[datensicherheit.de, 28.04.2025] Der diesjährige Phishing-Report von Zscaler zeigt auf, dass Cyber-Kriminelle für zielgerichtete Angriffe verstärkt auf Künstliche Intelligenz (KI) setzen – dies unterstreicht laut Zscaler die Notwendigkeit, „Zero Trust“ und KI-basierte Abwehrmaßnahmen einzusetzen. Zwar seinen Phishing-Angriffe global um 20 Prozent zurückgegangen, doch die Angreifer verlagerten ihre Taktik auf tiefgreifende Methoden und zielten mit wirkungsvollen Kampagnen auf IT-, HR- und Finanz-Teams sowie auf Gehaltsabrechnungen ab. Soziale Netzwerke wie z.B. „Telegram“, „STEAM“ und „facebook“ seien übrigens die beliebtesten Plattformen für Phishing-Attacken, um Identitätsbetrug zu begehen und auch Malware zu verbreiten.

Foto: Zscaler

Deepen Desai warnt: Phishing hat sich verändert. Angreifer nutzen GenKI, um nahezu makellose Köder zu erstellen und sogar KI-basierte Abwehrmaßnahmen zu überlisten!

Phishing-Report 2025 empfiehlt „Zero Trust“- sowie KI-Verteidigungsstrategie

Die Zscaler, Inc. Hat ihren „Zscaler ThreatLabz 2025 Phishing Report“ veröffentlicht, in dem über zwei Milliarden blockierte Phishing-Versuche aus der „Zscaler Zero Trust Exchange“-Plattform zwischen Januar und Dezember 2024 analysiert werden. „Der Jahresbericht deckt auf, dass Cyber-Kriminelle verstärkt auf Generative KI (GenKI) setzen, um gezielte Angriffe auf wichtige Geschäftsfunktionen zu starten. Eine Verlagerung von Massen-E-Mails hin zu gezielten, KI-gestützten Angriffen war zu beobachten, die Abwehrmaßnahmen umgehen und menschliches Verhalten ausnutzen.“

• Der Phishing-Report empfiehlt daher eine „Zero Trust“- sowie KI-Verteidigungsstrategie und zeigt auf, wie sich Unternehmen damit gegen diese sich weiterentwickelnde Bedrohungslandschaft verteidigen können.

„Phishing hat sich verändert. Angreifer nutzen GenKI, um nahezu makellose Köder zu erstellen und sogar KI-basierte Abwehrmaßnahmen zu überlisten“, berichtet Deepen Desai, „CSO“ und „Head of Security Research“ bei Zscaler. Cyber-Kriminelle setzten KI als Waffe ein, um der Erkennung zu entgehen und Opfer zu manipulieren. „Das bedeutet, dass Unternehmen ebenso fortschrittliche KI-gestützte Abwehrmaßnahmen einsetzen müssen, um mit diesen neuen Bedrohungen Schritt halten zu können! Unser Report unterstreicht, wie wichtig ein proaktiver, mehrschichtiger Ansatz ist, der eine robuste Zero-Trust-Architektur mit fortschrittlicher KI-gestützter Phishing-Prävention kombiniert, um sich mit wirksamen Maßnahmen gegen die sich schnell entwickelnde Bedrohungslandschaft aufzustellen.“

KI-Phishing-Kampagnen missbrauchen zunehmend Soziale Netzwerke

Während Phishing weltweit um 20 Prozent und in den USA um fast 32 Prozent zurückgegangen sei – zum Teil auf strengere E-Mail-Authentifizierungsstandards zurückzuführen –, hätten Angreifer ebenso schnell reagiert. „Sie starteten vermehrt Angriffe auf aufstrebende Märkte wie Brasilien oder Hongkong, wo die Digitalisierung oft schneller voranschreitet als die Investitionen in die Sicherheit. Etablierte Ziele wie Indien, Deutschland und Großbritannien stehen weiterhin unter Druck, da sich die Angreifer an lokale Muster und saisonale Trends anpassen.“

• Phishing-Kampagnen missbrauchten zunehmend community-basierte Plattformen wie „facebook“, „Telegram“, „STEAM“ oder „Instagram“. „Sie ahmen nicht nur diese bekannten Markenauftritte nach, sondern nutzen sie auch, um Malware zu verbreiten, ,Command & Control’-Kommunikation zu verschleiern, Informationen über Ziele zu sammeln und Social-Engineering-Angriffe durchzuführen.“

Betrugsmaschen im Bereich des technischen Supports, bei denen Angreifer sich als IT-Support-Teams ausgäben, um die Dringlichkeit zu untermauern und Sicherheitsbedenken der Opfer zu untergraben, seien mit 159.148.766 Treffern im Jahr 2024 weit verbreitet gewesen.

KI-Missbrauch durch Bedrohungsakteure: Phishing-as-a-Service und KI-Täuschung auf dem Vormarsch

Cyber-Kriminelle nutzen GenKI, um Angriffe zu skalieren, gefälschte Webseiten und Deepfake-Stimmen, -Videos und -Texte für Social Engineering zu erstellen. Neue Betrugsmaschen ahmen KI-Tools wie z.B. Lebenslaufgeneratoren und Designplattformen nach und verleiten Nutzer dazu, Anmelde- oder Zahlungsdaten preiszugeben.

• „Kritische Abteilungen wie Lohnbuchhaltung, Finanzwesen und die Personalabteilung sind neben Führungskräften die Hauptziele, da sie Zugang zu sensiblen Systemen, Daten und Prozessen haben und betrügerische Zahlungen leichter genehmigen können.“

Ebenfalls als neue Methoden nähmen gefälschte Webseiten mit KI-Assistenten oder KI-Agenten an Fahrt auf, die falsche Dienstleistungen wie die Erstellung von Lebensläufen, Graphikdesign, Workflow-Automatisierung und mehr anböten. „Da KI-Tools immer stärker in den Arbeitsalltag integriert werden, nutzen Angreifer die einfache Bedienung und das Vertrauen in KI aus, um ahnungslose User auf betrügerische Webseiten zu locken.“

Verteidigung gegen KI-Bedrohungen mit „Zero Trust“ – und KI

Da Cyber-Kriminelle GenKI für die Entwicklung immer raffinierterer Taktiken und Angriffe nutzen, sollten Unternehmen ihre Abwehrmaßnahmen gegen alle Arten von Kompromittierungen verstärken.

• „Die ,Zscaler Zero Trust Exchange’-Sicherheitsplattform schützt User, Anwendungen und Daten in allen Phasen der Angriffskette durch das Minimieren der Angriffsfläche, das Verhindern einer ersten Kompromittierung, die Eliminierung von lateralen Bewegungen der Angreifer, die Abwehr von Insider-Bedrohungen und das Stoppen von Datenverlusten.“

Desai erläutert abschließend: „Die KI-basierten Lösungen von Zscaler bieten zusätzlichen Schutz, indem sie die Nutzung öffentlich verfügbarer KI-Tools sichern, private KI-Modelle vor Angreifern abschirmen und KI-generierte Bedrohungen erkennen.“

Weitere Informationen zum Thema:

zscaler, 2025
Industry Report: Zscaler ThreatLabz 2025 Phishing Report / GenAI is Making Phishing Personal

datensicherheit.de, 28.04.2025
Beliebte Spieler-Plattform STEAM erstmals Phishing-Angriffsziel Nr. 1 / Laut „Guardio’s Brand Phishing Report for Q1 2025“ ist die unter Gamern beliebte Vertriebs-Plattform „STEAM“ stark ins Vsiier Cyber-Krimineller geraten

datensicherheit.de, 03.07.2024
Generative KI gewinnt im Alltag an Bedeutung und definiert Prinzipien der Datensicherheit neu / Joseph Regensburger kommentiert private und berufliche Herausforderungen der KI-Fortentwicklung hinsichtlich der Datensicherheit

datensicherheit.de, 25.04.2024
Generative KI: Jüngste Erkenntnisse von Check Point Research zur Gefahr für die Wahlen 2024 / CPR hat Wahlen welweit beobachtet, um den Einsatz generativer Künstlicher Intelligenz (KI) zu analysieren

[datensicherheit.de, 23.04.2024] Der jährliche „ThreatLabz Phishing“-Report soll die Evolution der Phishing-Landschaft enthüllen und die Notwendigkeit einer „Zero Trust“-Architektur unterstreichen: Zscaler, Inc. hat nach eigenen Angaben den jährlichen „Zscaler ThreatLabz 2024 Phishing“-Report veröffentlicht, für den zwei Milliarden blockierte Phishing-Transaktionen in der „Zscaler Zero Trust Exchange“-Plattform zwischen Januar und Dezember 2023 analysiert worden seien. Demnach haben die weltweiten Phishing-Angriffe im Jahresvergleich um fast 60 Prozent zugenommen. Dieser Anstieg sei unter anderem auf den Einsatz von generativer KI in Angriffstechniken wie Voice-Phishing (Vishing) und Deepfake-Phishing zurückzuführen. Der diesjährige Report enthalte Trends zu Phishing-Aktivitäten und -Taktiken sowie „Best Practices“ zur Steigerung der Sicherheit von Unternehmen.

Foto: Zscaler

Deepen Desai warnt: Phishing ist nach wie vor eine hartnäckige und oft unterschätzte Bedrohung!

Robuste Zero-Trust-Architektur mit fortschrittlicher, KI-gestützter Phishing-Prävention kombinieren!

„Phishing ist nach wie vor eine hartnäckige und oft unterschätzte Bedrohung, die zunehmend mit ausgefeilteren Methoden aufwartet, da zur Intensivierung von Angriffen auf generative KI und die Manipulation vertrauenswürdiger Plattformen gesetzt wird”, berichtet Deepen Desai, „CSO“ und Leiter der Sicherheitsforschung. Er führt aus: „In diesem Zusammenhang sind die neuesten Ergebnisse des ,ThreatLabz’-Reports wichtiger denn je, um Strategien zu entwickeln und die Phishing-Abwehr zu stärken.“

Diese Erkenntnisse unterstrichen die Notwendigkeit eines proaktiven, mehrschichtigen Sicherheitsansatzes, „der eine robuste Zero-Trust-Architektur mit fortschrittlicher, KI-gestützter Phishing-Prävention kombiniert, um diesen Bedrohungen wirksam zu begegnen“.

Mehr als die Hälfte aller Phishing-Angriffe in Nordamerika – gefolgt von EMEA und Indien

2023 seien die Vereinigten Staaten (55,9%), das Vereinigte Königreich (5,6%) und Indien (3,9%) die Hauptziele von Phishing-Betrug gewesen. Das häufige Auftreten von Phishing in den USA sei auf die digitale Infrastruktur, die große Anzahl von Internet-Anwendern und die intensive Nutzung von Online-Finanztransaktionen zurückzuführen.

Kanada (2,9%) und Deutschland (2,8%) vervollständigten die „Top Five“ der Länder mit den meisten Phishing-Versuchen. Die meisten Phishing-Angriffe gingen demnach von den USA, Großbritannien sowie Russland aus und auch Australien sei in die „Top Ten“ aufgestiegen, da das Volumen der in diesem Land gehosteten Phishing-Inhalte im Vergleich zum Vorjahr um 479 Prozent gestiegen sei.

Finanzbranche erlitt Anstieg der Phishing-Angriffe um fast 400 Prozent

Der Finanz- und Versicherungssektor habe die höchste Zahl von Phishing-Versuchen verzeichnet, die im Vergleich zum Vorjahr um 393 Prozent zugenommen hätten. Die Abhängigkeit von digitalen Finanzplattformen biete Bedrohungsakteuren reichlich Gelegenheit für die Durchführung ihrer Phishing-Kampagnen – aufbauend auf Schwachstellen in diesem Sektor.

Die Fertigungsindustrie habe von 2022 bis 2023 ebenfalls einen deutlichen Anstieg von 31 Prozent an Phishing-Angriffen verzeichnet, was die Anfälligkeit der Branche unterstreiche. „Da Fertigungsprozesse immer stärker von digitalen Systemen und vernetzten Technologien wie IoT/OT abhängen, steigt auch das Risiko von unbefugten Zugriffen oder Störungen, die von Bedrohungsakteuren ausgehen.“

Microsoft bleibt am häufigsten von Phishing-Angriffen ausgenutzte Marke

Die „ThreatLabz“-Forscher hätten festgestellt, dass Unternehmensmarken wie Microsoft, OneDrive, Okta, Adobe und SharePoint ein bevorzugtes Ziel für Imitationen darstellten. Die weite Verbreitung dieser „Brands“ gehe mit einem hohen Wert von gestohlenen Anmeldedaten für diese Plattformen einher und lasse sie zum lohnenden Ziel werden.

Microsoft (43%) sei im Jahr 2023 die am häufigsten imitierte Unternehmensmarke gewesen, wobei die Plattformen OneDrive (12%) und SharePoint (3%) ebenfalls unter den ersten fünf Plätzen rangierten und ein lukratives Ziel für Cyber-Kriminelle darstellten.

Zero-Trust-Architektur kann Phishing-Angriffe entschärfen

Eine „Zero Trust“-Architektur mit moderner, KI-gestützter Phishing-Prävention biete Schutz gegen die sich ständig weiterentwickelnde Bedrohungslandschaft. Die „Zero Trust Exchange“-Plattform helfe dabei, konventionelle und KI-gesteuerte Phishing-Angriffe in mehreren Stufen der Angriffskette zu unterbinden:

Verhindern der Kompromittierung
Skalierbare TLS/SSL-Prüfung, KI-gestützte Browser-Isolierung und richtliniengesteuerte Zugriffskontrollen verhinderten den Zugriff auf verdächtige Websites.

Eliminieren von Seitwärtsbewegungen
Nutzer würden sich direkt mit Anwendungen verbinden und nicht mit dem Netzwerk, während die KI-gestützte App-Segmentierung den Aktionsradius eines potenziellen Vorfalls begrenze.

Abschalten von kompromittierten Usern und Insider-Bedrohungen
Die Inline-Inspektion verhindere Versuche, private Anwendungen auszunutzen, und die integrierten Täuschungsfunktionen würden auch raffinierteste Angreifer erkennen.

Stoppen von Datenverlusten
Die Inspektion von Daten in Bewegung und im Ruhezustand verhindere den potenziellen Diebstahl durch einen aktiven Angreifer.

Weitere Informationen zum Thema:

zscaler
Zscaler ThreatLabz 2024 Phishing Report / Phishing attacks surged by 58% last year

[datensicherheit.de, 29.10.2022] Datenverlust in Unternehmen kann offensichtlich viele Ursachen haben. Im Wesentlichen hat er laut Deepen Desai, „Global CISO“ bei Zscaler, allerdings zwei Gesichter – den böswilligen Datendiebstahl durch externe Akteure und versehentliche Fehler durch Mitarbeiter: „Bei Ersterem geht es beispielsweise um Phishing-Angriffe, Ransomware mit Double-Extortion oder gar groß angelegte Attacken auf die Lieferkette. Im zweiten Fall fließen Daten unbeabsichtigt durch schlechtes Datenmanagement bei der Kollaboration oder durch menschliches Versagen aus der Unternehmensumgebung ab.“ Dieser menschliche Faktor werde häufig unterschätzt, „obwohl dadurch für Organisationen großer Schaden entstehen kann“. Ein Grund mehr, dass die IT-Abteilung hierbei vorbeugend aktiv wird, um Datenverluste zu unterbinden, betont Desai in seiner aktuellen Stellungnahme.

Foto: Zscaler

Deepen Desai warnt: 84 Prozent der Verstöße betreffen personenbezogene Daten!

Durchschnittlich über 360 Dateien pro Unternehmen und Tag öffentlich zugänglich

„Wie der ,2022 ThreatLabz Data Loss Report’ von Zscaler verdeutlicht, erleben Unternehmen im Schnitt jeden Tag 10.000 Verstöße gegen Datenschutzrichtlinien“, berichtet Desai. 36 Prozent der Daten von „Cloud“-Anwendungen würden dabei beispielsweise über Links öffentlich zugänglich gemacht – somit also durchschnittlich über 360 Dateien pro Unternehmen und Tag. Außerdem seien 94 Prozent der Malware in „Cloud“-Anwendungen – in „Microsoft Exchange“- und „OneDrive“-Umgebungen – gefunden worden.

„Damit wird deutlich, dass gerade bei der Gestaltung der Kollaboration unter der Belegschaft Sicherheitsthemen zu kurz kommen“, moniert Desai. Darüber hinaus beinhalteten mittlerweile mehr als die Hälfte der Ransomware-Angriffe die Exfiltration von Unternehmensdaten. Diese Vorgehensweise von Angreifern sei heute so lukrativ, dass einige Hacker-Gruppierungen die Verschlüsselungskomponente in ihren Angriffen bereits ganz wegließen.

Menschlicher Faktor für Prävention von Datenverlusten von großer Wichtigkeit

„Eine weitere Erkenntnis aus dem Report ist, dass 84 Prozent der Verstöße personenbezogene Daten betreffen.“ Weitere zehn Prozent entfielen auf Finanz- und Kreditkarteninformationen. Fast 13 Prozent der per E-Mail verschickten sensiblen Daten befänden sich in Bildern, deren unbeabsichtigtes Abfließen nur mit fortschrittlichen Prüfverfahren, wie „Optical Character Recognition“ (OCR) oder Künstlicher Intelligenz (KI), eingeschränkt werden könne.

Desai kommentiert: „Dies zeigt, wie wichtig der menschliche Faktor für die Prävention von Datenverlusten ist. Von unbewussten Fehlern von Mitarbeitenden bis hin zu komplexen, von Insidern und Bedrohungsakteuren inszenierte Angriffe: Datenverlust beginnt und endet bei Menschen!“

Gruppen von Hauptverantwortlichen für Datenverluste

Die Verantwortlichkeit für Datenverluste lassen sich laut Desai in die folgenden Gruppen einsortieren: Mitarbeiter, aber auch Administration, böswillige Insider, oder Geschäftsführer sowie Partner und externe Akteure.

Mitarbeiter neigten zum „Oversharing“, „Opensharing“ oder zur Datenlöschung und könnten ihre Arbeitsgeräte verlieren oder gefährden.

Bei der Administration schlichen sich Fehler beim Patchen oder Konfigurieren ein.

Böswillige Insider könnten Daten absichtlich exfiltrieren oder Dritten unberechtigten Zugang zu Informationen gewähren. „Dabei kann es sich um Mitarbeitende handeln, die ihre Funktion aufgeben möchten und zuvor Daten zerstören oder stehlen, oder mit Angreifern sowie Konkurrenten zum persönlichen oder finanziellen Vorteil kollaborieren.“

Auch die Geschäftsführungsebene sei nicht gefeit und gerade deshalb gelte es hier, die digitale Kompetenz zu erhöhen. Vorstände könnten beispielsweise wichtige Anträge auf ein IT- oder Sicherheitsbudget zur Aktualisierung der anfälligen Netzwerkarchitektur ablehnen.

Partner und Drittunternehmen könnten absichtlich oder unabsichtlich Datenverluste durch zu weitgreifende Berechtigungen des Zugriffs auf Daten verursachen. Der Kundensupport mit Zugang zu Kundendaten und -systemen sei hierbei besonders gefährdet für eine Kompromittierung, ebenso wie Anbieter von „Cloud“-Anwendungen.

Eines sei all diesen Gruppierungen gemein: Bedrohungsakteure hätten immer dann ein leichtes Spiel, „wenn Unternehmen ihre Angriffsvektoren und Einfallstore nicht ausreichend kontrollieren“, warnt Desai.

Ganzheitlichen Ansatz zur Vermeidung von Datenverlusten etablieren!

Der menschliche Faktor spiele für alle übergeordneten Ursachen von Datenverlusten eine Rolle – denn schließlich müsse ein Phishing-Angriff oder die Platzierung eines sogenannten Infostealers nur einmal gelingen, um von einem kompromittierten Nutzer weitere Kreise zu ziehen. „Organisationen sollten sich dieses Risiko bewusst machen und einen ganzheitlichen Ansatz zur Vermeidung von Datenverlusten etablieren“, rät Desai abschließend und unterstreicht:

„Der Schutz von sensiblen Daten ist kein alleinstehendes Unterfangen, sondern sollte Teil einer umfassenderen Sicherheitsstrategie sein, mit der alle Datenströme auf Malware und unberechtigtes Abfließen kontrolliert werden.“

Weitere Informationen zum Thema:

zscaler
Report: 2022 ThreatLabz State of Data Loss Report / Trends and risks of enterprise data sharing and how to manage them

datensicherheit.de, 02.06.2022
Der Faktor Mensch: Proofpoint stellt diesjährigen Report vor / Laut Report 2022 100.000 Smartphone-Angriffe täglich und Verdoppelung der Smishing-Versuche

datensicherheit.de, 09.08.2021
Der Mensch als größte Schwachstelle für die IT-Sicherheit / Cyber-Kriminelle nutzen Home-Office aus und fokussieren auf den Risikofaktor Mensch

datensicherheit.de, 20.04.2021
Faktor Mensch und Unternehmensnetzwerk laut PSW GROUP wesentliche Cyber-Risiken / PSW GROUP rät zu mehr Awareness und Mitarbeitersensibilisierung

[datensicherheit.de, 04.08.2022] Sicherheitsforscher des „ThreatLabZ“-Teams von Zscaler haben nach eigenen Angaben eine neue Ransomware-Gruppierung mit Namen „Industrial Spy“ entdeckt. Erste Spuren dieser neuen Gruppe tauchten demnach im April 2022 auf und seither sei „Industrial Spy“ mit unterschiedlichen Methoden aufgefallen. Diese Gruppe habe ihre Aktivitäten als Marktplatz für Cyber-Kriminelle gestartet, um darüber gestohlene Daten großer Unternehmen zum Verkauf anzubieten. Nach anfänglichen Kampagnen habe sie ihre eigene Ransomware eingeführt und auf „Double Extortion“-Angriffe gesetzt – eine Kombination aus Datendiebstahl mit Dateiverschlüsselung. Diese Gruppe nutze „Loader“ und „Infostealer“ wie „SmokeLoader“, „GuLoader“ und „Redline Stealer“.

Abbildung: Copyright Zscaler 2022

Industrial Spy: Web-Marktplatz

Ransomware-Familie relativ einfach aufgebaut

Die Ransomware-Familie sei relativ einfach aufgebaut – und Teile des Codes schienen sich immer noch in der Entwicklung zu befinden. „Industrial Spy“ verwende nur sehr wenige Verschleierungsmethoden außer dem „Aufbau von Strings auf dem Stack zur Runtime“. Der Ransomware fehlten auch viele der in modernen Ransomware-Familien üblichen Funktionen (z.B. „Anti-Debug“, „Anti-Sandbox“ usw.), obwohl sich dies in Zukunft ändern könnte.

Derzeit seien noch nicht viele „Industrial Spy“-Ransomware-Samples „in the wild“ beobachtet worden. Allerdings füge die Gruppe pro Monat zwei neue, ihren Angriffen zum Opfer gefallene Organisationen hinzu. Das erste Opfer auf der Leak-Site sei am 15. März 2022 aufgeführt worden – die Gesamtzahl der Opfer auf dem Portal habe am 25. Juli 2022 37 betragen.

Ransomware-Bedrohung immer gefährlicher

„Industrial Spy“ verkaufe hauptsächlich einzelne Dateien anstelle von Dateibündeln in einer Preisspanne von einem bis zu Zehntausenden von US-Dollar. Es sei zu vermuten, dass die Gruppe die erbeuteten Dateien überprüfe, „bevor sie sensible Dateien mit einem hohen Preisschild versieht und den Rest der Dateien mit einem Preisschild von einem bis zwei US-Dollar verramscht“. „ThreatLabz“ habe beobachtet, dass Betriebssystemdateien mit begrenztem Wert wie „desktop.ini“ und „thumbs.db“ für zwei US-Dollar angeboten würden.

„In den letzten Jahren ist die Ransomware-Bedrohung immer gefährlicher geworden. Neue Methoden wie ,Double Extortion‘ und DDoS-Angriffe machen es Cyber-Kriminellen leicht, Unternehmen zu sabotieren und deren Ruf nachhaltig zu schädigen. Mit zunehmender Beliebtheit von RaaS wenden Cyber-Kriminelle doppelte Erpressungsmethoden an, die neben der ungewollten Verschlüsselung sensibler Daten auch die Exfiltration der wichtigsten Dateien beinhalten, um Lösegeld zu erpressen“, erläutert Deepen Desai, „CISO“ und „VP of Security Research“ bei Zscaler. Selbst wenn die betroffenen Unternehmen in der Lage sind, die Daten aus Backups wiederherzustellen, drohe ihnen immer noch die öffentliche Preisgabe ihrer gestohlenen Daten durch die Angreifer, um der Lösegeldforderung Nachdruck zu verleihen.

Abbildung: Copyright Zscaler 2022

Industrial Spy: Lösegeld-Forderung

Industrial Spy Neueinsteiger im Ransomware-Ökosystem

„,Industrial Spy‘ ist ein Neueinsteiger im Ransomware-Ökosystem. Die Malware ist derzeit nicht sehr umfangreich ausgestattet, aber die Dateiverschlüsselung ist funktional, was sie zu einer gefährlichen Bedrohung macht, was die wachsende Anzahl an Opfern belegt“, so Desai.

Auf dem Ransomware-Markt gebe es viele Akteure, „die kommen und gehen, und es ist schwierig, die Gruppen zu bestimmen, die sich langfristig durchsetzen werden“. Es sei jedoch wahrscheinlich, dass diese Bedrohungsgruppe zumindest in naher Zukunft bestehen bleibe und weitere Ransomware-Updates und Funktionen folgen würden. „ThreatLabz“ überwache weiterhin alle Aktivitäten dieser Gruppe und werde Neuigkeiten zu ihr veröffentlichen.

Weitere Informationen zum Thema:

ZSCALER, 01.08.2022
Technical Analysis of Industrial Spy Ransomware

[datensicherheit.de, 30.08.2021] Laut einer aktuellen Stellungnahme von Zscaler ziehen sportliche Großereignisse weltweit nicht nur Zuschauer in ihren Bann, „sondern bringen auch Malware-Akteure auf den Plan“. Bereits im Vorfeld der Olympischen Sommerspiele 2020 habe der für IT-Sicherheit zuständige externe Berater, Toshio Nawa, vor Cyber-Angriffen gewarnt. Durch die besondere Situation der Durchführung 2021 – ohne Zuschauer vor Ort – sei das Online-Streaming eine bevorzugte Möglichkeit für Sportinteressenten weltweit gewesen, Wettbewerbe am Bildschirm mitzuverfolgen.

Foto: Zscaler

Deepen Desai: Konsistente Sicherheitsrichtlinien durchsetzen, unabhängig davon, wo sich die Benutzer befinden!

Streaming-Transaktionen in Europa vor allem aus Deutschland und Frankreich

Sicherheitsforscher von Zscaler haben nach eigenen Angaben während der nachgeholten Sommerspiele das Malware-Aufkommen analysiert und dabei allerlei schädliche Software, von sogenannten Coinminers bis zu Ransomware, gefälschten Streaming-Webseiten und Adware entdeckt. Die gefälschten Seiten hätten neben Diebstahl von Information auch Scamming-Attacken gedient und Adware habe die Anwender zur Installation irrelevanter Browser-Erweiterungen verleitet, „wie dem bekannten Browser-Hijacker ,YourStreamSearch‘ oder ,OlympicDestroyer‘, der zum Diebstahl von Anmeldeinformationen auf der Maschine des Opfers eingesetzt wird“.
Die meisten der beobachteten Streaming-Transaktionen seien in Europa aus Deutschland mit 8,6 Prozent und Frankreich mit 8,3 Prozent Anteil am weltweiten untersuchten „Traffic“ gekommen. „Online-Streaming ist beliebter als je zuvor und angesichts globaler Ereignisse, wie der Olympischen Spiele, ist es für die Zuschauer wichtig, die ernsten Auswirkungen potenzieller Bedrohungen zu erkennen. Da viele dieser Online-Streaming-Zuschauer gewöhnliche Arbeitnehmer sind, die aufgrund der ,Pandemie‘ von zu Hause arbeiten, sind Online-Veranstaltungen ein Hauptziel für Hacker“, kommentiert Deepen Desai, „CISO“ und „VP Security Research“ bei Zscaler.

Gefälschte Streaming-Dienste nicht mit den offiziellen verwechseln!

Die gefälschten Streaming-Dienste sollten nicht mit den offiziellen Streaming-Anbietern rund um die Sportereignisse verwechselt werden. Die Fälschungen versprächen kostenlosen Zugang und forderten trotzdem Anmeldeinformationen zu Bezahlsystemen ein. Die benutzen „Templates“ der gefälschten Webseiten seien bereits im Zusammenhang mit Großereignissen, wie der NBA oder Football, beobachtet worden.
Bei der entdeckten Adware habe es sich um angeblich kostenlose Streaming-Dienste gehandelt, welche die Benutzer stattdessen auf Webseiten für Glücksspiel, Autohandel usw. umgeleitet hätten. Benutzer seien zur Installation von Adware in Form von Browser-Erweiterungen genötigt worden, „die sie zu gefälschten Software-Updates führten“. Im Fall von „olympicstreams“ würden die Benutzer zur Installation der „YourStreamSearch“-Browser-Erweiterung auffordert werden. „YourStreamSearch“ sei ein bekannter Browser-Hijacker, der Anzeigen auf der Grundlage des Suchverlaufs empfehle.

OlympicDestroyer – ein Wurm, der sich über Windows-Netzwerkfreigaben verbreitet

„OlympicDestroyer“ ist laut Desai „eine hochentwickelte Malware, die erstmals während der Winterspiele 2018 in Südkorea beobachtet wurde“. Diese Malware habe die offizielle Website der Spiele kompromittiert und den Verkauf von Tickets beeinträchtigt. Im Kern handele es sich bei „OlympicDestroyer“ um einen sogenannten Wurm, der sich über „Windows“-Netzwerkfreigaben verbreite. „Die Malware legt mehrere eingebettete und verschleierte Dateien auf dem Computer des Opfers ab, die versuchen Browser- und Systemanmeldeinformationen zu stehlen.“
Ein interessantes Verhalten bestehe darin, dass „OlympicDestroyer“ auf der Grundlage der erlangten Anmeldeinformationen verschiedene Binärdateien erzeugen könne. Dies habe zu vielen Variationen geführt, welche dieselbe Aufgabe erfüllten.

Malware versucht, Zielcomputer zu deaktivieren…

Neben dem Sammeln von Anmeldeinformationen versuche die Malware, den Zielcomputer zu deaktivieren, „indem sie mit ,cmd.exe‘ unter anderem Backups deaktiviert, Boot-Richtlinien bearbeitet und Ereignisprotokolle löscht, was ein Zurücksetzen des betroffenen IT-Systems erschwert“.
Desai empfiehlt abschließend Unternehmen mit Home-Office-Mitarbeitern: „Um das Risiko solcher Angriffe zu verringern, ist es wichtig, konsistente Sicherheitsrichtlinien durchzusetzen, unabhängig davon, wo sich die Benutzer befinden. Sie sollten darüber hinaus eine ,Zero-Trust‘-Architektur einführen, um den möglichen Schaden zu begrenzen, wenn ein System kompromittiert wird.“ Zusätzliche Sicherheitsvorkehrungen, wie die Durchsetzung einer Multi-Faktor-Authentifizierung, die rechtzeitige Durchführung von Sicherheitsupdates oder die Erstellung von Backups, seien unerlässlich, „um Ihre Geschäftsabläufe widerstandsfähig gegen Cyber-Angriffe zu machen“.

Weitere Informationen zum Thema:

zscaler, 25.08.2021
Fake Streaming & Adware Target Olympics 2020

datensicherheit.de, 26.07.2021
Digitale Olympische Spiele: Erhöhte Anforderungen an IT-Sicherheit / Chris Harris nimmt Stellung zur wachsenden Abhängigkeit der Abläufe von der IT-Infrastruktur