Schlagwort-Archive: Smart Protection Network

Die wichtigsten Ransomware-Akteure in Q1

Von Trend Micro

Ransomware-Akteure hatten im Jahr 2022 einen guten Start und mit dem Erscheinen weiterer Gruppen steigerten sie ihre Aktivitäten. Anhand von Daten aus den Leak-Sites von Ransomware-as-a-Service (RaaS)- und Erpressergruppen, den Open-Source-Intelligence (OSINT)-Recherchen von Trend Micro und dem Trend Micro™ Smart Protection Network™ konnten wir die Ransomware-Bedrohungslandschaft im ersten Quartal 2022 erfassen. Wir konzentrierten uns dabei auf die Aktivitäten und die Akteure hinter den drei Ransomware-Familien, die in diesem Zeitraum die meisten erfolgreichen Angriffe durchführten: die berüchtigten LockBit und Conti sowie der aufstrebende BlackCat-Schädling.

Unsere Telemetriedaten zeigen, dass wir in diesem Dreimonatszeitraum insgesamt 4.439.903 Ransomware-Bedrohungen über Mail-, URL- und Dateiebenen erkannt und blockiert haben. Dies bedeutet einen Anstieg der gesamten Ransomware-Bedrohungen um 36,6 % im Vergleich zum vorherigen Quartal und um 4,3 % im Vergleich zum ersten Quartal 2021.

Die Zahl der RaaS- und Erpressergruppen stieg im ersten Quartal 2022 um 63,2 % im Vergleich zum Vorjahreszeitraum, und dies führte unweigerlich dazu, dass mehr Unternehmen Opfer von Ransomware-Aktivitäten wurden. Laut den Leak-Sites der Ransomware-Gruppen, die Angriffe auf erfolgreich kompromittierte Organisationen festhalten, die sich weigerten, das Lösegeld zu zahlen, stieg die Zahl der Ransomware-Opfer im Vergleich zum Vorjahr um 29,2 %.

Bild 1. Zahl der aktiven RaaS- und Erpressergruppen und der Opferorganisationen von erfolgreichen Ransomware-Angriffen in Q1 2021 und in Q1 2022 (Quelle: Leak-Sites von RaaS- und Erpressergruppen)

Die drei Ransomware-Familien, die im ersten Quartal 2022 die meisten erfolgreichen Angriffe verbuchten, waren alle dafür bekannt, nach dem RaaS-Modell zu arbeiten. Auf der Grundlage von Daten aus den Leak-Sites ihrer Betreiber wurden 35,8 % dieser Angriffe LockBit zugeschrieben, während 19 % auf Conti und 9,6 % auf BlackCat zurückgingen.

Bild 2. Die drei wichtigsten Ransomware-Familien, die bei erfolgreichen RaaS- und Erpressungsangriffen eingesetzt wurden, gemessen an der Zahl der Opfer in Q1 2022 (Quelle: Leak-Sites von RaaS- und Erpressergruppen)

Basierend auf unseren Ransomware-Daten gehörten LockBit und Conti zu den zehn größten Familien, die im ersten Quartal 2022 entdeckt wurden. BlackCat hingegen war unter den Top 10 der Ransomware-Familien, die im Februar und März 2022 entdeckt wurden.

Von den drei war Conti eine der aktivsten und lag mit 105 Opfern an erster Stelle. Das FBI schätzt, dass die Gruppe hinter Conti, die Trend Micro als Water Goblin bezeichnet, bis Januar 2022 mehr als 1000 Opfer und Auszahlungen in Höhe von über 150 Millionen US-Dollar angehäuft hat.

RaaS-Betreiber wie LockBit, deren Erkennungsrate im ersten Quartal 2022 im Februar am höchsten war, sind zu einer noch größeren Bedrohung geworden, seit sie die doppelte Erpressung in ihre Vorgehensweisen integriert haben. Bei dieser Taktik verschlüsseln die Akteure nicht nur die Daten ihrer Opfer und verlangen eine Zahlung für die Wiederherstellung des Zugangs, sondern setzen die Opfer zusätzlich unter Druck, indem sie drohen, die Daten zu veröffentlichen, wenn das Lösegeld nicht gezahlt wird.

Im Vergleich zu Conti und LockBit ist BlackCat (auch bekannt als AlphaVM, AlphaV oder ALPHV) ein Neuling. Die Forscher des MalwareHunterTeams berichteten erstmals im November 2021 darüber. Im Unterschied zu vielen anderen RaaS-Betreibern setzt BlackCat auf dreifache Erpressung, eine Taktik, bei der Ransomware-Akteure damit drohen, die Infrastruktur ihrer Opfer mit Distributed-Denial-of-Service-Angriffen (DDoS) zu überziehen und zusätzlich deren Daten zu veröffentlichen, sollte das Opfer nicht zahlen. BlackCat fordert von seinen Opfern Millionen von US-Dollar in Bitcoin oder Monero. Dank der großzügigen Auszahlungen an seine RaaS-Partner, die bis zu 90 % des gezahlten Lösegelds erhalten können, entwickelt sich BlackCat zu einem wichtigen Konkurrenten auf dem Untergrundmarkt.

BlackCat infizierte bis März weltweit mindestens 60 Organisationen erfolgreich. BlackCat ist auch deshalb bemerkenswert, weil es die erste professionelle Ransomware-Familie ist, die in Rust geschrieben wurde. Dies ist ein wichtiger Vorteil, da Rust als sicherere Programmiersprache gilt, die parallele Verarbeitung kann und außerdem plattformübergreifend einsetzbar ist. Damit ist es auch einfacher, Malware für verschiedene Betriebssysteme wie Windows und Linux anzupassen.

Angreifer setzten eher auf KMUs

Kleine Unternehmen sind oft vielen Cyberangriffen ausgesetzt, weil die Kriminellen denken, dass sie über weniger Ressourcen verfügen, um Cyberbedrohungen abzuwehren, während mittelgroße Unternehmen attraktive Ziele darstellen, weil sie vergleichsweise wertvolle Assets besitzen.

Laut der Leak-Site führte Conti im ersten Quartal 2022 41,9 % seiner erfolgreichen Angriffe auf mittelgroße Unternehmen (mit 201 bis 1.000 Mitarbeitern) durch, während sich der Rest der Angriffe gleichmäßig auf kleine Unternehmen (mit höchstens 200 Mitarbeitern) und große Unternehmen (mit mehr als 1.000 Mitarbeitern) verteilte.

Im Gegensatz dazu betrafen 65,5 % der erfolgreichen Angriffe von LockBit im ersten Quartal 2022 kleine Unternehmen, gefolgt von mittelgroßen Unternehmen mit 20,5 % und großen Unternehmen mit 10,5 %. Auch BlackCat war im ersten Quartal 2022 mit 57,6 % seiner erfolgreichen Angriffe hauptsächlich auf kleine Unternehmen ausgerichtet, während mittlere und große Unternehmen 25,4 % bzw. 17 % ausmachten.

Bild 3. Die Verteilung der erfolgreichen Angriffe von LockBit, Conti und BlackCat nach Unternehmensgröße nach Anzahl der Opferunternehmen im ersten Quartal 2022 (Quelle: Leak-Sites von LockBit, Conti und BlackCat sowie Trend Micros OSINT-Recherche)

Regierungsbehörden, Finanzunternehmen und Fertigung

Unsere Telemetriedaten zeigen, dass Regierungsbehörden und Finanzunternehmen von Januar bis März 2022 durchgängig unter den Top-3-Branchen bei der Erkennung von Ransomware-Dateien rangierten, gefolgt von Organisationen in der Fertigungsindustrie und der schnelllebigen Konsumgüterbranche. Ransomware-Gruppen bevorzugen in der Regel Finanzunternehmen nicht nur wegen ihrer wertvollen Daten, sondern auch, weil sich ihre Angriffsfläche aufgrund der zunehmenden Konnektivität und der verteilten Belegschaft immer weiter vergrößert.

Bild 4. Die 10 wichtigsten Branchen, die von erfolgreichen RaaS- und Erpressungsangriffen betroffen sind, gemessen an der Zahl der Opfer in Q1 2022 (Quelle: Leak-Sites von LockBit, Conti und BlackCat sowie Trend Micros OSINT-Recherche)

Im Vergleich dazu waren die Opfer von Conti im ersten Quartal 2022 vielfältiger: 12,8 % stammen aus der Fertigungsindustrie, dicht gefolgt von Unternehmen aus den Bereichen Werkstoffe und professionelle Dienstleistungen mit 10,3 % bzw. 8,5 %. Ein bemerkenswerter Conti-Angriff ereignete sich im Januar gegen ein taiwanesisches Elektronikunternehmen, das Komponenten für Unternehmen wie Apple, Dell und Tesla liefert. Glücklicherweise waren nur unkritische Systeme betroffen, aber die prominente Kundschaft des Unternehmens gibt einen Eindruck davon, wie Ransomware-Angriffe auch die namhaften Kunden eines Opfers treffen können.

Im ersten Quartal 2022 führte BlackCat 13,6 % der erfolgreichen Angriffe gegen Unternehmen aus der Dienstleistungsbranche. Darüber hinaus waren die Finanz- und Rechtsdienstleistungsbranche von jeweils 10,2 % der erfolgreichen Angriffe betroffen.

USA und Europa am meisten heimgesucht

Die USA führen nach wie vor die Liste der Länder mit den meisten RaaS- und Erpresserangriffen an, aber auch viele europäische Länder waren unter den Opfern.

Bild 5. Die Top-10-Länder, die von erfolgreichen RaaS- und Erpressungsangriffen heimgesucht wurden, gemessen an der Zahl der Opfer in Q1 2022 (Quelle: Leak-Sites von LockBit, Conti und BlackCat sowie Trend Micros OSINT-Recherche)

Der Großteil (40,5 %) der LockBit-Opfer waren Unternehmen in Europa, gefolgt von denen in Nordamerika mit 34,1 % und denen im asiatisch-pazifischen Raum mit 10,9 %. Das FBI stellte im Februar fest, dass die letzte bekannte Version von LockBit 2.0 darauf ausgelegt ist, osteuropäische Organisationen zu identifizieren und von ihren Angriffen auszuschließen. Auch die Vorgängerversion verfügte über einen automatischen Überprüfungsprozess, der Systeme in Russland und in Ländern, die zur Gemeinschaft Unabhängiger Staaten gehören, ausschloss, möglicherweise, um eine Strafverfolgung in diesen Ländern zu vermeiden.

Im Februar meldete sich die Conti-Gruppe zum Russland-Ukraine-Konflikt zu Wort und bekundete ihre Absicht, Vergeltung an allen zu üben, die Cyberangriffe auf Russland starten. Dies könnte zum Teil die regionale Verteilung der Aktivitäten im ersten Quartal 2022 erklären: Organisationen in Nordamerika waren mit 49,6 % der Opfer am stärksten von seinen erfolgreichen Angriffen betroffen, während auf Organisationen in Europa 41,9 % und im asiatisch-pazifischen Raum sechs Prozent entfielen. Die meisten Opfer von Conti waren in den USA, Deutschland und dem Vereinigten Königreich zu verzeichnen.

Auch BlackCat konzentrierte seine Aktivitäten im ersten Quartal 2022 auf Opfer in Nordamerika, wo 50,8 % der erfolgreichen Angriffe stattfanden. Auf seine Opfer in Europa und im asiatisch-pazifischen Raum entfielen 25,4 % bzw. 18,6 %. Besonders im Visier waren Ziele in den USA und Italien. Im ersten Quartal 2022 war BlackCat für Angriffe auf prominente europäische Unternehmen verantwortlich, darunter ein deutsches Kraftstoffvertriebsunternehmen.

Sicherheitsempfehlungen

Unternehmen können das Risiko von Ransomware-Angriffen mit den folgenden empfohlenen Sicherheitsmaßnahmen verringern:

  • Aktivieren Sie die Mehrfaktor-Authentifizierung. Organisationen sollten über Richtlinien verfügen, die von Mitarbeitern, die auf Unternehmensdaten zugreifen oder diese auf ihren Geräten speichern, eine Mehrfaktor-Authentifizierung verlangen.
  • Sichern Sie Daten. Teams sollten so weit wie möglich die „3-2-1-Regel“ befolgen, um ihre wichtigen Dateien zu schützen: Erstellen Sie mindestens drei Sicherungskopien in zwei verschiedenen Dateiformaten, wobei eine dieser Kopien außerhalb des Unternehmens gelagert werden sollte.
  • Halten Sie Ihre Systeme auf dem neuesten Stand. Sicherheitsteams sollten alle ihre Anwendungen, Betriebssysteme und andere Software aktualisieren, sobald Patches von Anbietern und Entwicklern veröffentlicht werden. Auf diese Weise kann verhindert werden, dass Ransomware-Akteure Schwachstellen ausnutzen, um sich Zugang zu den Systemen von Unternehmen zu verschaffen.
  • Überprüfen Sie E-Mails, bevor Sie sie öffnen. Unternehmen sollten ihre Mitarbeiter darin schulen, keine Anhänge herunterzuladen oder auf eingebettete Links in E-Mails von Absendern zu klicken, die sie nicht kennen, da böswillige Akteure auf diese Weise Ransomware installieren.
  • Befolgen Sie etablierte Sicherheits-Frameworks. Unternehmen können Cybersicherheitsstrategien entwickeln, die auf den vom Center of Internet Security (CIS) und dem National Institute of Standards and Technology (NIST) erstellten Frameworks basieren. Die Sicherheitsmaßnahmen und Best Practices, die dort festgelegt sind, können den Sicherheitsteams der Unternehmen als Leitfaden für die Entwicklung ihrer eigenen Pläne zur Bedrohungsabwehr dienen.

Unternehmen können ihre Cybersicherheitsinfrastruktur mit mehrschichtigen Erkennungs- und Reaktionslösungen ergänzen, die Ransomware-Bewegungen vorhersehen und darauf reagieren können, bevor die Betreiber einen Angriff durchführen. Eine solche Lösung ist Trend Micro Vision One™, die mit erweiterten Erkennungs- und Reaktionsfunktionen (XDR) ausgestattet ist, die Daten über mehrere Sicherheitsebenen – einschließlich Mail, Endpunkte, Server, Cloud-Workloads und Netzwerke – sammeln und automatisch korrelieren, um Ransomware-Angriffsversuche abzuwehren. Dabei können Unternehmen auch von Netzwerkerkennungs- und -reaktionsfunktionen (NDR) profitieren, die ihnen einen besseren Überblick über ihren Netzwerkverkehr verschaffen.

Weitere Einzelheiten enthält der Originalbeitrag und ein Datenblatt zu diesem Bericht, das Daten von RaaS- und Erpresser-Gruppen, OSINT-Forschung von Trend Micro und das Trend Micro Smart Protection Network enthält, kann hier heruntergeladen werden.

 

Schutz vor der Bedrohung durch SMS PVA

Originalartikel von Trend Micro Research

Die Sicherheitsüberprüfung von Identitäten über SMS erfreut sich großer Beliebtheit. In den letzten Jahren haben viele große Internetplattformen und -dienste die SMS-Verifizierung als Mittel der Identitätsüberprüfung bei der Kontoerstellung eingeführt. Bestätigungscodes, von OTP-Anbietern per SMS verschickt, werden auch als Teil der Zweifaktor-Authentifizierung verwendet. Doch mittlerweile haben Kriminelle das Geschäft mit SMS PVA (Phone Verified Accounts) entdeckt. Wir haben anhand eines solchen Dienstes die Bedrohung, die davon ausgeht, dargestellt sowie die Vorteile, die sich für Cyberkriminelle ergeben. Die Bedrohung darf nicht auf die leichte Schulter genommen werden. Wir zeigen, wie der Schutz mithilfe von Best Practices aussehen kann.
Weiterlesen

Conti und Lockbit mit schweren Angriffen in Q4 2021

Von Trend Micro

Unser neuester Bericht gibt einen Überblick über die Ransomware-Bedrohungslandschaft im vierten Quartal 2021 und zeigt die wichtigsten Familien der Malware sowie die Arten von Branchen und Unternehmen, die betroffen waren. Ransomware-Akteure beendeten 2021 mit einer Welle aufsehenerregender Angriffe. Vor allem die Betreiber von LockBit und Conti fielen im letzten Quartal mit modernen Ransomware-Kampagnen gegen verschiedene Organisationen in unterschiedlichen Ländern auf.
Weiterlesen

Erkennen von PrintNightmare Exploit-Versuchen

Originalbeitrag von Nitesh Surana, Threat Research Engineer

PrintNightmare ist eines der jüngsten Exploit-Sets, das die Print Spooler-Sicherheitslücken (CVE-2021-1675CVE-2021-34527 und CVE-2021-34481) ausnutzt. Es handelt sich um eine Sicherheitslücke bei der Codeausführung (sowohl remote als auch lokal) im Print Spooler-Dienst, die alle Windows-Versionen betrifft, auf denen der besagte Dienst läuft. Eine Reihe von Forschern hat Proof of Concepts für mehrere Exploit-Varianten entwickelt, die auf unterschiedlichen Implementierungen (über TCP und Server Message Block oder SMB) basieren. Durch die Verwendung verschiedener Funktionsaufrufe für das Print System Asynchronous Remote Protocol (MS-PAR) und die missbräuchliche Verwendung von RpcAsyncAddPrinterDriver kann PrintNightmare auf Servern und Workstations ausgenutzt werden, während PrintNightmare durch die missbräuchliche Verwendung des Print System Remote Protocoll (MS-RPRN) RpcAddPrinterDriverEx für eine Impacket-Implementierung nutzen kann.

Wir haben die Implementierungen von PrintNightmare untersucht und zeigen, wie die von Trend Micro Vision One™ und Trend Micro Cloud One™ ermöglichte Transparenz, die Risiken mindern kann, die durch kritische Lücken in Systemen wie dem Print Spooler Service entstehen. Mithilfe der Indikatoren und Attribute von Angriffsversuchen, die von Netzwerken und Endpunkten geloggt werden, ermöglichen beide Plattformen Sicherheitsteams und Analysten einen umfassenderen Blick auf Angriffsversuche, um sofortige und umsetzbare Reaktionen zu ermöglichen.
Weiterlesen

Trend Micro Vision One: Erforschung eines Angriffs mit Conti Ransomware

Originalartikel von Alvin Nieto, Mark Vicente, RonJay Caragay, Miguel Carlo Ang, McJustine De Guzman, Emmanuel Evangelista, Divina Chua, Marco Dela Vega

Im Februar 2021 fiel uns über die Trend Micro Vision One-Plattform eine Serie verdächtiger Vorfälle auf, die in Verbindung zu einem Angriff der Conti Ransomware-Bande standen. Conti gilt als Nachfolger der berüchtigten Ryuk Ransomware-Familie. Die Bedrohungsakteure verbreiten die Malware nun zunehmend über dieselben Methoden wie früher Ryuk. So werden jetzt beispielsweise sowohl Trickbot/Emotet als auch BazarLoader für die Verbreitung von Conti verwendet. Wir wollen zeigen, wie Cobalt Strike Beacons (Backdoor.<Architecture>.COBEACON.SMA) dafür verwendet wird und wie die Trend Micro Vision One Plattform dabei unterstützt, diese Bedrohung zu verfolgen. Wir gehen davon aus, dass Forscher bei Sophos ebenfalls auf diese spezielle Gruppe von Bedrohungsakteuren gestoßen sind. Der von ihnen entdeckte Angriff und dieser hier zeigen Ähnlichkeiten in den verwendeten Techniken.
Weiterlesen