), Präsident (7%) und andere (4%).

Um diese Ziele zu täuschen, bedienen sich die Cyberkriminellen einer zweifachen Identitätstäuschung: Zuerst geben sie sich als der CEO des Unternehmens aus, dann als legitimer Anwalt einer in Großbritannien ansässigen Anwaltskanzlei. Zuerst schicken die Angreifer, die sich als CEO des Unternehmens ausgeben, eine Email an einen Mitarbeiter, in der sie auf die Notwendigkeit eines „externen Rechtsbeistands“ hinweisen. In der Email heisst es, dass es sich um eine zeitkritische Angelegenheit handele, um ein Gefühl der Dringlichkeit zu erzeugen. Antwortet der Mitarbeiter, wird er aufgefordert, sich per Mail mit einem angeblichen Anwalt auszutauschen und soll dann Geld an Konten überweisen, die vorgeblich mit der Anwaltskanzlei in Verbindung stehen, in Wirklichkeit aber von der Gruppe kontrollierte Scheinkonten sind. Die geforderten Summen belaufen sich auf 1,27 Millionen von US-Dollar.

Bei den meisten Angriffen werden kostenlose Mail-Konten und Domänen verwendet, die eine sichere Mail- und Netzwerkinfrastruktur nachahmen (z.B. Secure-Mail-Gateway, verschlüsselter SMTP-Transport, MX-Secure-Net). Die Gruppe registrierte auch einige ihrer Domänen bei einem Bulletproof Hosting- und einem anonymen Domänen-Provider.

Neben BEC wurde die Gruppe auch mit anderen bösartigen Aktivitäten wie die Verbreitung von Emotet, Trickbot und Click-Fraud-Malware in Verbindung gebracht. Sie sollen auch hinter einem Carding-Marktplatz und gefälschten Dokumenten-Websites stecken.

Die Verluste durch BEC betrugen 2019 1,7 Milliarden Dollar, berichtet das FBI.

Kampf gegen BEC

Die von Trend Micro™ Cloud App Security entdeckten BEC-Versuche stiegen von mehr als 100.000 in 2018 auf fast 400.000 in 2019, ein Mehr von 271%. Diese Spitzenwerte sind beachtlich, wenn man bedenkt, dass viele BEC-Kampagnen keine innovativen Taktiken anwenden müssen, um erfolgreich zu sein. Die Nachahmung von Schlüsselfiguren im Unternehmen, die Andeutung von Dringlichkeit und die Nutzung aktueller Ereignisse als Lockmittel (wie die Coronavirus-Pandemie) sind nur einige der bewährten Strategien, die von Cyberkriminellen eingesetzt werden, um ahnungslose Mitarbeiter zu täuschen. Durch die ständige Entwicklung neuer Techniken durch Cyberkriminelle, wie die Verwendung von Deepfakes, neuen Kanälen und verschiedenen Dateiformaten für Anhänge, wandelt sich BEC weiterhin zu einer noch ernsteren Bedrohung.

Um das Risiko finanzieller Verluste durch BEC-Betrug zu vermeiden, sollten Unternehmen ihre Mitarbeiter mit folgenden Best Practices vertraut machen:

  • Verifizieren von Anfragen für Geldüberweisungen durch Bestätigung der Richtigkeit des Absenders mit anderen Mitteln als Mail. Festlegen eines zweiten Freigabeprozesses ist auch empfehlenswert.
  • Untersuchen von Mails, um gefälschte Adressen zu erkennen. Einige Kampagnen verwenden Emails, die den echten Adressen bis auf einen geringfügigen Unterschied in einigen wenigen Zeichen sehr ähnlich sind.
  • Wissen über die jeweils neuesten Mail-Betrügereien hilft dabei, diese schneller zu erkennen.

Unterstützung beim Blockieren von BEC-Bedrohungen liefern auch Sicherheitslösungen, die auf künstliche Intelligenz und Machine Learning setzen.

  • Trend Micro Cloud App Security kann Microsoft Office 365- und andere Cloud-Services über Sandbox Malware-Analysen für BEC und andere fortgeschrittene Bedrohungen schützen.
  • Trend Micro™ Email Security analysiert Email Header und Inhalte mithilfe von fortschrittlichem maschinellem Lernen und ausgeklügelten Regeln, um BEC und andere Bedrohungen zu erkennen und zu stoppen.

Schlagabtausch: der unvermeidliche Cyber-Rüstungswettlauf

von Richard Werner, Business Consultant

Eine treibende Kraft bestimmt die cyberkriminelle Wirtschaft und die Bedrohungslandschaft: Gut gegen Böse, oder besser gesagt, Gesetzeshüter, Forscher, Anbieter und Cybersicherheits-Experten auf der einen Seite und Cyberkriminelle auf der anderen. Dieses Katz-und-Maus-Spiel wird seit fast zwei Jahrzehnten ausgetragen, aber im Zuge der technologischen Innovationen und des gesellschaftlichen Wandels im Allgemeinen scheint es sich in den letzten Jahren beschleunigt zu haben. Nach einer neuen eingehenden Analyse der Cyberkriminalität im Untergrund der letzten Jahre gelangen die Sicherheitsforscher zu dem Schluss, dass die Massnahmen der Strafverfolgungsbehörden die Gegner im Untergrund in Unruhe versetzen. Im Gegenzug aber entwickeln die Kriminellen jedoch ihre Werkzeuge und Taktiken weiter, um eine neue Art von Angriffen zu Geld zu machen.

Die guten Nachrichten zuerst: Die neue Analyse des kriminellen Untergrunds ergab, dass die Schliessung von Dark-Web-Marktplätzen durch die Polizei in den letzten Jahren definitiv Wirkung zeigt. Die Zerschlagung grosser Websites wie AlphaBay, Evolution und Hansa hat bei den Online-Händlern zu Unsicherheit und Paranoia geführt. Obwohl viele Sites noch immer in Betrieb sind, so z.B. Nulled, Joker’s Stash und Hackforums, gibt es keinen einzigen dominanten Anbieter mehr in der Spur der Silk Road. Darüber hinaus klagen die Nutzer über anhaltende Anmeldeprobleme und DDoS-Angriffe, die vermutlich das Werk von Strafverfolgungsbehörden sind.

Als Gesamteffekt dieser Bemühungen der Polizeibehörden hat sich Misstrauen in das Dark Web eingeschlichen. Händler sind nicht nur vor Betrügereien der Administratoren auf der Hut, sondern befürchten auch, dass die Polizei diese Seiten bereits infiltriert haben könnte. Es ist ermutigend zu sehen, dass die viele harte Arbeit und die jahrelange Zusammenarbeit zwischen Polizei und Unternehmen des privaten Sektors wie etwa Trend Micro Wirkung zeigt.

Die Kriminellen schlagen zurück

Cyberkriminelle sind jedoch bekanntermassen einfallsreich und agil. Als Reaktion auf diese Untergrabung des Vertrauens Online entstand eine neue Website namens DarkNet Trust, wo sich der Ruf von Anbietern verifizieren lässt, indem Profile auf verschiedenen Untergrundseiten durchsucht und Benutzernamen und PGP-Fingerabdrücke überprüft werden können. Des Weiteren stellte Joker’s Stash auf Blockchain-DNS um, um der polizeilichen Überwachung zu entgehen, und der P2P-Markt OpenBazaar wirbt mit einer Android- und iOS-App, die es den Benutzern erlaubt, privat zu chatten. Viele Cyberkriminelle nutzen inzwischen den vor allem bei Gamern beliebten Instant Messaging-Dienst Discord, um anonym zu kommunizieren, und viele Dark-Foren und -Marktplätze haben sogar ihre eigenen Discord-Server aufgebaut. Andere benutzen die legitime E-Commerce-Plattform Shoppy.gg, um ihre Waren zu verkaufen.

Cyberkriminelle sind wie eh und je anpassungsfähig und zielen auf Organisationen, die dank veränderter Arbeitsweisen neuen Bedrohungen ausgesetzt sind. Das aufgrund der COVID-bezogenen Beschränkungen weit verbreitete Home Office hat dazu geführt, dass viele Mitarbeiter Rechner benutzen, die nicht so gut geschützt sind wie ihre Pendants im Unternehmen. Zudem sind Nutzer zu Hause stärker abgelenkt, und IT-Sicherheitsteams haben Mühe, all diese neuen Endpunkte zu ermitteln und zu patchen, insbesondere da VPNs mit hoher Belastung zu kämpfen haben.

Es ist damit zu rechnen, dass es weiterhin Betrügereien mit staatlichen Konjunkturfonds geben wird und dass ein breites Interesse an neuen Informationen über das Virus besteht. VPN-Malware und insbesondere DDoS-Dienste werden in der Untergrundwirtschaft ebenfalls stark nachgefragt werden, und immer mehr Angebote von Botnets bestehend aus kompromittierten Heimnetzwerken als Service tauchen auf. Die Sicherheitsforscher gehen auch von der Zunahme gezielter Angriffe aus, die über potenziell ungesicherte Heimcomputer in Unternehmensnetzwerke einzudringen versuchen. Diese Bedrohungen stellen eine Art umgekehrtes BYOD-Szenario dar: Statt dass Nutzer ihre Geräte in den Unternehmensbereich mitbringen, wird das Unternehmensnetzwerk jetzt mit dem Heimnetzwerk zusammengeführt.

Weiterentwicklung der Tools

Wie sieht also die Zeit nach COVID-19 aus? Es ist interessant festzustellen, dass in den letzten fünf Jahren in vielen Bereichen die Preise erheblich gesunken sind: So ist beispielsweise der Preis für Kryptographie-Services von etwa 1000 $/Monat im Jahr 2015 auf heute nur noch 20 $ gesunken. In anderen Bereichen bleiben die Preise jedoch stabil und in einigen steigen sie gar. Fortnite Logins können heute im Durchschnitt für etwa 1.000 $ verkauft werden. Man kann davon ausgehen, dass relativ neue Entwicklungen wie IoT-Botnets und Cyber-Propaganda-Services den kriminellen Verkäufern auch in den kommenden Jahren viel Geld einbringen werden.

Im Moment machen Cyberkriminelle auch hohe Profite mit dem Verkauf von „Access-as-a-Service“. Dies hat sich von Angeboten im Zusammenhang mit dem Remote-Desktop-Protokoll (RDP) zum Verkauf von Zugang zu gehackten Geräten und Unternehmensnetzwerken entwickelt. Ein Bedrohungsakteur verscherbelte Zugriff auf eine US-Versicherungsgesellschaft für 1.999 $ und zu einer europäischen Softwarefirma für 2.999 $.

Der potenziell grösste Wachstumsbereich in der cyberkriminellen Wirtschaft liegt jedoch langfristig in der KI. Künstliche Intelligenz wird bereits in Bot-Services wie Luckybot eingesetzt, die behaupten, Würfel-Wurfmuster auf Glücksspiel-Websites vorhersagen und komplexe Roblox CAPTCHAs lösen zu können. Es wird auch ein potenziell lukrativer Markt für Sextorsions-Angriffe auf der Basis von Deep Fakes entstehen.

Fazit

Die gute Nachricht ist, dass gleichzeitig auch Sicherheitshersteller wie Trend Micro Neuerungen einführen, um nicht nur laufende Angriffe besser aufzudecken, sondern auch Wege zu finden, wie man die Hintermänner aufspüren und ausschalten kann. Es besteht kaum eine Chance, dass dieses Wettrüsten jemals enden wird, aber zumindest haben die letzten Jahre gezeigt, dass wir etwas bewirken und es den Bösewichten schwerer machen können, schnelles Geld zu verdienen.

Den gesamten Bericht finden Interessierte hier.