Trellix, Experte für Cyber-Sicherheit veröffentlicht seinen „Threat Labs Report: April 2022“ über die Aktivitäten von Cyber-Kriminellen in den letzten sechs Monaten. Daraus geht deutlich hervor, dass sich Cyber-Angriffe vermehrt gegen einzelne Verbraucher richten. Aber auch das Gesundheitswesen sowie die Transport-, Fracht-, Fertigungs- und IT-Branchen verzeichnen einen starken Anstieg der Bedrohungen.
„Wir befinden uns in einer kritischen Phase der Cyber-Sicherheit und beobachten zunehmend feindlich gesinntes Verhalten auf einer immer grösseren Angriffsoberfläche“, erklärt Christiaan Beek, Lead Scientist und Principal Engineer bei Trellix Threat Labs. „Unsere Welt hat sich fundamental verändert. Im 4. Quartal zeichnete sich zunächst eine Wende nach der zweijährigen Pandemie ab, die Cyber-Kriminelle für ihre Zwecke genutzt hatten. Die Log4Shell-Schwachstelle betraf zum Beispiel Hunderte Millionen Geräte. Doch wir mussten feststellen, dass sich die Dynamik im neuen Jahr fortsetzte und internationale Cyber-Aktivitäten sprunghaft zunahmen.“
Bedrohungen gegen die kritische Infrastruktur
Im 4. Quartal 2021 richteten sich die Cyber-Aktivitäten verstärkt gegen systemrelevante Sektoren:
- Transport und Fracht waren das Ziel von 27% aller aufgedeckten Fälle von Advanced Persistent Threat (APT) (Aktivitäten feindlicher und heimlich agierender Akteure).
- Das Gesundheitswesen wurde am zweithäufigsten attackiert; 12% aller aufgedeckten Angriffe entfielen auf diesen Sektor.
- Im Vergleich zum 3. Quartal stieg die Anzahl der Bedrohungen gegen die Fertigungsindustrie im 4. Quartal um 100% und gegen die IT-Branche um 36%.
- Unter den Kunden von Trellix entfielen 62% aller beobachteten Detektionen im 4. Quartal 2021 auf den Transportsektor.
Anfang April veröffentlichte Trellix den globalen Cyber Readiness Report. Der Bericht untersucht, wie sich Anbieter kritischer Infrastrukturen auf Cyber-Angriffe vorbereiten. Dabei wird deutlich, dass viele Anbieter in diesem Bereich trotz eklatanter Sicherheitsverstösse keine Best-Practices für Cyber-Sicherheit implementiert haben.
Bedrohungen gegen die Ukraine
Trellix Threat Labs befasste sich eingehend mit Cyber-Bedrohungen gegen die Ukraine, zum Beispiel mit Wiper-Malware, einer Schadsoftware, die infizierte Geräte durch Zerstörung wichtiger Speicherinformationen unbrauchbar macht. Untersucht wurden Whispergate und HermeticWiper – zwei Malware-Varianten, die vor und während der Invasion der Ukraine zum Einsatz kamen – im Hinblick auf Ähnlichkeiten und Unterschiede. Diese Schadsoftware wurde eingesetzt, um die Kommunikationsmöglichkeiten in der Ukraine lahmzulegen und somit die ukrainischen IT-Systeme zu destabilisieren. Der heutige Bericht listet die Akteure hinter den Bedrohungen gegen die Ukraine auf, darunter Actinium APT, Gamaredon APT, Nobelium APT (auch APT29 genannt), UAC-0056 und Shuckworm APT. APT29 machte 30% der Detektionen aller im 4. Quartal 2021 von Trellix festgestellten APT-Aktivitäten aus. Der Bericht beinhaltet auch Empfehlungen für Organisationen, die ihre Umgebung proaktiv vor den Taktiken solcher Akteure schützen möchten. Weitere Hintergrundinformationen über die Cyber-Aktivitäten gegen die Ukraine erfahren Sie im Trellix Threat Center und Threat Labs Blog.
Taktiken, Techniken & Verfahren
Trellix beobachtete den fortgesetzten Einsatz von Living-off-the-Land (LoTL)-Methoden. Kriminelle Angriffe erfolgen dabei über bestehende Software und die native Steuerung eines Geräts. Die Windows Command Shell (CMD) (53%) und PowerShell (44%) zählten im 4. Quartal 2021 zu den am häufigsten verwendeten NativeOS Binärdateien. Remote Services (36%) waren die am häufigsten verwendeten administrativen Tools. Trellix Threat Labs hat kürzlich LoTL-Methoden entdeckt, mit deren Hilfe die vermutlich südkoreanische APT-Gruppe DarkHotel Malware in Luxushotels infiltriert. Über Excel-Dateien werden erfolgreich Informationen über prominente Gäste auf Dienst- oder Konferenzreise gesammelt. Anfang des Jahres identifizierte Trellix Threat Labs auch einen mehrstufigen Spionageangriff auf das Büro eines Premierministers. Hochrangige Regierungsmitglieder und Vertreter des Verteidigungssektors sollten auf diese Weise überwacht werden. Dabei verschafften sich die Angreifer über Microsoft OneDrive als Command-and-Control-(C2)-Server sowie Excel Zugriff auf die Umgebung des infizierten Geräts.
Weitere Methoden und Techniken, die in den letzten Monaten verstärkt zum Einsatz kamen:
- Das Tool, das APT-Gruppen im 4. Quartal 2021 am häufigsten einsetzten, war Cobalt Strike – mit einem Zuwachs von 95% gegenüber dem 3. Quartal.
- Verschleierte Dateien bzw. Informationen waren die Techniken, die im 4. Quartal 2021 am häufigsten beobachtet wurden, gefolgt von Referenzen aus Internetbrowsern sowie File and Directory Discovery.
- Bei den berichteten Vorfällen wurde Malware im 4. Quartal 2021 am häufigsten verwendet (in 46% aller Vorfälle), das entspricht einem Anstieg um 15% gegenüber dem 3. Quartal.
Bedrohungen gegen Einzelpersonen
Bemerkenswert ist der erhebliche Anstieg um 73% der gegen Einzelpersonen und Personen des öffentlichen Lebens gerichteten Cyber-Vorfälle, den der Bericht dokumentiert. Dieser Bereich rückte im 4. Quartal 2021 am stärksten ins Visier der Angreifer. Er umfasst Bedrohungen über soziale Medien, Mobilgeräte und andere Dienste, bei denen Verbraucher Daten und Anmeldeinformationen speichern. So entdeckte Facebook im 4. Quartal 2021 Spyware-Kampagnen gegen Nutzer auf der ganzen Welt. Android-Nutzer weltweit wurden von einer anderen kriminellen Gruppierung mit Joker Malware attackiert. Solche Angriffe sind meist politisch motiviert und sollen die Interaktionen und Kontakte einzelner Personen nachverfolgen. Zuvor hatte Trellix gemeinsam mit dem Center for Strategic and International Studies den Bericht In the Crosshairs: Organizations and Nation-State Cyber Threats veröffentlicht, aus dem hervorgeht, dass der Zugriff auf Konsumentendaten das Motiv für knapp die Hälfte der staatlich gestützten Cyber-Attacken war und wahrscheinlich auch weiterhin sein wird.
Bedrohungsaktivitäten im 4. Quartal 2021
- Ransomware-Familien. Lockbit (21%) war die verbreitetste Ransomware-Familie, die im 4. Quartal 2021 entdeckt wurde – mit einem Anstieg von 21% gegenüber dem 3. Quartal – gefolgt von Cuba (18%) und Conti (16%).
- Ransomware-Festnahmen. Dank des Einschreitens von Strafverfolgungsbehörden weltweit rangierte REvil/Sodinokibi, die gängigste Ransomware-Familie im 3. Quartal 2021, im 4. Quartal nicht mehr unter den häufigsten Detektionen.
- Ransomware-Zunahme. Ein massiver Anstieg von Ransomware-Aktivitäten wurde im 4. Quartal 2021 in Italien (793%), in den Niederlanden (318%) und in der Schweiz (173%) verzeichnet. Indien (70%) und das Vereinigte Königreich (47%) erlebten ebenfalls starke Zuwächse gegenüber dem 3. Quartal.
- Malware-Familien. Auf RedLine Stealer (20%), Raccoon Stealer (17%), Remcos RAT (12%), LokiBot (12%) und Formbook (12%) entfielen knapp 75% der im 4. Quartal 2021 beobachteten Malware-Familien.
Methodik
Der Bericht „Threat Labs Report: April 2022“ stützt sich auf eigene Daten aus dem Trellix-Netzwerk, das über 1 Milliarde Sensoren umfasst, sowie auf Open-Source Intelligence und von Trellix Threat Labs durchgeführte Untersuchungen vorherrschender Bedrohungen wie Ransomware und staatliche Aktivitäten. Dabei wurde mit Telemetriedaten im Zusammenhang mit der Erkennung von Bedrohungen gearbeitet. Von Erkennung spricht man, wenn eine Datei, URL, IP-Adresse oder ein anderer Indikator entdeckt und über das Trellix-XDR-Ökosystem kommuniziert wird.
