EIN BLICK IN DIE VERBORGENE WELT DER CYBER …...Ransomware, Malware-Methoden, Datenpannen,...

CHECK POINT RESE ARCH – 2019 SICHERHEITSBERICHT| 1

Sicherheitsbericht 2019 Band 02

E I N B L I C K I N D I E V E R B O R G E N E W E LT D E R C Y B E R - K R I M I N A L I T Ä TDIE ZUNAHME VERDECKTER UND GEZ IELTER CYBER-ANGRIFFE


B A N D 0 2S I CHERHE I TSBER ICHT 2 019

01 EINFÜHRUNG 3

02 EIN BLICK IN DIE VERBORGENE WELT DER CYBER-KRIMINALITÄT 4

03 DIE DEMOKRATISIERUNG IM BEREICH DER CYBERKRIMINALITÄT 5

04 MALWARE, DIE IM GEHEIMEN AKTIV IST 13

05 FAZIT 23


E INF ÜHRUNGSeit den Beginn des Internetzeitalters entwickelt sich vor unseren Augen ein Ökosystem der Cyberkriminalität. Ähnlich wie sich das Internets im Laufe der Zeit gewandelt hat, hat sich auch das Ökosystem stark verändert.

Im ersten Teil des Sicherheitsberichts 2019 mit dem Titel „Trendanalyse zu Cyber-Angriffen“ haben wir die neuesten Trends und Bedrohungen untersucht, mit denen die IT-Sicherheitsbranche heute zu kämpfen hat. Dabei haben wir die wichtigsten Vorfälle analysiert, von denen Unternehmen im letzten Jahr betroffen waren, und unsere Meinungen und Ansichten dazu wiedergegeben. Die Trends gehören folgenden Kategorien an: Kryptominer, Ransomware, Malware-Methoden, Datenpannen, Mobilgeräte und Cyber-Angriffe durch Nationalstaaten.

In diesem Teil des Berichts sehen wir uns die Entwicklung an, die den oben genannten Kategorien zugrunde liegt: die Demokratisierung der Cyberkriminalität.

Während kriminelle Cyber-Aktivitäten früher ausschließlich von technisch versierten Personen ausgeführt wurden, kann sich heute jeder, der zu zahlen bereit ist, in der Unterwelt problemlos die benötigten Tools und Services besorgen, um beliebige Cyber-Angriffe zu starten.

Zwar sind unerfahrene Angreifer bereits seit einiger Zeit an der Verbreitung von Schadsoftware beteiligt, doch konnten wir dieses Jahr eine deutliche Zunahme von Angriffen feststellen, bei denen Cyber-Waffen oder Produkte zum Einsatz kamen, die aus der geheimen „Malware-as-a-Service“-Branche stammten.

Anschließend sehen wir uns den Trend verborgener Schadsoftware genauer an, die im Stillen in geschäftliche IT-Infrastrukturen eingeschleust wurde. Während es 2017 zu vielen großen, schlagzeilenträchtigen Angriffen kam, die Privatpersonen und Unternehmen als Weckruf dienten, bemühten sich Bedrohungsakteure 2018 darum, ihre böswilligen Aktivitäten besser geheim zu halten. Lassen Sie sich davon jedoch nicht täuschen. Aus dem Auge darf nicht aus dem Sinn bedeuten.

Durch eine Analyse der aktuellen Entwicklungen können wir die Bedrohungen genauer verstehen, mit denen Unternehmen heute zu kämpfen haben. Schließlich ist es so, dass es keine Anzeichen für eine Entspannung der Bedrohungslage gibt. Vielmehr werden die Risiken weiter zunehmen.


E I N B L I C K I N D I E V E R B O R G E N E W E LT D E R C Y B E R - K R I M I N A L I T Ä T

M o r g e n g r a u e n Vor dem Jahr 2000 handelte es sich bei Hackern meist um Einzelpersonen, die Schwachstellen in Betriebssystemen von Computern oder in Netzwerken ausnutzten. In vielen Fällen experimentierten Computerfans einfach, lernten das neue Onlinenetzwerk kennen und versuchten sich darin, „das System zu schlagen“. Dabei handelte es sich um frühe Cyberkriminelle, deren Motivation jedoch selten finanzieller Art war. Das Potenzial für finanzielle Schäden und Sicherheitsrisiken gab es zwar schon damals, doch fehlte es dem „Ein-Mann-Hacker“ an den Motiven und Absichten, über die kriminelle Banden bereits bald verfügten.

N a c h T a g e s a n b r u c hEs dauerte nicht lange, bis immer mehr Personen, Websites und Services online waren und Cyberkriminelle damit begannen, sich zu organisieren und ihre Hacking-Methoden zu perfektionieren. Schnell erkannten länger operierende kriminelle Banden, dass Benutzer das Internet für sicher hielten, obwohl die Technologie zahlreiche ausnutzbare Lücken und Löcher enthielt. Zudem diente die Anonymität im Internet als Schutzschild, das eine Entdeckung deutlich erschwerte. Im nächsten Schritt gingen Händler und Finanzdienstleister online – was zur Folge hatte, dass im Cyberspace nun riesige Mengen an Finanzdaten übertragen wurden. Und wo Geld ist, sind Kriminelle nicht weit, da sie stets auf der Suche nach Beute sind.

Kurz gesagt: Banden haben die Welt der Cyber-Kriminalität professionalisiert. Heute haben wir es kaum mehr mit neugierigen Amateuren zu tun, die Schwachstellen in Betriebssystemen von Computern ausnutzen, sondern mit organisierten kriminellen Banden, die in Computernetzwerke eindringen, um sich finanzielle Vorteile zu verschaffen.

CHECK POINT RESE ARCH – SICHERHEITSBERICHT 2019| 4


Zum Verständnis dieser neuen Ära der Cyberkriminalität muss man wissen, dass das heutige, kriminelle Cyber-Ökosystem ein Spiegelbild der gesellschaftlich akzeptierten Handelspraxis darstellt und mit dieser übereinstimmt, jedoch tatsächlich komplett illegal ist.

Die wichtigsten Rollen und Aufgaben in dieser Schattenwirtschaft lassen sich folgenden Kategorien zuordnen:

Programmierer – entwickeln Schadsoftware, um potenzielle Opfer zu erpressen oder deren Daten zu stehlen.

Händler – handeln mit und verkaufen die gestohlenen Daten der Opfer.

IT-Techniker – entwickeln und pflegen für Kriminelle die IT-Infrastruktur (Server, Datenbanken etc.).

Hacker – suchen und finden Schwachstellen in Systemen, Anwendungen und Netzwerken.

Betrüger – entwickeln und verwenden neue Methoden, um potenzielle Opfer hinters Licht zu führen und zu manipulieren.

Hosting-Services – stellen Hosting-Services für betrügerische Inhalte und Webseiten der Kriminellen bereit.

Manager – rekrutieren Cyberkriminelle, stellen Teams zusammen und steuern die komplette Operation.

T o o l B o x f ü r P r o g r a m m i e r e rEs gibt verschiedene Arten von Schadsoftware, die Programmierer einrichten können. Malware, die ihren Namen vom brillanten, inzwischen verstorbenen israelischen IT-Forscher Yisrael Radai erhalten hat, besteht aus Softwareprogrammen mit der gezielt bösartigen Absicht, gegen die Wünsche und Anforderungen von Computernutzern zu handeln. Die meisten Malware-Typen, die in der Praxis zum Einsatz kommen, gehören einer der folgenden Kategorien an:

DIE DEMOKRATISIERUNG DER CYBERKRIMINALITÄT


S P Y W A R EOft auch als „Keylogger“ bezeichnet, verfolgen und stehlen Spyware-Programme digitale Daten, während die Opfer davon nichts mitbekommen. Besonders interessant sind dabei Finanzdaten (wie Kreditkartendetails oder Berechtigungsnachweise für das Online-Banking).

T R O J A N E RTrojaner tarnen sich als sichere Programme und täuschen Benutzer, damit sie sie unwissentlich im eigenen System installieren. Später kann das System von ihnen sabotiert werden. Meist dienen Trojaner dem Diebstahl finanzieller und personenbezogener Daten (PII - Personal Identifiable Information).

V I R E NComputerviren, die es seit den 1970er Jahren gibt, stellen eine infektiöse Form von Code dar, die Software infiziert und sich im System dann von Datei zu Datei ausbreitet. Werden infizierte Software oder Dateien zwischen Computern bzw. im Internet ausgetauscht, verteilt sich der Virus auf neue Hosts.

R A N S O M W A R EErpressungstrojaner funktionieren mittels einer Sperrung der Daten auf dem Computer eines Opfers, meist durch Verschlüsselung. Anschließend wird die Zahlung eines Lösegelds an den Angreifer verlangt, damit dieser die verschlüsselten Dateien wieder freigibt und den Computerzugang für das Opfer wiederherstellt.

Über 10.000 verschiedene bösartige Dateien werden Tag für Tag erkannt.Quelle: ThreatCloud Map basiert auf ThreatCloud-Intelligence von Check Point

Über 700 Malware-Familien kommen Tag für Tag zum Einsatz.Quelle: ThreatCloud Map basiert auf ThreatCloud-Intelligence von Check Point


B O T W A R EDas Ziel von Botware besteht darin, die Computer von Opfern in „Zombies“ zu verwandeln und in ein größeres Netzwerk an Geräten einzubinden, die auf Anweisungen vom kriminellen Verwalter zum Start eines Angriffs warten. DDoS-Angriffe (Distributed Denial-of-Service) sind ein gutes Beispiel dafür.

K R Y P T O J A C K E RKryptojacking bezeichnet die unbefugte Nutzung der Computer von Opfern, um Kryptowährungen zu schürfen und das Geld zurück an den Angreifer zu senden. Dabei wird die CPU-Leistung des Opfers in Anspruch genommen, was dazu führt, dass sich der entsprechende Computer verlangsamt oder sogar abstürzt.

In der aktuellen Bedrohungslandschaft sind Cyberkriminelle nicht mehr unbedingt jene mit den direkten technischen Fähigkeiten zur Erstellung der Malware, die bei Angriffen zum Einsatz kommt. Sie sind auch nicht unbedingt diejenigen, die wissen müssen, wie man einen Angriff verbreitet. Tatsächlich ist der Wissensbedarf heute ziemlich gering.

So benötigen Cyber-Kriminelle lediglich Zugang zu jenen Kommunikationskanälen im Untergrund, die als zentraler Marktplatz für dieses Ökosystem dienen. Dort können sie Malware-Programme „bestellen“ oder gar komplette Angriffe auf ein ausgewähltes Ziel „in Auftrag geben“. Das ist es, was wir die Demokratisierung der Cyberkriminalität nennen.


D a s D a r k n e t

Das Darknet, das einen nicht geringen Teil des Internets ausmacht, stellt einen zentralen Ort für verbotene Aktivitäten dar. Ob illegale Waffen, Drogenhandel oder MaaS-Programme (Malware-as-a-Service): Käufer und Verkäufer nutzen das Medium für den Handel mit bzw. den Austausch von Kenntnissen und Produkten.

Schon seit längerer Zeit sind Hacking-Foren im Darknet eine beliebte Plattform und dienen Cyber-Kriminellen als wichtiges Kommunikationsmittel. Hier können sie Arbeitsaufträge veröffentlichen, ihre Produkte vermarkten und sich miteinander austauschen.

Größere Aktionen und Kampagnen lassen sich schließlich nicht von einer einzelnen Person ausführen, sondern erfordern das Rekrutieren eines Teams, das die Arbeit gemeinsam erledigen kann. In anderen Fällen sind die Foren die Orte, an denen sich Schadsoftware und Tools für bösartige Zwecke mit Partnern tauschen bzw. verkaufen lassen, sodass Entwickler Geld erhalten, ohne direkt an Angriffen beteiligt zu sein.

Die online angebotenen Services beinhalten Malware-Kits, gestohlene Daten oder sogar ein Paket aus einem verbreitungsfähigen Malware-Programm mit einer umfassenden Verwaltungsoberfläche, sodass auch unerfahrene Hacker Infizierungsraten und Einkünfte bequem überwachen und kontrollieren können. Zu den verfügbaren Malware-as-a-Service-Angeboten gehören berüchtigte Erpressungstrojaner wie AZORult, File-Locker und Kraken, die im letzten Jahr oft in den Schlagzeilen waren. Die Verfasser des Erpressungstrojaners GandCrab bieten sogar technischen Support und Schulungsvideos für ihr Produkt an.

Die Abschaltung dieser Marktplätze im Darknet (wie Hansa Market und Alpha Bay im Jahr 2017) läutete eine neue Runde im Katz-und-Maus-Spiel im Cyberraum ein. Schon bald nutzten Bedrohungsakteure neue Kanäle, um einer Entdeckung durch Ermittlungsbehörden zu entgehen. Viele Kriminelle sind auf die zunehmend beliebte und extrem sichere Mobile-Messaging-App Telegram umgestiegen, um ihre Aktivitäten fortzusetzen.

K o m m u n i k a t i o n s k a n ä l e

Gehostete Chatgruppen in Telegram (auch Kanäle genannt) dienen der Verbreitung von Nachrichten an eine unbegrenzte Zahl von Abonnenten; während sich dabei der ganze Nachrichtenverlauf anzeigen lässt, werden alle Antworten auf öffentliche Nachrichten privat behandelt. Dank der Vertraulichkeit dieser Kanäle können Cyber-Kriminelle ihre Identitäten und Konversationen verbergen.

57 % aller Onion-Sites weisen illegale Inhalte auf.Quelle: Europol „Internet Organized Crime Threat Assessment, 2017“


Alle Bedrohungsakteure, die dubiose Fähigkeiten, Services oder Produkte anbieten, nutzen heute vertrauliche, durchgängig verschlüsselte Chats anstelle von exponierten Threads in Onlineforen. In der Vergangenheit waren noch mehrere Schritte erforderlich, um mit Tor, dem Browser im Darknet, eine anonyme Verbindung herzustellen. Heute kann jeder beliebige Telegram-Nutzer Kanälen durch einfaches Tippen auf ihrem Smartphone beitreten und Nachrichten aus geheimen Gesprächen bzw. Angebote empfangen, wobei ihre Identität komplett verborgen bleibt.

Dadurch lässt sich der erste Schritt bei der Planung eines Angriffs – die Herstellung von Kontakt mit jenen, die bei der Ausführung helfen können – deutlich vereinfachen.

Ein Land, in dem diese dubiosen Kanäle blühen, ist Russland; so haben manche der Kanäle bereits Tausende von Abonnenten. Beispiele dafür sind „Dark Jobs“, „Dark Work“ und „Black Markets“. Einzelne Kanäle, wie beispielsweise ein iranischer Kanal namens „AmirHack“, haben bis zu 100.000 Mitglieder.

Dabei beschränken sich die Kanäle nicht nur auf Rekrutierer und Arbeitsuchende. Gleichzeitig gibt es Werbung für den Verkauf von gestohlenen Dokumenten oder Hacking-Tools. Das ist äußerst besorgniserregend, wenn man bedenkt, wie leicht zugänglich die Kanäle heute sind und wie hoch die finanziellen Anreize sind, die Personen versprochen werden, die sich möglicherweise sonst nicht an der Ausführung krimineller Aktivitäten beteiligen würden.

Das führt dazu, dass die Risiken im Bereich Cyber-Kriminalität steigen, da die genannten Positionen nicht nur öffentlich beworben werden, sondern auch unerfahrenen Benutzern zugänglich sind. Das bedeutet, dass gefährliche Tools heute für jedermann verfügbar sind.

H a c k i n g - T o o l s u n d - S e r v i c e s

„Gesucht für ein Dark Project: Cryptor mit Ausführung auf allen Systemen von Windows XP bis 10. Umgehung von Top-Virenschutz, besonders Avast und Defender.“

Beispiel: Die Anzeige eines Cyber-Kriminellen, gepostet in einem Telegram-Kanal.

Die Nachrichten unten, gefunden in einer Telegram-Gruppe, ist ein gutes Beispiel dafür, wie eine Person ohne jegliche Erfahrung mit der Entwicklung von Malware unter Nutzung von Telegram-Kanälen eine vollständige Operation ausführen kann. In diesem Fall lagert die Person, die die Anzeige aufgegeben hat, ein komplettes Projekt aus, und übernimmt lediglich die Bezahlung.

DARK WORK

NAME: Трофим Степан MIT-GLIEDER: 762Beschreibung: Das beste Nachrichtenboard im Darknet zur Übermittlung von Anzeigen.Zentrale Posts: Verkauf und Entwicklung von Hacking-Tools.

YP

NAME: Дмитрий Ефим MITGLIEDER: 4.425Beschreibung: Übermitteln einer Anzeige - @banMarket_bot Werbung / Garant- @deluxe_R @Rhodesk Chat - @banMarket_chat)Zentrale Posts: Verkauf von Plänen und Dokumenten.

DARK JOB

NAME: Виктор Тимур 18+MITGLIEDER: 6.873Beschreibung: Info (Übermitteln einer Anzeige, Garantien bezüglich der Anzeige, Garant) @dark_job_info_bot)Zentrale Posts: Jobsuche, Unternehmen Mitarbeiter.

Beispiele für dubiose Kommunikationsgruppen in Telegram


Weitere illegale Dienstleistungen, die in einigen der dubiosesten Kanälen von Telegram angeboten werden, beinhalten das Fälschen von rechtlichen Dokumenten wie Personalausweisen, Reisepässen, Bankunterlagen usw. Wie man sich denken kann, sind Experten für Photoshop und freiberufliche Designer in diesem Bereich besonders stark nachgefragt.

P h i s h i n g - K i t s d e r n ä c h s t e n G e n e r a t i o n

Eines der modernsten Phishing-Kits, das „[A]pache Next Generation Advanced Phishing Kit“, ist ein anderes Beispiel dafür, wie im Darknet leicht zugängliche, aber dennoch hochgefährliche Tools beworben und verkauft werden.

Das berüchtigte [A]pache Phishing Kit ermöglicht es aufstrebenden Cyberkriminellen mit extrem wenig Erfahrung, eine professionelle Phishing-Kampagne zu fahren, indem es erklärt, wie sich Kreditkartendetails stehlen lassen, indem potenzielle Opfer auf gefälschte Shopping-Sites gelockt werden.

Mit einem Preis von 100 bis 300 US-Dollar kostete dieses erweiterte Phishing-Kit mehr als Standard-Phishing-Kits. Standard-Kits sind meist zu einem Preis von 20 bis 50 US-Dollar erhältlich, manche sind sogar kostenlos. Dabei stellen sie Anmeldeseiten und Eingabeaufforderungen für persönliche und finanzielle Daten bereit. Das [A]pache Next Generation Phishing Kit hingegen bot Bedrohungsakteuren eine komplette Suite mit Tools zum Ausführen von Angriffen. Dazu gehörte eine vollständige Back-Office-Schnittstelle, mit der sich überzeugende gefälschte Produktseiten von Händlern fälschen und Kampagnen komplett verwalten ließen.

Um Opfern tatsächlich das Gefühl zu geben, dass sie auf einer echten Website einkaufen, benötigen Cyberkriminelle außerdem eine Domain, die der Website des angegriffenen Unternehmens ähnelt, z. B. www.walmart-shopping.com. Diese können ebenfalls durch illegitime Hosting-Services im Darknet zur Verfügung gestellt werden. Nach der Registrierung können Bedrohungsakteure das Kit auf einem Webhost mit PHP- und MySQL-Unterstützung bereitstellen, sich bei der Verwaltungsoberfläche des Kits anmelden und mit der Konfiguration der Kampagne beginnen. Es ist wirklich so einfach.

Für eine einfache Einrichtung entwickelte [A]pache eine simple Benutzerschnittstelle im Admin-Panel, über die der Bedrohungsakteur die Produkt-URL des legitimen Händlers und damit die Produktinformationen automatisch auf die Phishing-Seite importieren konnte. Anschließend konnten die Cyberkriminellen ihre „Produkte“ betrachten und die Originalpreise anpassen.

Beispiel: Eine fingierte Shopping-Site, die von Phishing-Kits der nächsten Generation im Darknet zum Verkauf angeboten wurde.


B o t s z u m M i e t e n

Im Jahr 2018 begann die Malware-as-a-Service-Industrie damit, zusätzliche Leistungen verfügbar zu machen.

Einige der bekanntesten Malware-Verteiler des Jahres, riesige Mehrzweck-Botnets, bieten nun ihre wertvollste Ressource – Bots – zur Miete an. So können beliebige Akteure an umfangreiche globale Kampagnen teilnehmen. Emotet zum Beispiel, ursprünglich eine Schadsoftware für massive Angriffe auf europäische Bankkunden, hat seinen Schwerpunkt verlagert und bietet inzwischen weltweit Verpackungs- und Verteilungsleistunge an, die auf dessen Selbstausbreitungsfunktionen basieren. Ramnit, eine weitere bekannte Banking-Malware, legte mit einer einzigen zusammenhängenden Kampagne („Black“), die zu etwa 100.000 Infizierungen führte, ein ähnliches Verhalten an den Tag.

R a n s o m w a r e w i r d a g i l

Angesichts des geringen Kenntnisbedarfs, der einfachen Verfügbarkeit und der niedrigen Kosten für Leistungen aus dem Untergrund gibt es immer mehr Cyberkriminelle. Das Ransomware-as-a-Service-Partnerprogramm von GandCrab, das im Darknet in Hacking-Foren beworben wird, ist ein gutes Beispiel dafür, wie nun auch Amateure von Erpressungsaktivitäten mit Ransomware profitieren können.

Dieses Modell ist für Verfasser von Malware äußerst lukrativ und erlaubt es ihnen, sich auf die Entwicklung von Malware zu konzentrieren, während sie die Verbreitungsstufe an verschiedene Verteiler delegieren, die das Produkt im Rahmen eines Partnerprogramms kaufen oder mieten.

In dem Partnerprogramm überlässt GandCrab bis zu 60 % der Einkünfte, die Opfer als Lösegeld zahlen, den Benutzern, während seine Entwickler bis zu 40 % behalten. Als Gegenleistung für diese Gebühren erhalten Käufer die erforderlichen Tools, um Angriffe zu starten. Außerdem bieten die Urheber von GandCrab Support und Updates für den Erpressungstrojaner selbst an. Dies ist ein weiterer Anreiz für Partner, den Ransomware-as-a-Service gegenüber anderen Anbietern vorzuziehen. Unsere Untersuchungen haben gezeigt, dass GandCrab über Dutzende aktive Partner verfügt (über 80), von denen der größte monatlich mehr als 700 verschiedene Malware-Typen verbreitet. So hat GandCrab in nur zwei Monaten über 50.000 Opfer infiziert und Lösegeldzahlungen in Höhe von geschätzt 300.000 bis 600.000 US-Dollar eingebracht.

Das Mieten eines Botnet kostet 60 USD am Tag und kann Schäden in Höhe von 720.000 USD verursachen.Quelle: „A day attack with DDoS booter cost $60“, Security Affairs, März 2016


D i e V e r f ü g b a r k e i t v o n C y b e r k r i m i n a l i t ä t

Wie unsere Reise in die Welt der modernen Cyberkriminalität deutlich gemacht hat, war es noch nie so einfach, Dienstleistungen zu mieten, Zugriff auf Malware zu erhalten und gestohlene Daten anonym zu verkaufen. Darum gibt es immer mehr Amateure, die ein Stück vom Kuchen abbekommen möchten. Von unzufriedenen Mitarbeitern über gelangweilte Teenager: Jede Person, die über ein bisschen Kapital und Motivation verfügt, kann zu einem Bedrohungsakteur werden.

Dank der Einfachheit verschlüsselter Kanäle wie Telegram können Bedrohungsakteure und jene, die es werden möchten, eine sichere Kommunikationsmethode nutzen. Zwar wurde die Sicherheit von Benutzerdaten bei beliebten Messaging-Anwendungen in den letzten Jahren verbessert, doch werden die Applikationen leider auch von Personen missbraucht, die sich vor den Blicken anderer und dem Gesetz schützen wollen.

Außerdem bietet Malware-as-a-Service alles, was Cyberkriminelle zum Loslegen benötigen, und bedroht Unternehmen auf zweierlei Weise. MaaS schafft Nachfrage nach optimierten, einfacher zu verwendenden bösartigen Programmen, da Entwickler von Malware versuchen, sich von der Konkurrenz abzuheben. Das führt zu einer deutlich höheren Verfügbarkeit und Raffinesse von Malware-Bedrohungen.

Darüber hinaus sorgt Malware-as-a-Service für deutlich mehr individuelle Bedrohungen, da nun auch Personen aktiv werden können, die normalerweise nicht über die erforderlichen technischen Fähigkeiten für die Entwicklung eigener bösartiger Programme verfügen würden. Das bedeutet, dass Cyber-Angriffe heute fast von fast jeder Person gestartet werden können.

Angesichts dessen und des breiten Spektrums an Services und Produkten, die im kriminellen Cyber-Ökosystem heute verfügbar sind, gibt es zahlreiche Möglichkeiten zur Ausführung von Cyber-Angriffen. Während die Zahl der Cyberkriminellen aufgrund der geringen technischen Einstiegsbarrieren wächst, nimmt auch die Zahl der Cyber-Angriffe auf Unternehmen und Privatpersonen entsprechend zu.


M A L W A R E , D I E I M G E H E I M E N A K T I V I S T%

der

Unt

erne

hmen

mit

Rans

omw

are

infiz

iert

R a n s o m w a r e w i r d g e z i e l t e r e i n g e s e t z t

Fanden im Jahr 2017 noch zahlreiche große Angriffe statt, die es in die Schlagzeilen schafften und Privatpersonen sowie Unternehmen als Weckruf dienten, bemühten sich Bedrohungsakteure im Jahr 2018 darum, ihre böswilligen Aktivitäten zu verbergen. Aber lassen Sie sich davon nicht täuschen. Wenn es um Cyber-Angriffe geht, darf aus den Augen nicht aus dem Sinn bedeuten. Es vergeht kein Tag, an dem nicht Unternehmen durch die stetig wachsende Zahl von Malware-Anwendungen angegriffen werden. Schadsoftware verbreitet sich schneller denn je.

Im Jahr 2017 profitierten Cyberkriminelle noch immer von Angriffen mit Ransomware. Diese Entwicklung nahm jedoch Ende 2017 und Anfang 2018 ab. Die Veränderung im Vergleich zur Hochphase nur einige Monate vorher war so grundlegend, dass das Thema komplett aus den Schlagzeilen verschwunden zu sein schien.

Quelle: Check Point Threat Cloud


Doch trotz der selteneren Meldungen ist Ransomware nicht aus der Bedrohungslandschaft verschwunden. Vielmehr haben Cyberkriminelle mit gezielten Ransomware-Angriffen lukrativere Methoden gefunden. Weit gestreute Angriffe in früheren Jahren gehören damit der Vergangenheit an. Statt einer Verbreitung von Millionen von E-Mails ohne spezifisch Betroffene gibt es nun geplante und gut recherchierte Angriffe auf gezielt ausgewählte Opfer. Der Extraaufwand scheint sich bezahlt zu machen, da es Kriminellen gelungen ist, mit Ransomware-Angriffen Lösegelder in Millionenhöhe zu erpressen.

Ein Angriff auf die Stadtverwaltung von Atlanta im März 2018 ist ein gutes Beispiel dafür. Cyberkriminelle nutzten den Erpressungstrojaner SamSam, um mit Blick auf die Art des Opfers, des Drucks der Bürger und die Fähigkeit der Stadt, größere Beträge zu zahlen, deutlich höhere Lösegeldsummen zu fordern. Vergleichen Sie das mit ungezielten Ransomware-Angriffen unter Verwendung von GandCrab, bei denen Lösegeldforderungen maximal ca. 1.000 US-Dollar pro Opfer betrugen. Der Erpressungstrojaner SamSam hingegen verlangt von seinen Opfern Zahlungen von bis zu 50.000 US-Dollar.

Das Hauptziel ist die Entdeckung der Kronjuwele im Zielnetzwerk, einer Ressource, die bei einem Ausfall die Aktivitäten des betroffenen Unternehmens in wenigen Minuten stilllegen kann – was dazu führt, dass Opfer keine andere Wahl haben, als die geforderte Lösegeldsumme zu zahlen, um immensen Schaden zu verhindern, der ggf. noch höhere Ausgaben nach sich ziehen würde. Betreiber von Ransomware wie Ryuk versuchen sogar, Backup-Server von Opfern zu neutralisieren und diese ebenfalls zu verschlüsseln.

Bislang war der gezielte Ansatz im Jahr 2018 ziemlich effektiv und steigerte die Beute von Angreifern, was den höheren Aufwand eindeutig wettmachte. Zusammen mit der Tatsache, dass die sorgfältig geplante, manuelle Strategie Angreifern dabei hilft, einer Erkennung zu entgehen, ist dies eine Garantie dafür, dass der Trend uns noch eine Weile beschäftigen wird.

46 % der Unternehmen waren im Jahr 2018 von Ransomware-Angriffen betroffen.Quelle: Security Report Threat Prevention Research unter IT- und Sicherheitsexperten, November 2018


D i e Z u n a h m e d e r K r y p t o m i n e r

Während Erpressungstrojaner immer gezielter eingesetzt werden, hat sich eine neue, massenhaft verteilte Malware-Art durchgesetzt. Im Gegensatz zu Ransomware war sie jedoch wesentlich häufiger im Verborgenen aktiv und für Opfer überhaupt nicht sichtbar. Anders als bei Erpressungstrojanern bemerkten Opfer nichts von dem Angriff und erfuhren davon erst, nachdem Cyberkriminelle den Profit bereits erzielt hatten.

Dazu verwenden sie Kryptominer, eine deutlich unauffälligere Malware-Methode, die allerdings keinen Deut weniger gefährlich ist.

Wie aus dem Diagramm deutlich wird, hat das Kryptomining dramatisch zugenommen. Was ist der Grund dafür?

RubyMiner versuchte, in 30 % aller Unternehmensnetzwerke weltweit Schwachstellen auszunutzen.Quelle: Blog von Check Point Research, „RubyMiner affects 30% of WW Networks“, Januar 2018

% d

er U

nter

nehm

en m

it Ra

nsom

war

e in

fizie

rt



Es gibt verschiedene Ursachen für die Zunahme von Kryptomining und die Abnahme von Angriffen mit Ransomware.

Neben den oben genannten Gründen war das rapide Wachstum im Wert von Kryptowährungen ein wichtiger Faktor für die steigende Verwendung von Kryptojackern, mit denen bösartige Akteure diese lukrative Währung zu ihrem Vorteil nutzten. Außerdem wird der Zusammenhang zwischen dem Steigen und Fallen der Werte von Kryptowährungen sowie der Zunahme von Kryptomining-Angriffen im folgenden Diagramm deutlich.

1. Wenige Opfer zahlen das geforderte Lösegeld. Trotz der hohen Infizierungsrate durch umfangreiche Ransomware-Angriffe (Beispiel: WannaCry) wurden mit dem Angriff lediglich 140.000 USD verdient. Das mag nach viel Geld klingen, ist jedoch ein relativ kleiner Betrag, wenn man bedenkt, dass über 400.000 Computer infiziert wurden.

2. Schwankungen beim Wert von Kryptowährungen. Werden Lösegeldzahlungen in Bitcoin verlangt, ist es wichtig, dass die digitale Währung eine vorteilhafte Umtauschrate zum US-Dollar aufweist. Das heißt, dass die Rate optimal sein muss: nicht zu hoch, sodass das Opfer nicht zahlt, und nicht zu niedrig, sodass der Angreifer keine Gewinne macht. Zwar ist Bitcoin weiterhin eine wertvolle Währung, doch ist ihr Wert seit Mitte 2017 stark gesunken, was Lösegeldzahlungen mit dieser Währung aktuell deutlich weniger attraktiv macht.

3. Kryptojacking-Malware ist besonders effektiv. Erpressungstrojaner fallen eindeutig auf und lösen in Unternehmen Alarm aus. Es ist gut möglich, dass Unternehmen einmal infiziert werden und zahlen (oder auch nicht), dann aber Maßnahmen ergreifen, um zukünftige Vorfälle zu verhindern. Kryptojacker hingegen bleiben im Verborgenen und entgehen der Entdeckung. Sie lösen keinen Alarm aus und bleiben oft unerkannt; so können Angreifer ihr Ziel übernehmen, um so lange wie möglich Einkommen zu generieren – ohne von den Opfern bemerkt zu werden.

% d

er U

nter

nehm

en m

it Ra

nsom

war

e in

fizie

rt

Quelle: Check Point Threat Cloud und CoinMarketCap.com


Kryptojacking stellt eine Methode für Kriminelle dar, die nicht mehr auf einem einmaligen Angriff basiert, der meist nur einmal erfolgreich ist. Vielmehr geht es um eine längere, geheime Operation. Bedrohungsakteure müssen sich nicht mehr um unkooperative Opfer, die nicht zahlen, oder um Opfer kümmern, die ein Backup ihrer Daten haben, wodurch der Angriff ins Leere läuft. Stattdessen ist die veränderte Strategie dazu geeignet, durch die Lücken der Sicherheitsmaßnahmen von Unternehmen zu schlüpfen, eine Tür für zukünftige Angriffe zu öffnen und die Art von Angriffen sowie die Weise, wie sich Unternehmen dagegen verteidigen müssen, grundlegend zu verwandeln.

Diagramm: Führende Kryptomining-Malware weltweit Quelle: Check Point Threat Cloud

Wie Sie dem Diagramm oben entnehmen können, sind die wichtigsten Malware-Programme für Kryptomining, diejenigen die die Global Top Cryptominers Malware-Liste dominieren, Coinhive, CryptoLoot und JSEcoin. Diese Programme haben ihre Spitzenplätze in der Liste seit dem Jahr 2017 beibehalten.

Die beliebten, webbasierten Kryptominer lassen sich leicht in Websites integrieren – wissentlich durch Website-Inhaber sowie im Geheimen durch Bedrohungsakteure, die das hohe Besucheraufkommen dieser Websites zum Schürfen von Kryptowährung nutzen. Mit einem anderen Ansatz zielte die RubyMiner-Kampagne auf ungepatchte Windows- und Linux-Server ab und behielt ihren hohen Rang im ersten Halbjahr 2018 bei. Wie Check Point-Forscher im vergangenen Januar enthüllten, versuchte RubyMiner, 30 % aller Unternehmensnetzwerke weltweit zu nutzen, um leistungsfähige Server für den Mining-Pool seiner Betreiber zu mobilisieren.


D i e E n t w i c k l u n g d e r K r y p t o m i n e r

Seit den Anfängen haben sich Kryptominer stark weiterentwickelt. Anstelle der einfachen Kompromittierung von Websites wurden Kryptominer dieses Jahr über Facebook Messenger, YouTube-Anzeigen und Google Play verbreitet und haben dabei Zehntausende von Websites, Computern und leistungsstarke Server wie Jenkins infiziert. Im Jahr 2018 wurden Kryptominer jedoch erweitert und mit optimierten Funktionen ausgestattet, was sie noch ausgeklügelter und zerstörerischer macht.

Basierend auf einem klaren Interesse an einer Erhöhung des Prozentwerts genutzter Rechenressourcen und konzipiert für noch mehr Rentabilität zielen Kryptominer heute auf alles ab, was ihnen in den Weg kommt. So konnten wir beobachten, dass mit Kryptominern SQL-Datenbanken, Industrieanlagen, Kernkraftwerke und – besonders besorgniserregend – Cloud-Infrastrukturen angegriffen wurden. Zudem wurden Kryptominer so weiterentwickelt, dass sie nun wichtige Schwachstellen ausnutzen können, ohne in Sandboxes bzw. von Sicherheitsprodukten erkannt zu werden. Dadurch erhöhen sich die Infizierungsraten.

Auch die mobile Landschaft ist von Kryptomining-Angriffen nicht verschont geblieben. Letzten April griff ein Android-Kryptominer namens HiddenMiner zahlreiche Geräte an, um dauerhaft Monero zu schürfen, bis die Ressourcen der Geräte erschöpft waren. Mobile Miner haben es sogar geschafft, in den App Store von Apple einzudringen, und zwar mittels einer Schadsoftware, mit der die Berechtigungsnachweise von Opfern für ihre Kryptowährungs-Wallets gestohlen werden.

Die Situation hat seit sich Anfang 2018 durch neue Angriffsmethoden weiter verschärft. Einer der neuen Angriffe nutzt das Potenzial von Handelssystemen für Kryptowährungen. Dazu gehören unter anderem Verfahren zum Diebstahl von virtuellen Wallets und Berechtigungsnachweisen, Manöver bei Transaktionen mit Kryptowährungen sowie Betrügereien im Zusammenhang mit ICOs (Initial Coin Offerings), die Opfer dazu verlocken, in fingierte, unausgereifte Kryptowährungen zu investieren.

Außerdem wurde das Arsenal anderer Malware-Familien um Mining-Funktionen erweitert. Erpressungstrojaner sowie bekannte Banken-Trojaner wie Panda und TrickBot greifen inzwischen nicht mehr nur Bankkonten, sondern auch Wallets von Kryptowährungen und Konten in Handelssystemen an, da sie nun zusätzlich über Funktionen zum Diebstahl von Berechtigungsnachweisen für Kryptowährungen verfügen.

Kryptominer infizierten 10x mehr Unternehmen als Ransomware, doch weiß nur 1 von 5 IT-Sicherheitsexperten, dass das eigene Unternehmen betroffen war.Quelle: Security Report Threat Prevention Research unter IT- und Sicherheitsexperten, November 2018


Und der Rest der Welt schläft.

Trotz der immensen Bedrohung haben Unternehmen kaum Maßnahmen gegen solche verdeckten Angriffe ergriffen. Dies ist ein Problem, da sich Kryptojacker problemlos als Hintertüren für die Verwendung anderer Malware-Typen nutzen lassen. Banken-Trojaner können in Systemen monate- oder gar jahrelang unerkannt bleiben, bevor sie entdeckt werden.

Nur 16 % aller Unternehmen machen sich Gedanken über Kryptomining-Angriffe.Quelle: Security Report Threat Prevention Research unter IT- und Sicherheitsexperten, November 2018


D i e V e r b r e i t u n g v o n B a n k e n - T r o j a n e r n

Banken-Trojaner helfen Cyberkriminellen dabei, das perfekte Verbrechen zu begehen, indem sie Geld von den Konten ahnungsloser Opfer stehlen – praktisch nicht nachvollziehbar und bei minimalem Risiko. Daher ist es kaum überraschend, dass Banken-Trojaner eine weitere häufig genutzte Art von Schadsoftware darstellen. Wie Sie der folgenden Karte entnehmen können, sind sie im Asien-Pazifik-Raum deutlich häufiger aufgetreten als Angriffe mit Ransomware.

Karte: Die häufigste Malware-Art in verschiedenen Weltregionen



Zudem gehören Banken-Trojaner zu den am besten verdeckten Malware-Arten. Nachdem ein Trojaner den PC oder Webbrowser eines Benutzers infiziert hat, schlummert er und wartet darauf, dass der Benutzer seine Online-Banking-Website aufruft. Sobald das geschieht, wird der Trojaner aktiv und verwendet Keylogging, um den Benutzernamen und das Passwort des Opfers zu stehlen und im Geheimen an die Akteure hinter dem Angriff zu senden. Anschließend können sich diese beim Bankkonto des Benutzers anmelden und Geldsummen überweisen – meist mittels eines komplexen Netzwerks an Transaktionen um ihre Spuren zu beseitigen.

Viele Trojaner können ausgeklügelte Man-in-the-Browser-Verfahren (MiB) wie Web Injections oder Umleitungen ausführen. Bei dieser Angriffsart werden die Echtzeitaktionen des Trojaners verborgen, während er auf subtile Weise das verändert, was im Browser des Benutzers angezeigt wird. Dabei sieht es so aus, als würde die Transaktion normal ablaufen, während in Wahrheit der Diebstahl stattfindet. Andere Methoden machen sich das Anzeigen fingierter Warnseiten zu Nutze, über die der Benutzer zur erneuten Eingabe seiner Anmeldedaten aufgefordert wird, bzw. das Anzeigen fingierter Abmeldeseiten, während der Benutzer bei seinen Konten angemeldet bleibt. Das Ziel besteht darin, die Aktivitäten des Trojaners so lange wie möglich vor Benutzern zu verbergen, damit Kriminelle weiter von ihren Konten stehlen können.

Außerdem werden mit Banken-Trojanern zunehmend Mobilgeräte angegriffen. Dazu gehört in der Regel Schadsoftware, die auf dem Bildschirm eines Mobilgeräts fingierte Overlays anzeigt, wenn ein Benutzer versucht, eine bestimmte Anwendung zu nutzen. Diese Overlays sehen genauso aus wie die Anmeldeseiten von Banking-Apps und können dazu dienen, Berechtigungsnachweise zu stehlen bzw. SMS-Nachrichten von der Bank des Benutzers abzufangen. So können Kriminelle an die Authentifizierungsdaten für mobile Transaktionen gelangen.

Diagramm: Die häufigste Banking-Malware weltweit Quelle: Check Point Threat Cloud


Ramnit ist der bekannteste Banken-Trojaner des vergangenen Jahres. Er erschien erstmals im Jahr 2010 und ist seitdem aktiv. Ramnits Beliebtheit steht im Einklang mit den Erkenntnissen von Check Point-Forschern hinsichtlich einer massiven neuen „Black“-Kampagne, die auf dem Banken-Trojaner basiert. Die Kampagne verwandelte die betroffenen Computer in bösartige Proxy-Server und führte zu über 100.000 Infizierungen. Kurz nach dem Ende der „Black“-Kampagne trat eine neue Ramnit-Kampagne auf, der den AZORult-Info-Dieb und -Downloader über die RIG- und GrandSoft-Exploit-Kits verteilte.

Trickbot ist ein weiterer verbreiteter Banken-Trojaner, der im Jahr 2018 weltweit Beachtung fand, und in den Rankings weltweit, in Nord-, Mittel- und Südamerika sowie EMEA den Spitzenplatz erreichte. Als erweiterte Malware, die auf Plug-ins basiert, wird Trickbot ständig mit neuen Funktionen, Features und Verteilungsvektoren ausgestattet. Dadurch wird Trickbot zu einer flexiblen und anpassbaren Schadsoftware, die im Rahmen von Mehrzweckkampagnen verbreitet werden kann. Im Jahr 2018 konnten wir beobachten, wie TrickBot über mehrere globale Spam-Kampagnen verteilt wurde und auf kreative Weise mit der IcedID-Banken-Malware zusammenarbeitete. Die dabei entstehenden Gewinne wurden geteilt.

CHECK POINT – SICHERHEITSBERICHT 2019 | 22


FA Z I T :

Im Untergrund erlebt die Malware-as-a-Service-Industrie gerade einen unaufhaltsamen Aufstieg. Dieses einzigartige Geschäftsmodell ebnet neuen, unerfahrenen Angreifern den Weg in die Verteilung von Schadsoftware. Jeder Kriminelle, der bereit ist zu zahlen, kann sich problemlos erforderliche Tools und Services besorgen, um beliebige Cyber-Angriffe zu starten.

Das Phänomen mag zwar nicht komplett neu sein, doch ist es im letzten Jahr zu einer deutlichen Zunahme von Angriffen gekommen, die mit solchen Services aus dem Untergrund orchestriert wurden (unter Verwendung erworbener Cyber-Waffen oder Produkte). Findet eine Demokratisierung von Cyberkriminalität statt, nimmt auch die Zahl der Angriffe zu.

Wie im vorliegenden Bericht beschrieben, kam es 2018 deutlich seltener zu großen Angriffen mit Ransomware; diese waren jedoch weiterhin mit hohen Schäden verbunden. Werden Lösegeldzahlungen in Bitcoin verlangt, ist es wichtig, dass die digitale Währung eine vorteilhafte Umtauschrate zum US-Dollar aufweist. Zudem bemühten sich Bedrohungsakteure 2018 darum, mit böswilligen Aktivitäten weniger aufzufallen.

An ihre Stelle traten massive Kryptojacking-Kampagnen, mit denen es Kriminellen gelang, direkt unter den Augen der Schutzverantwortlichen in IT-Netzwerke einzudringen. Das ist eine beunruhigende Entwicklung, da Kryptojacker zehn Mal mehr Unternehmen infiziert haben als Erpressungstrojaner, doch nur einer von fünf IT-Sicherheitsexperten weiß, dass das eigene Unternehmen betroffen ist. Wie wir im ersten Teil des Berichts gesehen haben, kann Schadsoftware (z. B. Kryptojacker und Banken-Trojaner) für verschiedene Zwecke verwendet werden und Bedrohungsakteuren als Hintertür zum Einschleusen von noch böswilligerer Malware dienen.

Es vergeht kein Tag, an dem Unternehmen nicht von der steigenden Zahl von Malware-Arten angegriffen werden, wobei IT-Netzwerke über eine zunehmende Zahl von Einstiegspunkten infiltriert werden. Im nächsten Teil dieses Berichts werden wir untersuchen, wo sich in Netzwerken die anfälligsten Einstiegspunkte befinden und wie diese von Cyberkriminellen genutzt werden, um sich unbefugten Zugriff auf die dort gespeicherten Daten zu verschaffen.


WELTWEITE ZENTRALE5 Ha’Solelim Street, Tel Aviv 67897, IsraelTel: 972-3-753-4555 | Fax: 972-3-624-1100E-Mail: [email protected]

U.S. HEADQUARTERS959 Skyway Road, Suite 300, San Carlos, CA 94070Tel: 800-429-4391 | 650-628-2000 | Fax: 650-654-4233

SIND SIE BETROFFEN?Wenden Sie sich an unser Incident-Response-Team:[email protected]

checkpoint.com

©2019 Check Point Software Technologies Ltd. Alle Rechte vorbehalten

EIN BLICK IN DIE VERBORGENE WELT DER CYBER …...Ransomware, Malware-Methoden, Datenpannen,...

Documents

Transcript of EIN BLICK IN DIE VERBORGENE WELT DER CYBER …...Ransomware, Malware-Methoden, Datenpannen,...