Verschleierung – datensicherheit.de Informationen zu Datensicherheit und Datenschutz https://www.datensicherheit.de Datensicherheit und Datenschutz im Überblick Fri, 02 Aug 2024 12:17:57 +0000 de hourly 1 Verschleierungstechnik für Spionage: Ransomware mit cyber-kriminellem Mehrfachnutzen https://www.datensicherheit.de/verschleierungstechnik-spionage-ransomware-cyber-kriminelle-mehrfachnutzen https://www.datensicherheit.de/verschleierungstechnik-spionage-ransomware-cyber-kriminelle-mehrfachnutzen#respond Fri, 02 Aug 2024 12:17:57 +0000 https://www.datensicherheit.de/?p=45160 Ransomware-Bedrohungsakteure könnten von „ChamelGang“-Aktivitäten Kenntnis nehmen und ein weiteres Geschäftsmodell entwickeln

[datensicherheit.de, 02.08.2024] Dies sein nur eine Frage der Zeit gewesen: Eine Bedrohungsgruppe mit dem Namen „ChamelGang“ verwende Ransomware als sekundäre Angriffsart, um ihre Spuren zu verwischen. Sicherheitsforscher der „Sentinellabs“ von SentinelOne hätten diese bisherige Anomalie in einem Report aufgedeckt. Laut deren Erkenntnissen nutze diese APT („Advanced Persistent Threat“) sowohl Datenverschlüsselung als auch Exfiltration und Erpressung. Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, kommentiert diesen Vorfall in seiner aktuellen Stellungnahme: „Unternehmen und Organisationen, die Opfer dieser Gruppe wurden, werden durch die Ransomware abgelenkt und wissen oftmals nicht, dass vor der Verschlüsselung auch noch eine umfassende Exfiltration stattgefunden hat.“ Es sei davon auszugehen, dass der eigentliche Auftrag Spionage gewesen sei und die Verschlüsselung und Erpressung als Extra-Geschäft genutzt würden. „Wenn die Angreifer schon mal im Netz sind, verdienen sie sich bei der Gelegenheit noch mal etwas extra dazu, so könnte man meinen“, so Dr. Krämer.

knowbe4-martin-kraemer-2024

Foto: KnowBe4

Dr. Martin J. Krämer rät Unternehmen wie Organisationen, mehr in ihre Phishing-Prävention zu investieren und vor allem die eigenen Mitarbeiter zu schulen

Ransomware-Akteure könnten Cyber-Spionagemarktplatz etablieren

Diese zusätzliche Taktik mache Cyber-Angriffe wesentlich gefährlicher: „Es ist nicht auszuschließen, dass mehrere Ransomware-Bedrohungsakteure davon Kenntnis nehmen und ein weiteres Geschäftsmodell entwickeln.“ Angenommen, eine Ransomware-Gruppe habe sich einen ersten Zugang verschafft und ihre Ransomware im Stillen überall verteilt – alles, was es nun noch brauche, sei ein Bedrohungsakteur, der einen „Spionagemarktplatz“ einrichtet, „auf dem auch andere bösartige Akteure nach Einfallstoren für jenes Unternehmen oder Organisation suchen“.

Nationalstaatliche Spionage-Akteure könnten von Ransomware-Einfallstoren profitieren

Weiter gedacht, würden dann auch nationalstaatliche Akteure davon profitieren, welche die Ransomware-Einfallstore zu Spionagezwecken nutzen möchten. Eine Ransomware-Gruppe könnte dann den Zugang zunächst an eine andere Gruppe verkaufen, „die ausschließlich Spionage betreiben möchte und danach dann ein zweites Mal Geld verdienen, in dem es Daten verschlüsselt und das Opfer erpresst“.

Phishing als bevorzugtes Ransomware-Einfallstor

Nicht zuletzt aus diesem Grund sollten Unternehmen wie Organisationen mehr in ihre Phishing-Prävention investieren und vor allem die eigenen Mitarbeiter schulen. „Security Awareness Trainings“ mit dem Ziel einer dauerhaften Verhaltensveränderung und der Etablierung einer starken Sicherheitskultur seien geeignete Mittel, um Phishing zu stoppen. Ohne Phishing als Einfallstor müssten APTs nämlich mehr finanziellen und zeitlichen Aufwand betreiben, um an ihr Ziel zu kommen – so dass es sich dann, egal welches Ransomware-Geschäftsmodell, weniger lohne.

Weitere Informationen zum Thema:

SentinelLABS, Aleksandar Milenkoski & Julian-Ferdinand Vögele, Juni 2024
CHAMELGANG & FRIENDS | CYBERESPIONAGE GROUPS ATTACKING CRITICAL INFRASTRUCTURE WITH RANSOMWARE

]]>
https://www.datensicherheit.de/verschleierungstechnik-spionage-ransomware-cyber-kriminelle-mehrfachnutzen/feed 0
Ransomware: Neue Verschleierungstechnik entdeckt https://www.datensicherheit.de/ransomware-neue-verschleierungstechnik-entdeckt https://www.datensicherheit.de/ransomware-neue-verschleierungstechnik-entdeckt#respond Sun, 10 Apr 2016 20:46:29 +0000 http://www.datensicherheit.de/?p=25323 Auch „Locky“ versucht mit neuer Methode die Sicherheitssoftware zu täuschen

[datensicherheit.de, 10.04.2016] Palo Alto Networks hat nach eigenen Angaben ein neues Tool identifiziert, das von der Ransomware-Familie „Locky“ verwendet wird, um nicht entdeckt zu werden und Endpunkte zu infizieren.

Für statische Analyse-Tools verborgen

Mithilfe des Bedrohungserkennungsdienstes „AutoFocus“ von Palo Alto Networks seien beim Korrelieren von globalen Daten leichte Veränderungen an „Locky“ festgestellt worden. Das neu entdeckte Tool zur Umgehung von Sicherheitskontrollen komme offensichtlich sogar bei weiteren Ransomware-Familien zum Einsatz.
Mehrere Malware-Samples seien Palo Alto Networks durch verschleierte API-Aufrufe aufgefallen, die Systemfunktionen manipuliert hätten. Diese Funktionalität bleibe den häufig verwendeten statischen Analyse-Tools verborgen.

Manipulationen an den API-Aufrufen

Die Manipulationen an den API-Aufrufen verhinderten die Klassifizierung anhand von Schlüsselnamen, wodurch die Wahrscheinlichkeit erhöht werde, die Malware nicht zu entdecken.
Dies scheine jedoch nur eine von mehreren Maßnahmen zu sein, um Sicherheitsanalysen in die Irre zu leiten. Bei der Begutachtung aktueller Samples habe sich gezeigt, dass die Importtabellen für die bei der Ausführung geladenen Bibliotheken sich deutlich unterschieden, was eine sinnvolle Erkennung von „Import-Hashing“ verhindere. Zudem scheine es, dass der Verursacher jede Menge sinnlose Anweisungen zu generieren versucht, um die Analyse zu erschweren.

Verschleierungstechnik laut Palo Alto Networks nachweisbar

Neben „Locky“ sei diese Technik auch bei Samples der Malware-Familien„TeslaCrypt“ und „Andromeda“ aufgetaucht.
Palo Alto Networks betont, dass diese Verschleierungstechnik durch dynamische Analyse in Kombination mit der statischen Analyse seines „WildFire“-Diensts nachgewiesen werden könne.

Weitere Informationen zum Thema:

paloalto NETWORKS, 08.04.2016
Ransomware: Locky, TeslaCrypt, Other Malware Families Use New Tool To Evade Detection

]]>
https://www.datensicherheit.de/ransomware-neue-verschleierungstechnik-entdeckt/feed 0