Archiv der Kategorie: Spam

Phishing-Technik setzt auf legitim aussehende Domänen

Originalartikel von Paul Miguel Babon

Die E-Mail-Bedrohungen nehmen weiterhin zu, und zugleich steigt auch die Zahl der Phishing URLs. Damit haben sich leider die Warnungen von Trend Micro zur Jahresmitte 2020 auch für die zweite Hälfte bestätigt. Kürzlich entdeckten die Sicherheitsforscher eine Phishing-Technik, die eine Kombination aus Phishing-Mail und betrügerischen Seiten nutzt. Die Kombination beinhaltet eine genaue URL, nämlich die Phishing-Seite, und deren Domäne, eine Scam-Website.

Der Prozess startet mit einer Phishing-Mail:

Bild 1. Die eingesetzte Phishing E-Mail

Ein Klick auf „Release All/Block All“ führt den Nutzer auf eine völlig andere Website, die in keiner Beziehung zur E-Mail steht und ein gefälschtes Login-Fenster für ein Mail-System zeigt. Dies ist zwar eine übliche Taktik bei Phishing, doch den Unterschied macht aus, dass die Domäne selbst zugänglich ist und eine Unternehmensseite darstellt.

Bild 2. Die wiseinvestors[.]pro-Unternehmensseite

Mithilfe folgender Faktoren konnten die Sicherheitsforscher erkennen, dass es sich um eine gefälschte Firma handelt:

  • Domänenname. Der Domänenname „WiseInvestors“ unterscheidet sich von dem Markennamen der Firma auf dem Bildschirm, der „Pearl“ lautet. Der Grund: Pearl ist ein WordPress Theme und kein legitimer Service.
  • Ungewöhnliche TLD (Top Level Domain). Die Verwendung von .pro ist unüblich für eine TLD. Anders als .com, .net oder .ph sind nicht übliche TLDs normalerweise billig zu haben, und daher für Cyberkriminelle attraktiv.
  • Template-Text. Reste von Template-Text, ähnlich dem „Lorem Ipsum“-Wortblock, sind auf der Website noch vorhanden (siehe Bild 3).
  • Domänenregistrierung. Laut „whois“ ist die Domäne weniger als ein Jahr alt, was dem Alter der meisten bösartigen Domänen entspricht.

Bild 3. Der Text der Website wirkt unfertig

Bild 4. Whois-Daten zu wiseinvestors[.]pro

Cyberkriminelle können mit dieser Phishing-Technik eine Erkennung in Echtzeit vermeiden, da die Domain weiter untersucht werden muss, was Anti-Spam und Funktionen gängiger Sicherheitssoftware zum Blockieren bösartiger URLs übersehen können. Selbst wenn die Phishing-Mail vereitelt wird, bleibt die Phishing-Domain unentdeckt, sodass Cyberkriminelle weitere Phishing-URLs erstellen können, die auf dieser Domain gehostet werden. Es gab in den vergangenen Monaten auch weitere Beispiele dieser kombinierten Phishing-/Scam-Technik, so etwa folgende:

Bild 5. Gefälschte Benachrichtigung über das E-Mail-Konto-Passwort dient als Phishing-Mail. Wenn das Opfer auf „Passwort behalten“ klickt, wird es auf eine andere Seite umgeleitet.

Empfehlungen

Nutzer können solche Angriffe vermeiden, indem sie ein paar Best Practices befolgen, bevor sie auf einen Link in einer E-Mail klicken:

  • Überprüfen Sie den Inhalt der E-Mail genau. Untersuchen Sie, ob die Informationen, wie z. B. die E-Mail-Adresse, der Nachrichtentext oder die Links, wirklich konsistent sind.
  • Wenn Sie auf den Link aus einer E-Mail klicken, prüfen Sie die Website. Auch wenn sie scheinbar nicht bösartige Inhalte auf ihrer Startseite anzeigt, bedeutet das nicht, dass die Website nicht bösartig ist. Verräterische Zeichen sind Template-Texte innerhalb der Website.
  • Wenn Sie etwas auf Ihrem Arbeitscomputer finden, alarmieren Sie sofort Ihre Sicherheits- und IT-Abteilung, damit diese weitere Untersuchungen vornehmen kann.

Befolgen Unternehmen die folgenden Security Best Practices können sie ähnliche erfolgreiche Phishing-Kampagnen verhindern:

Ein mehrschichtiger Security-Ansatz empfiehlt sich zum Schutz aller möglicher Bedrohungseintrittspunkte. Lösungen wie Trend Micro™ Email Security, die fortschrittliches Machine Learning und dynamische Sandbox-Analysen verwenden, können dazu beitragen, E-Mail-Bedrohungen zu stoppen.

Sicherheit 2021: Im Zeichen der gewandelten Arbeitsabläufe

Originalartikel von Trend Micro Research

Das Jahresende rückt näher und Unternehmen müssen ihren Fokus für 2021 auf Strategien in den wichtigen Bereichen legen. Als Reaktion auf die Covid-19-Pandemie waren Organisationen genötigt, ihre Betriebs- und Sicherheitsprozesse zu überdenken — von Geschäftsfunktionen und Cloud-Migrationen bis hin zur Unterstützung der Telearbeit. Diese aktuellen Gefahren zusammen mit den konstanten Sicherheitsrisiken, haben die Firmen im Jahr 2020 nicht nur vor Herausforderungen gestellt, sondern auch Fragen hinsichtlich ihrer Störungsanfälligkeit aufgeworfen. Trend Micro hat die Trends und Vorhersagen für 2021 aufgestellt, die Sicherheitsfachleute und Entscheidungsträger bei ihren Überlegungen im Auge behalten sollten.

Home Offices als kriminelles Drehkreuz

Im Zuge der zur Normalität gewordenen Arbeit im Home Office werden die Häuser auf absehbare Zeit zu Büros umfunktioniert. Immer mehr Mitarbeiter nutzen Geräte (einige sogar persönliche), um auf vertrauliche Daten in Heim- und Firmennetzwerken zuzugreifen. Das stellt für jede Organisation ein erhebliches Risiko dar, denn ohne einen gesicherten Zugang und robuste Sicherheitswerkzeuge, die die verteilte Angriffsfläche schützen, können sich Bedrohungsakteure leicht in Netzwerke einhacken und von einem Rechner zum anderen springen, bis sie ein geeignetes Ziel finden.

2020 wurde durch den Wechsel zu verteilter Arbeit auch der Einsatz von Geräten und Software neu gewichtet. Cyberkriminelle folgen den Nutzern und machen sich bei ihren Angriffen die Situation der User und ihr Verhalten zunutze. Sie sind immer auf der Suche nach Sicherheitslücken und nutzen die Schwachstellen, mangelnde Vorbereitung oder die mangelhafte Unterstützung der Sicherheit von Remote-Mitarbeitern gnadenlos aus.

Router werden Hauptziele der Remote-Angriffe sein. Cyberkriminelle können gehackte Router als neuen Service anbieten und damit Zugriff auf lukrative Netzwerke verkaufen. Die Sicherheitsforscher gehen davon aus, dass es auch möglich ist, dieselben Methoden auf konvergierte IT/OT-Netzwerke anzuwenden.

Der Umgang mit wertvollen Unternehmensbeständen wird 2021 ebenfalls eine Herausforderung darstellen, da die Organisationen Einbruchsversuche und Malware-Infektionen abwehren und alle sensiblen Informationen sichern müssen. Virtuelle private Netzwerke (VPNs) lassen sichere Verbindungen mit Arbeitsplätzen zu, doch wenn sie veraltet sind (oder ungepatchte Schwachstellen aufweisen, die Remote-Angriffe auslösen könnten), erweisen sie sich als ineffizient und für viele Unternehmen als schwaches Glied. Ohne detaillierte Sicherheitsrichtlinien und Incident Response-Pläne für die Reaktion auf Vorfälle können Angreifer Remote-Mitarbeiter als ideale Einstiegspunkte in die Ökosysteme von Unternehmen ins Visier nehmen.

Covid-19 als Köder für bösartige Kampagnen

Cyberkriminelle haben die durch die Pandemie verursachten Probleme schnell für ihre Angriffe genutzt, unter anderem für Phishing und Ransomware. Sie setzen dabei auf Social Engineering-Taktiken, um Spam, Business Email Compromise (BEC), Malware und bösartige Domänen zu verbreiten.

Bedrohungen werden auch weiterhin versuchen, in den Zielsystemen Fuss zu fassen. Und es gibt keinen Mangel an Bedrohungen, die Cyberkriminelle in Verbindung mit Covid-19 dafür einsetzen können. Sie werden ihr Augenmerk auch auf Tests, Behandlungen und Impfstoffe richten und die mit dem Corona-Virus verbundenen Ängste durch Fehlinformationen ausnutzen. Organisationen des Gesundheitswesens und auch Pharmaunternehmen, die Impfstoffe entwickeln, werden ebenfalls weiter unter Druck gesetzt werden. Bedrohungsakteure können Patientendaten gefährden, Malware-Angriffe starten oder medizinische Spionage erleichtern.

Digitale Transformation kann zum zweischneidigen Schwert werden

Die durch die Pandemie verursachten Geschäftsstörungen haben viele Unternehmen dazu angespornt, ihre Programme zur digitalen Transformation zu beschleunigen. Aus technologischer Sicht kommt dies der Lösung derzeitiger Bedürfnisse, welche cloudbasierte Software erfüllen kann, entgegen. Viele haben die Konnektivität unter den Mitarbeitern vorangebracht, setzen auf KI-fähige Anwendungen für die Unternehmensproduktivität und eine verstärkte Nutzung der Cloud, um agiler zu werden und besser skalieren zu können.

Doch diejenigen, die hastig von On-Premise-Umgebungen abgekommen sind, ohne entsprechende Sicherheitslösungen für die neuen Umgebungen zu haben, werden in Schwierigkeiten geraten. Der verstärkte Trend in Cloud-Umgebungen und -Tools für die Zusammenarbeit wird für Angreifer sehr attraktiv. Und Forscher aber auch Bedrohungsakteure werden sich auf Schwachstellen hinsichtlich der Technologien für das Remote-Arbeiten konzentrieren. Die „Cloud of Logs“, die Unternehmen anlegen und speichern, wird auch eine zentrale Rolle für professionelle Cyberkriminelle spielen. Sie werden dort wertvolle Daten suchen und nutzen, um erste Zugangspunkte zu Netzwerken zu finden.

Die sich abzeichnenden Wechsel in der Bedrohungslandschaft sollten Organisationen nicht davon abhalten, neue Technologien zu implementieren und sich der aktuellen Realität zu stellen. Bedrohungsakteure werden versuchen, die Situation auszunutzen, unabhängig von der aktuellen Landschaft. Mit geeigneten Sicherheitsstrategien und -lösungen können Organisationen alle Vorteile der digitalen Transformation nutzen, ohne sich selbst einem erheblichen Risiko auszusetzen.

Den ganzen Bericht mit den Prognosen zu den wichtigsten Sicherheitstrends finden Interessierte hier: „Turning the Tide: Trend Micro Security Predictions for 2021

Angreifer nehmen Kommunikations-Apps wie Zoom, Slack oder Discord ins Visier

von Trend Micro

In dem Halbjahresbericht zur Sicherheit 2020 zeigt Trend Micro auf, wie während der Corona-Pandemie viele Unternehmen von physischen Büros auf virtuelle umgestiegen sind. Das wiederum führte zu einem Boom für Messaging- und Videokonferenzanwendungen als Kommunikationsmittel, allen voran Zoom, aber auch Slack oder Discord. Und wie nicht anders zu erwarten, gerieten die Anwendungen auch ins Visier der Cyberkriminellen.

In erster Linie hat Zoom alle Rekorde gebrochen und wird in Schulen, Unternehmen und von Einzelpersonen eingesetzt. Daher ist das Conferencing-System auch das interessanteste Ziel für die Kriminellen.

Die wohl bekannteste böswillige Aktivität im Zusammenhang mit Zoom ist das so genannte „Zoom-Bombing“, bei dem Witzbolde eine Besprechung zum Scheitern bringen und dann Störaktionen durchführen, wie z.B. das Versenden von Spam mit pornografischen Inhalten oder auch nur allgemeine Belästigung. Zoom-Bombing ist zwar ärgerlich, aber sicherheitstechnisch in der Regel harmlos. Andererseits gibt es Zoom-bezogene Angriffe mit echter Malware, die viel mehr Schaden anrichten kann. Die häufigste diesbezügliche Angriffstechnik besteht in der Verwendung von Zoom-Installationsprogrammen, die mit Malware gebündelt sind.

Manchmal setzen die Angreifer auf gefälschte Zoom-Installer, um Benutzer dazu zu verleiten, sie auf ihren Rechnern zu installieren. Die Sicherheitsforscher stiessen etwa im Mai auf einen solchen Fall, nachdem sie Samples von Malware-Dateien gefunden hatten, die als gefälschte Zoom-Installer getarnt waren. Für den Durchschnittsanwender dürfte es schwierig sein, die legitime Zoom-Anwendung von den gefälschten zu unterscheiden. Eine genauere Prüfung ergibt, dass bösartige Versionen deutlich größere Dateien aufweisen.

Bild 1. Vergleich der Dateigrösse von bösartigen Zoom-Kopien mit dem legitimen Installer

Eines der Malware-Samples (Trojan.Win32.ZAPIZ.A) ist eine Hintertür mit Funktionen für den Fernzugriff, sodass ein Angreifer Zugriff auf den infizierten Computer erlangen kann, um böswillige Aktionen durchzuführen, wie z. B. Stehlen von Informationen. Das andere Sample (Backdoor.Win32.DEVILSHADOW.THEAABO) verfügt über einen Installer, der aus einer Datei mit bösartigen Befehlen besteht. Interessanterweise haben beide kompromittierten Installer eine legitime Version von Zoom installiert, wahrscheinlich um Hinweise auf böswillige Aktivitäten vor dem Benutzer zu verbergen.

Des Weiteren gibt es böswillige Akteure, die legitime Installer mit Malware-Dateien gebündelt hatten. So entdecken die Forscher im April einen Angriff, bei dem echte Zoom-Installer zum Einsatz kamen, die mit dem RevCode WebMonitor RAT (Backdoor.Win32.REVCODE.THDBABO) bereitgestellt wurden. Diese Malware-Variante erlaubt es ihrem Betreiber, Remote-Befehle auszuführen, z.B. Dateien hinzuzufügen oder zu löschen, Tasteneingaben aufzuzeichnen und Informationen zu sammeln. Die gleiche Masche gibt es auch mit der ZAPIZ Malware (Trojan.Win32. ZAPIZ.A), die nach dem Herunterladen alle Remote Utilities löscht und Informationen stehlen kann, möglicherweise als Vorbereitung für weitere Angriffe.

Es fand sich auch ein E-Mail-Sample, wobei ein böswilliger Akteur versuchte, Geld von dem Opfer zu erpressen, indem er ihm mit der Veröffentlichung von belastendem Videomaterial drohte, das angeblich über eine gehackte Kamera erworben wurde.

Missbrauch von Discord und Slack

Doch gibt es auch Beweise für Angriffe auf andere Kommunikationsdienste wie Slack und Discord. Slack hat mittlerweile (seit 2019) mehr als zehn Millionen aktive Nutzer täglich. Kürzlich fanden die Sicherheitsforscher eine Ransomware-Variante (Ransom.Win32.CRYPREN.C), die auf den ersten Blick ziemlich gewöhnlich scheint. Sie verschlüsselt Dateien und versieht sie danach mit einer .encrypted-Extension.

Bild 2. Die Lösegeldforderung der Crypren Ransomware

Interessant ist, dass Crypren Slack Webhooks nutzt, um den Verschlüsselungsstatus der Opfer an den Command-and-Control (C&C)-Server zu melden— eine bis dato noch nie angetroffene Technik.

Derzeit schickt die Ransomware nur eine minimale Datenmenge zurück, nämlich Computer- und Benutzernamen, die Anzahl der infizierten Dateien und den Infektionszeitstempel – was darauf hindeutet, dass sich die Verwendung von Slack für die Meldung des Infektionsstatus möglicherweise noch in der Testphase befindet.

Discord ist eine weitere Kommunikationssoftware, die ähnliche Eigenschaften wie Slack besitzt (und in Gaming-Communities weit verbreitet ist). Die Sicherheitsforscher stiessen auf Samples, die zeigen, wie böswillige Akteure Discord als Teil einer Kampagne mit bösartigen Spam-Mails verwenden, die schliesslich mit einer AveMaria- oder AgentTesla-Malware-Infektion enden. Die E-Mails enthalten entweder Lieferankündigungen oder Rechnungen in einem DHL- oder TNT-Anhang.

Bild 3. Beispiel einer Spam Mail

Die E-Mails beinhalten eingebettete Links, sei es in den Bildern oder im Text, die auf eine Discord URL zeigen (hxxps://cdn[.]discordapp[.]com/attachments/{ChannelID}/{AttachmentID}/example[.]exe). Diese URLs werden zum Hosten von AveMaria und AgentTesla genutzt, die dann die Systeme der Nutzer infizieren, wenn diese auf die Executables klicken.

Die Verwendung legitimer Anwendungen wie Slack and Discord als Teil eines Angriffs haben einfache Gründe: Sie sind bekannt, weit verbreitet, kostenlos und bieten eine gewisse Form der Anonymität. Darüber hinaus müssen die Benutzer die Anwendungen nicht einmal installiert haben, um Dateien von ihnen herunterzuladen, was den Prozess rationalisiert und effizient macht. Ein weiterer möglicher Grund ist, dass sie als normale legitime Netzwerkkommunikation ausgegeben werden können. Ihre Beliebtheit bei Angreifern liegt zudem auch daran, dass die Wahrscheinlichkeit, dass Mitarbeiter und Endbenutzer diese Dienste nutzen, sehr hoch ist.

Schutz vor den Angriffen gegen die Kommunikations-Apps

Glücklicherweise ist die Verteidigung gegen diese Art von Angriffen relativ unkompliziert. Im Falle der Zoom-Installer besteht die Gemeinsamkeit zwischen den Angriffen darin, dass sie von anderen Orten als der offiziellen Zoom-Download-Seite heruntergeladen werden. Die einfachste Möglichkeit eine Infektion zu vermeiden besteht darin, Kommunikationsanwendungen (und alle Anwendungen im Allgemeinen) nur über offizielle Kanäle herunterzuladen. Dadurch wird sichergestellt, dass die Software frei von Manipulationen ist.

Benutzer sollten es auch vermeiden, auf Links zu klicken oder Anhänge von verdächtigen oder ungeprüften E-Mails herunterzuladen. Wenn Nutzer sich nicht sicher sind, wäre es eine gute Idee, sich bei dem angeblichen Absender zu vergewissern, ob er derjenige ist, der die E-Mail verschickt hat.

Raffinierter BEC-Betrug trifft französische Unternehmen

Originalbeitrag von Cedric Pernet, Senior Threat Researcher

Die hochgradig anonyme und oft vertraulich ausgelegte Natur des Internets hat zu einer Verbreitung von Betrügereien geführt, die darauf abzielen, von Menschen und Organisationen Geld abzuschöpfen. Trend Micro hat diese Betrügereien im Laufe der Jahre verfolgt und gesehen, wie sie sich von einfachen Schemata zu ausgefeilten Kampagnen entwickelt haben. Eine der gefährlichsten Betrugsmaschen heutzutage ist Business Email Compromise (BEC). Dieser Trick hat Unternehmen 2019 1,7 Mrd. $ Verluste beschert. Trend Micro hat bereits häufig über BEC-Themen berichtet. Ziel dieses Beitrags nun ist es, anhand einer sehr raffinierten Kampagne, die mithilfe von Social Engineering eine Vielzahl von französischen Unternehmen ins Visier nahm, Anwendern nochmals die Gefahren ins Bewusstsein zu bringen.

Bild 1.der Ablauf des BEC-Betrugs

Bei der Recherche verschiedener BEC-Attacken stiessen die Sicherheitsforscher auf einen Vorfall, bei dem böswillige Akteure sich als ein französisches Unternehmen in der Metallverarbeitungsindustrie ausgaben, das seine Dienstleistungen für viele verschiedene Unternehmen anbietet.

Die Täter registrierten am 27. Juli eine Domäne, die der legitimen Domäne des Unternehmens sehr ähnlich ist (wobei die gefälschte Domäne einen falsch geschriebenen Firmennamen hat) und benutzten sie, um E-Mails an ihre Ziele zu senden. Die betrügerische E-Mail, deren Absender sich als echter Mitarbeiter des Unternehmens ausgab, enthielt eine dringende Aufforderung an die Empfänger, die Bankverbindung des Unternehmens auf ein neues Konto bei einer italienischen Bank zu ändern. Die Mail umfasste zwei PDF-Anhänge mit einem Bestätigungsschreiben der durchgeführten Änderung und eine Datei mit den neuen Bankdaten.

Gleich nachdem die Forscher den Betrug bemerkt hatten, wandten sie sich an die Zielfirma (die sehr kooperativ war) und bemühten sich gemeinsam die Auswirkungen auf das Unternehmen zu verhindern. Darüber hinaus hatten sie eine Beschwerde eingereicht und sich an die italienische Bank gewandt, um den Betrugsversuch zu stoppen.

Nachforschungen

Eine Recherche auf der Unternehmens-Website zeigte, dass die Betrüger tatsächlich einen Mitarbeiter der Firma als vorgebliche Absender ausgesucht hatten, der jedoch nicht, wie in der Mail angegeben, in der Buchhaltung beschäftigt war sondern als Webmaster. Möglicherweise wählten sie aufgrund der Informationen, die sie vorher gefunden hatten, eine zufällige Person aus.

Die Betrüger machten interessanterweise einige Fehler:

  • Sie vergassen, den Zielnamen in der Kopfzeile des E-Mail-Inhalts zu ändern und gaben so den Namen eines anderen Ziels Preis. Ein aufmerksamer Mitarbeiter hätte dies möglicherweise als ungewöhnlich bemerken und misstrauisch werden können.
  • Zudem gab es eine weitere Version der PDF-Datei mit dem Konto, das für die Änderung der Bankverbindung verwendet wurde, jedoch nicht die Zielfirma als Konteninhaber auswies sondern eine Einzelperson, deren Namen vor allem in der Elfenbeinküste häufig vorkommt.

Die E-Mail-Adresse für die Registrierung der betrügerischen Domain wurde seit 2019 für die Registrierung mehrerer anderer Domains verwendet, die alle ähnliche Namen wie legitime französische Firmendomains aufweisen, aber auch hier zum Teil mit leichten Fehlern. Die verwendete E-Mail-Adresse schien nicht kompromittiert worden zu sein und wurde wahrscheinlich von den böswilligen Akteuren selbst erstellt.

Aus dieser Liste geht auch hervor, dass die Angreifer auf eine breite Palette von Branchen abzielen. Es konnte zwar nicht bestätigt werden, dass alle diese Domänen für BEC-Betrug genutzt wurden, aber mindestens einen weiteren Fall gab es, in dem die Betrüger eine Organisation aus der Gesundheitsbranche im Visier hatten.

Französische Steuerbehörde als Köder

In vielen BEC-Schemata infizieren die Täter die Rechner ihrer Ziele mit Malware, die es ihnen ermöglicht, E-Mails zu lesen – und damit Informationen zu sammeln. Sobald die Cyberkriminellen Zugang zu den Mailboxen ihrer Ziele haben, suchen sie nach Material über die Personen, die mit den Finanz- und Buchhaltungsabteilungen der Organisation zu tun haben. Darüber hinaus bemühen sich die Angreifer auch um Informationen über die Kunden und Partner des Unternehmens. Mit dieser Methode können sich BEC-Betrüger dann als Mitarbeiter ausgeben, um ein Opfer mittels Social Engineering für ihre Ziele einzuspannen.

Dies ist das übliche BEC-Vorgehen. Für diesen Fall gab es jedoch Beweise, dass die Cyberkriminellen zwar ebenfalls Malware verwendeten, diese letztlich aber gar nicht wirklich brauchten. Stattdessen nutzten sie eine alternative – und zugegebenermassen clevere – Methode, um selbst nach den Finanzdaten ihres Ziels zu fahnden.

Mit Hilfe der betroffenen Organisation konnten die Forscher herausfinden, wie die Cyberkriminellen vorgegangen waren: Sie stellten ihre E-Mails so dar, als stammten sie vom französischen Finanzamt, um Informationen über ihr Ziel zu sammeln. Etwas mehr als zwei Wochen vor der Registrierung der gefälschten Domain schickten die Angreifer eine E-Mail an das Unternehmen, die angeblich vom General Directorate of Public Finances (DGFiP) stammte und Steuernachfragen betraf. In einem PDF-Anhang forderte das vorgebliche Finanzamt Informationen für die Kunden des Unternehmens, Mitarbeiter und Finanzdaten, wobei das Schreiben sehr echt aussah und formuliert war. Lediglich ein aufmerksamer Blick auf die Adresse zeigte eine leichte Unstimmigkeit. Sobald die Betrüger die gewünschten Informationen hatten, konnten sie die nächste Phase des Angriffs starten. Weitere Einzelheiten beinhaltet der Originalbeitrag.

Breitgefächerte Ziele

Eine Suche nach ähnlichen E-Mails in den Systemen der Forscher erbrachte mindestens 73 verschiedene französische Unternehmen, die von diesen Cyberkriminellen anvisiert worden waren.

Bild 2. Die Verteilung der von diesem BEC-Betrug anvisierten Unternehmen nach Branchen

Die am meisten ins Visier genommene Branche in dieser BEC-Kampagne ist die verarbeitende Industrie, insbesondere Fertigungsunternehmen, die High-Tech-Produkte und -Materialien herstellen. Zahlreiche der anvisierten Unternehmen arbeiten mit vielen verschiedenen Dienstleistungsanbietern und Partnern zusammen, so dass Anträge auf Änderungen der Bankverbindungen weniger verdächtig erscheinen. Es ist sehr wahrscheinlich, dass der Betrug weiter verbreitet ist, als dies aus den vorliegenden Daten hervorgeht.

Zusätzlich zur Kontaktaufnahme und Zusammenarbeit mit der ersten untersuchten Organisation, wurden auch die anderen Zielpersonen informiert.

Verteidigung gegen BEC-Angriffe

Unternehmen sind gut beraten, ihre Mitarbeiter bezüglich der Funktionsweise von BEC-Betrug und ähnlichen Bedrohungen zu schulen. Diese Tricks erfordern keine besonderen technischen Fähigkeiten. Sie benötigen lediglich ein einziges kompromittiertes Konto und Services, die im cyberkriminellen Untergrund leicht erhältlich sind. Daher sind folgende Best Practices von grossem Nutzen:

  • Alle E-Mails eingehend prüfen. Besondere Vorsicht ist bei unregelmässig ankommenden E-Mails angebracht, die von hochrangigen Führungskräften verschickt werden, insbesondere bei solchen, die ungewöhnlich dringlich scheinen. E-Mails, in denen es um Forderungen nach Geld geht, sollte immer geprüft werden, ob es sich um ungewöhnliche Anfragen handelt.
  • Das Bewusstsein der Mitarbeiter schärfen. Mitarbeiter müssen geschult werden, Unternehmensrichtlinien überprüft und gute Sicherheitsgewohnheiten aufgebaut werden.
  • Verifizieren aller Änderungen des Zahlungsziels von Lieferanten, indem eine zweite Unterschrift eines Firmenmitarbeiters gefordert wird.
  • Mit Kundengewohnheiten auf dem Laufenden sein, einschliesslich der Details und Gründe für Zahlungen.
  • Anfragen immer verifizieren. Bestätigen der Anfragen für Geldtransfers mit Hilfe der telefonischen Verifizierung als Teil der Zweifaktor-Authentifizierung (2FA). Dabei sollten bekannte, vertraute Nummern und nicht die in den E-Mail-Anfragen angegebenen Details genutzt werden.
  • Unverzügliche Meldung eines jeden Vorfalls an die Strafverfolgungsbehörden oder bei der Beschwerdestelle für Internet-Kriminalität (IC3).

Trend Micro-Lösungen

Die E-Mail- sowie Endpoint-Sicherheitsfähigkeiten der Trend Micro User Protection– und Network Defense-Lösungen können Mail-Nachrichten blocken, die in BEC-Angriffen verwendet werden, und erkennen auch fortgeschrittene Malware. Die InterScan Messaging Security Virtual Appliance als Teil der User Protection-Lösungen bietet Schutz vor Angriffen, die Social Engineering-Taktiken verwenden, wie etwa BEC.

Bekämpfung von Bedrohungen wie Ryuk mittels Trend Micro XDR

von Trend Micro

Bedrohungen, die mehrere Ebenen der Infrastruktur einer Firma treffen, sind heutzutage weit verbreitet. Unternehmen setzen für deren Erkennung und Reaktion darauf häufig Sicherheitstools ein, die sich lediglich auf einzelne Bereiche und nicht auf das gesamte System konzentrieren. Einige Unternehmen haben auch Security Information and Event Management (SIEM)-Tools im Einsatz, um die verschiedenen Bedrohungen zu aggregieren. SIEM-Lösungen sind zwar effektiv, doch ist deren Betrieb oft teuer. Darüber hinaus erfordern sie häufig das Sichten grosser Datenmengen für Korrelation und Analyse durch die Security Operation Center (SOCs). Andere Sicherheitslösungen wiederum verfügen zwar über leistungsstarke Erkennungs- und Reaktionsfähigkeiten, doch fehlt ihnen die Telemetrie, die für den Blick über den Tellerrand erforderlich ist. Der Beitrag stellt anhand eines realen Beispiels dar, mit welcher Art der Bedrohungen SOCs fertig werden müssen und welche Art der Sicherheitslösung für das Handling dieser Bedrohungen benötigt wird.

Ryuk: eine heutige Bedrohung

Ryuk gehört zu den auffallendsten Ransomware-Familien der letzten Zeit. Sie verkörpert möglicherweise am besten das neue Paradigma der Ransomware-Angriffe, bei denen böswillige Akteure Qualität vor schiere Quantität stellen.

Oberflächlich betrachtet unterscheidet sich Ryuk kaum von anderen Ransomware-Familien der Vergangenheit. Sie verschlüsselt weiterhin wichtige Dateien, Dokumente und andere sensitive Daten. Doch einen auffallenden Unterschied zu anderen gibt es: Während andere Ransomware wahllos Opfer mit einer wie mit einer Schrotflinte angeht, zielen die Cyberkriminellen mit Ryuk auf ganz bestimmte Unternehmen, von denen sie ein viel höheres Lösegeld verlangen. Da die Akteure häufig hinter äusserst sensiblen Informationen etwa in der Finanzbranche und dem Militär her sind, bleibt den Opferorganisationen oft nichts anderes übrig, als die beträchtliche Lösegeldsumme zu zahlen.

2019 untersuchten Trend MicroManaged XDR and Incident Response-Teams einen Vorfall eines Kunden, der mit Ryuk-Ransomware infiziert war. Diese Infektion umfasste mehrere Ebenen der Kompromittierung, darunter mehrere Endpunkte und das Netzwerk des Unternehmens. In diesem Fall bestand Ryuks Routine aus E-Mails als Infektionsvektor, um zum Endpunkt zu gelangen. Von dort aus verbreitete sie sich auf den Rest des Netzwerks.

Die Infektion begann mit einer bösartigen Spam-Mail, die an einen Mitarbeiter der Organisation geschickt wurde mit einen bösartigen Anhang – ein Downloader für TrickBot -, der sich innerhalb des Netzwerks auf zwei Wegen verbreiten kann: entweder durch den berüchtigten EternalBlue-Exploit (der auch bei den WannaCry-Angriffen von 2017 verwendet wurde) oder durch gestohlene Zugangsdaten.

Im Fall des besagten Kunden nutzte TrickBot nach dem Download ins System angreifbare Router aus und verwendete sie als Command-and-Control (C&C)-Server zum Austausch von Anleitungen. Zudem legte TrickBot Ryuk als Payload ab.

Die TrickBot-Module weisen auch Fähigkeiten für den Informationsdiebstahl auf, so dass die Malware in jeder Opfer-Organisation deren Dateien verschlüsseln und ihre Informationen stehlen  kann. Und das führt zu Schäden, die weit über das hinausgehen, was normale Ransomware-Familien anrichten können.

Hier war Trend Micro Managed XDR in der Lage, die kompromittierten Rechner und die Angriffskette zu identifizieren, indem Daten aus verschiedenen Quellen gesammelt wurden, um so ein klareres Bild davon zu erhalten, womit die Organisation es zu tun hatte.

Trend Micro XDR: auf fortgeschrittene Bedrohungen zugeschnitten

Trend Micro XDR ist darauf ausgerichtet, alle Bedrohungen wie Ryuk mithilfe von Machine Learning und Analytics für die Korrelation verschiedener Vorfälle über mehrere Ebenen hinweg zu bekämpfen. Die XDR-Lösung gibt es entweder als Plattform oder als Managed Service über Trend Micro Managed XDR, die sich den gesamten Wissens- und Erfahrungsschatz der Sicherheitsexperten von Trend Micro zunutze macht, um rund um die Uhr Alarme zu überwachen und Prioritäten zu setzen sowie Recherchen und Suchen nach Bedrohungen durchzuführen.

Die Lösung unterstützt Unternehmen dabei, Strategien zur Erkennung und Reaktion auf Bedrohungen zu implementieren. Die Herausforderungen für Unternehmen bestehen unter anderem in folgenden Punkten:

  • Teure und oft miteinander unvereinbare Sicherheitswerkzeuge, die für die Datenaggregation und -analyse benötigt werden. Ein traditionelles SOC-Setup verwendet mehrere Softwarepakete mit unterschiedlichen Methoden zur Speicherung und Indizierung von Daten – die sich auf verschiedene Teile des Systems konzentrieren. Der Silo-Charakter dieser Tools führt dazu, dass Sicherheitsanalytiker Daten manuell korrelieren müssen, was eine zusätzliche Belastung für ihren Arbeitsablauf darstellt.
  • Endpoint Detection and Response (EDR)-Lösungen, die nicht über die gesamte Telemetrie-Palette verfügen, um den ganzen Umfang eines Angriffs zu erkennen.
  • Die zu lange Zeitspanne, die für Fragen von hoher Priorität aufgewendet wird. Das bedeutet, dass die Stärkung und Verbesserung der Sicherheitsprozesse und der Systeminfrastruktur in den Hintergrund treten.

Durch den Einsatz von maschinellem Lernen, fachkundiger Sicherheitsanalyse und Erkennungsregeln für die Korrelation und Priorisierung von Warnmeldungen kann Trend Micro XDR das SOC einer Organisation dabei unterstützen, den Zeitaufwand für die Überprüfung und Recherche zu verringern und dadurch schnellere Erkennungs- und Reaktionsmöglichkeiten zu schaffen. Es nutzt die von jedem Vektor gesammelten Telemetriedaten, um Sicherheitsanalysten einen vollständigen Einblick in laufende Angriffe zu ermöglichen und gleichzeitig die XDR-Analyse-Engine für eine schnellere und effektivere Reaktionsstrategie bei künftigen Angriffen zu verbessern.

Trend Micro XDR nutzt einen facettenreichen Ansatz, der auf mehreren Ebenen des Systems arbeitet:

E-Mails

Trend Micro Cloud App Security kann den E-Mail Layer schützen durch den Einsatz von maschinellem Lernen für Webreputation und dynamische Analysen. Die Lösung kann verdächtige Inhalte nicht nur im Text sondern auch im Anhang erkennen. Sie bietet Sandbox-Analysen und Exploit-Erkennung für Dokumente.

Endpunkte

Trend Micro Apex One bietet fortschrittliche, automatisierte Erkennung und Abwehr zum Schutz der Endpunkte vor Bedrohungen wie Ransomware und dateilose Malware. Darüber hinaus kann es die von einem Angriff betroffenen Endpunkte mit Hilfe von anpassbaren Untersuchungs- und Überwachungsfunktionen auf Abruf identifizieren.

Netzwerk

Trend Micro Deep Discovery Email Inspector kann das Unternehmensnetzwerk überwachen, einschliesslich allen physischen, virtuellen Verkehrs. Die Lösung liefert mithilfe spezialisierter Erkennungs-Engines und anpassbarer Sandbox-Analyse vollständige Einsichten in alle Aspekte von fortgeschrittenen Bedrohungen.

Cloud

Trend Micro Cloud One – Workload Security schützt Cloud Workloads, Servers und Container vor Bedrohungen in kritischen Anwendungen, Betriebssystemen und Plattformen wie Docker und Kubernetes. Zu den eingesetzten Techniken gehören virtuelles Patching und maschinelles Lernen.

Die Infografik zeigt anhand des Ryuk-Beispiels, wie Trend Micro XDR jede Ebene eines Unternehmens schützt:

Der Lebenszyklus eines kompromittierten (Cloud) Servers

Originalbeitrag von Bob McArdle

Trend Micro Research hat ein breit angelegtes Forschungsprojekt zum cyberkriminellen Hosting und zur Infrastruktur im Untergrund durchgeführt. Ein erster Report dazu beschäftigte sich mit dem Angebot von Hacker-Infrastrukturen im Untergrund. In dem aktuellen zweiten Teil geht es um den Lebenszyklus von kompromittierten Servern und den verschiedenen Phasen, um daraus Gewinn zu schlagen. Es gilt dabei zu beachten, dass es für Kriminelle keine Rolle spielt, ob der Server On-Premise oder in der Cloud betrieben wird.

Cloud- versus On-Premise-Server

Cyberkriminellen ist es gleichgültig, wo sich die Server befinden. Sie können den Speicherplatz und die Rechenressourcen ausnutzen oder Daten stehlen, egal auf welche Art von Server sie zugreifen. Alles, was am meisten exponiert ist, wird höchstwahrscheinlich missbraucht.

Mit fortschreitender digitalen Transformation und zunehmendem Arbeiten von zuhause werden Cloud-Server am wahrscheinlichsten Bedrohungen ausgesetzt. Leider sind viele IT-Teams in Unternehmen nicht darauf eingerichtet, für die Cloud denselben Schutz zu bieten wie für On-Premise-Server.

Die Forscher betonen, dass dieses Szenario nur für Cloud-Instanzen gilt, die die Speicher- oder Verarbeitungsleistung eines lokalen Servers replizieren. Container oder serverlose Funktionen fallen nicht der gleichen Art von Kompromittierung zum Opfer. Wenn der Angreifer das Cloud-Konto kompromittiert – im Gegensatz zu einer einzelnen laufenden Instanz – entsteht ein völlig anderer Angriffszyklus, da die Angreifer Rechenressourcen nach Belieben in Anspruch nehmen können. Obwohl dies möglich ist, liegt der Fokus der Erforschung nicht darauf.

Alarmsignale für einen Angriff

Viele IT- und Sicherheitsteams suchen möglicherweise nicht nach früheren Stadien des Missbrauchs. Bevor Server jedoch von Ransomware betroffen sind, gibt es andere Alarmsignale, die die Teams auf die Bedrohung aufmerksam machen könnten.

Wenn ein Server kompromittiert und für Kryptowährungs-Mining (auch als Kryptomining bekannt) verwendet wird, kann dies eine der grössten Alarmsignale für das Sicherheitsteam sein. Die Entdeckung von Cryptomining Malware, die auf irgendeinem Server läuft, sollte dazu führen, dass das Unternehmen unverzüglich Massnahmen ergreift und eine Reaktion auf den Vorfall (Incident Response) einleitet, um diesen Server zu sperren.

Dieser Indicator of Compromise (IOC) ist wichtig, denn obwohl Cryptomining-Malware im Vergleich zu anderen Malware-Typen häufig als weniger schwerwiegend angesehen wird, dient sie auch als Taktik zum Geld machen. Sie kann im Hintergrund laufen, während der Serverzugriff für weitere bösartige Aktivitäten verkauft wird. Beispielsweise könnte der Zugang für die Nutzung als Server für unterirdisches Hosting verkauft werden. Gleichzeitig könnten die Daten exfiltriert und als persönlich identifizierbare Informationen (PII) oder für Industriespionage verkauft werden, auch könnten sie für einen gezielten Ransomware-Angriff verscherbelt werden. Dieses Szenario nutzen zumindest einige Access-as-a-Service (AaaS)-Kriminelle als Teil ihres Geschäftsmodells.

Lebenszyklus eines Angriffs

Attacken auf kompromittierte Server folgen einem allgemeinen Muster:

  • Ursprüngliche Kompromittierung: In dieser Phase ist es klar, dass ein Krimineller den Server übernommen hat.
  • Asset-Kategorisierung: Dies ist die Phase der Bestandsaufnahme. Der Kriminelle nimmt seine Einschätzung anhand von Fragen vor, wie etwa: Welche Daten befinden sich auf diesem Server? Besteht die Möglichkeit einer lateralen Bewegung zu etwas Lukrativerem? Wer ist das Opfer?
  • Exfiltrierung sensibler Daten: Der Kriminelle stiehlt unter anderem Unternehmens-E-Mails, Client-Datenbanken und vertrauliche Dokumente. Dies kann jederzeit nach der Kategorisierungsphase passieren, wenn der Angreifer etwas Wertvolles entdeckt hat.
  • Kryptowährungs-Mining: Während der Angreifer einen Kunden für den Serverraum, einen Zielangriff oder andere Mittel zur Geldgewinnung sucht, wird Cryptomining eingesetzt, um im Verborgenen Geld zu verdienen.
  • Wiederverkauf oder Nutzung für gezielte Angriffe mit dem Ziel, mehr Geld zu verdienen: Abhängig davon, was der Kriminelle bei der Kategorisierung der Assets findet, könnte er seinen eigenen gezielten Ransomware-Angriff planen, den Serverzugang für Wirtschaftsspionage oder für weitere Zwecke verkaufen.

Der Lebenszyklus eines kompromittierten Servers bezüglich der Möglichkeiten Gewinn daraus zu ziehen

Häufig ist der Einsatz gezielter Ransomware die letzte Phase. In den meisten Fällen zeigt die Kategorisierung der Assets Daten auf, die zwar für das Unternehmen wertvoll sind, die sich jedoch nicht unbedingt für Spionage eignen.

Ein tiefgreifendes Verständnis der Server und des Netzwerks ermöglicht es Kriminellen hinter einem gezielten Ransomware-Angriff, das Unternehmen dort zu treffen, wo es am meisten schmerzt. Diese Kriminellen kennen den Datenbestand, wissen, wo sie sich befinden, ob es Backups der Daten gibt und vieles mehr. Mit einer so detaillierten Blaupause der Organisation können sie kritische Systeme abriegeln und ein höheres Lösegeld fordern. Das zeigt auch der Halbjahresbericht 2020 von Trend Micro.

Darüber hinaus hat zwar ein Ransomware-Angriff die sichtbare Dringlichkeit für die Abwehr, aber derselbe Angriff könnte auch darauf hinweisen, dass etwas weitaus Schwerwiegenderes wahrscheinlich bereits stattgefunden hat: der Diebstahl von Unternehmensdaten, und dies ist bei der Reaktionsplanung des Unternehmens zu berücksichtigen. Noch wichtiger ist, dass sobald ein IOC für Krypto-Währung gefunden wurde, das Unternehmen in der Lage ist, den Angreifer sofort zu stoppen, um später erhebliche Zeit und Kosten zu sparen.

Letztendlich ist die Sicherheit der Hybrid-Cloud von entscheidender Bedeutung, um diesen Lebenszyklus zu verhindern, unabhängig davon, wo die Daten eines Unternehmens gespeichert sind.

Trend Micro Halbjahresbericht 2020: Sicherheit in pandemischen Zeiten

von Trend Micro

Die Covid-19-Pandemie hat die Cybersicherheitslandschaft in der ersten Hälfte 2020 stark geprägt. Während sich die Menschen an neue Arbeits- und Schulumgebungen anpassten, mussten Unternehmen für ihre Mitarbeiter Setups für die Arbeit zu Hause (Work-from-Home, WFH) schaffen und dabei dafür sorgen, dass deren Systeme auch sicher sind. Böswillige Akteure machten sich die Situation zunutze, indem sie das Thema Covid-19 für ihre Angriffe nutzten. Gruppen von Bedrohungsakteuren setzten ihre Kampagnen fort und dehnten ihre Reichweite auf neue Ziele und Plattformen aus, während sich die Betreiber von Ransomware weiterhin auf gezielte Angriffe konzentrierten. Trend Micro gibt in einer Zusammenfassung zur Jahresmitte 2020 den Überblick über die Trends und Ereignisse der ersten Jahreshälfte.

Böswillige Akteure haben schon immer gesellschaftlich relevante Ereignisse zur Durchsetzung ihrer Pläne genutzt, und bei Covid-19 ist das nicht anders. Die Sicherheitsforscher fanden eine Vielzahl von Vorfällen, in denen Cyberkriminelle pandemiebezogene Köder für ihre bösartigen Aktivitäten einsetzten, von relativ harmlosen Betrugsmaschen bis hin zu destruktiven Kampagnen, die fortgeschrittene Malware verbreiteten.

Der abrupte Wechsel auf WFH-Setups stellte Unternehmen vor zahlreiche Herausforderungen. Abgesehen von der Notwendigkeit, den Mitarbeitern die für die Aufrechterhaltung des Betriebs benötigten Werkzeuge zur Verfügung zu stellen, hatten Unternehmen mit Fragen der Kommunikation, Konnektivität und sogar der Zuweisung von IT-Ressourcen zu kämpfen.

Bild 1. Zahl und Verbreitung von Covid-19-Bedrohungen in der ersten Hälfte 2020

Ransomware-Betreiber konzentrieren sich auf ausgewählte Ziele

Ransomware hat sich von seinen opportunistischen Wurzeln, zu denen nicht personalisierte Spam-Kampagnen gehörten, zu einem gezielteren Ansatz entwickelt, bei dem oft der Diebstahl von Credentials und andere komplexe Techniken eingesetzt werden, um das Zielsystem zu kompromittieren. Die Hauptopfer dabei sind Organisationen, die viel zu verlieren haben und in der Lage sind, hohe Lösegeldforderungen zu erfüllen. Darüber hinaus stellten die Forscher auch einen wachsenden Trend fest, bei dem Betreiber von Ransomware ihren Opfern mit der Veröffentlichung ihrer Daten drohen, falls das Lösegeld nicht bezahlt wird.

Bild 2. Halbjahresvergleich der Anzahl der entdeckten Ransomware-bezogenen Komponenten (Dateien, Emails und URLs)

Schwachstellen sind weiterhin ein relevantes Problem

Mit der Verlagerung hin zur Remote-Arbeit ist das Patching wichtiger denn je. In der ersten Jahreshälfte wurde eine grosse Anzahl veröffentlichter und gepatchter Schwachstellen gemeldet, darunter mehrere kritische Fehler, die bereits in der Praxis ausgenutzt wurden. Für die Unternehmen könnte dies zu einer zusätzlichen Arbeitsbelastung ihres IT-Personals führen, das diese Updates implementieren und darüber hinaus sicherstellen muss, dass die IT-Infrastruktur des Unternehmens unter den neuen Arbeitsumgebungen so nahtlos wie möglich funktioniert.

Zwischen Ende 2019 und Anfang 2020 wurden zwei verschiedene Gruppen von Schwachstellen entdeckt, die Industrial Internet of Things (IIoT)-Geräte betreffen. Solche Sicherheitslücken könnten einen erheblich schädlichen Einfluss auf betroffene Branchen und Organisationen haben und zu möglichen zukünftigen Regelungen für das IIoT im Allgemeinen führen.

Bild 3. Halbjahresvergleich der Anzahl der Schwachstellen, die das ZDI-Programm veröffentlicht hat

Mehrschichtige Sicherheit als Verteidigung vor heutigen vielfältigen Bedrohungen

Die Herausforderungen im Bereich der Cybersicherheit, denen viele Organisationen in der ersten Hälfte des Jahres 2020 ausgesetzt waren, beweisen, dass eine mehrschichtige Lösung, die eine Mischung aus Fähigkeiten zur Bedrohungsabwehr bieten kann, am besten für eine umfassende Sicherheitsimplementierung geeignet ist, die sowohl in Büro- als auch in Privatumgebungen funktioniert.

Weitere Einzelheiten liefert der Report:

Russische Gruppe führt mehr als 200 BEC-Kampagnen

Eine russische Gruppe namens Cosmic Lynx hat mehr als 200 Business Email Compromise (BEC)-Kampagnen gegen hunderte multinationaler Unternehmen geführt, so das Sicherheitsunternehmen Agari. Die Kampagnen gab es seit 2019 in 40 Ländern, und die Kriminellen verlangten von ihren Opfern insgesamt 1,27 Millionen Dollar.

Wie viele andere Gruppen zielte auch Cosmic Lynx auf gehobene Führungskräfte in Positionen wie Geschäftsführer (28%), Vizepräsident (24%), General Manager (23%), CEO (8%), Finanzchef (7%), Präsident (7%) und andere (4%).

Um diese Ziele zu täuschen, bedienen sich die Cyberkriminellen einer zweifachen Identitätstäuschung: Zuerst geben sie sich als der CEO des Unternehmens aus, dann als legitimer Anwalt einer in Großbritannien ansässigen Anwaltskanzlei. Zuerst schicken die Angreifer, die sich als CEO des Unternehmens ausgeben, eine Email an einen Mitarbeiter, in der sie auf die Notwendigkeit eines „externen Rechtsbeistands“ hinweisen. In der Email heisst es, dass es sich um eine zeitkritische Angelegenheit handele, um ein Gefühl der Dringlichkeit zu erzeugen. Antwortet der Mitarbeiter, wird er aufgefordert, sich per Mail mit einem angeblichen Anwalt auszutauschen und soll dann Geld an Konten überweisen, die vorgeblich mit der Anwaltskanzlei in Verbindung stehen, in Wirklichkeit aber von der Gruppe kontrollierte Scheinkonten sind. Die geforderten Summen belaufen sich auf 1,27 Millionen von US-Dollar.

Bei den meisten Angriffen werden kostenlose Mail-Konten und Domänen verwendet, die eine sichere Mail- und Netzwerkinfrastruktur nachahmen (z.B. Secure-Mail-Gateway, verschlüsselter SMTP-Transport, MX-Secure-Net). Die Gruppe registrierte auch einige ihrer Domänen bei einem Bulletproof Hosting- und einem anonymen Domänen-Provider.

Neben BEC wurde die Gruppe auch mit anderen bösartigen Aktivitäten wie die Verbreitung von Emotet, Trickbot und Click-Fraud-Malware in Verbindung gebracht. Sie sollen auch hinter einem Carding-Marktplatz und gefälschten Dokumenten-Websites stecken.

Die Verluste durch BEC betrugen 2019 1,7 Milliarden Dollar, berichtet das FBI.

Kampf gegen BEC

Die von Trend Micro™ Cloud App Security entdeckten BEC-Versuche stiegen von mehr als 100.000 in 2018 auf fast 400.000 in 2019, ein Mehr von 271%. Diese Spitzenwerte sind beachtlich, wenn man bedenkt, dass viele BEC-Kampagnen keine innovativen Taktiken anwenden müssen, um erfolgreich zu sein. Die Nachahmung von Schlüsselfiguren im Unternehmen, die Andeutung von Dringlichkeit und die Nutzung aktueller Ereignisse als Lockmittel (wie die Coronavirus-Pandemie) sind nur einige der bewährten Strategien, die von Cyberkriminellen eingesetzt werden, um ahnungslose Mitarbeiter zu täuschen. Durch die ständige Entwicklung neuer Techniken durch Cyberkriminelle, wie die Verwendung von Deepfakes, neuen Kanälen und verschiedenen Dateiformaten für Anhänge, wandelt sich BEC weiterhin zu einer noch ernsteren Bedrohung.

Um das Risiko finanzieller Verluste durch BEC-Betrug zu vermeiden, sollten Unternehmen ihre Mitarbeiter mit folgenden Best Practices vertraut machen:

  • Verifizieren von Anfragen für Geldüberweisungen durch Bestätigung der Richtigkeit des Absenders mit anderen Mitteln als Mail. Festlegen eines zweiten Freigabeprozesses ist auch empfehlenswert.
  • Untersuchen von Mails, um gefälschte Adressen zu erkennen. Einige Kampagnen verwenden Emails, die den echten Adressen bis auf einen geringfügigen Unterschied in einigen wenigen Zeichen sehr ähnlich sind.
  • Wissen über die jeweils neuesten Mail-Betrügereien hilft dabei, diese schneller zu erkennen.

Unterstützung beim Blockieren von BEC-Bedrohungen liefern auch Sicherheitslösungen, die auf künstliche Intelligenz und Machine Learning setzen.

  • Trend Micro Cloud App Security kann Microsoft Office 365- und andere Cloud-Services über Sandbox Malware-Analysen für BEC und andere fortgeschrittene Bedrohungen schützen.
  • Trend Micro™ Email Security analysiert Email Header und Inhalte mithilfe von fortschrittlichem maschinellem Lernen und ausgeklügelten Regeln, um BEC und andere Bedrohungen zu erkennen und zu stoppen.

Massive Credential Phishing-Angriffe auf Home User

Der Wert eines Passworts liegt darin, einem User Zugang zu wichtigen Informationen und jeder Menge IT Diensten zu eröffnen. Jeder weiss das und natürlich auch Cyberkriminelle. Somit ist es wenig verwunderlich, dass der Diebstahl von Login-Daten, also „Credentials“, eines der Hauptthemen ist, mit denen sich die Akteure beschäftigen. Jetzt aber, wo die Zahl derer, die im Home Office arbeiten, sprunghaft gestiegen ist, haben die „Credential Phisher“ Hochkonjunktur. Nutzer können sich am besten dagegen wehren, wenn sie verstehen, wie ein solcher Angriff abläuft.

Bild 1. Top 10 Länder, in denen User mit Credential Phishing Angriffen mit Bezug auf Outlook oder Office 365 angegriffen wurden (Quelle Trend Micro)

Vorgehensweise

Der Erfolg eines Credential Phishing-Angriffs steht und fällt mit der Fertigkeit des Angreifers, sein Opfer davon zu überzeugen, ihm sein Passwort freiwillig zu übergeben, und – das ist wichtig – das Opfer darf nicht misstrauisch werden. Denn ein Passwort ist im Zweifel binnen Sekunden geändert. Ein Täter benötigt etwas, eine Seite oder ein Formular, wo User Passwörter eingeben können und ein Mittel, das keinen Argwohn weckt, wenn dies nicht sofort klappt.

Ein beliebtes Ziel sind deshalb vor allem Mail-Clients. Während der Mitarbeiter im Büro einfach nur Outlook öffnet, greift er speziell im Home Office auch mit Vorliebe auf die Webvarianten über den Browser zu und muss sich, um auf seinen Account zu kommen, entsprechend authentifizieren. Damit aber ist die erste Notwendigkeit erfüllt. Der Angreifer muss seinem Opfer lediglich eine Fake Web Client-Seite vorgeben – eine klassische Phishing Aufgabe.

Bild 2. Fake Microsoft Login-Seite

Die Sache hat allerdings einen Haken: Die „klassische“ Angriffs-Mail erhält ein Opfer nur bei aktivem Mail Client. Wie erreicht ein Angreifer also sein Opfer, denn niemand würde den wichtigen Link anklicken, um dann erneut seinen Mail Client aufzumachen …

Hier bedient sich der Angreifer eines „Workarounds“. Die Mail bewirbt offiziell die neueste und/oder interessanteste Nachricht eines News-Dienstes. Klickt der User den Link an, wird er auf genau diese Seite weitergeleitet und erhält dort auch die erwartete Information. Gleichzeitig wird allerdings eine zweite Seite geöffnet, die eigentliche Phishing-Seite mit einem Mail Client-Login und dem Hinweis, dass die aktuelle/letzte Session abgelaufen ist. Geht das Opfer nach einer Weile – die Nachricht zu lesen hat vermutlich Zeit gekostet – auf seinen Mail Client und gibt sein Passwort erneut ein, so erscheint die Nachricht, dass entweder Username oder Passwort falsch waren. Es erfolgt eine Umleitung zurück auf die Original Web Client-Seite. Nach erneuter Eingabe des Passworts erhält er auch seinen gewohnten Zugriff auf seine Mails. Die Episode ist bald vergessen. Timeouts von Webseiten sind jedem vertraut und jeder hat sich schon einmal bei der Passworteingabe vertippt.

Aktualität

Das genannte Beispiel gibt es in zahlreichen Facetten. Natürlich ist Office365 dabei aber auch andere Applikationen speziell Online Meeting Plattformen wie Zoom oder Webex stehen im Fokus. Die Methode selbst wurde ursprünglich von der politisch motivierten Gruppe Pawnstorm (APT28, Fancy Bear) genutzt, um Angriffe auf höchste politische Kreise zu launchen. So steht Pawnstorm für die Angriffe auf die Demokratische Partei (2016), den Bundestag (2015/17) sowie eine Reihe weiterer politischer Angriffe.

Gamaredon APT-Guppe setzt auf Covid-19 als Köder

Originalbeitrag von Hiroyuki Kakara and Erina Maruyama

Die Advanced Persistent Threat (APT)-Gruppe Gamaredon ist seit 2013 aktiv und war bislang generell für Angriffe auf ukrainische Regierungsinstitutionen bekannt. Doch kürzlich fanden die Sicherheitsforscher von Trend Micro Mails mit einem Anhang, der die Taktik von Gamaredon nutzte, dabei das Thema Coronavirus als Köder einsetzte, um die Opfer dazu zu verleiten, den Anhang zu öffnen. Die Kampagnen hatten europäische und andere Nutzer zum Ziel.

Bild. Infektionsablauf in der Gamaredon-Kampagne

Im Fall der von Trend Micro entdeckten Mail, startet beim Öffnen des Dokuments im Anhang der Download eines Templates für ein Dokument, das den bösartigen Makro-Code enthält, der wiederum ein VBScript (VBS) ausführt. Zudem gab es einen Mechanismus zum Entschlüsseln, Ausführen und Herunterladen einer zusätzlichen Payload vom C&C-Server. Der C&C-Server war jedoch nicht zugänglich, so dass die Forscher keine zusätzlichen Payloads erhalten konnten.

Alle Angriffe wurden über gezielte Emails durchgeführt (MITRE ATT&CK Framework ID T1193), wobei einer gar den Betreff „Coronavirus (2019-nCoV)“ hatte. Technische Einzelheiten zu den Angriffen umfasst der Originalbeitrag.

Fazit

Gamaredon ist nur eine von vielen Gruppen, die in ihren Angriffen auf COVID-19 als Köder zurückgreift. Informieren Sie sich über weitere Kampagnen, die die Pandemie missbrauchen.

Nutzer können sich vor ähnlichen APT-Angriffen mit folgenden Best Practices schützen:

  • Überprüfen des Mail-Absenders, -Betreffs sowie der Nachricht auf verdächtige Anzeichen, bevor ein Anhang geöffnet oder heruntergeladen wird. Besondere Sorgfalt ist bei Mails geboten, die nicht angefordert wurden und/oder unbekannte Absender haben.
  • Prüfen der Datei-Extension im Anhang, um sicherzugehen, dass es das gewollte Format ist.
  • Keine Makros für Office-Dateien aktivieren. Dies gilt vor allem für Emails, die das fordern.
  • Vorsicht vor gefälschten Domänen, die in E-Mails eingebettet sind. Leichte Änderungen an einer gängigen URL können ein Indikator für bösartige Inhalte sein.

Zusätzlich können Unternehmen einen mehrschichtigen Sicherheitsansatz wählen:

  • Trend Micro Smart Protection Suites und Worry-Free™ Business Security kann vor ähnlichen Bedrohungen schützen, weil die Lösungen bösartige Dateien und Spam-Nachrichten erkennen und alle damit zusammenhängenden bösartigen URLs blockieren. Trend Micro Deep Discovery Email Inspector™ kann bösartige Anhänge und URLs erkennen.
  • Trend Micro Hosted Email Security ist eine wartungsfreie cloudbasierte Lösung, die permanent aktuellen Schutz bietet und Spam, Malware, Spear-Phishing und komplexe, zielgerichtete Angriffe stoppt, bevor sie das Unternehmensnetzwerk erreichen. Hosted Email Security schützt Microsoft Exchange, Microsoft Office 365, Google Apps sowie viele weitere gehostete und lokale Email-Lösungen. Email-Verschlüsselung ist in der Basisversion bereits enthalten.
  • Trend Micro XGen™ Security liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern.
  • Trend MicroTMXDR unterstützt den Schutz von vernetzten Emails, Endpunkten, Servern, cloudbasierten Workloads und Netzwerken. Leistungsfähige KI und Sicherheitsanalysen von Experten korrelieren Daten aus Kundenumgebungen mit den globalen Bedrohungsinformationen von Trend Micro. Daraus entstehen weniger und präzisere Warnungen.

Zusätzliche Informationen und Hilfsangebote von Trend Micro in der Corona-Krise finden Sie hier.