Versteckte Bedrohungen mit schwerwiegenden Folgen


Sicherheitsüberblick zur Jahresmitte 2019
Versteckte
Bedrohungen mit
schwerwiegenden
Folgen

. . .

KOMPLETTEN BERICHT
HERUNTERLADEN

In der ersten Jahreshälfte 2019 mussten sich Organisationen mit einer Vielzahl an eingehenden Bedrohungen beschäftigen und – noch dringender – diejenigen bewältigen, die in ihren Systemen bereits Fuß gefasst hatten. Dabei herrschte Malware vor, die legitime oder freigegebene Tools ausnutzte, um schädliche Handlungen auszuführen – “Living off the Land” genannt. Ransomware, eine altbekannte Bedrohung, orientierte sich auf bestimmte Ziele neu. Phishing, eine weitere ständige Gefahr, nutzte neue Plattformen, um Opfer zu finden. Auch die Anzahl an offengelegten Schwachstellen mit großen Auswirkungen war besorgniserregend. Dies belegt erneut, wie dringend notwendig es ist, die realen Risiken zu verstehen, mit denen Unternehmenssysteme konfrontiert sind.

Der Sicherheitsüberblick zur Jahresmitte erläutert diese und andere Bedrohungen, die in der ersten Jahreshälfte 2019 ihre Spuren hinterlassen haben. Darüber hinaus bietet er die neuesten Erkenntnisse zum Thema Sicherheit, damit Anwender und Organisationen die richtigen Lösungen und Verteidigungsstrategien finden, um sich vor Bedrohungen zu schützen.

. . .



02

Ransomware

Ransomware

Beachtenswerte Vorfälle

In der ersten Jahreshälfte 2019 gingen Cyberkriminelle in Bezug auf ihre Ransomware-Ziele wählerischer vor. Sie konzentrierten sich hauptsächlich auf multinationale und Großunternehmen und sogar auf Regierungseinrichtungen. Zu Ihrer Vorgehensweise gehörten auf Mitarbeiter zugeschnittene Phishing-E-Mails, Exploits von Sicherheitslücken, um auf ein Netzwerk zuzugreifen, und laterale Bewegungen im Netzwerk.

Die Ransomware LockerGoga traf beispielsweise ein norwegisches Produktionsunternehmen, das die Produktion in mehreren Anlagen im März unterbrechen musste. Dies hatte letztendlich finanzielle Verluste in Höhe von 55 Millionen USD zur Folge. Die Stadt Baltimore im US-Staat Maryland musste 5,3 Millionen USD für Wiederherstellung aufbringen, nachdem ihre Systeme im Mai mit der Ransomware RobbinHood infiziert worden waren.

Einige kommunale Einrichtungen wurden offenbar unter Druck gesetzt, Lösegeld zu zahlen – mit dem Versprechen, die betroffenen Systeme könnten schnell wieder hergestellt und für ihre öffentlichen Dienstleistungen verwendet werden. Bemerkenswert ist, dass drei Stadtverwaltungen in Florida im Verlauf von mehreren Wochen von unterschiedlichen Ransomware-Angriffen betroffen waren: Riviera Beach von einer nicht identifizierten Ransomware-Variante, Lake City und Key Biscayne von der berüchtigten Ransomware Ryuk.


  • Riviera Beach
    600.000 USD29. Mai

  • Lake City
    460.000 USD10. Juni

  • Key Biscayne
    Keine Zahlung gemeldet23. Juni

Diese komplexen Angriffe und hohen Zahlungen entsprachen dem insgesamt starken Anstieg an Ransomware-Angriffen, der sich zwischen der zweiten Jahreshälfte 2018 und der ersten Jahreshälfte 2019 zeigte. Im Gegensatz dazu war die Anzahl an neuen Ransomware-Familien rückläufig.

77 % mehr Ransomware-Angriffe im Vergleich zur zweiten Jahreshälfte 2018
55 % neue Ransomware-Familien im Vergleich zur zweiten Jahreshälfte 2018

Komplexe Vorgehensweisen

Darüber hinaus ließen sich destruktive Vorgehensweisen erkennen, die über die Dateiverschlüsselung hinausgingen. Einige Ransomware-Varianten verfügten über beachtenswerte Eigenschaften, die die Chancen verringerten, Dateien und Systeme wiederherzustellen. Beispiele:

  • Ryuk
    – Infizierung über Spam

    – infizierte Systeme möglicherweise nicht mehr bootfähig
  • LockerGoga
    – Infizierung über kompromittierte Anmeldeinformationen

    – ändert Passwörter zu den Anwenderkonten in den infizierten Systemen; Neustarts der infizierten Systeme nicht möglich
  • RobbinHood
    – Infizierung über unsichere Remote-Desktops oder Trojaner

    – verschlüsselt alle Dateien mit einem eindeutigen Schlüssel
  • BitPaymer
    – Infizierung über kompromittierte Konten und E-Mails, die Dridex enthalten

    – nutzt das Tool PsExec aus
  • MegaCortex
    – Infizierung über kompromittierte Controller

    – deaktiviert bestimmte Prozesse
  • Nozelesn
    – Infizierung über Spam

    – Nymaim, zugehöriger Trojaner-Downloader, nutzt dateilose Techniken zum Laden der Ransomware.

Unsere Daten zeigten, dass in der ersten Jahreshälfte verschiedene Ransomware-Familien aktiv waren. Die am häufigsten entdeckte Ransomware-Familie war jedoch nach wie vor die berüchtigte WannaCry-Familie. Diese wurde weit häufiger entdeckt als alle anderen Ransomware-Familien zusammen.

Monatsvergleich zwischen Erkennungen von WannaCry und allen anderen Ransomware-Familien zusammen in der ersten Jahreshälfte 2019

. . .


03

‘Living off the Land’-
Bedrohungen

‘Living off the Land’-Bedrohungen

Dateilose Vorfälle

603.892
2018
18 %
710.733
1. Jahreshälfte 2019

Halbjahresvergleich der blockierten dateilosen Vorfälle

Wie prognostiziert, nutzten Bedrohungsakteure verstärkt legitime Tools für Systemadministration und Penetrationstests aus, um ihre schädlichen Aktivitäten zu verbergen. Diese Praxis wird als “Living off the Land” bezeichnet. Die so genannten dateilosen Bedrohungen sind nicht als herkömmliche Malware erkennbar. Dies liegt daran, dass sie in der Regel nicht auf die Festplatte schreiben, sondern im Arbeitsspeicher eines Systems ausgeführt werden, in der Registry gespeichert sind oder normal freigegebene Tools ausnutzen, beispielsweise PowerShell, PsExec oder Windows Management Instrumentation.

Beispiele für auffallende Bedrohungen, die dateilose Techniken nutzten:

Diese Bedrohungen hatten etwas gemeinsam: Sie nutzten PowerShell aus. Auch wenn PowerShell ein praktisches Tool für Systemadministratoren ist, können Cyberkriminelle mit diesem Tool Payloads starten, ohne eine Datei im lokalen Speicher des betroffenen Systems schreiben oder ausführen zu müssen.

Makro-Malware

Im Hinblick auf Makro-Malware kam es in der zweiten Jahreshälfte 2018 zu einem leichten Rückgang. Die meisten unserer Erkennungen von Makro-basierten Bedrohungen waren auf Powload zurückzuführen und betrafen hauptsächlich Spam-E-Mails. Powload hat sich im Lauf der Jahre weiterentwickelt: Er variiert die bereitgestellten Payloads, setzt Steganographie ein und verwendet sogar regionsspezifische Marken oder regionsspezifisches Vokabular. Darüber hinaus ließen sich weitere Familien von Makro-Malware in Spam-Kampagnen beobachten, die Trojaner für Datendiebstähle wie Trickbot übertrugen und für Cyberspionage verwendet wurden.

Halbjahresvergleich der Erkennungen von Makro-Malware ohne Powload und Makro-Malware mit Powload


Exploit-Kits

Unsere Daten zeigten einen leichten Anstieg bei blockierten Zugriffen auf Sites mit Exploit-Kits ab der zweiten Jahreshälfte 2018. Dennoch war die Anzahl der Erkennungen in der ersten Jahreshälfte 2019 weit entfernt von derjenigen in der Hochphase der Exploit-Kits. Exploit-Kits nutzen jede Gelegenheit, die sich bietet – etwa alte, aber dennoch nutzbare Schwachstellen und verschiedene Payloads, die sie an ihre spezifischen Anforderungen anpassen.

Halbjahresvergleich der Fälle von blockiertem Zugriff auf URLs, die Exploit-Kits hosteten

Ein beachtenswertes Exploit-Kit in der ersten Jahreshälfte 2019 war Greenflash Sundown. Die ShadowGate-Kampagne nutzte dieses Kit über eine weiterentwickelte „Living off the Land“-Version, die Payloads mithilfe eines aktualisierten PowerShell-Loads dateilos ausführen kann. Die letzte beachtenswerte Aktivität verzeichnete ShadowGate im April 2018, als dieses Exploit-Kit über Greenflash Sundown Malware für Kryptowährungs-Mining in Ostasien verbreitete.

. . .


04

Messaging-Bedrohungen

Messaging-Bedrohungen

Phishing-Angriffe

Die Phishing-Aktivitäten gingen in der ersten Jahreshälfte 2019 zurück. Unsere Daten zeigten 18 Prozent weniger blockierte Zugriffe auf Phishing-Sites durch eine eindeutige Client-IP-Adresse. Dieser Rückgang kann mehrere Ursachen haben, beispielsweise eine stärkere Sensibilisierung der Anwender in Bezug auf Phishing-Angriffe. Interessanterweise ließen sich jedoch im gleichen Zeitrahmen 76 % mehr blockierte eindeutige Phishing-URLs beobachten, die Microsoft Office 365 vortäuschten, vor allem Outlook.

Die Cyberkriminellen, die ausnutzen, dass Menschen bekannten Marken und Tools vertrauen, gingen jetzt noch einen Schritt weiter. Für ihre Phishing-Angriffe verwendeten sie auch Social-Engineering-Bedrohungen auf mehreren Plattformen.


  • Foto-Apps für Android wurden für einen Phishing-Angriff verwendet, der auf den Diebstahl von Bildern abzielte.

  • Eine Phishing-Kampagne verwendete die Wasserloch-Technik, um die Anmeldeinformationen der Anwender zu stehlen.

  • Cyberkriminelle tarnten betrügerische Anmeldeseiten mithilfe der Browser-Erweiterung SingleFile.

Kompromittierende Vorgehensweisen

Business Email Compromise (BEC) ist ein einfacher und immer kostspieligerer Angriff, vor dem sich Unternehmen in Acht nehmen müssen. BEC-Betrüger imitieren in der Regel CEOs und andere Führungskräfte, um ahnungslose Mitarbeiter mithilfe von Social-Engineering-Techniken zu animieren, Gelder auf das Konto des Betrügers zu überweisen.

52 % BEC-Versuche im Vergleich zur zweiten Jahreshälfte 2018
CEO die am häufigsten vorgetäuschte Position

BEC gehört seit vielen Jahren zur Bedrohungslandschaft. Die Betrüger haben neue Wege gefunden, ihre Opfer auszunutzen. Folglich haben sie auch persönliche E-Mail-Konten und E-Mail-Konten von Anbietern kompromittiert und E-Mail-Konten von Rechtsanwälten vorgetäuscht. Außerdem gab es Fälle, die unsere Prognose unterstützen, BEC-Betrüger würden Mitarbeiter weiter unten in der Unternehmenshierarchie ins Visier nehmen.

Auch Sextortion, eine Messaging-Bedrohung, die auf persönlichen Schaden und den Verlust von Reputation abzielt, ist auf dem Vormarsch. Laut unserer Daten gab es in der ersten Jahreshälfte 2019 viermal so viele Sextortion-Angriffe über Spam wie in der zweiten Hälfte des Vorjahres. Diesen Trend hatten wir letztes Jahr prognostiziert. Er überrascht nicht, da die meisten Beschwerden im Zusammenhang mit Erpressung, die 2018 beim FBI eingingen, mit Sextortion zusammenhingen.

Da Sextortion ein sehr persönlicher und sensibler Angriff ist, sieht sich das Opfer sehr wahrscheinlich gezwungen, den Forderungen des Erpressers nachzugeben. In einem spezifischen Fall im April versuchten böswillige Akteure, Geld von italienischsprachigen Anwendern zu erpressen, indem sie drohten, kompromittierende Videos zu veröffentlichen.

Halbjahresvergleich: Sextortion-bezogene Spam-E-Mails (Erkennungen)

. . .


05

Schwachstellen

Schwachstellen

Schwachstellen auf Hardware-Ebene

Die Offenlegung von Meltdown und Spectre Anfang 2018 führte zu völlig neuen Herausforderungen hinsichtlich der Eingrenzung von Schwachstellen und der Patches für diese. In der ersten Jahreshälfte 2019 wurden mehr Schwachstellen auf Hardware-Ebene aufgedeckt.

Im Februar zeigten Forscher mit einem Proof-of-Concept, wie Hacker Enklaven ausnutzen könnten, die auf den Schutz von und den Zugriff auf Daten in den Software Guard Extensions (SGX) von Intel ausgelegt sind. Bei diesen SGX-Enklaven handelt es sich um eine Reihe von Anweisungen in den Core- und Xeon-Prozessoren von Intel.


Im Mai deckten Forscher verschiedene Microarchitectural-Data-Sampling-Schwachstellen in modernen Intel-Prozessoren auf. Ihre Auswirkungen wurden anhand der Seitenkanal-Angriffe ZombieLoad, Fallout und Rogue In-Flight Data Load (RIDL) mit Methoden demonstriert, die denen von Meltdown und Spectre ähneln. Mithilfe dieser Seitenkanal-Angriffe konnten Hacker Code ausführen und Daten herausfiltern.

Fehler mit schwerwiegenden Folgen

Gefährliche Schwachstellen beherrschten die Bedrohungslandschaft in der ersten Jahreshälfte 2019. Die meisten Schwachstellen, die unser Programm Zero-Day-Initiative (ZDI) meldete, wurden im Schweregrad „hoch“ eingestuft. Das zeigt ihre schwerwiegenden Folgen.


107NIEDRIG

101MITTEL

335HOCH

40KRITISCH

Dies sind Beispiele für die auffallenden Schwachstellen, die sich in der ersten Jahreshälfte 2019 zeigten, und für die Gefahren, die den Unternehmen daraus entstehen können:


CVE-2019-0708
Auch als BlueKeep bekannt; eine kritische Schwachstellen in Remote-Desktop-Services

Kann Malware mit außerordentlichen Verbreitungsfähigkeiten ausstatten

CVE-2019-1069
Eine Schwachstelle in der Windows 10-Aufgabenplanung

Kann Hackern den Zugriff auf geschützte Dateien ermöglichen

CVE-2019-5736
Eine Schwachstelle in runC, eine Laufzeitkomponente für Container-Plattformen

Kann Hackern die vollständige Kontrolle über den Host ermöglichen, auf dem ein betroffener Container ausgeführt wird

CVE-2019-1002101
Eine Schwachstelle in der Befehlszeilenschnittstelle für die Befehlsausführung und Ressourcenverwaltung in Kubernetes

Kann Anwender dazu bringen, schädliche Container-Images herunterzuladen

CVE-2019-9580
Eine Schwachstelle in StackStorm, einem Tool für die Automatisierung von Workflows

Kann unautorisierten Zugriff auf Server ermöglichen

. . .


06

IoT- und IIoT-Angriffe

IoT- und IIoT-Angriffe

Botnet- und Wurm-Kriege

Wie prognostiziert kämpften Botnets und Würmer um die Kontrolle über gefährdete, mit dem Internet of Things (IoT) verbundene Geräte. Die Kontrahenten, die versuchten, ihre Konkurrenten hinauszudrängen und im wahrsten Sinne des Wortes auszulöschen – Bashlite, Mirai-Varianten wie Omni, Hakai und Yowai – hatten ein Verfahren gemeinsam: Sie scannten auf infizierten IoT-Geräten nach Konkurrenten, löschten deren Malware und betteten ihre eigenen Payloads ein.

Angriffe auf kritische Infrastrukturen

Das Industrial Internet of Things (IIoT) hat verändert, wie Industrieanlagen und kritische Infrastrukturen arbeiten. Es sorgt dafür, dass betriebliche Aktivitäten immer effizienter und transparenter werden. Die Konvergenz von Betriebstechnologie (Operational Technology, OT) und Informationstechnologie (IT) birgt jedoch auch neue Sicherheitsrisiken und breitere Angriffsflächen.


Laut einer im März veröffentlichten Umfrage waren 50 Prozent der befragten Organisationen in den letzten zwei Jahren einem Angriff auf kritische Infrastruktur ausgesetzt. 2019 schienen sich böswillige Akteure mit IIoT-Zielen zu befassen. Die Hacker-Gruppe Xenotime, die hinter der Malware Triton (auch als Trisis bekannt) vermutet wird, untersuchte die industriellen Kontrollsysteme (Industrial Control Systems, ICSs) von Energieversorgungsnetzen in den USA und in der Region Asien-Pazifik. Die Malware suchte nach den Remote-Login-Portalen ihrer Opfer und nach Schwachstellen in deren Netzwerken und listete diese auf.

. . .


07

BEDROHUNGSLAGE

BEDROHUNGSLAGE
26.804.076.261
Gesamtzahl der blockierten Bedrohungen in der ersten Jahreshälfte 2019

Die Anzahl der blockierten Bedrohungen durch E-Mails, Dateien und URLs ist im zweiten Jahresquartal leicht zurückgegangen: Quartalsvergleich der blockierten Bedrohungen durch E-Mails, Dateien und URLs sowie von Reputationsabfragen zu E-Mails, Dateien und URLs in der ersten Jahreshälfte 2019

Quartalsvergleich der blockierten schädlichen Android-Apps in der ersten Jahreshälfte 2019

Quartalsvergleich der Abfragen von Android-Apps in der ersten Jahreshälfte 2019

PDF hat XLS als häufigsten Dateityp für Anhänge von Spam-E-Mails knapp überholt: Verteilung der für Anhänge von Spam-E-Mails verwendeten Dateitypen in der ersten Jahreshälfte 2019

Zur Jahresmitte lässt sich sagen, dass 2019 viele hartnäckige und verdeckte Bedrohungen entdeckt wurden, die zu jeder Zeit bereit sind, Schwachstellen bei Personen, in Prozessen und Technologien zu suchen und auszunutzen. Es gibt keinen einfachen Weg, sich umfassend dagegen zu wehren. Unternehmen und Anwender brauchen einen mehrschichtigen Ansatz, der zu ihren individuellen Sicherheitslücken passt. Gateways, Netzwerke, Server und Endpunkte müssen geschützt werden. Unternehmen, die Malware mit komplexeren Techniken ausgesetzt sind, benötigen Lösungen, die menschliche Kompetenz und Sicherheitstechnologien kombinieren. Solche Lösungen sind besser dafür geeignet, Bedrohungen zu erkennen, zu korrelieren, auf sie zu reagieren und sie zu beheben.

Mit unserem vollständigen Sicherheitsüberblick zur Jahresmitte, “Versteckte Bedrohungen mit schwerwiegenden Folgen”, erhalten Sie tiefere Einblicke in die beachtenswertesten Bedrohungen der ersten Jahreshälfte 2019 und entsprechende Lösungen.

KOMPLETTEN BERICHT HERUNTERLADEN

. . .

HIDE

Like it? Add this infographic to your site:
1. Click on the box below.   2. Press Ctrl+A to select all.   3. Press Ctrl+C to copy.   4. Paste the code into your page (Ctrl+V).

Image will appear the same size as you see above.