Business Security, Verschlüsselung & Datensicherheit

Malware Trends 2020: Ransomware, Datendiebstahl an Universitäten und Banking Trojaner sind im Umlauf

Das Forensik-Team von Valronis hat die aktuellsten Bedrohungen für Unternehmen und Organisationen zusammengefasst

Die Ergebnisse basieren auf durchgeführten Vorfallsreaktionen, forensischer Untersuchungen und Reverse Engineering von Malware-Proben. Sie zeigen eine große Bandbreite an Techniken und Zielen auf: So stellt mit 44 Prozent der untersuchten Vorfällen Ransomware das größte Risiko dar, jedoch zeigen sich auch weitere besorgniserregende Entwicklungen, etwa im Bereich Diebstahl von geistigem Eigentum.

Ryuk

Ryuk ist eine Art von Ransomware, die im August 2018 entdeckt wurde und spätestes seit Anfang 2019 auch im deutschsprachigen Raum eingesetzt wird. Ryuk unterscheidet sich von anderen Ransomware-Varianten wie zum Beispiel WannaCry dadurch, dass er vor allem bei gezielten Angriffen verwendet wird. Bekannte Ryuk-Varianten haben zwei Hauptinfektionsmethoden: Zum einen speziell gestaltete Spear-Phishing-E-Mails, die sich in der Regel an bestimmte Mitarbeiter innerhalb eines Unternehmens richten, und zum anderen die Verwendung vorab erworbener Zugangsdaten für den Zugriff auf Geräte eines Unternehmens über Remote-Desktops. In jüngster Zeit ließ sich beobachten, dass Ryuk auch den Zerologon-Exploit ausnutzt, der es den Cyberkriminellen ermöglicht, ihre Privilegien viel schneller als mit anderen Methoden zu eskalieren: Angreifer nutzen das Passwort des primären Domänencontrollers, um sich intern mit den übrigen Domänencontrollern zu verbinden und so die entsprechende Ransomware im Netzwerk zu verteilen.

Silent Librarian APT

Silent Librarian, auch bekannt als COBALT DICKENS oder TA407, ist ein mutmaßlich staatlich unterstützter iranischer Bedrohungsakteur, der Spear-Phishing-Techniken zum Angriff vor allem auf Universitäten einsetzt, um so akademische Forschungsergebnisse zu stehlen. Derzeit sind verstärkt Angriffe in den USA zu verzeichnen, jedoch wurden auch schon deutsche Hochschulen attackiert. Hierzu werden speziell Universitätsmitarbeiter und Studenten angegangen. Dabei verwendet Silent Librarian Domainnamen, die dem echten Domainnamen der Universität sehr ähnlich sind: So wird beispielsweise statt der echten Domäne der Western University Canada (login.proxy1.lib.uwo.ca) eine leicht veränderte und auf den ersten Blick nicht sofort zu erkennende Variante (login.proxy1.lib.uwo.ca.sftt.cf) verwendet. Um den Hosting-Standort zu verbergen, setzen die Angreifer zudem auf Cloudflare. Dies könnte darauf hinweisen, dass die Angreifer nicht in der Lage sind, Hosting-Kapazitäten in anderen, „unauffälligeren“ Ländern zu erwerben.

Mekotio

Mekotio ist ein spezieller Banking-Trojaner, der erstmals 2015 beobachtet wurde. In den letzten Jahren haben Banking-Trojaner bei Cyberkriminellen deutlich an Beliebtheit gewonnen, da sie als Payload eines erfolgreichen Angriffs sehr profitabel sein können. Damit sie nicht von Antiviren- und EDR-Lösungen entdeckt werden, müssen sie sich ständig verändern und weiterentwickeln. Hierfür ist der insbesondere in Lateinamerika verbreitete Trojaner Mekotio ein gutes Beispiel: Offensichtlich werden ständig mehrere Varianten von Mekotio gleichzeitig entwickelt. Die Verbreitung erfolgt zumeist über Spam-Mails, wobei ein mehrstufiger Ansatz verwendet wird. Die Malware verfügt über fortschrittliche Funktionen, mit denen zuerst Firewall-Konfigurationen, Windows-Version, installierte Sicherheitslösungen und mögliche Administratorenrechte des Opfers identifiziert werden können. Neben den üblichen Features wie Keylogging und dem Erstellen von Screenshots enthält Mekotio mehrere interessante Funktionalitäten, wie das Exfiltrieren von im Google Chrome-Browser gespeicherten Anmeldeinformationen, den Diebstahl von Krypto-Währung durch Ersetzen von Zeichenfolgen in der Zwischenablage und die teilweise Zerstörung von Daten durch Entfernen von Dateien und Ordnern in System-Verzeichnissen. Aufgrund der unterschiedlichen Finanzsysteme in den verschiedenen Ländern sind die Varianten von Banking-Trojanern tendenziell standortspezifisch angepasst. Mekotio ist hier eines von vielen Beispielen. Dennoch sind bereits Varianten außerhalb des ursprünglichen Einsatzgebiets aufgetaucht.

Die häufigsten Angriffe im Oktober

Die Malware Top Trends aus dem Valronis Report 2020
Foto: Valronis

Mit 43 Prozent der untersuchten Vorfälle stellt Ransomware nach wie vor die größte Herausforderung für Sicherheitsverantwortliche dar. Auf dem zweiten Platz folgt Malware mit 15 Prozent, gefolgt von Brute-Force-Angriffen, APTs und professionellen Cyberkriminellen sowie die Kompromittierung von geschäftlichen E-Mails mit jeweils 14 Prozent.

 

Weitere Informationen zu den Ergebnissen der Studien gibt es online unter www.varonis.de. Auch im Blog informieren die Sicherheitsexperten regelmäßig über aktuelle Bedrohungen und neue Erkenntnisse.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben