Data Breaches und Ransomware-Attacken auf grosse Unternehmen schaffen es immer noch in die Schlagzeilen – so konnten wir 2019 beispielweise von Facebook, Toyota und Microsoft lesen. Zahlenmässig zwar weniger als auch schon, weshalb wir zu glauben versucht sein könnten, die Cyber-Bedrohungen hätten abgenommen. Das wäre indes ein Trugschluss, denn der seit vier Jahren anhaltende Trend der Cyber-Kriminellen, immer öfter kleinere Unternehmen oder direkt Endbenutzer anzugreifen, hat sich auch 2019 leider bestätigt. Erfahren Sie jetzt in diesem Blog, welche Malware-Thread-Trends uns 2020 beschäftigen werden.
Gemäss einer repräsentativen Umfrage von Tech Republic haben 2019 die erfolgreichen Data Breaches um 54% und die ausgeführten Ransomware-Angriffe sogar um 365% zugenommen. Die Zunahme und die Konzentrierung auf KMU Einzelanwender werden sich 2020 weiter akzentuieren.
Auch im neuen Jahr wird Phishing das beliebteste Einfallstor bleiben und somit werden die Endgeräte weiterhin eines der exponiertesten Angriffsziele darstellen. Zudem werden neue Ausprägungen von «fileless»-Techniken zum Einsatz kommen. Eingesetzt in langen Ketten werden diese es erlauben unbedenkliche Tools (z.B. PsExec etc.) auf den Zielrechner installieren zu können. Diese erlauben es den Cyber-Kriminellen dann Befehle oder weitere schädliche Tools auf den Zielrechner installieren zu können.
Wie bereits 2019 wird Emotet auch im neuen Jahr weiterhin ein gefährlicher «Dropper» für entsprechende Schadprogramme sein. Treibende Kraft hinter der weltweiten Verbreitung ist die allgemein als Threat Actor 542 (TA542) bezeichnete Gruppierung. Aussergewöhnlich ist 2019 gewesen, dass innerhalb des Emotet Frameworks viele Methoden zum Einsatz kamen, von denen viele Sicherheitsexperten dachten, dass sich die Gruppe davon getrennt habe. Dazu gehörten beispielsweise sehr gezielte regionale und saisonale Köder, die ab dem 2. Quartal 2019 schrittweise professionalisiert wurden. Ein klares Zeichen dafür, dass die TA542-Gruppe mittlerweile in der Lage ist, parallel mehrere Regionen zu bearbeiten.
Für 2020 erwarten wir daher noch professionellere, auf die Zielgruppen ausgerichtete Phishing-E-Mails zusammen mit einem perfekt abgestimmten Anhang. Auch das sogenannte «Keitaro»-Verfahren für URL-basierte E-Mail-Angriffe wird vermutlich verfeinert werden. Damit setzt sich der Trend zu komplexeren Angriffsketten und Umleitungen fort. Cyber-Kriminelle könnten ihre Aktivitäten dadurch noch besser verstecken und mehrere Angriffsvektoren parallel ausnutzen.
Interessant ist in diesem Zusammenhang auch die Entwicklung von Emotet zusammen mit der Schadsoftware Trickbot. In dieser Konstellation werden wir wohl weiterhin die modulare Trickbot-Malware sehen, welche neben anderen Komponenten auch über solche für das Ausspähen von Zugangsdaten aus Web-Browsern und E-Mail-Programmen und über VNC-Server- und SOCK5-Proxy-Funktionalitäten verfügt. Vermutlich wird 2020 die Loader-Komponente von Trickbot, welche heute Windows Defender und andere AV-Prozesse deaktiviert und entsprechende administrative Rechte (via UAC-Bypass) erlangen kann, erweitert werden.
Die mit Nord-Korea in Verbindung gebrachte Lazarus-Gruppe hat seit 2018 sehr aktive Kryptowährungsbörsen im Visier (Operation «Troy»). Dabei wird mithilfe eines VBA-Scripts überprüft, ob das Betriebssystem des Angriffsziels Windows oder MacOS ist, was zeigt, dass die Gruppe sowohl für Windows- wie auch für Apple-Macintosh-Umgebungen entsprechende Schadprogramme entwickeln kann. Im zweiten Fall wird heute ein ausführbarer Payload heruntergeladen. Bei diesem handelt es sich um einen «custom-build» Backdoor Exploit, welcher mit einem der drei C2-Server in Verbindung treten will.
Obwohl die Gruppe 2019 eher im asiatischen Raum aktiv gewesen ist, ist es denkbar, dass 2020 eine neue angepasste MacOS-Variante dieser Malware auch den Weg in die Schweiz finden wird. Sie ist infolge der vielen kleineren Start-up-Kryptowährungsbörsen in Zürich, Genf und Zug ein lohnendes Ziel. Dies unter anderem auch durch die Einführung der Libra-Kryptowährung. Erschwerend kommt hinzu, dass in diesem «start-up»-geprägten Umfeld die Investition in eine gut geschützte IT-Infrastruktur meistens fehlt.
Bankers-App wurde dafür entwickelt, Benutzerdaten im Online-Banking von mobilen Geräten wie Smartphones zu stehlen. Im Jahr 2019 sind im Android Play Store erste Finanz-Apps aufgetaucht, welche erst als «Second-stage» den schädlichen Programm-Code herunterladen und auf dem Smartphone installieren. Da der eigentliche Schadcode im Play-Store nicht vorhanden ist, ist es für Google kaum möglich, adäquate Detektions- und Vorbeugungsmassnahmen zu ergreifen.
Für 2020 werden wir Bankers-Apps sehen, welche passende Zugangs-Berechtigungen bei Android (z.B. infolge der geforderten Hilfsunterstützung von Benutzern mit körperlichen Einschränkungen) gezielt ausnutzen, um entsprechenden Schadprogramm-Code nachladen zu können. Über diese Payload können Cyber-Kriminelle dann schlüssige Überwachungsaktionen wie Keylogger für virtuelle Keyboards nutzen, um so an Benutzer-Logins von eigentlich sicheren Banking-Anwendungen zu kommen.
Zudem vermuten wir, dass der Trend, im Untergrund neue Varianten von ATM-Schadprogrammen zu verkaufen, 2020 neuen Wind bekommen wird. Neue Varianten der Schadprogramme Cutlet Maker, Hello World und WinPots wurden bereits für die entsprechenden Plattformen verkauft. Dies wird die ATM-Hersteller erneut herausfordern, ihre Geräte diesbezüglich zu überprüfen und entsprechende Sicherheits-Patches einzuspielen.
Im Bereich der Pornoerpressung (Sextortion) wird 2020 vermutlich die Malware PsiXBot vermehrt in Erscheinung treten. PsiXBot ist ein RAT-Trojaner (Remote Access Tool). Experten zufolge wird es den Cyber-Kriminellen gelingen, Beweise für den Besuch auf Pornowebseiten im Internet zu liefern. Seit September 2019 haben die kriminellen Entwickler damit angefangen, sukzessive die Kommunikations- und Überwachungsmöglichkeiten von PsiXBot zu erweitern.
So soll das neue «PornModule» ein auswechselbares Wörterbuch mit pornographischen Schlüsselwörtern enthalten, welches auf dem Zielgerät die im offenen Fenster enthaltenen Titelwörter überwacht. Wird der Text in einem Fenster erkannt, startet die Malware die Audio- und Videoaufzeichnung. Diese Daten werden dann an den C2-Server gesendet. Die so erbeuteten Überwachungsdateien werden für anschliessende Erpressungsversuche verwendet.
Es wird interessant zu beobachten sein, ob der Malware-Link weiter mit dem Phorpiex-Botnet versendet wird oder ob allenfalls neue Methoden analog Emotet (siehe Trend 1:Emotet und Co.) zum Einsatz kommen werden.
Eine speicherbasierte Malware von APT41 (chinesische APT-Gruppe) wurde Mitte 2019 auf entsprechenden Linux-basierten SMSC-Servern (Short Message Service Center) von verschiedenen Telekommunikationsanbietern gefunden, die für die Zustellung von SMS-Nachrichten an die Empfänger zuständig sind.
Es handelt sich bei der Malware um einen 64-Bit ELF Data Miner. Sie wird mittels eines Installations-Scripts auf die Zielinfrastruktur geladen. Kann sie dort erfolgreich installiert werden, überprüft sie alle 30 Sekunden die Existenz der zwei benötigten Konfigurationsdateien. Die eine Datei enthält sowohl die Absenderzielliste als auch die Empfängerzielliste in Form von IMSI resp. MSIN. Die andere Datei enthält Schlüsselwörter, nach denen gesucht werden soll. Wenn diese beiden Konfigurationsdateien erfolgreich gelesen werden konnten, werden sie in den Arbeitsspeicher des Servers geladen und auf dem Filesystem gelöscht.
Die Malware überwacht anhand dieser Listen auf dem SMSC sämtlichen Netzverkehr auf Ethernet- und IP-Level. Dabei werden nachfolgende Protokolle mit der modifizierten «libpcap»-Library mitgelesen: SCTP, SCCP und TCAP. Gefundene Records werden in entsprechende CSV-Dateien abgespeichert. Diese Dateien kann der Angreifer herunterladen (z.B. bei einem nächsten Re-Konfigurationsprozess).
Es ist davon auszugehen, dass die APT41-Gruppe diese Malware weiterentwickelt und 2020 für den Einsatz in einer NFV-Architektur vorbereitet. Dabei steht vermutlich auch ein besserer Zugang zu MSC/IMS auf der Wunschliste der staatlichen Auftraggeber.
Damit Ihre Verwaltungseinheit auch zukünftig von den neuen, zunehmend professionelleren Cyber-Bedrohungen optimal geschützt und Ihre sensiblen Daten sicher sind, braucht es einen umfassenden «Cyber Defence in Depth»-Ansatz. Lesen Sie dazu unseren Blog «Cyber Defence in Depth» – ein Must für Behörden. Auch empfehlen wir Software-Entwicklern die vorgängige sicherheitstechnische Überprüfung von eingesetzten Software-Libaries. Die CyOne Security kann hier als Review-Partner eine kompetente Überprüfung durchführen.
Setzen Sie dafür auf die langjährige Erfahrung und die 360°-Sicherheitskompetenz der CyOne Security. Als rein schweizerisches Unternehmen bieten wir den kundenspezifischen Risiken angepasste, umfassende Sicherheitskonzepte und -lösungen auf höchstem Niveau für Product Security, System Security sowie Operational Security an.
Beginnen Sie heute, Ihre Verwaltungsmitarbeitenden zu schützen, damit sie mit ihren Endgeräten nicht zum Einfallstor für Cyber-Angriffe auf Ihre IT-Infrastruktur werden.
Machen Sie den ersten Schritt: Analysieren Sie gemeinsam mit unseren Cyber-Security-Experten Ihre aktuellen und zukünftigen Sicherheitsbedürfnisse für mobile Arbeitsplätze, damit wir Ihnen Ihre kundenspezifischen, nachhaltigen Sicherheitslösungen aufzeigen können. Jetzt kostenloses Expertengespräch anfordern!