Meldung

Cloudumgebungen zunehmend im Visier

Der neue Threat Trends Report des Varonis Forensik-Teams zeigt die aktuellen Bedrohungen für Unternehmen und Organisationen auf. Die Ergebnisse basieren dabei auf durchgeführten Vorfallsreaktionen, forensischen Untersuchungen und Reverse Engineering von Malware und zeigen eine große Bandbreite an Techniken und Zielen auf: So verdreifachten sich im Vergleich zum Ende des Jahres 2020 Cloudangriffe von neun auf gegenwärtig 29 Prozent.
Cloudumgebungen rücken immer mehr in den Fokus der Angreifer. Ihr Anteil beträgt inzwischen 29 Prozent.
Im Januar dieses Jahres stellten laut Varonis [1] Insider-Bedrohungen gemeinsam mit Cloudangriffen mit 29 Prozent der untersuchten Vorfälle die größte Herausforderung für Sicherheitsverantwortliche dar. Malware, Brute-Force-Attacken und gezielte Angriffe (APTs) teilen sich mit jeweils 14 Prozent den dritten Platz.

EvilQuest: MacOS-Ransomware in der Entwicklung
EvilQuest (auch bekannt als ThiefQuest und Mac.Ransom.K) ist die dritte Ransomware-Variante für macOS-Geräte, die in freier Wildbahn gefunden wurde. Im Gegensatz zu den meisten Ransomware-Varianten verwendet sie eine symmetrische Verschlüsselung, bei der der gleiche Schlüssel sowohl für das Ver- als auch das Entschlüsseln verwendet wird. Die Ransomware enthält auch eine Funktion zur Datenexfiltration, bei der drei externe Python-Skripte verwendet werden, die HTTP-Post-Anfragen senden können. Sie sucht zudem nach SSH-Schlüsseln und vorhandenen Zertifikaten.

Das Forensik-Team von Varonis fand deutliche Hinweise, dass sich die Ransomware noch in der Entwicklung befindet und noch nicht in ihrer endgültigen Form vorliegt. So ist beispielsweise die Entschlüsselungsfunktionalität noch nicht vollständig implementiert. Entsprechend dürfte die Gefahr für MacOS-Nutzer in Zukunft weiter steigen.

Agent Tesla: Shopping-Erlebnis Malware-as-a-Service
Die Spyware Agent Tesla wurde bereits 2014 erstmals beobachtet und wird als Malware-as-a-Service vertrieben: Cyberkriminelle können bequem auf der "offiziellen" Website eine Abonnementlizenz für die Schadsoftware erwerben. Die Seite ist überaus nutzerfreundlich gestaltet und erinnert bewusst an legitime Seiten. Bislang wurde Agent Tesla meist über Phishing-E-Mails verbreitet, um Daten von den kompromittierten Geräten zu stehlen. Neuere Versionen der Malware zielen auf gespeicherte Anmeldedaten ab und konzentrieren sich auf Passwörter für VPN- und E-Mail-Dienste. Hintergrund hierfür dürfte die weite Verbreitung von Homeoffice-Arbeitsplätzen in der jüngsten Zeit sein.

Die neue Version missbraucht auch scheinbar legitime und vertrauenswürdige Dienste wie Telegram als Plattformen zur Datenexfiltrierung, um traditionelle netzwerkbasierte Erkennungen zu umgehen.

Drovorub: Fancy Bear zielt jetzt auch auf Linux
Im August 2020 warnten FBI und NSA erstmals vor der Linux-Malware Drovorub, die offensichtlich von der staatlich unterstützten Hacker-Gruppe Fancy Bear (oft auch als APT28 oder Sofacy bezeichnet) entwickelt wurde. Die Varonis-Forensiker konnten sie nun in der freien Wildbahn nachweisen.

Das hochentwickelte Post-Exploitation-Tool kombiniert drei verschiedene Dienstprogramme: ein Rootkit für den Betriebssystemkern, eine Portweiterleitungs- und Dateiübertragungskomponente sowie ein C2-Kommunikationsdienstprogramm. Die Software ist darauf ausgelegt, eigene Prozesse, Dateien und Netzwerk-Aktivitäten vor allen anderen Prozessen auf dem System geschickt zu verstecken und kann entsprechend nur sehr schwer erkannt werden.

StrongPity: Gezielte Angriffe am Wasserloch
Nachdem die 2012 erstmals gesichtete Malware StrongPity zuletzt im November 2020 entdeckt wurde, tauchte sie Anfang des Jahres erneut auf. Hinter ihr steckt die türkische Promethium-Gruppe, die gezielt Finanz- und Industrieunternehmen sowie Bildungseinrichtungen in Europa angreift. Die Schadsoftware wird über den sogenannten Wasserloch-Ansatz verbreitet. Hier werden Webseiten, die von Mitarbeitern der ins Visier genommenen Unternehmen häufig aufgesucht werden (Wasserlöcher), gezielt mit Malware infiziert.

Wurde die Malware auf diesem Weg installiert, sucht sie gezielt nach bestimmten, vorher festgelegten Daten (etwa basierend auf Datei-Endungen). Die gefundenen Dateien werden dann in eine ZIP-Datei komprimiert, die dann verschlüsselt, in mehrere Teile aufgeteilt und als versteckt markiert wird. Diese aufgeteilten Dateien werden dann über Web-POST-Anfragen an den C2-Server des Angreifers gesendet. Auf diese Weise wird eine Erkennung oft umgangen, da POST-Anfragen mit kleinen Nutzlasten in den meisten Unternehmen als normale Aktivitäten gelten. Zuletzt werden die gesendeten Pakete von der Festplatte des Opfers gelöscht.
1.03.2021/dr

Tipps & Tools

Doxing fasst Unternehmen ins Visier [7.04.2021]

Kaspersky warnt vor einer neuen Cybergefahr für Unternehmen: Beim "Corporate Doxing" werden Methoden des bislang eher aus dem privaten Bereich bekannten Doxing im Kontext gezielter Angriffe genutzt. Neben gefälschten E-Mails setzen die Angreifer KI ein, um Stimmen von hochrangigen Führungskräften zu imitieren, damit Mitarbeiter vertrauliche Informationen preisgeben oder Gelder überweisen. [mehr]

Wurmbefall durch Purple Fox [30.03.2021]

Sicherheitsforscher haben einen weiteren Angriffsvektor der Malware Purple Fox erkannt. Bisher infizierte das Schadprogramm anfällige Windows-Systeme durch Exploit- oder Phishing-Attacken. Nun sollen auch SMB-Passwörter von Windows-Systemen per Brute-Force-Angriff geknackt werden. [mehr]

Fachartikel

Advertorial: Schwache Passwörter identifizieren und verhindern – regelmäßige Passwortwechsel minimieren [12.04.2021]

Erleichtern Sie das Leben Ihrer Nutzer, indem Sie starke Passwörter mithilfe von leicht zu merkenden Passphrasen im Unternehmen ermöglichen und dadurch Passwortwechsel nur noch im Falle einer Kompromittierung nötig machen. Zu wissen, wie es um die Stärke der Kennwörter im Unternehmen bestellt ist, ist ein guter Ausgangspunkt, um Ihre Passwortsicherheit zu erhöhen. [mehr]

Buchbesprechung

Computernetze und Internet of Things

von Patrick-Benjamin Bök, Andreas Noack, Marcel Müller

Anzeigen