Proofpoint: Prognosen zur Cybersecurity 2017

Kampagnen werden zunehmend gezielt ausgerichtet

[datensicherheit.de, 12.12.2016] 2016 schien praktisch jede Woche ein neues Hoch bei Locky Ransomware -Kampagnen erreicht zu werden. Diese Kampagnen zielen auf hunderte Millionen potenzielle Opfer weltweit ab und stellen somit sicher, dass auch bei niedrigen Zustellquoten viele Tausend Nachrichten dennoch ihre Ziele erreichen. Dadurch erhöht sich auch deren Risiko das Anbieter von Sicherheitslösungen sowie Analysten deren neue Vorgehensweisen und Payloads beobachten und analysieren können. Auch Exploit-Kit Täter mussten feststellen, dass trotz des Einsatzes von immer ausgeklügelteren Verschleierungstechniken, große Volumen neben vielen Treffern auch viele Risiken mit sich bringen können.

Intelligentere Bedrohungen werden die Angriffs-Volumen reduzieren

Proofpoint erwartet für 2017, dass daher Klein das neue Groß sein wird. Raffinierte Angreifer werden zu kleineren und gezielteren Kampagnen zurückkehren, um ihre Malwaredaten zu übertragen. E-Mail-Kampagnen mit hohem Volumen wird es weiterhin geben, doch sie werden auf „Massen“-Payloads begrenzt sein, wie z.B. gezippte ausführbare Dateien (inklusive JavaScript), die gängige Ransomware-Varianten verbreiten. Kleinere und auf spezifische Zielgruppen ausgerichtete Kampagnen werden hingegen immer häufiger und immer raffinierter. Exploit-Kits werden dem neuesten Trend weiter folgen und in immer kleineren Volumen aktiv werden. Dabei werden sie ihre Angriffe auf Regionen konzentrieren, in denen es weniger wahrscheinlich ist, dass ihre Aktivitäten von Sicherheits-Analysten und Anbietern beobachtet werden.

Bösartige Makros sind endlich am Ende

Letztes Jahr wurde von Proofpoint vorhergesagt, dass die hochvolumigen Kampagnen mit bösartigen Makros aus dem Jahr 2015 bis Mitte 2016 allmählich zurückgehen werden. Diese Prognose trat weitgehend auch so ein: während der massiven Kampagnen, die dem Ausfall des Necurs Botnets im Juni folgten, hatten Kampagnen mit JavaScript und anderen gezippten Anhängen, die Locky (unterstützt durch Dridex-Akteure) verteilten, bereits Dokumentenanhänge mit bösartigen Makros weitgehend verdrängt. Dennoch wurden bösartige Makros nach wie vor großflächig in kleineren, stärker zielgerichteten Kampagnen genutzt, um Banking-Trojaner wie Dridex, Ursnif, Vawtrak, und – in der zweiten Jahreshälfte 2016 – eine große Anzahl verschiedener Payloads, von Keyloggers und RATs bis zu Downloaders und Information Stealers, zu verbreiten. Ständige Aktualisierungen bei den Malware-Sandbox- Evasionstechniken hielten diese am Leben, aber wir erwarten, dass bis April 2017 auch diese Maßnahmen nicht mehr ausreichen werden, um diese Kampagnen so effizient durchzuführen, dass sie rentabel sind. Gezippte JavaScript-Attacken (js, wsf, hta, vbs) werden weiterhin aktiv sein, allerdings mit denselben niedrigen Stellenwert wie gezippte ausführbare Dateien. Gleichzeitig werden Cyberkriminelle weiterhin versuchen, automatisierte Pishing-Attacken in größeren personalisierten Kampagnen zu verbessern und auszudehnen. Um hier die Glaubwürdigkeit ihrer Mitteilungen zu erhöhen, werden mehr Identifikationsmerkmale und persönliche Details hinzugefügt.. Es ist unwahrscheinlich, dass exploitausgerichtete Attacken wieder bedeutend werden (siehe nächster Abschnitt). Stattdessen werden sich die Angreifer noch intensiver auf das Social Engineering als zentralen Teil der Infektionskette konzentrieren. Anwender sollen dazu verleitet werden auf eingebettete ausführbare Makros in Dokumenten zu klicken und bösartige Payloads zu installieren, die als legitime Anwendungen in Anhängen getarnt sind oder als Links zu bekannten Hosting- und Filesharing-Diensten oder als bekannte Teile der Windows- Benutzerumgebung.

Exploit-Kits werden zu „Human-Kits“

Wie der Name schone sagt werden Exploit Kits aus frei verfügbaren und hoch effektiven Exploits erstellt, welche auf die Computer der potenziellen Opfer ausgerichtet sind. Aus dieser Perspektive stellt die ständige Verringerung der vergangenen Jahre, sowohl bei der Gesamtanzahl bekanntgewordener Schwachstellen, und noch wichtiger, bei veröffentlichten Exploits welche auf diese abzielen, ein Risiko für dieses Businessmodell der Cyberkriminellen dar.

Da neue und auch ausnutzbare Schwachstellen immer knapper werden, Unternehmen und Anwender immer konsequenter patchen und verbesserte Browser- und Betriebssystemsicherheit dazu führen das Angreifer Exploits kombinieren müssen, kann man den Rückgang im Laufe des Jahres 2016 zumindest teilweise als Akzeptanz der neuen Situation seitens der Bedrohungsakteure interpretieren: Exploits haben eine kürzere effektive Lebenszeit und sind als Mittel zum Verteilen von Malware immer weniger zuverlässig. Es konnte bereits ein ähnlicher Weckruf im Jahr 2015 bei den E-Mails beobachten werden, als Attacken, basierend auf Social-Engineering mit Dokumentenanhängen mit bösartigen Makros, die exploitgesteuerten PDF- und Office-Dokumente weitgehend ersetzten.

Für 2017 erwarten das Unternehmen, dass die Exploit-Kits eine ähnliche Weiterentwicklung durch zunehmenden Fokus auf Social Engineering durchlaufen: hochgradig versierte Gruppen, inklusive derer, die Exploit Kits und Malvertising nutzen, werden sich weniger auf Exploits konzentrieren und mehr Anstrengung auf das Austricksen von Menschen verwenden. Exploit- Kits werden zu „Human-Kits“, indem sie ein umfangreiches Toolset von Techniken verwenden um den Nutzer dazu zu bringen seinen eigenen Computer mit einer bösartigen Schadsoftware zu infizieren. Nutzer werden mit Malvertising, Clickbait oder durch sehr überzeugende individualisierte E-Mails, wie jene, die wir in den „personalisierten“ E-Mail-Kampagnen des Jahres 2016 beobachten konnten, geködert. Trotzdem werden Exploit-Kits nicht verschwinden. Stattdessen werden sie sich gezielter auf Kunden in Bereichen konzentrieren welche traditionell langsamer mit ihren Patches sind und wo die Überwachung durch Security Analysten weniger intensiv ist. Neue EK-Akteure werden weiterhin mit Funktionen auf den Markt kommen, die ihnen die Möglichkeit geben, den größtmöglichen Gewinn aus bestehenden Schwachstellen zu ziehen, ganz gleich, ob dies veröffentlichte oder Zero-Day-Schwachstellen sind.

BEC wird sich weiter entwickeln und die großen Verluste setzen sich fort

Seit Mitte 2015 sind betrügerische Geschäftsmails (Business Email Compromise – BEC) zu einer der Haupt-Bedrohungen für Unternehmen geworden und führten nach aktuellen Schätzungen zu einem Verlust von mehr als 3 Milliarden US-Dollar. Insgesamt werden BEC-Verluste zunehmen, auch wenn einzelne Fälle großer BEC-Verluste aufgrund besserer Geschäftsabläufe und Finanzkontrolle größerer Unternehmen abnehmen. In Konzernen werden die Optimierungen in den Geschäftsabläufen die beträchtlichen Einzelverluste von 2015 und 2016 durch mehr Kontrolle von Finanztransfers fast ausschließen. Leider werden diese Änderungen nicht überall angewandt und außerhalb der größeren Unternehmen in Nordamerika und Europa wird es nach wie vor für einzelne Personen möglich sein, diese Transfers auszuführen. In diesen Regionen mit verbesserten Kontrollen , werden kleine und mittlere Betriebe trotzdem anfällig für diese Attacken bleiben und ihr Anteil an diesen Verlusten wird wachsen. Zudem werden auch in Zukunft Saisonschwankungen bei den BEC-Attacken zu sehen sein, ganz ähnlich den „W2 request”-Kampagnen (Steuererklärungskampagnen), die zu Beginn des Jahres 2016 liefen. Diese werden jedoch relativ selten bleiben.

Angler Phishing wird komplett automatisiert

Im vergangenen Jahr hat sich das Angler Phishing, sowohl was die Streuung der Ziele als auch die Tiefe der verwendeten Social-Engineering-Techniken betrifft, ausgeweitet. Noch haben diese Attacken aber das Automationsniveau, das man in der Regel bei den Exploit- und Pishing-Toolkits sieht, nicht erreicht: 2016 findet man nach wie vor Fehler, die vom Copy and Paste herrühren, Grammatik- und Rechtschreibfehler, falsche Markennamen oder -logos in den Mails und andere gängige Fehler, die durch Menschen und ihre manuelle Arbeit verursacht werden. Für 2017 prognostizieren wir, dass die Angreifer Automatisierungen sowie auch die Verarbeitung natürlicher Sprache (Natural Language Processing, NLP) auf niedrigem Niveau anwenden werden, um ihre Angriffstechniken zu verbessern. Mit der erhöhten Automatisierung dürften die Angreifer sich auf mehr Marken und höhere Opferzahlen bei jeder Kampagne ausrichten. Die Angreifer haben bereits gezeigt, dass sie genau wissen, wann neue Produkte
auf den Markt kommen, so dass sie ihre Kampagnen zu einem Zeitpunkt starten, an dem viel Kommunikation auf Kundendienstkanälen absehbar ist. Proofpoint erwartet diesbezüglich eine Zunahme im Jahr 2017, da besser anpassbare Ressourcen verfügbar sein werden.

Die Geschwindigkeit von Attacken über die Sozialen Medien wird weiter zunehmen und neue Grenzen austesten

Das unglaubliche Wachstum von Social Media ebnete den Weg für eine ähnlich hohe Zunahme bei den Attacken in diesem Bereich. Dies ist gekoppelt mit der gleichzeitigen Evolution der Angriffe welche Social Media als Attack-Vektor verwenden. Da Attacken auf Social Media- Netzwerken eine bedeutend höhere Rendite bieten, erwarten wir eine höhere Wachstumsrate bei den Attacken im Jahr 2017. Insbesondere wird Folgendes erwartet:

• Betrug und Pishing werden im Bereich Social Media Jahresvergleich um über 100% ansteigen
• Spam im Bereich Social Media wird im Jahresvergleich um über 500% ansteigen
• Bedeutendes Wachstum bei Betrug und Fälschung durch Verwendung gefälschter Social-Media-Konten
• Bedeutendes Wachstum integrierter Betrugstechniken, die Social-Media-Konten verwenden, gefälschte mobile Apps, betrügerische Websites und Betrüger-E-Mails

Eine Social-Media-Plattform, die 2017 besonders stark im Fadenkreuz stehen wird, ist Snapchat. Snapchat ist zu einer der angesagtesten Social Networking- und Kommunikationsplattformen geworden, doch bis jetzt sind noch keine größeren und andauernden Attacken über diese Plattform gelaufen. Es ist davon auszugehen, dass 2017 entweder eine Anzahl größerer Kampagnen mit großem Erfolg laufen wird oder eine größere Sicherheitslücke der Plattform selbst offengelegt wird, wobei der entsprechende Code zum Konzeptnachweis (Proof Of Concept, POC) öffentlich gemacht wird.

Zusätzlich werden 2017 auch soziale Bezahlplattformen ziemlich sicher größeren Attacken ausgesetzt sein. Nachdem die aktuellen Social-Media-Plattformen immer fortschrittlicher werden, haben viele von ihnen (wie z.B. Facebook, Wechat, Line und andere) Bezahldienste eingeführt. Diese Dienste erhöhen ihr Transaktionsvolumen, da die wirtschaftlichen Modelle dieser Plattformen immer mehr Features bekommen. Dies wird 2017 weiter wachsen und für Hacker durch das Transaktionsvolumen interessant werden. Die Bezahlplattformen sind reif für eine gezielte Attacke, sowohl aus Sicherheitslücken- als auch Social-Engineering-Perspektive.

Mobile Gefahren: der Geist ist aus der Flasche raus

2016 stellte einen Wendepunkt für die mobile Gefahrenlandschaft in Bezug auf böswillige Klone populärer Apps dar. Die erhöhte Verwendung von Sideloading um nicht autorisierte Apps zu verteilen, sowie die Verfügbarkeit von gezielten Angriffstools für mobile Geräte lassen keinen Zweifel daran, dass Mobilgeräte – und die Menschen, die sie verwenden – bei Attacken genauso gefährdet sind wie PCs! Vielleicht sogar noch stärker, denn diese Risiken sind weiterhin noch zu wenig im Bewusstsein. 2017 werden Zero-Day-Angriffe, wie das Pegasus- Angriffskit für Mobilgeräte und dazugehörige „Trident”-Schwachstellen nicht länger auf staatlich gesponserte Akteure begrenzt sein, die Dissidenten zum Ziel haben, sondern sie werden Unternehmen und Einzelpersonen betreffen. Indem sie sich diese und andereTools zu Nutze machen, werden Cyberkriminelle zunehmend SMS- und iMessage-Systeme verwenden, um bösartige URLs zu versenden und sogar um Zero-Day-Angriffe auszuführen. Diese Attacken werden sowohl breit gefächert sein, wie Pishing nach Passwörtern von Bankkonten und Kreditkarten, als auch auf Mitarbeiter und Führungskräfte abzielen. Gleichzeitig wird die Kategorie der böswilligen und risikobehafteten Apps um betrügerische Apps erweitert werden, bei denen die Benutzer so manipuliert werden, dass sie Apps installieren, die nicht von dem Unternehmen kommen, von dem sie zu stammen scheinen. Diese Apps können dafür ausgelegt sein, mobile Geräte zu infizieren oder einfach um Geld zu machen indem sie die Marke eines Unternehmens verwenden, um Nutzer zu betrügerischen Käufen mit Kreditkarten zu verführen oder um sie auf betrügerische Werbung klicken zu lassen.

Staatlich geförderte Attacken werden zunehmen und über Hacking und Datenschutzverletzungen hinaus gehen

Die zukünftige Administration des kommenden US-Präsidenten birgt viele Unbekannte, was die US-Politik in den Bereichen vom Handel bis zur Verteidigung betrifft. Die bevorstehenden Wahlen in Frankreich und anderen europäischen Ländern haben ebenfalls das Potential, ein ähnliches Unsicherheitsniveau mit sich zu bringen. Daher erwartet Proofpoint für 2017 ein Wiederaufflammen von staatlich geförderten Cyberattacken und insbesondere ausgefeiltes, verdecktes Eindringen (auch bekannt als APT). Ziel sind alle Bereiche der US-Regierung, Angreifer sind zahlreiche Länder, inklusive erneuter Aktionen seitens der relativ ruhigen staatlich unterstützten Akteure aus China. Wie die Kampagne vom 9. November zeigt, wird E-Mail der primäre Vektor sein, wenn es um Einzelpersonen als Ziel geht, die eventuell Zugang zu Daten haben, die anderen Ländern dabei helfen können, vorab die Politik und Pläne der neuen US-amerikanischen und europäischen Regierungen zu diplomatischen und handelsrechtlichen Verhandlungen einzusehen. Zudem wird die Vielfalt der staatlich unterstützten Cyberattacken bedeutend breiter werden und über den Diebstahl von Geheimnissen und Industriespionage hinausgehen. Durch die Effektivität von Doxing, Datendiebstahl, peinlichen Veröffentlichungen und Desinformation, werden mehr Regierungen versuchen, Cyberattacken zu verwenden, um Informationen zu stehlen und Neuigkeiten in den Social-Media und anderen Nachrichtendiensten zu veröffentlichen. In vielen Ländern wurde nach Angaben von Proofpoint bereits gezeigt, dass man hier Zwietracht und Zerrüttung in diesen Staaten zu säen kann und sie diese in der Verfolgung ihrer Interessen beeinträchtigen könnten. Im Social-Media-Bereich wurden bereits staatlich gestützte Trolle verwendet, um Dissidenten und Kritikern zu schaden. Dies ist eine Praxis, die bereits in Zentral- und Osteuropa gut dokumentiert ist und die offensichtlich auch während der Monate vor der Wahl in den Vereinigten Staaten angewandt wurde. Um öffentliche Diskussionen und politische Ansichten zu beeinflussen wird dies in 2017 von einer Reihe von Staatsakteuren noch weitreichender und aggressiver zur Anwendung kommen.

Weitere Informationen zum Thema:

datensicherheit.de, 11.10.2016
Proofpoint auf der „it-sa 2016“: Neue Rechercheergebnisse zu Ransomware- und Banking-Trojanern