Cyberkriminelle werden immer kreativer und entwickeln immer anspruchsvollere Methoden, um Angriffe auf Rechenzentren von Unternehmen auszuführen. Blueliv, spezialisiert auf Threat-Intelligence-Lösungen, liefert in seinem jüngsten Jahresbericht eine umfassende Analyse der aktuellen Bedrohungslandschaft und Angreifergruppen. Der Werkzeugsatz der Angreifer reicht von Phishing über Banking-Trojaner und Point-of-Sale-Malware bis zu Malware-Distributionsdiensten für andere Akteure.

Die derzeit häufigsten Angriffsaktivitäten werden am besten deutlich bei einem Blick auf die aktuell am stärksten präsenten cyberkriminellen Gruppen und deren Vorgeschichte. So ist FIN7 eine finanziell motivierte Angreifergruppe. Sie verwendet Phishing-Methoden, um PoS-Mal­ware (Point of Sale) zu verteilen, oft kombiniert mit dreisten Social-Engineering-Vorgehensweisen, um Opfer dazu zu bringen, schädliche Dateien zu öffnen. Seit ihrem ersten Auftreten im Jahr 2015 hat die Gruppe Hunderte von Unternehmen, Tausende von PoS-Terminals und Millionen von Zahlungskarten kompromittiert.

Orangeworm ist eine neue Hackergruppe. Sie wendet eine Backdoor-Malware auf die Systeme internationaler Großkonzerne an, hauptsächlich im Sektor Gesundheitswesen und vorrangig in den USA, Europa und Asien. Die verwendete Malware ist ein angepasster Backdoor-Trojaner mit dem Namen Trojan.Kwampirs, der bereits in medizinischen Geräten wie zum Beispiel Röntgen- und MRT-Apparaten (Magnetresonanztomografie) identifiziert wurde. Er nutzt eine Reihe von Verschleierungsmethoden: Unter anderem fügt er zufällig generierte Zeichenfolgen in die Nutzlast ein.

Energetic Bear (oder Dragonfly) hingegen ist eine seit mindestens 2010 aktive Gruppe, die sich zuletzt besonders auf kritische Infrastruktur in Europa und den USA konzentriert. Der Energiesektor ist für Cyberkriminelle zu einem interessanten Bereich geworden, weil ein erfolgreicher Angriff sehr ernste Auswirkungen haben könnte. So war 2015 und 2016 die ukrainische Stromversorgung unterbrochen, verursacht durch die APT (Advanced Persistent Threat) Sandworm. Im Jahr 2018 wurden mehrere Angriffsversuche auf die Stromnetze in europäischen Ländern gemeldet.

Die fünf größten Botnets im Vergleich: Pony und Emotet dominieren dieses Segment. Bild: Blueliv

Die vermutlich aus Osteuropa operierende Gruppe TA505 bietet in erster Linie einen Malware-Distributions-Service für andere cyberkriminelle Gruppen und Einzelpersonen. TA505 wurde erstmalig 2014 im Rahmen einer Kampagne gegen die USA identifiziert. Hier verwendete sie das Necurs-Botnet, um Millionen von Spam-Nachrichten zu versenden, die den Banking-Trojaner Dridex enthielten. Bis Oktober 2015 folgten ähnliche Angriffe gegen Großbritannien, Deutschland und Australien. Ab 2016 verlagerte TA505 ihre Aktivitäten auf Ransomware, darunter Locky.

Die Aktivitäten der Lazarus-Gruppe wiederum lassen sich bis in das Jahr 2009 zurückverfolgen, möglicherweise bis 2007. Die Gruppe hat einige der spektakulärsten Hacks der letzten Zeit durchgeführt, etwa den Wanna Cry-Ransomware- Angriff 2017 und bereits 2014 den Angriff auf Sony Pictures Entertainment. Einige Experten vermuten, dass die Gruppe von der nordkoreanischen Regierung unterstützt wird. Im Laufe des Jahres 2018 griff Lazarus Finanzinstitute über nicht autorisierte Swift-Überweisungen an. Das Lazarus-Toolkit wurde zudem erstmals auf Betriebssysteme jenseits von Windows erweitert, insbesondere macOS.

FancyBear (auch als APT 28, Softcay oder Sedint bekannt) ist seit Mitte der 2000er-Jahre aktiv und eine der bekanntesten russischen Hackergruppen. Sie war besonders im letzten Quartal 2018 sehr aktiv, auch mit neuer Malware: LoJax ist das erste UEFI-Rootkit, das im Gebrauch von Hackern beobachtet wurde. Seinen Namen verdankt es dem Wiederherstellungs-Tool LoJack, einer legitimen Software zum Verfolgen gestohlener Computer. FancyBear unternahm von Mitte Oktober bis Anfang Dezember 2018 unter dem Namen „Dear Joohn“ zwei große Spearphishing-Kampagnen gegen staatliche Organisationen in Nordamerika, Europa und der GUS.

Die Cobalt Gang trat im Jahr 2016 erstmals auf, als sie eine Bank in Taiwan angriff und versuchte, über zwei Millionen Dollar zu stehlen. Die Gruppe könnte ihre Wurzeln in Osteuropa haben. Sie versandte Spearphishing-E-Mails, um ihre Mal­ware zu verteilen, Zugang zu Institutionen zu erlangen und betrügerische Geldgeschäfte durchzuführen. Im März 2018 meldete Europol, dass einer der Anführer der Gruppe verhaftet wurde, die Cobalt Gang blieb jedoch weiterhin aktiv.

CVE 2017-147 (EternalBlue/EternalRomance) war 2018 die am häufigsten ausgenutzte Schwachstelle. Bild: Blueliv

Security Thema in der Vorstandsetage

Cybersicherheit ist inzwischen zum Thema in der Vorstandsetage geworden. Die Gefahr von Compliance-Verstößen und ernsten Finanz- und Reputationsschäden hat zu einer veränderten Einstellung geführt. Daher sehen sich Führungskräfte gefordert, abteilungsübergreifend zu handeln, um angemessene Praktiken zu entwickeln und umzusetzen. Denn zugleich liegt die Zugangsschwelle für Cyberkriminelle niedriger als je zuvor. Vorbei sind die Zeiten, in denen diese Aktivitäten erfahrenen Hackern vorbehalten waren. Heute ist der cyberkriminelle Untergrund voll von Händlern, die Hosting-Dienste, Exploit-Kits, Tools zum Stehlen von Anmeldedaten, kompromittierte Konten und Mal­ware-Tools feilbieten. Untergrund-Communitys vereinfachen den Austausch von Waren, Dienstleistungen und Wissen. Neulinge bezahlen für Hilfe bei ihrem Einstieg in die Welt der Cyberkriminalität, während erfahrene Angreifer ihre Operationen durch Outsourcing expandieren können.

Verschiedene auf Phishing bezogene „Crimeware as a Service“-Angebote sind mittlerweile in Untergrund-Marktplätzen verfügbar. Diese Dienste werden typischerweise in WordPress-Blogs angepriesen, wo auch die verschiedenen Angebote und Preisoptionen beschrieben sind. Außer für den Diebstahl von Zahlungskartendaten nutzen Kriminelle Phishing-Websites auch, um sich Zugangsdaten, personenbezogene Daten oder andere lukrative Informationen anzueignen. Phishing-Kits kommen in der Regel bei Angreifern zum Einsatz, die nicht besonders qualifiziert sind.

Ransomware und Cryptojacking

Nach zwei Jahren reger Medienpräsenz haben viele Experten im Jahr 2018 einen Rückgang beim Einsatz von Ransomware verzeichnet. Weniger kompetente Angreifer kehren dieser Methode zunehmend den Rücken und wenden sich anderen kriminellen Aktivitäten zu. So können sie mit Cryptomining schneller und mit weniger Aufwand zu Geld kommen. Spezialisierte Angreifer werden Ransomware jedoch sicher weiterhin gegen größere Unternehmen einsetzen, in der Hoffnung auf lukrative Erträge. Ein Beleg dafür fand sich zuletzt in den Aktionen der Dridex-Gruppe. Eine wichtige Rolle für Ransomware und Cryptojacking spielt das wachsende Internet der Dinge, durch das die Angriffsfläche zunimmt. Zudem lassen sich diese Verbrechen relativ einfach durchführen und das Risiko der Entdeckung ist gering.

Threat-Intelligence-Lösungen ermöglichen die Bewertung (Scoring) der Sicherheitslage von Unternehmen und Branchen. Bild: Blueliv

Weitere Formen der Cybererpressung

Weniger spezialisierte Cyberkriminelle setzen auch auf andere Erpressungstaktiken als Alternative zu Ransomware. Zu den DDoS-Erpressungskampagnen der Vergangenheit – etwa jene des Armada-Kollektivs – gesellen sich clevere SEO-Angriffe (Search Engine Optimization). Die Erpresser drohen hier damit, dass Bots negative Bewertungen in sozialen Netzwerken und auf beliebten Websites hinterlassen, um den Ruf eines Unternehmens zu schädigen. Eine primitivere, aber lukrative Form der Erpressung ist die Massenversendung von E-Mail-Drohbriefen. Hier behaupten die Kriminellen, belastendes Material wie Fotos oder Videos in Bezug auf das Opfer zu besitzen und dieses zu veröffentlichen, wenn das Opfer nicht ein Lösegeld von mehreren hundert Dollar in Bitcoin zahlt. In diesem Jahr ist mit neuen, kreativen Methoden zu rechnen, die auf Social Engineering basieren, um Lösegelder von Unternehmen und Einzelpersonen zu erpressen.

Die Bedrohungslandschaft erweist sich als zunehmend komplex, die Angriffsfläche wächst schneller als je zuvor. Strategisch aus­geklügelte Cyberangriffe können monatelang unentdeckt bleiben. In diesem Zusammenhang ist davon auszugehen, dass Unternehmen immer anspruchsvollere Abwehrmechanismen implementieren werden. Threat Intelligence – also die Sammlung aktueller Informationen über Bedrohungen – spielt dabei für das Sicherheitskonzept der Unternehmen eine wichtige Rolle.

Victor Acin ist Threat Intelligence Analyst bei Blueliv, www.blueliv.com.