Der diesjährige Report enthält Trends zu Phishing-Aktivitäten und -Taktiken sowie Best Practices zur Steigerung der Sicherheit von Unternehmen

[datensicherheit.de, 23.04.2024] Der jährliche „ThreatLabz Phishing“-Report soll die Evolution der Phishing-Landschaft enthüllen und die Notwendigkeit einer „Zero Trust“-Architektur unterstreichen: Zscaler, Inc. hat nach eigenen Angaben den jährlichen „Zscaler ThreatLabz 2024 Phishing“-Report veröffentlicht, für den zwei Milliarden blockierte Phishing-Transaktionen in der „Zscaler Zero Trust Exchange“-Plattform zwischen Januar und Dezember 2023 analysiert worden seien. Demnach haben die weltweiten Phishing-Angriffe im Jahresvergleich um fast 60 Prozent zugenommen. Dieser Anstieg sei unter anderem auf den Einsatz von generativer KI in Angriffstechniken wie Voice-Phishing (Vishing) und Deepfake-Phishing zurückzuführen. Der diesjährige Report enthalte Trends zu Phishing-Aktivitäten und -Taktiken sowie „Best Practices“ zur Steigerung der Sicherheit von Unternehmen.

Foto: Zscaler

Deepen Desai warnt: Phishing ist nach wie vor eine hartnäckige und oft unterschätzte Bedrohung!

Robuste Zero-Trust-Architektur mit fortschrittlicher, KI-gestützter Phishing-Prävention kombinieren!

„Phishing ist nach wie vor eine hartnäckige und oft unterschätzte Bedrohung, die zunehmend mit ausgefeilteren Methoden aufwartet, da zur Intensivierung von Angriffen auf generative KI und die Manipulation vertrauenswürdiger Plattformen gesetzt wird”, berichtet Deepen Desai, „CSO“ und Leiter der Sicherheitsforschung. Er führt aus: „In diesem Zusammenhang sind die neuesten Ergebnisse des ,ThreatLabz’-Reports wichtiger denn je, um Strategien zu entwickeln und die Phishing-Abwehr zu stärken.“

Diese Erkenntnisse unterstrichen die Notwendigkeit eines proaktiven, mehrschichtigen Sicherheitsansatzes, „der eine robuste Zero-Trust-Architektur mit fortschrittlicher, KI-gestützter Phishing-Prävention kombiniert, um diesen Bedrohungen wirksam zu begegnen“.

Mehr als die Hälfte aller Phishing-Angriffe in Nordamerika – gefolgt von EMEA und Indien

2023 seien die Vereinigten Staaten (55,9%), das Vereinigte Königreich (5,6%) und Indien (3,9%) die Hauptziele von Phishing-Betrug gewesen. Das häufige Auftreten von Phishing in den USA sei auf die digitale Infrastruktur, die große Anzahl von Internet-Anwendern und die intensive Nutzung von Online-Finanztransaktionen zurückzuführen.

Kanada (2,9%) und Deutschland (2,8%) vervollständigten die „Top Five“ der Länder mit den meisten Phishing-Versuchen. Die meisten Phishing-Angriffe gingen demnach von den USA, Großbritannien sowie Russland aus und auch Australien sei in die „Top Ten“ aufgestiegen, da das Volumen der in diesem Land gehosteten Phishing-Inhalte im Vergleich zum Vorjahr um 479 Prozent gestiegen sei.

Finanzbranche erlitt Anstieg der Phishing-Angriffe um fast 400 Prozent

Der Finanz- und Versicherungssektor habe die höchste Zahl von Phishing-Versuchen verzeichnet, die im Vergleich zum Vorjahr um 393 Prozent zugenommen hätten. Die Abhängigkeit von digitalen Finanzplattformen biete Bedrohungsakteuren reichlich Gelegenheit für die Durchführung ihrer Phishing-Kampagnen – aufbauend auf Schwachstellen in diesem Sektor.

Die Fertigungsindustrie habe von 2022 bis 2023 ebenfalls einen deutlichen Anstieg von 31 Prozent an Phishing-Angriffen verzeichnet, was die Anfälligkeit der Branche unterstreiche. „Da Fertigungsprozesse immer stärker von digitalen Systemen und vernetzten Technologien wie IoT/OT abhängen, steigt auch das Risiko von unbefugten Zugriffen oder Störungen, die von Bedrohungsakteuren ausgehen.“

Microsoft bleibt am häufigsten von Phishing-Angriffen ausgenutzte Marke

Die „ThreatLabz“-Forscher hätten festgestellt, dass Unternehmensmarken wie Microsoft, OneDrive, Okta, Adobe und SharePoint ein bevorzugtes Ziel für Imitationen darstellten. Die weite Verbreitung dieser „Brands“ gehe mit einem hohen Wert von gestohlenen Anmeldedaten für diese Plattformen einher und lasse sie zum lohnenden Ziel werden.

Microsoft (43%) sei im Jahr 2023 die am häufigsten imitierte Unternehmensmarke gewesen, wobei die Plattformen OneDrive (12%) und SharePoint (3%) ebenfalls unter den ersten fünf Plätzen rangierten und ein lukratives Ziel für Cyber-Kriminelle darstellten.

Zero-Trust-Architektur kann Phishing-Angriffe entschärfen

Eine „Zero Trust“-Architektur mit moderner, KI-gestützter Phishing-Prävention biete Schutz gegen die sich ständig weiterentwickelnde Bedrohungslandschaft. Die „Zero Trust Exchange“-Plattform helfe dabei, konventionelle und KI-gesteuerte Phishing-Angriffe in mehreren Stufen der Angriffskette zu unterbinden:

Verhindern der Kompromittierung
Skalierbare TLS/SSL-Prüfung, KI-gestützte Browser-Isolierung und richtliniengesteuerte Zugriffskontrollen verhinderten den Zugriff auf verdächtige Websites.

Eliminieren von Seitwärtsbewegungen
Nutzer würden sich direkt mit Anwendungen verbinden und nicht mit dem Netzwerk, während die KI-gestützte App-Segmentierung den Aktionsradius eines potenziellen Vorfalls begrenze.

Abschalten von kompromittierten Usern und Insider-Bedrohungen
Die Inline-Inspektion verhindere Versuche, private Anwendungen auszunutzen, und die integrierten Täuschungsfunktionen würden auch raffinierteste Angreifer erkennen.

Stoppen von Datenverlusten
Die Inspektion von Daten in Bewegung und im Ruhezustand verhindere den potenziellen Diebstahl durch einen aktiven Angreifer.

Weitere Informationen zum Thema:

zscaler
Zscaler ThreatLabz 2024 Phishing Report / Phishing attacks surged by 58% last year

Aktuell mangelt es an einer Reaktion auf neue Technologien, welche über eine kurzfristige Anpassung des Cyber-Sicherheitsniveaus hinausgeht

[datensicherheit.de, 13.04.2024] „Die Fristen für die Einhaltung der NIS-2-Richtlinie und des ,Digital Operations Resilience Act’ (DORA) rücken rasch näher und dementsprechend stehen Bestrebungen zur Einhaltung der Auflagen rund um die Regulierung der Cyber-Sicherheit für viele Unternehmen derzeit im Fokus. Während diese Direktiven die Hoffnung auf positive Veränderungen hinsichtlich des Schutzniveaus der Betreiber Kritischer Infrastrukturen in Europa wecken, fehlt es ihnen dennoch an einer entscheidenden Komponente – einer Vision zur Transformation der weltweiten Cyber-Sicherheit“, moniert Nathan Howe, „GVP Innovation“ bei Zscaler, in seiner aktuellen Stellungnahme. Zwar seien Regulierungsbestrebungen von Natur aus immer eine Reaktion auf Veränderungen, aber dennoch könnten sie etwas visionärer ausfallen. Aktuell mangele es allerdings noch an einer Reaktion auf neue Technologien, welche über eine kurzfristige Anpassung des Sicherheitsniveaus hinausgehe. Howe kommentiert: „Wieder einmal überschreitet die Innovationstätigkeit die Geschwindigkeit, mit der Regularien implementiert werden können.“

Foto: Zscaler

Nathan Howe: Regulierung und Innovation sollten Hand in Hand gehen!

Es sind nicht Cyber-Regularien, welche Unternehmen zu höherer Innovationstätigkeit veranlassen

Auch die Diskussionen auf dem „World Economic Forum“ in Davos hätten einmal mehr gezeigt, dass Entscheidungsträger und Politiker Regularien eher aus Angst denn aus Innovationsfreude auf die Tagesordnung setzten. Howe: „Nicht bedacht wurde, dass Regulierung und Innovation Hand in Hand gehen sollten, um den Schritt in die Zukunft ohne Angst und mit weniger Risiken angehen zu können.“ Das Entstehen von Regularien sei ein zyklischer Prozess – angetrieben durch die Evolution neuer Standards. Hinter einem solchen Prozess stehe eine bestehende Technologie, welche in vielerlei Hinsicht vorhersehbar sein sollte.

KI-gestütztes „5G“ sei ein gutes Beispiel für eine solch neue Technologie, welche bald neue Regularien erforderlich machen werde, „wenn sie in Form von ,6G’ mit einer ganzen Reihe neuer Funktionen aufwartet“. Die technologische Marschrichtung von Unternehmen erhalte durch Regularien Vorschub, welche über die Reaktion auf Sicherheitsvorfälle hinausgehe und zu strategischer Planung führen sollte. „Es ist jedoch wichtig zu erkennen, dass es nicht die Regularien sind, die Unternehmen zu höherer Innovationstätigkeit veranlassen. Vielmehr zwingen sie jegliche Organisation dazu, den Status Quo einzuhalten“, so Howe.

Organisationen betrachten Cyber-Regulierung oft nur als Mittel, den Status Quo zu erhalten

Echte Innovation könne dann entstehen, „wenn Führungskräfte und Visionäre dazu bereit sind, herkömmliche Herangehensweisen angetrieben vom Wunsch nach dem Erhalt von Wettbewerbsfähigkeit grundlegend zu überdenken“. Er führt hierzu aus: „Ein Unternehmen, das Lebensmittel oder Getränke herstellt, wird normalerweise immer Technologien zur Verbesserung der Produktionsprozesse gegenüber IT-Sicherheitsprozessen den Vorrang geben.“ Solche Organisationen betrachteten die Regulierung als Mittel, um den Status Quo zu erhalten. Sie nutzten sie nicht als Gelegenheit, um eine Modernisierung der Abläufe und die Erschließung gänzlich neuer Möglichkeiten auf den Weg zu bringen.

Howe gibt zu bedenken: „Aus diesem Grund erfolgt ein größerer Wandel oft nur aufgrund eines katastrophalen Moments, der droht, ein unsinkbares Schiff zum Kentern zu bringen. Oder er erfolgt eben durch den Anstoß von außen, der durch Regularien losgetreten wird.“ In diesem Sinne spiele die Regulierung eine wichtige Rolle bei der Beschleunigung der technologischen Evolution von denjenigen Unternehmen, „deren Hauptaugenmerk darauf liegt, den Motor am Laufen zu halten, zu verkaufen und zu produzieren“.

NIS-2 und DORA u.a. haben ihre Berechtigung, denn sie fördern Wissen und Verständnis für Cyber-Sicherheit – aber es gebricht ihnen an visionärer Kraft

Regulierungen wie aktuelle NIS-2 und DORA hätten ihre Berechtigung, denn sie trügen dazu bei, das Wissen und das Verständnis für Cyber-Sicherheit zu beschleunigen. „Sie setzen neue Grenzen und führen zu neuen Kontrollmechanismen und aktualisierten Reports zum Datenverkehr. Schlussendlich sind sie aber nicht die transformative Kraft, die Unternehmen dabei hilft, mit dem Tempo der technologischen Entwicklung und der Innovation Schritt zu halten.“

Howe erläutert: „In ihrer jetzigen Form ist es unwahrscheinlich, dass diese Art der Regulierung die Welt unter dem Gesichtspunkt der Informationssicherheit grundlegend verbessern wird. Ohne eine Vision, die die Innovationstätigkeit in den Vordergrund stellt, wird sie das Sicherheitspostulat nicht revolutionieren.“ Sie diene lediglich dazu, Unternehmen bei der Problembeseitigung zu unterstützen, aber nicht bahnbrechend zu transformieren.

Sein Fazit: „Damit Unternehmen innovative Cyber-Sicherheit wirklich vorantreiben, müssen Innovation und Regulierung zusammenspielen und eine zukunftsorientierte Denkweise fördern!“ Nur so würden Unternehmen dazu befähigt, sich im Einklang mit dem Tempo neuer, transformativer Technologien zu modernisieren. Dazu bedürfe es einer echten Vision im heutigen Zeitalter, in dem kein Jahrzehnt hinsichtlich der technologischen Entwicklung mehr vergleichbar sei mit dem vorangegangenen.

Album adressiert facebook-Nutzer auf der Suche nach pornographischen Inhalten

[datensicherheit.de, 06.02.2023] Das „Zscaler ThreatLabz“-Team deckt nach eigenen Angaben „regelmäßig neue Arten von Infostealer-Familien in verschiedenen Angriffskampagnen auf“. Kürzlich seien die Forscher auf den Infostealer namens „Album“ gestoßen: „Diese Malware ist als Fotoalbum getarnt, das pornographische Inhalte als Köder verwendet, während im Hintergrund bösartige Aktivitäten ausgeführt werden.“ Dazu setze die Malware auf eine sogenannte Side-Loading-Technik, bei der legitime Anwendungen zur Ausführung bösartiger DLLs verwendet würden, um die Entdeckung zu vermeiden. Die eigentliche Aufgabe sei jedoch das Stehlen von „Cookies“ und Anmeldeinformationen, „die von den Opfern in ihren Webbrowsern gespeichert wurden“. Darüber hinaus würden Informationen von „Facebook Ads Manager“, „Facebook Business“-Konten und „Facebook API Graph“-Seiten gestohlen. „Die auf einem infizierten System gesammelten Informationen werden schließlich an einen Command-and-Control-Server geschickt.“

Abbildung: zscaler

Zscaler ThreatLabz Team: Die Album-Stealer-Infektionskette

Album-Stealer lauert auf gefälschten facebook-Profilseiten mit erotischen Bildern

Der „Album“-Stealer lauere auf gefälschten „facebook“-Profilseiten mit erotischen Bildern: „Bedrohungsakteure erstellen diese Profilseiten, um die Opfer zum Klicken auf einen Link zu verleiten, mit dem sie vermeintlich ein Album mit diesen Bildern herunterladen können.“

Wird ein infizierter Link angeklickt, startet demnach die eigentliche Infektionskette mit der Weiterleitung zu einem mit Schadcode-infiziertem Zip-Archiv, das unter anderem auf „Microsoft OneDrive“ gehostet wird. „Die Zip-Archive treten unter verschiedenen Namen auf, wie beispielsweise ,Album(.)zip’, ,AlbumSuGarBaby(.)zip’, ,albumyirlsexy(.)zip’ oder ,sexyalbum(.)zip’.“

Wird Album.exe ausgeführt, wird Datei PdfiumControl.dll mit Schadcode geladen

Hinter dem Zip-Archiv verberge sich jeweils „Album.exe“ als eine legitime, ausführbare „TresoritPDFViewer“-Datei. Diese Datei sei allerdings anfällig für den „DLL Side-Loading“-Angriff: „Wird ,Album.exe’ ausgeführt, lädt das Programm eine abhängige Datei namens ,PdfiumControl.dll’, die in diesem Fall den Schadcode beinhaltet, der in der Folge die ,data.dat’-Datei mit einer sich selbst extrahierenden Archivdatei (SFX) ausführt.“ Diese Datei enthalte die als Köder eingesetzten gewünschten pornographischen Bilder.

Im Hintergrund allerdings beginne die bösartige DLL-Datei ihre Aktivitäten auf der Suche nach dem „\%AppData%\Roaming\Canon“-Verzeichnis. Erst im Anschluss werde die eigentliche „Payload“ in einem verschlüsselten Format abgeliefert, welche sich auf die Suche nach den gewünschten Informationen in Form von Anmeldeinformationen, „Cookies“ oder „Facebook Business“ und „Ad“-Accounts mache.

Fazit: Album-Stealer kann Sicherheitsvorkehrungen umgehen

Angreifer versuchten, „facebook“-Benutzer dazu zu bringen, eine bösartige Archivdatei herunterzuladen, welche als Köder mit pornographischen Inhalten locke. Der „Album“-Stealer könne Sicherheitsvorkehrungen umgehen, „indem er legitime Anwendungen ausnutzt, die für ,DLL-Side-Loading’ anfällig sind“.

Das „Zscaler ThreatLabz“-Team überwache diese Kampagne und habe eine ausführliche technische Analyse mit Indikatoren für einen erfolgreich durchgeführten Angriff im eigenen Blog veröffentlicht.

Weitere Informationen zum Thema:

zscaler, 20.01.2023
Album Stealer Targets Facebook Adult-Only Content Seekers

Im Visier sind Fußballfans, um sie auf malware-infizierte Webseiten zu locken

[datensicherheit.de, 30.11.2022] Bereits wenige Tage nach Start der „FIFA Fußball WeltmeisterschaftTM 2022“ konnten Sicherheitsforscher der „Zscaler ThreatLabz“ nach eigenen Angaben eine Häufung gefälschter Streaming-Seiten verzeichnen. Ziel sind demnach Fußballfans, welche mit angeblichen kostenlosen Streaming-Angeboten und Lotterie-Spielen auf malware-infizierte Webseiten gelockt werden sollen. „Darüber hinaus werden auch angebliche Eintrittskarten, Flugtickets sowie weitere Angebote als Lockmittel eingesetzt, die die Welle des Interesses für die WM ausnutzen, um Schadcode zu transportieren.“

Screenshot: Zscaler ThreatLabz

Falle für Fußballfans: Lotterie-Spiele auf malware-infizierte Webseiten

Ähnlich wie bei anderen großen Sport-Events nutzen Malware-Akteure Begeisterung der Fußballfans aus

Seit Beginn der WM 2022 habe ein signifikanter Anstieg in der Anzahl von Streaming-Transaktionen durch das „ThreatLabZ“-Team festgestellt werden können. Ähnlich wie bei anderen großen Sport-Events hätten Malware-Akteure die Sportbegeisterung der Fans für ihre Angriffe ausgenutzt.

Aktuell werde Schadcode über neu registrierte Webseiten mit Bezug zur Fußball-WM verbreitet. Nicht alle dieser neuen Domains seien bösartig. „Dennoch ist es wichtig, diese zunächst als verdächtig einzustufen, bis Analysen durchgeführt werden konnten, um versteckte Angriffe aufzuspüren.“

Für die meisten der von den Sicherheitsforschern beobachteten Malware-Kampagnen würden neu registrierte Domains verwendet, um Webseiten mit Schadpotenzial zu hosten. „In weiteren Beispielen hosten allerdings bekannte legitime Webseiten wie ,Xiaomi’, ,Reddit’, ,OpenSea’ und ,LinkedIn’ gefälschte Links, die zu den bösartigen Webseiten weiterleiten.“

ThreatLabz haben Fälle beobachtet, in denen SolarMarker es auf Fußballfans abgesehen hat, welche WM-Aufkleber kaufen

Die Bedrohungsakteure hinter diesen betrügerischen Aktivitäten versuchten in der Regel, gefälschte Ticketgebühren zu erheben oder Kredit- und Debit-Kartendaten zu stehlen. „In dem unten gezeigten Beispiel wurde eine verdächtige Pop-up-Seite aufgedeckt, die Tickets für die Fußballweltmeisterschaft anbietet und erst am 15. November registriert wurde. Aufgrund der hohen Anzahl von Betrügereien wie dieser entscheiden sich viele Unternehmen dafür, neu registrierte Domains, die weniger als zehn Tage alt sind, zu blockieren, einzuschränken oder zu analysieren.“

Das „ThreatLabz“-Team habe auch eine Betrugsmasche beobachtet, bei der den Benutzern Preisgelder und Flugtickets von Qatar Airways angeboten würden. Die Domain für die entsprechende Betrugsseite mit dem Screenshot unten sei am 11. November 2022 eingerichtet worden. „Dieser Zeitpunkt lässt die Forscher vermuten, dass die Akteure hinter dieser Webseite ebenfalls Fußballfans im Visier haben.“

Doch nicht nur gefälschte Domains kämen zum Einsatz, auch sogenannte Infostealer wie „SolarMarker“ seien beobachtet worden. Die Malware nutze Techniken zur Manipulation der Suchmaschinenoptimierung (SEO), um Opfer anzulocken und die erste „Payload“ abzuladen. In den meisten Fällen hätten die Sicherheitsforscher beobachtet, dass diese Angreifer die bösartigen PDF-Dateien auf kompromittierten „Wordpress“-Seiten mit auffindbaren URLs und Suchmaschinenergebnissen hosteten. „ThreatLabz“ hätten einige Fälle beobachtet, in denen „SolarMarker“ es auf Fußballfans abgesehen habe, die WM-Aufkleber auf kompromittierten E-Commerce-Seiten kaufen wollten. „Wenn der User zum Download auf ein gefälschtes PDF klickt, wird er automatisch auf eine von den Betrügern kontrollierte Webseite umgeleitet, die den schädlichen ,Microsoft Windows Installer’ (MSI)-Dienst liefert, um den Rest des Angriffs durchzuführen.“

Screenshot: Zscaler ThreatLabz

Gefälschte, erst am 15.11.2022 registrierte Webseite bietet Tickets für Fußballweltmeisterschaft an

Schutzmaßnahmen nicht nur für Fußballfans

Wie immer seien diese Beobachtungen nur die „Spitze des Eisbergs an Malware-Aktivitäten rund um einen Großevent“. Aus diesem Grund haben die Sicherheitsforscher die Tipps zusammengestellt, mit denen sich Fußballfans vor Betrug schützen könnten:

• Flugtickets und alle Services rund um die „FIFA Fußball-WeltmeisterschaftTM“ sollten nur bei autorisierten Anbietern und geprüften Webseiten gebucht werden.
• Für das Streamen der Spiele sei es ratsam, ausschließlich bekannte und vom Veranstalter genehmigte Seiten zu nutzen.
• Bei Lockangeboten in E-Mails sei immer Vorsicht geboten. Angeblich kostenlose Angebote seien nicht vertrauenserweckend und sollten nicht angeklickt oder heruntergeladen werden.
• Für alle Aktivitäten im Internet empfehle es sich, sichere Verbindungen wie HTTPs zu nutzen und eine Zwei-Faktor-Authentifizierung für die Konten zu verwenden.
• Alle Anwendungen und das Betriebssystem müssten immer auf dem aktuellen Stand gehalten werden.
• Eine Backup-Strategie mit externer Datensicherung sei darüber hinaus angebracht und schütze sensible Informationen vor Dritten.

Weitere Informationen zum Thema:

zscaler, Prakhar Shrotriya & Kaivalya Khursale, 22.11.2022
Surge of Fake FIFA World Cup Streaming Sites Targets Virtual Fans

IT-Abteilungen müssen vorbeugend aktiv werden, um Datenabflüsse zu unterbinden

[datensicherheit.de, 29.10.2022] Datenverlust in Unternehmen kann offensichtlich viele Ursachen haben. Im Wesentlichen hat er laut Deepen Desai, „Global CISO“ bei Zscaler, allerdings zwei Gesichter – den böswilligen Datendiebstahl durch externe Akteure und versehentliche Fehler durch Mitarbeiter: „Bei Ersterem geht es beispielsweise um Phishing-Angriffe, Ransomware mit Double-Extortion oder gar groß angelegte Attacken auf die Lieferkette. Im zweiten Fall fließen Daten unbeabsichtigt durch schlechtes Datenmanagement bei der Kollaboration oder durch menschliches Versagen aus der Unternehmensumgebung ab.“ Dieser menschliche Faktor werde häufig unterschätzt, „obwohl dadurch für Organisationen großer Schaden entstehen kann“. Ein Grund mehr, dass die IT-Abteilung hierbei vorbeugend aktiv wird, um Datenverluste zu unterbinden, betont Desai in seiner aktuellen Stellungnahme.

Foto: Zscaler

Deepen Desai warnt: 84 Prozent der Verstöße betreffen personenbezogene Daten!

Durchschnittlich über 360 Dateien pro Unternehmen und Tag öffentlich zugänglich

„Wie der ,2022 ThreatLabz Data Loss Report’ von Zscaler verdeutlicht, erleben Unternehmen im Schnitt jeden Tag 10.000 Verstöße gegen Datenschutzrichtlinien“, berichtet Desai. 36 Prozent der Daten von „Cloud“-Anwendungen würden dabei beispielsweise über Links öffentlich zugänglich gemacht – somit also durchschnittlich über 360 Dateien pro Unternehmen und Tag. Außerdem seien 94 Prozent der Malware in „Cloud“-Anwendungen – in „Microsoft Exchange“- und „OneDrive“-Umgebungen – gefunden worden.

„Damit wird deutlich, dass gerade bei der Gestaltung der Kollaboration unter der Belegschaft Sicherheitsthemen zu kurz kommen“, moniert Desai. Darüber hinaus beinhalteten mittlerweile mehr als die Hälfte der Ransomware-Angriffe die Exfiltration von Unternehmensdaten. Diese Vorgehensweise von Angreifern sei heute so lukrativ, dass einige Hacker-Gruppierungen die Verschlüsselungskomponente in ihren Angriffen bereits ganz wegließen.

Menschlicher Faktor für Prävention von Datenverlusten von großer Wichtigkeit

„Eine weitere Erkenntnis aus dem Report ist, dass 84 Prozent der Verstöße personenbezogene Daten betreffen.“ Weitere zehn Prozent entfielen auf Finanz- und Kreditkarteninformationen. Fast 13 Prozent der per E-Mail verschickten sensiblen Daten befänden sich in Bildern, deren unbeabsichtigtes Abfließen nur mit fortschrittlichen Prüfverfahren, wie „Optical Character Recognition“ (OCR) oder Künstlicher Intelligenz (KI), eingeschränkt werden könne.

Desai kommentiert: „Dies zeigt, wie wichtig der menschliche Faktor für die Prävention von Datenverlusten ist. Von unbewussten Fehlern von Mitarbeitenden bis hin zu komplexen, von Insidern und Bedrohungsakteuren inszenierte Angriffe: Datenverlust beginnt und endet bei Menschen!“

Gruppen von Hauptverantwortlichen für Datenverluste

Die Verantwortlichkeit für Datenverluste lassen sich laut Desai in die folgenden Gruppen einsortieren: Mitarbeiter, aber auch Administration, böswillige Insider, oder Geschäftsführer sowie Partner und externe Akteure.

Mitarbeiter neigten zum „Oversharing“, „Opensharing“ oder zur Datenlöschung und könnten ihre Arbeitsgeräte verlieren oder gefährden.

Bei der Administration schlichen sich Fehler beim Patchen oder Konfigurieren ein.

Böswillige Insider könnten Daten absichtlich exfiltrieren oder Dritten unberechtigten Zugang zu Informationen gewähren. „Dabei kann es sich um Mitarbeitende handeln, die ihre Funktion aufgeben möchten und zuvor Daten zerstören oder stehlen, oder mit Angreifern sowie Konkurrenten zum persönlichen oder finanziellen Vorteil kollaborieren.“

Auch die Geschäftsführungsebene sei nicht gefeit und gerade deshalb gelte es hier, die digitale Kompetenz zu erhöhen. Vorstände könnten beispielsweise wichtige Anträge auf ein IT- oder Sicherheitsbudget zur Aktualisierung der anfälligen Netzwerkarchitektur ablehnen.

Partner und Drittunternehmen könnten absichtlich oder unabsichtlich Datenverluste durch zu weitgreifende Berechtigungen des Zugriffs auf Daten verursachen. Der Kundensupport mit Zugang zu Kundendaten und -systemen sei hierbei besonders gefährdet für eine Kompromittierung, ebenso wie Anbieter von „Cloud“-Anwendungen.

Eines sei all diesen Gruppierungen gemein: Bedrohungsakteure hätten immer dann ein leichtes Spiel, „wenn Unternehmen ihre Angriffsvektoren und Einfallstore nicht ausreichend kontrollieren“, warnt Desai.

Ganzheitlichen Ansatz zur Vermeidung von Datenverlusten etablieren!

Der menschliche Faktor spiele für alle übergeordneten Ursachen von Datenverlusten eine Rolle – denn schließlich müsse ein Phishing-Angriff oder die Platzierung eines sogenannten Infostealers nur einmal gelingen, um von einem kompromittierten Nutzer weitere Kreise zu ziehen. „Organisationen sollten sich dieses Risiko bewusst machen und einen ganzheitlichen Ansatz zur Vermeidung von Datenverlusten etablieren“, rät Desai abschließend und unterstreicht:

„Der Schutz von sensiblen Daten ist kein alleinstehendes Unterfangen, sondern sollte Teil einer umfassenderen Sicherheitsstrategie sein, mit der alle Datenströme auf Malware und unberechtigtes Abfließen kontrolliert werden.“

Weitere Informationen zum Thema:

zscaler
Report: 2022 ThreatLabz State of Data Loss Report / Trends and risks of enterprise data sharing and how to manage them

datensicherheit.de, 02.06.2022
Der Faktor Mensch: Proofpoint stellt diesjährigen Report vor / Laut Report 2022 100.000 Smartphone-Angriffe täglich und Verdoppelung der Smishing-Versuche

datensicherheit.de, 09.08.2021
Der Mensch als größte Schwachstelle für die IT-Sicherheit / Cyber-Kriminelle nutzen Home-Office aus und fokussieren auf den Risikofaktor Mensch

datensicherheit.de, 20.04.2021
Faktor Mensch und Unternehmensnetzwerk laut PSW GROUP wesentliche Cyber-Risiken / PSW GROUP rät zu mehr Awareness und Mitarbeitersensibilisierung

Diebstahl von Informationen auch unter Cyber-Kriminellen auf der Tagesordnung

[datensicherheit.de, 12.09.2022] Laut einer aktuellen Stellungnahmen von Zscaler ist der Diebstahl von Informationen für Cyber-Banden von grundlegender Bedeutung, um sich Zugang zu Systemen zu verschaffen und größere Malware-Kampagnen gegen Unternehmen zu initiieren. In einer jüngsten Analyse der „Prynt Stealer“-Malware haben demnach „ThreatLabz“-Sicherheitsforscher von Zscaler nun herausgefunden, dass Diebstahl von Informationen auch unter Cyber-Kriminellen auf der Tagesordnung steht.

Abbildung: Zscaler 2022

ThreatLabz-Sicherheitsforscher: Analyse der Prynt-Stealer-Malware

Cyber-Hintertür entdeckt: automatische Kopien exfiltrierter Daten der Opfer an privaten Telegram-Chat

Schadcode zum Erbeuten von Firmeninformationen, wie beispielsweise der sogenannte Infostealer „Prynt“, würden von den Machern häufig über einen „Builder“ konfiguriert und dann an weniger erfahrene Bedrohungsakteure verkauft. Bei der Analyse des „Prynt Stealer“ hätten die Sicherheitsforscher nun eine Hintertür entdeckt, „die automatisch Kopien der exfiltrierten Daten der Opfer an einen privaten ,Telegram’-Chat weiterleitet“.

Dieser Chat wird von den Entwicklern des Builders überwacht, die damit die gestohlenen Daten abgreifen könnten. Auf diese Weise gelangten die Daten der bestohlenen Organisationen in die Hände mehrerer Bedrohungsakteure, „wodurch sich das Risiko eines oder mehrerer groß angelegter Angriffe erhöht“.

Mit Prynt Stealer können Cyber-Kriminelle Anmeldeinformationen erfassen

Mit dem „Prynt Stealer“ seien Cyber-Kriminelle in der Lage, Anmeldeinformationen zu erfassen, „die auf einem kompromittierten System gespeichert sind, einschließlich Webbrowsern, VPN/FTP-Clients sowie Messaging- und Spieleanwendungen“. Programmiert worden sei der Stealer auf Basis von Open-Source-Projekten wie „AsyncRAT“ und „StormKitty“. Nach den Erkenntnissen der Sicherheitsforscher seien die Malware-Familien „DarkEye“ und „WorldWind“, welche ebenfalls Informationen stehlen würden, mit „Prynt Stealer“ nahezu identisch.

„Prynt Stealer“ sei eine relativ neue, in „.NET“ geschriebene Malware-Familie für Informationsdiebstahl. Bei „Prynt Stealer“ handele es sich teilweise um Code, welcher direkt aus den „Repositories“ der Varianten „WorldWind“ und „DarkEye“ kopiert worden sei und auf densekben Malware-Autor schließen lasse. Viele Teile des „Prynt Stealer“-Codes, welche von anderen Malware-Familien entliehen worden seien, würden nicht verwendet, seien aber in der Binärdatei als unerreichbarer Code vorhanden. Die erbeuteten Dateien des Opfers würden zu einem „Telegram“-Account des „Prynt“-Betreibers weitergeleitet. „Was der Betreiber nicht wissen dürfte, ist allerdings, dass eine Kopie dieser Daten via einen weiteren eingebetteten ,Telegram’-Kanal ebenfalls an den eigentlichen Autoren der Malware geschickt wird. Als Hintertür kommt dabei ,DarkEye’-Code zum Einsatz.“

Autor profitiert von Aktivitäten anderer Cyber-Krimineller

Bereits in der Vergangenheit habe dieses Vorgehen von Malware-Autoren beobachtet werden wenn – „wenn Malware kostenlos zur Verfügung gestellt wurde“. Der Autor profitiere von den Aktivitäten der Cyber-Kriminellen, „die seine Malware einsetzen und Unternehmen damit infizieren“.

Da alle entdeckten „Prynt Stealer“-Samples denselben „Telegram“-Kanal eingebettet hätten, lasse auf den vorsätzlichen Einbau der Hintertür zum Zweck der Monetarisierung schließen, obwohl manche der Kunden auch für „Prynt Stealer“ bezahlten.

Auch im Cyberspace keine Ehre unter Dieben

Die freie Verfügbarkeit von Quellcode von zahlreichen Malware-Familien habe die Entwicklung und Anpassung für Bedrohungsakteure mit geringen Programmierkenntnissen einfacher denn je gemacht. Infolgedessen seien im Laufe der Jahre viele neue Malware-Familien entstanden, die auf beliebten „Open Source“-Malware-Projekten wie „NjRat“, „AsyncRAT“ und „QuasarRAT“ basierten.

„Der Autor von ,Prynt Stealer’ ging noch einen Schritt weiter und fügte eine Hintertür hinzu, um seine Kunden zu bestehlen. Dafür baute er einen ,Telegram’-Token und eine Chat-ID in die Malware ein.“ Diese Taktik sei keineswegs neu und zeige einmal mehr, „dass es keine Ehre unter Dieben gibt“.

Weitere Informationen zum Thema:

zscaler, 01.09.2022
No Honor Among Thieves – Prynt Stealer’s Backdoor Exposed / Technical Comparison of Prynt Stealer, WorldWind, and DarkEye Malware

KI gut geeignet, Entscheidungen auf Basis einer Bandbreite an Daten in nativer Form zu treffen

[datensicherheit.de, 10.08.2022] Nach dem Motto „Wenn es sich anfühlt, wie Phishing und es aussieht wie Phishing, muss es Phishing sein“ erörtert Marc Lueck, „CISO EMEA“ bei Zscaler, in seiner aktuellen Stellungnahme den KI-Einsatz für die Cybersecurity:

Foto: Zscaler

Marc Lueck: Skalierbarkeit entscheidet über den Erfolg…

KI setzt auf Anwendung menschlicher, logischer Entscheidungsprozesses zur Aufspürung von Malware

Im Englischen gebe es ein Sprichwort, welches die moderne Vorgehensweise der Malware-Erkennung auf den Punkt bringt: „If it smells like a fish, looks like a fish and acts like a fish, then it is probably a fish“ (wenn etwas riecht, wie ein Fisch und es aussieht wie ein Fisch und sich so verhält, ist es wahrscheinlich auch ein Fisch). Lueck erläutert: „Dieses Prinzip ist die Grundlage für die meisten modernen Mechanismen zur Erkennung von Cyber-Angriffen, auf das auch Künstliche Intelligenz (KI) setzt. Denn diese Aussage gilt nicht nur für Fisch, sondern ebenso für Phishing und Malware im Allgemeinen.“ Allerdings gebe es einen wichtigen Unterschied im Fischfang mit der Angelrute oder mit einem engmaschigen Netz, wie mit KI. „Die Skalierbarkeit entscheidet über den Erfolg des Fangs.“

KI setze dabei auf die Anwendung eines menschlichen, logischen Entscheidungsprozesses, um Malware aufzuspüren. Der gravierende Unterschied liege allerdings in der Geschwindigkeit und der Menge der Verarbeitung von Informationen. „Ein Mensch, dem all die Informationen eines KI-Systems zur Verfügung stehen, kann ziemlich einfach eine Entscheidung hinsichtlich potenzieller Malware innerhalb eines bestimmten Zeitrahmens treffen. Für dieses Zeitfenster sind allerdings Minuten oder gar Stunden anzusetzen. Allerdings stehen diese Informationen meist nicht in einer Form zur Verfügung, die für den Menschen konsumierbar ist, zumindest nicht ohne weitere Aufbereitung“, so Lueck.

Im Gegensatz dazu sei KI richtig gut darin, Entscheidungen auf Basis einer Bandbreite an Daten in ihrer nativen Form zu treffen, welche ein Mensch nicht in der nötigen Geschwindigkeit erkennen könne. Die KI fälle diese Entscheidungen innerhalb von Millisekunden. Dementsprechend spiele heute die KI in der Malware-Erkennung eine wichtige Rolle, menschenähnliche Entscheidungen zu fällen und der Software darauf aufbauend Festlegungen für Handlungsanweisungen zu programmieren. „Dazu zählt auch die Fähigkeit anhand davon, wie etwas aussieht oder sich anfühlt zu erkennen, ob es sich um Malware handelt.“

KI: Erfolgsfaktor Geschwindigkeit

Einige der erfolgreichen Cyber-Kriminellen setzten auf KI und Maschinelles Lernen, „um ihre Tools so zu trainieren, dass sie Opfer noch erfolgreicher durch automatisierte Angriffe oder ,Social Engineering‘ manipulieren und im Anschluss schneller – ohne langsame menschliche Interaktion – kompromittieren können“. Um den Kampf mit einer Maschine aufzunehmen, sei eine Maschine erforderlich.

Lueck rät daher: „Deshalb tun Unternehmen gut daran, zur Erkennung und Abwehr von kriminellen Machenschaften mit der gleichen Intelligenz und Geschwindigkeit aufzuwarten. Es gilt dabei, ein System in die Lage zu versetzen, semi-menschliche Entscheidungen auf der Grundlage einer Vielzahl von Datenpunkten zu treffen.“ In der Korrelationsfähigkeit könne KI tatsächlich ihre Intelligenz ausspielen und zur schnelleren Erkennung von Malware beitragen.

In der Realität warte eine global operierende „Cloud“-Sicherheitsplattform mit der nötigen Skalierbarkeit und Rechenleistung auf, um Entscheidungen nahezu in Echtzeit und damit mit der gefragten Effizienz zu treffen. Ein solcher „Cloud“-Ansatz könne darüber hinaus auf einen großen Daten-Pool zum Training der KI zugreifen, um den „Fisch-Test“ durchzuführen. „Es geht dabei nicht darum, dem System unnötige Komplexität beizubringen, sondern die entscheidenden (virtuellen) Merkmale – Aussehen und Geruch – zu vermitteln. Damit können weitere Kontext-Faktoren, wie beispielsweise Standort, abweichende Verhaltensmuster, Zeitfaktor eines Zugriffs auf Daten und Abgleich neu registrierter Domains angereichert werden.“

KI kann schon heute ihre Stärken ausspielen

Durch die Leistungsfähigkeit eines „Cloud“-Ansatzes und deren Fähigkeit zur Inline-Untersuchung der Datenströme könne Risikotransparenz fast in Echtzeit zur Verfügung gestellt werden. „Noch bevor die Daten beim Mitarbeitenden ankommen, wird automatisch die Entscheidung gefällt, ob sich Malware darin verbirgt.“ Durch den Inline-Scan ließen sich Reaktionszeiten für die Entscheidung hinsichtlich des Passierens von Datenströmen zum Nutzer verkürzen und potenzielle Malware blockieren, während echte Inhalte passieren dürften.

Das Training von KI-Modellen auf die entscheidenden Parameter zur Erkennung von Malware ersetze den manuellen Drill der permanenten Verfolgung von „Security Alerts“ durch das IT-Team und die „False/Positive“-Rate lasse sich deutlich reduzieren.

„Die Magie liegt darin, die KI so zu beeinflussen, dass sie ihre Fähigkeiten zur Malware-Erkennung aufbauend auf umfangreichen Datensätzen tatsächlich ausspielen kann“, betont Lueck abschließend und empfiehlt Unternehmen dementsprechend, damit aufzuhören kompliziert zu denken. „Künstliche Intelligenz kann schon heute ihre Stärken ausspielen, indem sie das, was wie Malware aussieht, tatsächlich auch als Malware behandelt.“

Weitere Informationen zum Thema:

datensicherheit.de, 13.07.2019
Cyber-Abwehr: Erfolgsfaktor Künstliche Intelligenz / Rund die Hälfte der Unternehmen mit dem Erkennen und Verhindern von Cyber-Angriffen überfordert

datensicherheit.de, 18.09.2018
Künstliche Intelligenz zur Erhöhung der Sicherheit im Netzwerk / Durch die dynamische Analyse des Verhaltens der Nutzer können Bedrohungen besser und schneller erkannt werden

Ransomware-Gruppe hat Aktivitäten als Marktplatz für Cyber-Kriminelle gestartet

[datensicherheit.de, 04.08.2022] Sicherheitsforscher des „ThreatLabZ“-Teams von Zscaler haben nach eigenen Angaben eine neue Ransomware-Gruppierung mit Namen „Industrial Spy“ entdeckt. Erste Spuren dieser neuen Gruppe tauchten demnach im April 2022 auf und seither sei „Industrial Spy“ mit unterschiedlichen Methoden aufgefallen. Diese Gruppe habe ihre Aktivitäten als Marktplatz für Cyber-Kriminelle gestartet, um darüber gestohlene Daten großer Unternehmen zum Verkauf anzubieten. Nach anfänglichen Kampagnen habe sie ihre eigene Ransomware eingeführt und auf „Double Extortion“-Angriffe gesetzt – eine Kombination aus Datendiebstahl mit Dateiverschlüsselung. Diese Gruppe nutze „Loader“ und „Infostealer“ wie „SmokeLoader“, „GuLoader“ und „Redline Stealer“.

Abbildung: Copyright Zscaler 2022

Industrial Spy: Web-Marktplatz

Ransomware-Familie relativ einfach aufgebaut

Die Ransomware-Familie sei relativ einfach aufgebaut – und Teile des Codes schienen sich immer noch in der Entwicklung zu befinden. „Industrial Spy“ verwende nur sehr wenige Verschleierungsmethoden außer dem „Aufbau von Strings auf dem Stack zur Runtime“. Der Ransomware fehlten auch viele der in modernen Ransomware-Familien üblichen Funktionen (z.B. „Anti-Debug“, „Anti-Sandbox“ usw.), obwohl sich dies in Zukunft ändern könnte.

Derzeit seien noch nicht viele „Industrial Spy“-Ransomware-Samples „in the wild“ beobachtet worden. Allerdings füge die Gruppe pro Monat zwei neue, ihren Angriffen zum Opfer gefallene Organisationen hinzu. Das erste Opfer auf der Leak-Site sei am 15. März 2022 aufgeführt worden – die Gesamtzahl der Opfer auf dem Portal habe am 25. Juli 2022 37 betragen.

Ransomware-Bedrohung immer gefährlicher

„Industrial Spy“ verkaufe hauptsächlich einzelne Dateien anstelle von Dateibündeln in einer Preisspanne von einem bis zu Zehntausenden von US-Dollar. Es sei zu vermuten, dass die Gruppe die erbeuteten Dateien überprüfe, „bevor sie sensible Dateien mit einem hohen Preisschild versieht und den Rest der Dateien mit einem Preisschild von einem bis zwei US-Dollar verramscht“. „ThreatLabz“ habe beobachtet, dass Betriebssystemdateien mit begrenztem Wert wie „desktop.ini“ und „thumbs.db“ für zwei US-Dollar angeboten würden.

„In den letzten Jahren ist die Ransomware-Bedrohung immer gefährlicher geworden. Neue Methoden wie ,Double Extortion‘ und DDoS-Angriffe machen es Cyber-Kriminellen leicht, Unternehmen zu sabotieren und deren Ruf nachhaltig zu schädigen. Mit zunehmender Beliebtheit von RaaS wenden Cyber-Kriminelle doppelte Erpressungsmethoden an, die neben der ungewollten Verschlüsselung sensibler Daten auch die Exfiltration der wichtigsten Dateien beinhalten, um Lösegeld zu erpressen“, erläutert Deepen Desai, „CISO“ und „VP of Security Research“ bei Zscaler. Selbst wenn die betroffenen Unternehmen in der Lage sind, die Daten aus Backups wiederherzustellen, drohe ihnen immer noch die öffentliche Preisgabe ihrer gestohlenen Daten durch die Angreifer, um der Lösegeldforderung Nachdruck zu verleihen.

Abbildung: Copyright Zscaler 2022

Industrial Spy: Lösegeld-Forderung

Industrial Spy Neueinsteiger im Ransomware-Ökosystem

„,Industrial Spy‘ ist ein Neueinsteiger im Ransomware-Ökosystem. Die Malware ist derzeit nicht sehr umfangreich ausgestattet, aber die Dateiverschlüsselung ist funktional, was sie zu einer gefährlichen Bedrohung macht, was die wachsende Anzahl an Opfern belegt“, so Desai.

Auf dem Ransomware-Markt gebe es viele Akteure, „die kommen und gehen, und es ist schwierig, die Gruppen zu bestimmen, die sich langfristig durchsetzen werden“. Es sei jedoch wahrscheinlich, dass diese Bedrohungsgruppe zumindest in naher Zukunft bestehen bleibe und weitere Ransomware-Updates und Funktionen folgen würden. „ThreatLabz“ überwache weiterhin alle Aktivitäten dieser Gruppe und werde Neuigkeiten zu ihr veröffentlichen.

Weitere Informationen zum Thema:

ZSCALER, 01.08.2022
Technical Analysis of Industrial Spy Ransomware

Hacker können mit Malware-as-a-Service Erpressungs-Software abonnieren

[datensicherheit.de, 23.02.2022] Sogenannte Malware-as-a-Service (MaaS) etabliert sich offensichtlich als Geschäftsmodell für Cyber-Kriminelle, so die aktuelle Warnung der „ThreatlabZ“-Analysten von Zscaler – als Beispiel wird „Xloader“ genannt. Bei diesem „Infostealer“ handele es sich um den Nachfolger von „Formbook“, der seit Anfang 2016 in Hacker-Foren verkauft worden sei. „Formbook“ sei den Kunden mit einem web-basierten Command-and-Control-Panel zur Verfügung gestellt worden, womit sie ihre eigenen Bot-Netze hätten verwalten können. 2017 sei der Quell-Code des „Formbook“-Panels durchgestochen worden, woraufhin der Akteur dahinter zu einem anderen Geschäftsmodell übergegangen sei: „Anstatt eine voll funktionsfähige Ausrüstung zum Daten- und Informations-Klau zu vertreiben, wird die C2-Infrastruktur an die Kunden nur noch vermietet.“ Dieses Malware-as-a-Service-Geschäftsmodell sei vermutlich profitabler und erschwere außerdem den erneuten Diebstahl des Codes. Im Oktober 2020 seien „Formbook“ dann in „Xloader“ umbenannt und dabei wesentliche Verbesserungen durchgeführt worden, insbesondere in Bezug auf die Verschlüsselung des Command-and-Control-Netzwerks (C2).

Foto: Zscaler

Mark Lueck: Drohung, gestohlene sensible Daten zu veröffentlichen, setzt Opfer unter größeren Druck, Lösegeld zu zahlen

Malware als Dienst verbrecherischer Gruppierungen auf Basis eines Abonnements

Da „Infostealer“ im Zuge von Ransomware-Angriffen zum Diebstahl vertraulicher Informationen eingesetzt würden und als Druckmittel zur Monetarisierung fungierten, lasse sich die Popularität des Geschäftsmodells somit einfach erklären. Ähnlich wie legale Software-as-a-Service-Angebote werde Malware dabei als Dienst von verbrecherischen Gruppierungen auf Basis eines Abonnements angeboten.

Die kriminellen Anbieter stellten eine Plattform bereit, welche es auch Angreifern ohne Programmier-Kenntnis ermögliche, kriminelle Machenschaften zu verfolgen. „Hat ein Ransomware-Angriff zum Erfolg geführt, wird das gezahlte Lösegeld zwischen dem Dienstanbieter, dem Programmierer und dem Abonnenten geteilt.“

Xloader als gut entwickelte Malware kann Ermittler in die Irre zu führen

• Stehlen von Anmeldedaten aus Webbrowsern und anderen Anwendungen.
• Erfassen von Tastenanschlägen.
• Erstellen von Bildschirmfotos.
• Stehlen von Passwörtern.
• Herunterladen und Ausführen zusätzlicher Binärdateien.
• Ausführen von Befehlen.

„Xloader“ sei eine gut entwickelte Malware, welche über zahlreiche Techniken verfüge, um Ermittler in die Irre zu führen und die Malware-Analyse zu erschweren. Dazu dienten unter anderem mehrere Verschlüsselungsebenen sowie eine eigene virtuelle Maschine. Obwohl die Autoren den „Formbook“-Zweig aufgegeben hätten, um sich auf den Nachfolger „Xloader“ zu konzentrieren, seien beide Stämme noch aktiv.

Malware-Familie eine der aktivsten Bedrohungen der letzten Jahre

„Formbook“ werde nach wie vor von Hackern verwendet, welche den durchgesickerten Panel-Quellcode nutzten und das C2 selbst verwalteten, während die ursprünglichen Autoren nun die neue Variante als MaaS verkauften sowie die Server-Infrastruktur unterstützten und vermieteten. Es überrasche daher nicht, dass diese Malware-Familie eine der aktivsten Bedrohungen der letzten Jahre gewesen sei.

„Xloader“ verwende HTTP zur Kommunikation mit dem C2-Server. Eine HTTP-GET-Anfrage werde als eine Art von Registrierung gesendet. Anschließend stelle die Malware HTTP-POST-Anfragen an den C2-Server, um Informationen, wie Screenshots oder gestohlene Daten, abzugreifen. In beiden Fällen hätten die GET-Parameter und die POST-Daten ein ähnliches Format und würden verschlüsselt. Darüber hinaus verwende „Xloader“ vielschichtige Block-Strukturen der Verschlüsselung von Daten und Code, um der Entdeckung zu entgehen und Malware-Analysten in die Irre zu führen.

Infostealer-Malware spielt in Ransomware-Szenarien wichtige Rolle

„,Infostealer‘ spielen in Ransomware-Szenarien eine wichtige Rolle, da Angreifer auf ,Double-Extortion‘ Mechanismen setzen. Somit erhöhen sie ihre Chance zur Monetarisierung des Angriffs über die bloße Geiselnahme von Daten hinaus“, erläutert Mark Lueck, „CISO EMEA“ bei Zscaler. Die Drohung, gestohlene sensible Daten zu veröffentlichen, setze die Opfer unter größeren Druck, das Lösegeld zu zahlen.

Organisationen täten daher gut daran, ihre Möglichkeiten zur Prävention der häufigsten Arten der Cyber-Kriminalität zu evaluieren, rät Lueck und führt aus: „Zu effektiven Maßnahmen zählen auch Faktoren wie das Begrenzen von lateralen Bewegungen von Angreifern in einem Netzwerk oder ,Data Leakage Prevention‘, um den unbemerkten Abfluss von Daten zu verhindern.“

Weitere Informationen zum Thema:

zscaler, Insights and Research, 21.01.2022
Analysis of Xloader’s C2 Network Encryption

datensicherheit.de, 24.01.2022
DTPacker: Neue Malware vereint Fähigkeiten zweier Schadsoftware-Formen / Im Rahmen Dutzender Malware-Kampagnen von verschiedenen cyber-kriminellen Gruppen zum Einsatz gebracht

Online-Streaming war die bevorzugte Möglichkeit für Sportinteressenten weltweit, die 2021 nachgeholten Wettbewerbe am Bildschirm mitzuverfolgen

[datensicherheit.de, 30.08.2021] Laut einer aktuellen Stellungnahme von Zscaler ziehen sportliche Großereignisse weltweit nicht nur Zuschauer in ihren Bann, „sondern bringen auch Malware-Akteure auf den Plan“. Bereits im Vorfeld der Olympischen Sommerspiele 2020 habe der für IT-Sicherheit zuständige externe Berater, Toshio Nawa, vor Cyber-Angriffen gewarnt. Durch die besondere Situation der Durchführung 2021 – ohne Zuschauer vor Ort – sei das Online-Streaming eine bevorzugte Möglichkeit für Sportinteressenten weltweit gewesen, Wettbewerbe am Bildschirm mitzuverfolgen.

Foto: Zscaler

Deepen Desai: Konsistente Sicherheitsrichtlinien durchsetzen, unabhängig davon, wo sich die Benutzer befinden!

Streaming-Transaktionen in Europa vor allem aus Deutschland und Frankreich

Sicherheitsforscher von Zscaler haben nach eigenen Angaben während der nachgeholten Sommerspiele das Malware-Aufkommen analysiert und dabei allerlei schädliche Software, von sogenannten Coinminers bis zu Ransomware, gefälschten Streaming-Webseiten und Adware entdeckt. Die gefälschten Seiten hätten neben Diebstahl von Information auch Scamming-Attacken gedient und Adware habe die Anwender zur Installation irrelevanter Browser-Erweiterungen verleitet, „wie dem bekannten Browser-Hijacker ,YourStreamSearch‘ oder ,OlympicDestroyer‘, der zum Diebstahl von Anmeldeinformationen auf der Maschine des Opfers eingesetzt wird“.
Die meisten der beobachteten Streaming-Transaktionen seien in Europa aus Deutschland mit 8,6 Prozent und Frankreich mit 8,3 Prozent Anteil am weltweiten untersuchten „Traffic“ gekommen. „Online-Streaming ist beliebter als je zuvor und angesichts globaler Ereignisse, wie der Olympischen Spiele, ist es für die Zuschauer wichtig, die ernsten Auswirkungen potenzieller Bedrohungen zu erkennen. Da viele dieser Online-Streaming-Zuschauer gewöhnliche Arbeitnehmer sind, die aufgrund der ,Pandemie‘ von zu Hause arbeiten, sind Online-Veranstaltungen ein Hauptziel für Hacker“, kommentiert Deepen Desai, „CISO“ und „VP Security Research“ bei Zscaler.

Gefälschte Streaming-Dienste nicht mit den offiziellen verwechseln!

Die gefälschten Streaming-Dienste sollten nicht mit den offiziellen Streaming-Anbietern rund um die Sportereignisse verwechselt werden. Die Fälschungen versprächen kostenlosen Zugang und forderten trotzdem Anmeldeinformationen zu Bezahlsystemen ein. Die benutzen „Templates“ der gefälschten Webseiten seien bereits im Zusammenhang mit Großereignissen, wie der NBA oder Football, beobachtet worden.
Bei der entdeckten Adware habe es sich um angeblich kostenlose Streaming-Dienste gehandelt, welche die Benutzer stattdessen auf Webseiten für Glücksspiel, Autohandel usw. umgeleitet hätten. Benutzer seien zur Installation von Adware in Form von Browser-Erweiterungen genötigt worden, „die sie zu gefälschten Software-Updates führten“. Im Fall von „olympicstreams“ würden die Benutzer zur Installation der „YourStreamSearch“-Browser-Erweiterung auffordert werden. „YourStreamSearch“ sei ein bekannter Browser-Hijacker, der Anzeigen auf der Grundlage des Suchverlaufs empfehle.

OlympicDestroyer – ein Wurm, der sich über Windows-Netzwerkfreigaben verbreitet

„OlympicDestroyer“ ist laut Desai „eine hochentwickelte Malware, die erstmals während der Winterspiele 2018 in Südkorea beobachtet wurde“. Diese Malware habe die offizielle Website der Spiele kompromittiert und den Verkauf von Tickets beeinträchtigt. Im Kern handele es sich bei „OlympicDestroyer“ um einen sogenannten Wurm, der sich über „Windows“-Netzwerkfreigaben verbreite. „Die Malware legt mehrere eingebettete und verschleierte Dateien auf dem Computer des Opfers ab, die versuchen Browser- und Systemanmeldeinformationen zu stehlen.“
Ein interessantes Verhalten bestehe darin, dass „OlympicDestroyer“ auf der Grundlage der erlangten Anmeldeinformationen verschiedene Binärdateien erzeugen könne. Dies habe zu vielen Variationen geführt, welche dieselbe Aufgabe erfüllten.

Malware versucht, Zielcomputer zu deaktivieren…

Neben dem Sammeln von Anmeldeinformationen versuche die Malware, den Zielcomputer zu deaktivieren, „indem sie mit ,cmd.exe‘ unter anderem Backups deaktiviert, Boot-Richtlinien bearbeitet und Ereignisprotokolle löscht, was ein Zurücksetzen des betroffenen IT-Systems erschwert“.
Desai empfiehlt abschließend Unternehmen mit Home-Office-Mitarbeitern: „Um das Risiko solcher Angriffe zu verringern, ist es wichtig, konsistente Sicherheitsrichtlinien durchzusetzen, unabhängig davon, wo sich die Benutzer befinden. Sie sollten darüber hinaus eine ,Zero-Trust‘-Architektur einführen, um den möglichen Schaden zu begrenzen, wenn ein System kompromittiert wird.“ Zusätzliche Sicherheitsvorkehrungen, wie die Durchsetzung einer Multi-Faktor-Authentifizierung, die rechtzeitige Durchführung von Sicherheitsupdates oder die Erstellung von Backups, seien unerlässlich, „um Ihre Geschäftsabläufe widerstandsfähig gegen Cyber-Angriffe zu machen“.

Weitere Informationen zum Thema:

zscaler, 25.08.2021
Fake Streaming & Adware Target Olympics 2020

datensicherheit.de, 26.07.2021
Digitale Olympische Spiele: Erhöhte Anforderungen an IT-Sicherheit / Chris Harris nimmt Stellung zur wachsenden Abhängigkeit der Abläufe von der IT-Infrastruktur