Palo Alto Networks blickt zurück auf die Bedrohungslandschaft 2019

So war 2019 aus Security-Perspektive

19. Dezember 2019, 12:05 Uhr | Von Dr. Wilhelm Greiner.

Palo Alto Networks hat die wichtigen Security-Ereignisse des noch laufenden Jahres zusammengefasst und bewertet. Auf Angreiferseite seien neben dem berüchtigten Mirai-Botnet vor allem Go-kompilierte Malware, die Cyberspionage-Gruppierung Pkplug, die xHunt-Kampagne und die Malware BabyShark aufgefallen. Als besonders gefährdet erachten die Sicherheitsforscher Container in Cloud-Umgebungen. Auch Ransomware stelle weiterhin ein hohes Risiko dar.

Die Sicherheitsforscher von Palo Alto Networks analysierten im Juli laut eigenem Bekunden rund 10.700 einzigartige Malware-Samples, die in Go geschrieben waren. "Wir stellten anhand von Zeitstempeln fest, dass Go-kompilierte Malware im Jahr 2019 stetig zugenommen hat", so Threat Intelligence Analyst Alex Hinchliffe aus Palo Alto Networks? Forscherteam Unit 42. "Darüber hinaus wurden 92 Prozent der identifizierten Samples für das Windows-Betriebssystem kompiliert, was darauf hindeutet, dass dies das am stärksten betroffene System von Go-Malware-Entwicklern ist." Obwohl Go-Malware bei Malware-Entwicklern immer noch kein großes Interesse geweckt habe, gehe man davon aus, dass Go-kompilierte Malware im Jahr 2020 weiter an Popularität gewinnen wird. "Es ist anzumerken, dass Unit 42 in der Vergangenheit auch nationalstaatliche Akteure beobachtet hat, die unter anderem die Go-Sprache verwendeten", so Hinchliffe.

Bei den Angreifern und Hackernetzwerken stach laut den Security-Forschern 2019 Folgendes hervor:

Pkplug: "Nach drei Jahren Tracking veröffentlichte Unit 42 im Oktober ein Profil über eine Reihe von Cyberspionage-Angriffskampagnen in ganz Asien, die eine Mischung aus öffentlich zugänglicher und benutzerdefinierter Malware verwendeten", so Hinchliffe. "Wir nannten die Gruppe der Bedrohungsakteure - oder Gruppen, da unsere derzeitige Sichtbarkeit es nicht erlaubt, zuverlässig festzustellen, ob es sich um die Arbeit einer Gruppe handelt - Pkplug und verfolgten sie in und um die Region Südostasiens, insbesondere Myanmar, Taiwan, Vietnam und Indonesien." Pkplug sei wahrscheinlich auch in verschiedenen anderen Gebieten in Asien aktiv gewesen, darunter Tibet, Xinjiang und die Mongolei. Dieser Akteur habe sich an Android-Geräte mit E-Spionage-Malware ebenso gerichtet wie an die traditionellen Windows-Ziele mit typischer Malware wie PlugX und Poison Ivy. Zudem habe er eine bisher undokumentierte Malware namens Farseer genutzt, die Backdoor-Funktionen auf den Systemen der Opfer etabliert.

xHunt: "Zwischen Mai und Juni 2019 beobachtete Unit 42 Varianten bisher unbekannter Tools, die auf Transport- und Speditionsunternehmen mit Sitz in Kuwait angesetzt wurden", berichtet Security-Forscher Hinchliffe. "Im September veröffentlichten wir, wie diese Tools potenzielle Überschneidungen mit den ISMAgent-Kampagnen von OilRig zeigen, die sich an Unternehmen der Transport- und Schifffahrtsbranche im Nahen Osten richten. Aufgrund dieser Überschneidungen planen wir, diese Aktivität auch im Jahr 2020 sehr genau zu verfolgen, um so viel wie möglich über die Bedrohungsgruppen zu erfahren." Die in den xHunt-Kampagnen verwendeten Tools verfügen laut den Forschern über mehrere C2-Techniken (Command and Control), darunter eine neuartige Möglichkeit, Entwürfe von E-Mails zur Kommunikation zu nutzen, ohne tatsächlich eine E-Mail senden zu müssen. Dies erschwere es potenziell, den Kommunikationsmechanismus zu erkennen.

BabyShark: Im Februar veröffentlichten die Forscher von Unit 42 einen Bericht über Spear-Phishing-E-Mails, die im November 2018 verschickt worden waren. "Diese enthielten neue Malware, die sich die Infrastruktur mit Playbooks teilt, die mit nordkoreanischen Kampagnen in Verbindung gebracht werden", so Hichliffe. "Die Malware, die wir BabyShark nannten, exfiltriert Systeminformationen auf ihren C2-Server, sobald sie ein System infiziert und die Persistenz auf diesem System aufrechterhält." BabyShark warte dann auf weitere Anweisungen durch den Betreiber der Malware.

Mirai: Auch Varianten von Mirai, dem berüchtigten IoT-/Linux-Botnet, waren 2019 reichlich vorhanden. "Unit 42 entdeckte im Januar eine neue Variante für drahtlose Präsentations- und Anzeigesysteme in Unternehmen", so Hinchliffe, "eine weitere im Februar, die für neue Prozessoren und Architekturen zusammengestellt wurde und die es bisher noch nicht gab." Im Juni habe die Angreiferseite dies um acht neue Exploits ergänzt, um eine breitere Palette von IoT-Geräten anzusprechen. "IoT-Geräte sind nach wie vor ein beliebtes Ziel von Hackern, vor allem, weil das Bewusstsein für IoT-Sicherheit nicht so verbreitet ist und die erwartete Anzahl von IoT-Geräten erst 2020 stärker steigen wird, vorangetrieben durch 5G", so der Sicherheitsforscher.

Des Weiteren habe man einen deutlichen Anstieg der Anzahl von Containern erlebt, die anfällig für Angriffe sind. Die Unit-42-Forscher gehen davon aus, dass auch 2020 weitere Fälle solcher exponierten Container zu beobachten sein werden, die für Unternehmen hohe Risiken darstellen. "Angreifer werden weiterhin innovativ darin sein, wie sie Unternehmen via Cloud ins Visier nehmen", so Hinchliffe. "Selbst wenn die Container nicht aufgrund von Fehlkonfigurationen zugänglich sind, können die Systeme immer noch unter Schwachstellen leiden wie herkömmliche Software und Betriebssysteme."

"Der Trend zu Schwachstellen in Cloudsoftware und -Anwendungen wird weiter zunehmen", so Hinchliffes Prognose. Ein Beispiel dafür sei die Entdeckung des ersten Cryptojacking-Wurms durch Unit 42, der über Container in der Docker Engine (Community Edition) verbreitet wird. Zudem gehe man davon aus, dass sich Ransomware-Angriffe im Jahr 2020 fortsetzen und sogar noch verschärfen werden.

"2019 haben wir eine wachsende Zahl von Bedrohungsakteuren beobachtet, die nicht nur Ransomware und Ransomware-as-a-Service verkauften, sondern auch Ransomware-Tutorials anboten", berichtet der Security-Fachmann. Palo Alto Networks habe schon vor geraumer Zeit einen Anstieg von Post-Intrusion-Ransomware vorhergesagt. Diese sei speziell darauf ausgerichtet, komplette Geschäftsprozesse zu stören, um noch viel höhere Lösegeldbeträge einfordern zu können.

Weitere Informationen finden sich unter www.paloaltonetworks.com.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu FrontRange Solutions Deutsch- land GmbH

Weitere Artikel zu Broadcom

Weitere Artikel zu Siemens Enterprise Communications GmbH & Co. KG Leipzig

Weitere Artikel zu Schäfer Datentechnik

Matchmaker+