Im Vorfeld zu Olympia 2024 hat das „Unit 42“-Team von Palo Alto Networks ein dediziertes Cyber-Überwachungsprogramm entwickelt

[datensicherheit.de, 17.07.2024] Am 26. Juli 2024 starten die Olympischen Sommerspiele – im Vorfeld hierzu hat das „Unit 42“-Team von Palo Alto Networks nach eigenen Angaben ein „dediziertes Cyber-Überwachungsprogramm“ entwickelt, welches demnach dem Schutz von Organisationen im Bereich Kritischer Infrastrukturen (KRITIS) im Kontext der Organisation und Durchführung der Spiele dienen soll. Hierzu habe Palo Alto Networks’ „Unit 42“ zahlreiche Cyber-Sicherheitssimulationen durchgeführt: „Die wichtigsten Erkenntnisse zu möglichen Risiken und Bedrohungen wurden im Report ,Cyber Threat to Paris 2024‘ dokumentiert.“

Abbildung: Palo Alto Networks

Palo Alto Networks präsentiert den Report „Cyber Threat to Paris 2024“ – basierend auf Erkenntnissen der „Unit 42“

Warnung von Palo Alto Networks vor finanziell motivierter Kriminalität

Von finanziell motivierter Kriminalität dürfte während der gesamten Veranstaltung die größte Bedrohung ausgehen, wobei cyber-gestützter Betrug ein besonders verbreitetes Mittel sei, um illegale Gelder von Unternehmen und Einzelpersonen zu erlangen.

Politisch motivierte Sabotage laut Palo Alto Networks wohl eine der größten Risiken

„Politisch motivierte Sabotage durch staatlich unterstützte Bedrohungsakteure und ,Hacktivisten’ ist angesichts früherer Vorfälle bei vergangenen Spielen wahrscheinlich eine der größten Sorgen.“ Das Potenzial für geopolitische Spannungen im Umfeld der Veranstaltung und die Möglichkeit, dass ein solcher Angriff schwere Störungen oder sogar körperliche Schäden verursachen könnte, sei hoch.

Auch Spionage aus Sicht von Palo Alto Networks ernstzunehmende Bedrohung

Spionage sei zwar weniger offenkundig, aber dennoch besorgniserregend – dies gelte besonders für staatlich gesponserte Aktivitäten, in deren Rahmen etwa Dissidenten, Aktivisten oder andere Personen von Interesse überwacht würden.

Weitere Informationen zum Thema:

paloalto NETWORKS, Juni 2024
Cyber Threats to Paris 2024

datensicherheit.de, 17.06.2024
Olympische Spiele 2024: Proofpoint enttarnte Ticket-Betrug / Fußball-EM und Olympische Spiele 2024 als Köder für gutgläubige Kunden

datensicherheit.de, 23.05.2024
Olympia 2024 droht zum Spielfeld für Cyber-Angriffe zu werden / Böswillige Akteure werden Cyber-Bedrohungen zu nutzen versuchen, um die Integrität der Veranstaltung zu stören und zu untergraben

datensicherheit.de, 09.04.2024
Olympische Sommerspiele 2024 in Paris: Vorbereitung auf Cyber-Angriffe / Generaldirektor der französischen Cyber-Sicherheitsbehörde ANSSI betont, dass diesjährige Olympische Sommerspiele ein Ziel Cyber-Krimineller sind

[datensicherheit.de, 19.09.2023] Die „Unit 42“, das Malware-Forschungsteam bei Palo Alto Networks, hat neue Erkenntnisse zur Cyber-Kriminellen-Gruppe „Muddled Libra“ veröffentlicht. Die Hacker stecken demnach offensichtlich hinter einem der „spektakulärsten Cyber-Angriffe in den USA“, welcher den Betrieb mehrerer Casinos und Hotels in Las Vegas zum Erliegen brachte. „Laut Medienberichten hatten die Mitglieder der Gruppe bereits im vergangenen Jahr auch andere große Unternehmen angegriffen, indem sie sich durch Gespräche Zugang zu Netzwerken verschafft hatten.“ Die Forscher der „Unit 42“ gehen nach eigenen Angaben davon aus, dass die Mitglieder von „Muddled Libra“ englische Muttersprachler sind, was es ihnen erleichtere, ihre Social-Engineering-Angriffe durchzuführen. Die beobachteten Angriffsziele dieser Cyber-Kriminellen schienen sich aktuell noch hauptsächlich auf die USA zu konzentrieren.

Muddled Libra agiert an Schnittstelle zwischen Social Engineering und Technologieanpassung

MGM Resorts, Betreiber vieler der beliebtesten Casinos und Hotels in Las Vegas (darunter das „Bellagio“), sei immer noch damit beschäftigt, die Folgen des Angriffs zu beheben. „Hacker hatten Anfang vergangener Woche den Betrieb erheblich gestört, was zu Schließungen in den Casinos führte. Hotelgäste waren nicht in der Lage, ihre Zimmer mit Schlüsselkarten zu betreten. MGM-Mitarbeiter konnten am Freitagmorgen immer noch nicht auf ihre Firmen-E-Mails zugreifen.“ Am Nachmittag der 15.September 2023 habe MGM mitgeteilt, dass zwar einige Systeme noch immer von dem Angriff betroffen seien, die überwiegende Mehrheit der Hotels jedoch den Betrieb wiederaufgenommen habe.

„Muddled Libra“ agiere an der Schnittstelle zwischen listigem „Social Engineering“ und geschickter Technologieanpassung. Diese Bedrohungsgruppe sei mit Business-IT bestens vertraut und stelle selbst für Unternehmen mit gut ausgebauter Cyber-Abwehr ein erhebliches Risiko dar. Die Forscher und „Incident Responder“ der „Unit 42“ hätten mehr als ein halbes Dutzend zusammenhängender, „Muddled Libra“ zuzuordnender Vorfälle von Mitte 2022 bis Anfang 2023 untersucht. Die Bedrohungsgruppe ziele bevorzugt auf solche großen Outsourcing-Firmen ab, welche hochwertige Krypto-Währungsinstitutionen und Einzelpersonen bedienen. Die Bekämpfung von „Muddled Libra“ erfordere eine Kombination aus strengen Sicherheitskontrollen, sorgfältigen Schulungen des Sicherheitsbewusstseins und aufmerksamer Überwachung.

Wechselnde Taktiken von Muddled Libra gehen oft fließend ineinander über

Seit dem 15. September 2023 sei die „Unit 42“ an der Aufklärung von mehreren weiteren Fällen beteiligt, die „Muddled Libra“ zugeschrieben werden. Die Forscher hätten zusätzliche, von dieser Gruppe eingesetzte Methoden beobachtet. „Die wechselnden Taktiken von ,Muddled Libra’ gehen oft fließend ineinander über und passen sich schnell an die Zielumgebung an.“ Primäre Taktik sei nach wie vor auf den IT-Support eines Unternehmens abzielendes „Social Engineering“.

„In nur wenigen Minuten gelang es den Angreifern beispielsweise, ein Konto-Passwort zu ändern und später die Multi-Faktor-Authentifizierung des Opfers zurückzusetzen, um sich Zugang zu den Netzwerken zu verschaffen.“ Eine auffällige Veränderung der Taktiken, Techniken und Verfahren sei die starke Nutzung von anonymisierenden Proxy-Diensten. Die Angreifer nutzten diese Proxy-Dienste, „um ihre IP-Adressen zu verschleiern und den Anschein zu erwecken, dass sie sich in einem lokalen geografischen Gebiet befinden“.

Weitere Informationen zum Thema:

CYBERSECURITAY DIVE, David Jones, 18.09.2023
MGM, Caesars attacks raise new concerns about social engineering tactics / Multiple threat groups have employed the same criminal tool kit to target vulnerable systems.

CyberWire, now N2K Cyber auf YouTube, 02.09.2023
Thwarting Muddled Libra

UNIT 42, Kristopher Russo & Austin Dever & Amer Elsad, 21.06.2023
Threat Group Assessment: Muddled Libra (Updated)

Phishing-Fokus auf Business-Process-Outsourcing-Branche

[datensicherheit.de, 22.06.2023] Die „Unit 42“ der Palo Alto Networks hat am 21. Juni 2023 einen Report über eine aktive Gruppe Cyber-Krimineller veröffentlicht: „Muddled Libra“ (auch „0ktapus“, „Scattered Spider“ bzw. „Scatter Swine“) nutzt nutzt demnach Phishing für Attacken. Mehr als ein halbes Dutzend Cyber-Angriffe dieser Gruppe sei darin eingeflossen. Da das „0ktapus“-Phishing-Kit als sogenannte Open Source verfügbar sei, gebe es viele Überschneidungen mit anderen Gruppen, die dieses verwendeten. Da nicht alle Angreifer, die „0ktapus“ verwenden, „Muddled Libra“ sind, hat die „Unit 42“ die Gruppe „Muddled Libra“ nach eigenen Angaben mit den folgenden Merkmalen klassifiziert:

• Verwendung des „0ktapus“-Phishing-Kits
• hartnäckige Ausrichtung auf die „Business Process Outsourcing“-Branche (BPO)
• langfristige Hartnäckigkeit
• nicht-destruktive Präsenz
• Datendiebstahl
• Nutzung der kompromittierten Infrastruktur für nachgelagerte Angriffe

Abbildung: Palo Alto Networks

„UNIT 42“ warnt vor „Muddled Libra“

BPO-Firmen im Dienste hochrangige Privatpersonen und Krypto-Währungsinstitute im Phishing-Visier

„Muddled Libra“ habe sich auf große BPO-Firmen konzentriert, welche in der Regel hochrangige Privatpersonen und Krypto-Währungsinstitute bedienten. Sie hätten schnell Informationen über nachgelagerte Kundenumgebungen gesucht und gestohlen und diese dann genutzt, um in diese Umgebungen einzudringen.

„Sie haben bewiesen, dass sie die hochrangigen Kunden ihrer Opfer gut kennen und wissen, welche Informationen für Folgeangriffe am nützlichsten wären.“

Muddled Libra verfügt über ungewöhnlich umfangreiches Phishing-Angriffsinstrumentarium

Ausgehend von der Analyse der Ermittlungen der „Unit 42“ zu „Muddled Libra“ verfüge diese Gruppe über ein ungewöhnlich umfangreiches Angriffsinstrumentarium:

Ihr Arsenal reiche von praktischen Social-Engineering- und sogenannten Smishing-Angriffen (Phishing per SMS) bis hin zur Beherrschung von Nischen-Tools für Penetrationstests und Forensik, was dieser Bedrohungsgruppe selbst gegenüber einem robusten und modernen Cyber-Abwehrplan einen Vorteil verschaffe.

Ende 2022 Veröffentlichung des Phishing-Kits 0ktapus

Der „Muddled Libra“-Angriffsstil sei Ende 2022 auf dem Radar der Cyber-Sicherheit mit der Veröffentlichung des Phishing-Kits „0ktapus“ erschienen, welches ein vorgefertigtes Hosting-Framework und gebündelte Vorlagen geboten habe. Mit einer großen Anzahl realistischer gefälschter Authentifizierungsportale und gezieltem Smishing hätten die Angreifer schnell Anmeldedaten und Codes für die Multifaktor-Authentifizierung (MFA) sammeln können.

„Die Geschwindigkeit und das Ausmaß dieser Angriffe haben viele Verteidiger überrascht. Smishing ist zwar nicht neu, aber das ,0ktapus’-Framework hat die Einrichtung einer normalerweise komplexen Infrastruktur so vereinfacht, dass selbst wenig erfahrene Angreifer eine hohe Erfolgsquote erzielen konnten.“

Mehrere Phishing-Akteure, welche gemeinsames Toolkit verwenden

Zu diesen Funktionen gehörten vorgefertigte Vorlagen und ein eingebauter C2-Kanal über „Telegram“, und das alles für einen Preis von nur wenigen hundert US-Dollar. Diese Verbesserung der Funktionalität habe dazu geführt, dass Cyber-Kriminelle eine massive Angriffskampagne gestartet hätten, welche sich gegen eine Vielzahl von Organisationen gerichtet habe.

„Die schiere Anzahl der Ziele, die mit diesem Kit angegriffen wurden, hat in der Forschungsgemeinschaft zu einer gewissen Verwirrung bei der Zuordnung dieser Angriffe geführt.“ Frühere Berichte von „Group-IB“, „CrowdStrike“ und „Okta“ hätten viele dieser Angriffe dokumentiert und den folgenden Angreifer-Gruppen zugeordnet: „0ktapus“, „Scattered Spider“ und „Scatter Swine“. Während diese in den Medien als drei Namen für eine Gruppe behandelt worden seien, handele es sich in Wirklichkeit wahrscheinlich um mehrere Akteure, welche ein gemeinsames Toolkit verwendeten. „Muddled Libra“ sei eine Untergruppe dieser Akteure.

Schlussfolgerung und Abhilfemaßnahmen gegen Phishing

„Muddled Libra“ sei ein methodischer Angreifer, welcher eine erhebliche Bedrohung für Unternehmen in den Bereichen Softwareautomatisierung, BPO, Telekommunikation und Technologie darstelle. Dieser beherrsche eine Reihe von Sicherheitsdisziplinen und sei in der Lage, in relativ sicheren Umgebungen zu gedeihen und schnell verheerende Angriffsketten zu vollenden.

„,Muddled Libra’ bringt nichts Neues auf den Tisch, außer dem unheimlichen Talent, Schwachstellen mit verheerender Wirkung aneinanderzureihen.“ Die Verteidiger müssten modernste Technologie und umfassende Sicherheitshygiene sowie eine sorgfältige Überwachung externer Bedrohungen und interner Ereignisse miteinander kombinieren. Das hohe Risiko des Verlusts von internen und Kundendaten sei ein starker Anreiz für die Modernisierung von Informationssicherheitsprogrammen.

Weitere Informationen zum Thema:

UNIT 42, Kristopher Russo & Austin Dever & Amer Elsad, 21.06.2023
Threat Group Assessment: Muddled Libra

[datensicherheit.de, 31.08.2022] Die „Unit 42“, das Malware-Analyse-Team bei Palo Alto Networks, hat einen Bericht veröffentlicht, der Details über die Ransomware-Gruppe „Black Basta“ enthält, die demnach erstmals im April 2022 aufgetaucht ist und seitdem auf dem Vormarsch sei. Die „Incident Responders“ der „Unit 42“ hätten bereits auf mehrere „Black Basta“-Ransomware-Fälle reagiert.

Seit Auftauchen der Ransomware Mitglieder der Gruppe sehr aktiv bei Verbreitung und Erpressung von Unternehmen

Seit dem Auftauchen dieser Ransomware seien die Mitglieder der Gruppe sehr aktiv bei der Verbreitung und Erpressung von Unternehmen. „Die Angreifer betreiben einen Marktplatz für Cyber-Kriminalität und einen Blog, in dem die Gruppe die Namen ihrer Opfer, Beschreibungen, den Prozentsatz der Veröffentlichung, die Anzahl der Besuche und alle exfiltrierten Daten auflistet.“

Obwohl die Mitglieder erst seit ein paar Monaten aktiv seien, hätten sie nach den auf ihrer Leak-Site veröffentlichten Informationen bereits mehr als 75 Unternehmen und Institutionen kompromittiert.

Black Basta als Ransomware as a Service

„Black Basta“ sei eine „Ransomware as a Service“ (RaaS), welche erstmals im April 2022 aufgetaucht sei. Es gebe jedoch Hinweise darauf, dass sie sich seit Februar 2022 in der Entwicklung befindet. Die Betreiber von „Black Basta“ wendeten eine doppelte Erpressungstechnik an. Sie verschlüsselten nicht nur Dateien auf den Systemen der Angriffsziele und forderten Lösegeld für die Entschlüsselung, sondern unterhielten auch eine Leak-Site im DarkWeb, auf der sie damit drohten, sensible Informationen zu veröffentlichen, falls ein Opfer kein Lösegeld zahlt.

Die Partner von „Black Basta“ seien seit dem ersten Auftauchen der Ransomware sehr aktiv bei der Verbreitung von „Black Basta“ und der Erpressung von Unternehmen. „Obwohl sie erst seit ein paar Monaten aktiv sind, haben sie nach den auf ihrer Leak-Site veröffentlichten Informationen zum Zeitpunkt dieser Veröffentlichung bereits über 75 Unternehmen und Institutionen infiziert.“ Die „Unit 42“ habe auch bereits an mehreren „Black Basta“-Fällen gearbeitet.

Ransomware in C++ gefährlich für Windows und Linux

Die Ransomware sei in „C++ „geschrieben und wirke sich sowohl auf „Windows-“ als auch auf „Linux“-Betriebssysteme aus. Sie verschlüssele die Daten der Benutzer mit einer Kombination aus „ChaCha20“ und „RSA-4096“. Um den Verschlüsselungsprozess zu beschleunigen, verschlüssele die Ransomware in Abschnitten von 64 Byte, wobei 128 Byte Daten zwischen den verschlüsselten Bereichen unverschlüsselt blieben. „Je schneller die Ransomware verschlüsselt, desto mehr Systeme können potenziell kompromittiert werden, bevor die Verteidigungsmaßnahmen ausgelöst werden.“ Dies sei ein entscheidender Faktor, auf den die Partner achteten, „wenn sie sich einer ,Ransomware-as-a-Service’-Gruppe anschließen“.

Die „Unit 42“ hat nach eigenen Angaben beobachtet, „dass die ,Black Basta’-Ransomware-Gruppe ,QBot’ als ersten Einstiegspunkt nutzt, um sich seitlich in kompromittierten Netzwerken zu bewegen. ,QBot’, auch bekannt als ,Qakbot’, ist ein ,Windows’-Malware-Stamm, der als Banking-Trojaner begann und sich zu einem Malware-Dropper entwickelte“. Er sei auch von anderen Ransomware-Gruppen verwendet, darunter „MegaCortex“, „ProLock“, „DoppelPaymer“ und „Egregor“. Während diese Ransomware-Gruppen „QBot“ für den Erstzugang genutzt hätten, sei die „Black Basta“-Gruppe dabei beobachtet worden, „wie sie ,QBot’ sowohl für den Erstzugang als auch für die seitliche Verbreitung im Netzwerk einsetzte“.

Möglicherweise Neuauflage einer früheren Ransomware-Gruppe

Da die „Black Basta“-Angriffe im Jahr 2022 weltweit aufsehenerregend gewesen und immer wieder aufgetreten seien, „ist es wahrscheinlich, dass die Betreiber und/oder die mit ihnen verbundenen Partner, die hinter dem Dienst stehen, weiterhin Unternehmen angreifen und erpressen werden“.

Es sei auch möglich, dass es sich nicht um eine neue Operation handele, sondern eher um eine Neuauflage einer früheren Ransomware-Gruppe, welche ihre Partner mitgebracht habe. Aufgrund zahlreicher Ähnlichkeiten in den Taktiken, Techniken und Verfahren (wie „Victim Shaming“-Blogs, Wiederherstellungsportale, Verhandlungstaktiken und die Art und Weise, wie schnell „Black Basta“ seine Opfer gesammelt habe) könnte die Gruppe aktuelle oder ehemalige Mitglieder der „Conti“-Gruppe umfassen.

Überblick zu wichtigen Ergebnisse der Untersuchung der neuen Ransomware:

• Die RaaS nutzt Doppelte Erpressung als Teil der Angriffe.
• Daten von mindestens 20 Opfern wurden in den ersten zwei Wochen des Einsatzes der Ransomware auf der Leak-Site veröffentlicht.
• Die Gruppe hat Berichten zufolge mehrere große Unternehmen aus den Bereichen Verbraucher- und Industrieprodukte, Energie, Ressourcen und Landwirtschaft, Fertigung, Versorgungsunternehmen, Transport, Regierungsbehörden, freiberufliche Dienstleistungen und Beratung sowie Immobilien angegriffen.

Weitere Informationen zum Thema:

UNIT42, Amer Elsad, 25.08.2022
Threat Assessment: Black Basta Ransomware

datensicherheit.de, 18.05.2021
HSE-Ransomware-Attacke: Hacker-Gruppe Conti mutmaßlicher Täter / Ende der 19. KW 2021 wurde die irische Gesundheitsbehörde HSE Opfer eines Angriffs mit Ransomware – durch die Hacker-Gruppe Conti, meldet Palo Alto Networks.

Palo Alto Networks bewertet Conti als kommerzielles Unternehmen mit rücksichtslosen Profitabsichten

[datensicherheit.de, 20.05.2022] Laut Medienberichten soll es in den vergangenen Tagen zu fortlaufenden Ransomware-Attacken der cyber-kriminellen Hacker-Gruppe „Conti“ auf die Regierung Costa Ricas gekommen sein. Alex Hinchliffe, „Threat Intelligence Analyst“ bei der „Unit42“ von Palo Alto Networks, geht in seiner aktuellen Stellungnahme auf diesen Vorfall ein:

Foto: Palo Alto Networks

Alex Hinchliffe: Wir haben bereits gesehen, wie Conti Angriffe auf Krankenhäuser, Rettungsdienste und Strafverfolgungsbehörden durchführte…

Conti gilt seit 2020 als eine der rücksichtslosesten Ransomware-Gangs

„Dass die Hacker-Gruppe ,Conti‘ eine ganze Regierung ins Visier genommen hat, ist nun nicht unbedingt eine Überraschung. Wir haben bereits gesehen, wie ,Conti‘ Angriffe auf Krankenhäuser, Rettungsdienste und Strafverfolgungsbehörden durchführte und dabei doppelte Erpressungstechniken einsetzte, um Opfer dazu zu bringen, ein Lösegeld zu zahlen“, berichtet Hinchliffe.

„Conti“ habe sich seit ihrer Entstehung im Jahr 2020 immer als eine der rücksichtslosesten Ransomware-Gangs hervorgetan. Sie operierten ohne einen „Ehrenkodex“, den einige andere Hacker-Gruppen zu beachten behaupteten, wenn es darum geht, lebenswichtige oder besonders gefährdete Opfer anzugreifen.

Geld offenbar der Conti-Motivationsfaktor für solche Angriffe

Geld sei der Motivationsfaktor für solche Angriffe. Hinchliffe: „Sie haben ihre Forderungen schnell und deutlich erhöht und belaufen sich im Jahresdurchschnitt auf rund 1,78 Millionen US-Dollar – ihre höchste anfängliche Zahlungsanforderung betrug drei Millionen US-Dollar.“

In diesem Fall hätten die Angreifer 20 Millionen US-Dollar gefordert – eine Verdoppelung der vorherigen Forderung von zehn Millionen US-Dollar. „Anscheinend bot ,Conti‘ an, das Lösegeld zu verringern, und sagte, wenn die Regierung zahlt, werden sie aufhören, private Institutionen in der Region anzugreifen.“

Conti als organisiertes kriminelles Unternehmen mit geschäftsähnlichen Strukturen

Hinchliffe führt weiter aus: „In der Vergangenheit haben wir einen Anstieg der Techniken der Doppelten Erpressung gesehen – das Herausschleusen von Daten, um sie als Druckmittel gegen die Opferorganisation zu verwenden, um Gelder zu erpressen – und so etwas wie das, was hier gemeldet wird, könnte eine weitere Wendung sein, um Angriffe gegen andere anzudrohen, es sei denn, das Opfer zahlt.“ Dies spiegele wider, wie sehr „Conti“ als organisiertes kriminelles Unternehmen mit geschäftsähnlichen Strukturen agiere. Diese seien aufgedeckt worden, als „Conti“ einen eigenen Leak erlitten habe, „der sehr gut organisierte Teamstrukturen und definierte Rollen offenbarte“.

Typischerweise arbeite „Conti“ sehr opportunistisch und nutze bekannte Schwachstellen aus, um in Systeme einzudringen und sich seitlich über interne Geräte zu bewegen. „Wir wissen bereits, dass sie ,CVE-2021-34473‘, ,CVE-2021-34523‘ und ,CVE-2021-31207‘ (,ProxyShell‘) bei ihren Ransomware-Angriffen verwendet haben und dann im Dezember 2021 erfolgreich mit der Ausnutzung von ,CVE-2021-44228‘, bekannt als ,Log4Shell‘, begonnen haben”, ergänzt Hinchliffe abschließend.

Weitere Informationen zum Thema:

golem.de, Lennart Mühlenmeier, 10.05.2022
Conti-Gang: Costa Rica ruft wegen Ransomware den Notstand aus

datensicherheit.de, 18.05.2021
HSE-Ransomware-Attacke: Hacker-Gruppe Conti mutmaßlicher Täter / Ende der 19. KW 2021 wurde die irische Gesundheitsbehörde HSE Opfer eines Angriffs mit Ransomware – durch die Hacker-Gruppe Conti, meldet Palo Alto Networks

Palo Alto Networks rückt Sicherheit der IoT in den Fokus und betont deren zentrales Merkmal der allgegenwärtigen Konnektivität

[datensicherheit.de, 07.08.2020] Da die Welt immer offenkundig immer mehr vernetzt wird, treten in der Folge immer mehr Geräte miteinander in Verbindung: Der Fitness-Tracker am Handgelenk z.B. überträgt drahtlos Daten auf das Smartphone, welches wiederum die Entertainment-Hubs in den vernetzten Autos auf der Fahrt steuert. „Das Smartphone ist auch der Dreh- und Angelpunkt der meisten Geschäftsverbindungen – Kontakte, E-Mail, Videokonferenzen, um nur einige zu nennen. Türklingeln, Thermostate und sogar Kühlschränke bereichern die vernetzte Welt und tauschen Daten und Befehle mit Smartphones und anderen Geräten aus“, so Greg Day, „VP“ und „Chief Security Officer, EMEA“ bei Palo Alto Networks, zur Einführung in seine aktuelle Stellungnahme zur gegenwärtigen und zukünftigen Relevanz von Cyber-Sicherheit im IoT-Kontext.

Foto: Palo Alto Networks

Greg Day zum 5G-IoT: „So viele Geräte und Objekte drahtlos zu vernetzen, schafft jedoch enorme Sicherheitsrisiken…“

Auch für IoT gilt die Erkenntnis: Das Netzwerk ist nur so sicher wie sein schwächstes Glied!

Dieses Netzwerk mit der englischen Abkürzung IoT – das sogenannte Internet der Dinge – werde „massiv wachsen“, da nun Mikrochips in Milliarden von bisher „stummen“ Objekten eingebettet seien: Von Mülleimern bis zu Robotern, von Waschmaschinen bis zu Produktionslinien werde eine Vielzahl von Objekten und Geräten Daten über eine Internetverbindung austauschen.
Die Einführung des Standards 5G sorge dabei für eine bessere Konnektivität als die herkömmlichen Festnetze und ermögliche gleichzeitig den Betrieb großer Mengen vernetzter Geräte. Drahtlose Konnektivität werde nun in großem Maßstab realisierbar. „So viele Geräte und Objekte drahtlos zu vernetzen, schafft jedoch enorme Sicherheitsrisiken, da jedes Netzwerk nur so sicher ist wie sein schwächstes Glied“, warnt Day.

Billige Mikrochips als IoT-Sensoren mit Schwachstellen

„In der vernetzten Welt könne ein 1-Dollar-Sensor an ein Milliarden-Dollar-Netzwerk angeschlossen werden. Billige Mikrochips werden auf Objekte aufgebracht und dienen als Sensoren, die Daten wie Hitze und Abnutzung messen. Die Sensoren sind klein, leicht und preiswert, aber ihnen fehlt in der Regel jede Art von Sicherheitssystem.“
Bei einem spektakulären Hack in Las Vegas seien Cyber-Angreifer in das digitale Netzwerk eines Casinos eingedrungen. Über einen Wärmesensor im Aquarium in der Lobby hätten sie sich Zugang zu den persönlichen Daten hochkarätiger Kunden verschafft. Day: „Cyber-Sicherheitsexperten deckten den Angriff auf, aber erst, nachdem bereits Daten herausgeschleust worden waren.“ Dieses Beispiel zeige, dass nicht überwachte Sensoren im Internet der Dinge eine Welt voller Gefahren schafften. Sie eröffneten immer mehr Einstiegspunkte, durch die Angreifer in Netzwerke eindringen könnten.

Alle im IoT vernetzten Geräte müssten auf Sicherheitsbedrohungen zu scannen sein

Zwar konzentrierten sich Geschäftsführer, Finanzdirektoren und Betriebsabteilungen zu Recht auf die verlockenden kommerziellen Möglichkeiten, welche die vernetzte Welt biete. Sie müssten aber auch wachsam bleiben, wenn die Gefahr von Sicherheitsverletzungen zunimmt. „Sicherheitsverantwortliche sollten daher mit der Faust auf den Tisch des Vorstands schlagen und auf Risikobewertungen, Sichtbarkeit und Segmentierung bestehen“, fordert Day sehr entschieden.
In dem Maße, wie die allgegenwärtige Konnektivität zunehme, werde die Zahl der mit Netzwerken verbundenen Geräte für große Unternehmen von Tausenden auf Millionen anwachsen. „Die Risiken werden spiralförmig ansteigen.“ Die Unternehmen würden auf Künstlicher Intelligenz (KI) und Maschinellem Lernen (ML) basierende Tools auf hohem Niveau benötigen, um all diese Geräte im Auge zu behalten. Ebenso werde hoch entwickelte Technologie erforderlich sein, um die vernetzten Geräte auf Sicherheitsbedrohungen zu scannen.

Konkretisierung der Terminologie vs. IoT als Werbebegriff

Sicherheitsverantwortliche hätten die Aufgabe, ihre Vorstände über die Risiken der Konnektivität aufzuklären und die für die Sicherheit notwendigen Lösungen und Budgets abzustecken. Der erste Ort, um damit zu beginnen, sei die Terminologie. „So vermittelt der Begriff ,Internet der Dinge‘ ein falsches Gefühl von Sicherheit. Es ist ein Werbebegriff“, so Day.
Geschäftsleute neigten dazu, das Internet der Dinge mit Konsumgütern wie Fitness-Tracker und Kühlschränke in Verbindung zu bringen. Sie stellen sich demnach vor, das IoT unterscheidet sich vom Industriellen Internet der Dinge (Industrial Internet of Things, IIoT), welches Roboter und Produktionslinien und andere industrielle Netzwerke wie OT (Operational Technology) und ICS (Industrial Control Systems) steuert. Zu diesen Industriellen Netzwerken gehörten beispielsweise jene, welche „in Kernkraftwerken eingesetzt werden, die das Ziel des berühmten ,Stuxnet‘-Angriffs waren“. Heute seien diese Systeme vollständig segmentiert. „Ein Teil der Macht, Dinge intelligent zu machen, besteht jedoch genau darin, sie mit anderen Dingen zu verbinden, um noch intelligentere Systeme zu schaffen.“

Warnung: IoT für Verbraucher könnte leicht zum Gateway in Industrielle Netzwerke werden

Day präzisiert: „In dem Maße, wie alles immer mehr miteinander verbunden wird, könnte das IoT für Verbraucher leicht zu einem Gateway in Industrielle Netzwerke werden. Ein Unternehmen könnte in seinem Bürogebäude einen intelligenten Verkaufsautomaten aufstellen und diesen drahtlos über das Internet mit einem Lieferanten verbinden, um den Inhalt aufzufüllen. Der Verkaufsautomat würde sich wahrscheinlich im selben Computernetzwerk befinden wie das Gebäudemanagementsystem, welches die Klimaanlage und andere Funktionen steuert.“
Dies mache diese Systeme anfällig für menschliche Fehler, wie etwa temporäre Verbindungen, welche aus Zeitgründen vorgenommen und die dann nie wieder entfernt würden. Das Unternehmen könnte auch einen Wert darin sehen, „dass das industrielle und das geschäftliche Netzwerk miteinander verbunden werden, was wiederum ein Risiko darstellt“.

Illegales Software-Update könnte leicht IoT-Komponenten bedrohen

In solchen Fällen könnte etwas so Einfaches wie ein illegales Software-Update, das auf den autonomen Automaten geladen wird, möglicherweise Code an die Produktionsanlage senden und diese stilllegen. „Ein Schaden in Millionenhöhe wäre die Folge. Das mag wie ein Weltuntergangsszenario klingen, aber es ist absolut realisierbar.“ Solche Angriffe seien bereits auf Geldautomatennetzwerke verübt worden, bei denen Angreifer Code in das Netzwerk eingeschleust hätten, um Gelder umzuleiten.
Eine weitere Herausforderung liege in der Fülle von Protokollen und Sprachen, welche vernetzte Geräte zum Senden und Empfangen von Daten verwenden. Software für Künstliche Intelligenz und Maschinelles Lernen könne diese Sprachen lesen und übersetzen. Da jedoch jeden Tag neue Geräte und Dienste auf den Markt kämen, sei dies ein bewegliches Ziel, und die Software müsse regelmäßig überprüft werden, um eine möglichst effektive Überwachung zu gewährleisten.

Segmentierung der IoT-Anlagen entscheidend für Schutz strategischer Operationen

Ein wichtiger Schritt zur Sicherung eines Netzwerks bestehe darin, die kritischen Aktivitäten des Unternehmens zu identifizieren und sie mit Schutzmaßnahmen zu umgeben. Für produzierende Unternehmen sei die Produktionslinie der Schlüsselprozess. Die wesentlichen Maschinen müssten von anderen Teilen des Internetnetzwerks des Unternehmens wie Marketing, Vertrieb und Buchhaltung getrennt werden, stellt Day klar. „Für die meisten Unternehmen sind nur fünf bis zehn Prozent des Betriebs kritisch. Die Segmentierung dieser Anlagen ist entscheidend für den Schutz strategischer Operationen vor Angriffen.“
Eines der größten Risiken der vernetzten Welt bestehe darin, dass etwas recht Triviales, wie ein billiger IoT-Sensor, der in eine Türklingel oder ein Aquarium eingebaut ist, am Ende einen enormen Einfluss auf ein Unternehmen haben könnte. „Dies wäre der Fall, wenn eine solche Komponente in den falschen Kommunikationsfluss gerät und zu einem Einstiegspunkt für einen Cyber-Angriff wird.“

Jedes IoT-Gerät sollte sich nur zweckgebunden mit anderen verbinden dürfen

Um diesen Risiken zu begegnen, sollte die Segmentierung im Mittelpunkt der damit verbundenen Strategie jedes Unternehmens stehen. „Das bedeutet, den Zweck jedes Geräts und Objekts, das mit einem Netzwerk verbunden ist, zu definieren und Grenzen zu setzen. Das jeweilige Gerät sollte sich nur mit den Teilen des Netzwerks verbinden dürfen, die erforderlich sind, um einen bestimmten Zweck zu erfüllen.“
Bei 5G helfe ein als „Network Slicing“ bekanntes System bei der Segmentierung: Diesea trenne mobile Daten in verschiedene Ströme. Jeder Datenstrom sei vom nächsten isoliert, so dass das Ansehen von Videos auf einem separaten Datenstrom gegenüber einer Sprachverbindung erfolgen könne. Dadurch werde das System in handhabbare Abschnitte unterteilt, was auch die Sicherheit erhöhe, da die verschiedenen Operationen getrennt und segmentiert blieben. Um eine allgemeine Segmentierung zu erreichen, müssten Unternehmen ständig alle ihre Verbindungen, Geräte und vernetzten Elemente analysieren und eine klare Vorstellung vom Zweck jedes einzelnen haben.

IoT im Klartext: Es geht um allgegenwärtige Konnektivität

Day kritisiert: „Der Begriff IoT trivialisiert die Konnektivität, ohne eindringlich auf die Gefahren einzugehen. Führungskräfte in der Wirtschaft neigen dazu, unterschiedliche Vorstellungen davon zu haben, was IoT ausmacht.“ Für die einen umfasse es einen an einen Home-Computer angeschlossenen Drucker, für die anderen erstrecke es sich auf Gebäudemanagementsysteme und intelligente Stromzähler, andere verstünden darunter Verbindungen zu Industriellen Netzwerken. Eine solche Verwirrung untergrabe die Aufgabe, jedes an das Netzwerk angeschlossene Gerät zu schützen und zu segmentieren.
Aus diesem Grund wäre es besser, von der „allgegenwärtigen Konnektivität“ zu sprechen, da dies den zusammenhängenden Charakter der Geräte hervorhebe. Das IoT werde derzeit jedoch vor allem als gewinnsteigernde Geschäftsmöglichkeit beworben, ohne die Risiken zu erwähnen. Die „allgegenwärtigen Konnektivität“ dagegen helfe Führungskräften zu verstehen, „dass mit der Konnektivität auch Sicherheitsrisiken verbunden sind“. Days Aufforderung gegenüber Führungskräften: „Sie sollten begreifen, wie wichtig es ist, Sichtbarkeit, Überwachung und Segmentierung in ihre Strategien einzubauen.“

Weitere Informationen zum Thema:

SecurityRoundtable.org, Sam Greengard, 26.02.2018
With Iot, Security Must Be Built in from the Beginning

[datensicherheit.de, 28.07.2020] Das Internet der Dinge (engl.: IoT) setzt sich offensichtlich im großen Stil durch, weil die potenziellen Vorteile immens erscheinen: Ob es sich um Gebäude- und Straßenlichtsensoren, Überwachungskameras, IP-Telefone, Point-of-Sale-Systeme, Konferenzraumtechnik und vieles mehr handelt – „das IoT ist im Netzwerk und im Unternehmen längst Realität“. Es sei zu einem wesentlichen Teil der Infrastruktur für jedes Unternehmen und jede Branche geworden. Dies hat nach Ansicht von Palo Alto Networks auch erhebliche Auswirkungen auf die Relevanz der damit verbundenen IT-Sicherheit.

IoT-Geräte mit einzigartigen Sicherheits-Herausforderungen

IoT-Geräte stellten Sicherheitsteams vor einzigartige Herausforderungen. Sie seien an das zentrale Netzwerk eines Unternehmens angebunden, doch im Allgemeinen „nicht verwaltet“. Verschiedene IoT-Geräte verwendeten unterschiedliche Hardware, Betriebssysteme und Firmware.
Meistens seien sie auch unreguliert, würden mit unbekannten oder ungepatchten Schwachstellen ausgeliefert, und oft übersteige ihre Nutzungsdauer ihre unterstützte Lebensdauer. Laut dem „2020 Unit 42 IoT Threat Report“ sind 57 Prozent der IoT-Geräte „anfällig für Angriffe mittlerer oder hoher Schwere“ und 98 Prozent des gesamten IoT-Geräteverkehrs würden unverschlüsselt abgewickelt.

IoT-Geräte könnten zur Durchführung von Cyber-Angriffen „bewaffnet“ werden I

Eine der größten Befürchtungen sei, dass diese Geräte zur Durchführung von Cyber-Angriffen „bewaffnet“ werden könnten. IT-Sicherheitsexperten von Palo Alto Networks haben nach eigenen Angaben zuletzt festgestellt, dass die „Sofacy Group“ (auch „Fancy Bear“ oder „APT28“) gängige IoT-Geräte wie VoIP-Telefone, Bürodrucker und Videodecoder kompromittiert habe, um mehrere Unternehmensnetzwerke zu infiltrieren. Dies sei nur einer von vielen solchen IoT-Sicherheitsvorfällen.
Es sei schwer genug, die Risiken einzuschätzen und Richtlinien für IoT-Geräte durchzusetzen, die für Unternehmensprojekte eingesetzt werden. Viele IoT-Geräte würden aber auch ohne das Wissen der IT-Abteilung in Unternehmen eingesetzt. Diese Geräte seien schwierig genug zu sichern, aber hinzukomme, dass die IT-Abteilung sie erst einmal identifizieren müsse – und dies sei „eine ganz eigene Herausforderung“.

Gesamten IoT-Sicherheits-Lebenszyklus mittels Maschinellem Lernen schützen

Die herkömmliche Netzwerk-Perimeter-Verteidigung sei für diese Sicherheitsherausforderungen schlecht gerüstet. Neue Anbieter von IoT-Sicherheitslösungen seien oft nicht in der Lage, diese Probleme vollständig zu bewältigen. Sie beschränkten sich auf die Identifizierung nur bekannter Gerätetypen und verfügten über manuelle, regelbasierte „Richtlinien-Engines“, die nicht skalierbar seien. Sie verwendeten oft eine schwerfällige Implementierung von Einzwecksensoren, die je nach Einsatz die Integration mit anderen Anbietern erfordere. Bestehende Ansätze würden dem Bedarf einfach nicht gerecht.
Der effektivere Weg zur Bewältigung der IoT-Sicherheits-Herausforderungen bestehe darin, den gesamten IoT-Sicherheits-Lebenszyklus zu schützen. Der Kern dieses Ansatzes sei das sogenannte Maschinelle Lernen (ML). Palo Alto Networks hat nach eigenen Angaben im Herbst 2019 „Zingbox“ integriert – eine patentierte dreistufige Plattform für Maschinelles Lernen. Diese soll Unternehmen bei der Entdeckung und Identifizierung nicht verwalteter Geräte im Netzwerk unterstützen.

Automatisch neue IoT-Geräte erfassen, Risiken bewerten und Erkenntnisse in Richtlinien umzuwandeln

Diese Technologie sei mittlerweile um patentierte „App-ID“-Technologie erweitert worden. Dies ermögliche es nun, automatisch neue IoT-Geräte zu erfassen, Risiken zu bewerten und die Erkenntnisse in Richtlinien umzuwandeln, um das IoT schützen.
Durch die Anwendung der umfassenden Präventionsfähigkeiten könne die IoT-Sicherheit mit der gesamten Palette der anderen Cloud-basierten Sicherheitsabonnements kombiniert werden, um alle bekannten und unbekannten, auf IoT- und OT-Geräte abzielenden Bedrohungen zu stoppen.

Vereinfachung der Implementierung von IoT-Sicherheit

Eine Komplettlösung erfordere im Idealfall keine dedizierten Sensoren, kein anderes Produkt für die Durchsetzung, keine manuellen Fingerabdruck-Technologien oder das mühsame Zählen von IoT-Geräten für die Lizenzierung.
Um den begleitenden Aufwand gering zu halten, werde IoT-Security vermehrt als Subskription geliefert. Diese ermögliche es Sicherheitsteams, nicht verwaltete IoT-Geräte mit jedem ML-unterstützten Next-Generation-Firewall-Formfaktor zu erfassen – über Hardware-Appliances, virtualisierte Firewalls oder über Cloud-basierte „Secure Access Service Edge“ (SASE)-Netzwerksicherheitsservices.

Seit Kurzem: IoT-Sicherheit per ML-unterstützter Next-Generation-Firewall

Seit Kurzem böten Hersteller auch IoT-Sicherheit auf ML-unterstützten Next-Generation-Firewalls, die als Sensor und Durchsetzungspunkt dienten. Dies ermögliche auf kosteneffiziente Weise die Erfassung von nicht verwalteten IoT-Geräten und deren Schutz. Hierzu gehöre auch die Durchsetzung von Sicherheitsrichtlinien an Orten, an denen keine Firewalls vorhanden sind, so dass Unternehmen nicht mehr mehrere Produkte kaufen und integrieren oder betriebliche Prozesse ändern müssten, um eine vollständige IoT-Sicherheitslösung zu erhalten.
Unabhängig davon, wie weit ein Unternehmen auf dem Weg zur Einführung des Internets der Dinge bereits ist – für die Sicherheit sei der Schutz der IoT-Investitionen von großer Bedeutung. Wie bei der IT-Sicherheit gelte es dabei nach Ansicht von Palo Alto Networks, „den Angreifern einen Schritt voraus zu sein“.

Weitere Informationen zum Thema:

paloalto NETWORKS, UNIT42, 10.03.2020
2020 Unit 42 IoT Threat Report

datensicherheit.de, 07.08.2019
Palo Alto Networks: Sieben Merkmale wirksamer Cloud-Sicherheitslösungen

[datensicherheit.de, 25.07.2020] Die „Unit 42“, das Malware-Forschungsteam von Palo Alto Networks, hat nach eigenen Angaben bei der Analyse eines Angriffs auf einen Telekommunikationsbetreiber eine neue Variante des „RDAT-Tools“ entdeckt, welches der Hacker-Gruppe „OilRig“ zuzuordnen sei. Das jüngste „Tool“ dieser Angreifer nutze einen neuartigen E-Mail-basierten Command-and-Control-Kanal (C2), der sich auf eine als Steganographie bekannte Technik stütze, um Befehle und Daten in Bitmap-Bildern als Anhang von E-Mails zu verstecken.

OilRig-Hacker nutzen RDAT-Backdoor seit mindestens drei Jahren

Diese „RDAT-Backdoor“ werde seit mindestens drei Jahren von der „OilRig“-Bedrohungsgruppe verwendet. In dieser Zeit sei dieses „Tool“ kontinuierlich weiterentwickelt worden, was zu zahlreichen Varianten mit Unterschieden in der Funktionalität und den verfügbaren C2-Kanälen geführt habe. Die Verwendung eines neuartigen C2-Kanals in Kombination mit Steganographie zeige die kontinuierliche Evolution verschiedener Taktiken und Techniken dieses Gegners im Laufe der Zeit.

Greenbug-Hacker griffen Telekommunikationsbetreiber in Südostasien an

Im Mai 2020 habe Symantec eine Forschungsarbeit über Angriffe der „Greenbug“-Gruppe vom April 2020 veröffentlicht, die sich gegen Telekommunikationsbetreiber in Südostasien gerichtet habe. Die Forscher von Palo Alto Networks beobachteten demnach „ähnliche Taktiken und ,Tools‘ im Zusammenhang mit Angriffen auf ein Unternehmen im Nahen Osten im April 2020“. Hierbei seien benutzerdefinierte „Mimikatz-Tools“, „Bitvise“, „PowerShell“-Downloader und eine benutzerdefinierte „Backdoor“, von den Forschern unter dem Namen „RDAT“ verfolgt, zum Einsatz.

Unit 42 sieht Verbindung zwischen Hacker-Gruppen Greenbug und OilRig

Die „Unit 42“ habe zuvor bereits „Greenbug“ mit „OilRig“ in Verbindung gebracht, einer Bedrohungsgruppe, welche das Forschungsteam nach eigenen Angaben 2015 entdeckt hatte. Das „RDAT“-Tool, das bei den Operationen von „OilRig“ eingesetzt worden sei, hätten die Forscher erstmals 2017 beobachtet. Später hätten sie jedoch ein verwandtes „Sample“ gefunden, welches 2018 erstellt worden sei und einen anderen Command-and-Control-Kanal verwendet habe. Bei der Analyse dieses „Samples“ hätten die Forscher einen neuartigen E-Mail-basierten C2-Kanal gefunden, der in Kombination mit Steganographie, einem Teilbereich der Kryptologie, zur Datenexfiltration verwendet worden sei.

Hacker entwickeln RDAT aktiv seit 2017

Seit 2017 werde „RDAT“ von der „Unit 42“ verfolgt, als deren Forscher zum ersten Mal gesehen hätten, „wie dieses ,Tool‘ in eine ,Webshell‘ hochgeladen wurde“. Diese sei mit der „TwoFace-Webshell“ verwandt, welche in dem am 26. September 2017 veröffentlichten „Striking Oil Blog“ diskutiert worden sei. „RDAT“ werde seit 2017 aktiv entwickelt, was zu mehreren Varianten dieses „Tools“ geführt habe, welche für die C2-Kommunikation sowohl auf HTTP- als auch auf DNS-Tunneling beruhten.

Im Juni 2018 griffen Hacker zusätzlich auf Steganographie zurück

Im Juni 2018 hätten die „RDAT“-Entwickler die Möglichkeit hinzugefügt, „Exchange Web Services“ (EWS) zum Senden und Empfangen von E-Mails für die C2-Kommunikation zu nutzen. Dieser E-Mail-basierte C2-Kanal sei in seinem Design neuartig, da er sich auf Steganographie stütze, um Befehle zu verbergen, und Daten innerhalb von BMP-Bildern exfiltriere, welche an die E-Mails angehängt seien. Diese Taktik könne dazu führen, „dass bösartige Aktivitäten viel schwieriger zu erkennen sind und dadurch den Angreifern höhere Chancen auf eine Umgehung der Verteidigungsmaßnahmen verschafft“.

Weitere Informationen zum Thema:

paloalto NETWORKS, UNIT42 , 22.07.2020
OilRig Targets Middle Eastern Telecommunications Organization and Adds Novel C2 Channel with Steganography to Its Inventory

paloalto NETWORKS, UNIT42 ,26.09.2017
Striking Oil: A Closer Look at Adversary Infrastructure

datensicherheit.de, 18.09.2018
Sicherheitsreport: Vorschau auf die Cybergefahren im Jahr 2019

[datensicherheit.de, 01.03.2020] Nach eigenen Angaben hat Palo Alto Networks und dessen Malware-Forschungsabteilung „Unit 42“ ein schädliches und potenziell gefährliches „Microsoft Word“-Dokument identifiziert, das demnach „als kennwortgeschütztes NortonLifelock-Dokument getarnt war“. Dieses sei in einer Phishing-Kampagne zur Bereitstellung des kommerziell erhältlichen Fernzugriffstools (Remote Access Tool, RAT) „NetSupport Manager“ verwendet worden. Der Einsatz eines fiktiven „NortonLifelock“-Dokuments, um Benutzer zur Aktivierung von Makros zu verleiten, mache diesen speziellen Angriff für die Sicherheitsexperten interessant.

RAT normalerweise für legitime Zwecke verwendet

Dieses RAT werde normalerweise für legitime Zwecke verwendet, um Administratoren den Fernzugriff auf Client-Rechner zu ermöglichen. Kriminelle hätten das RAT jedoch auf den Systemen ihrer Opfer installiert und sich so unbefugten Zugriff verschafft.
Die Verwendung von „NetSupport Manager“ bei Phishing-Kampagnen, um sich unbefugten Zugriff zu verschaffen, werde von Bedrohungsforschern mindestens schon seit 2018 beobachtet.

Aktivität Teil einer größeren Kampagne

Bei einer ersten Überprüfung der aktuellen Erkennung, die zuvor von der „Cortex XDR Engine“ markiert worden sei, hätten die IT-Sicherheitsexperten festgestellt, „dass die Kausalitätskette begann, als ein ,Microsoft Word‘-Dokument aus ,Microsoft Office Outlook‘ heraus geöffnet wurde“.
Obwohl den Forschern die eigentliche E-Mail nicht zur Verfügung stehe, hätten sie den Schluss ziehen können, „dass diese Aktivität Teil einer größeren Kampagne zu sein scheint“.

Cyber-Angreifer setzen Ausweichtechniken ein

Bei dieser Aktivität hätten die Cyber-Angreifer Ausweichtechniken eingesetzt, um sowohl die dynamische als auch die statische Analyse zu umgehen. Zur Installation der bösartigen Dateiaktivität komme das „PowerShell PowerSploit“-Framework zum Einsatz.
Durch zusätzliche Analysen habe das Forschungsteam verwandte Aktivitäten identifiziert, die bis Anfang November 2019 zurückreichten. Im ausführlichen Bericht zu dieser Bedrohung beschreibe „Unit 42“ die anomalen Aktivitäten, die durch die Verhaltenserkennungsfunktionen von „Cortex XDR“ beobachtet worden seien.

Weitere Informationen zum Thema:

paloalto NETWORKS, UNIT 42, 27.02.2020
Cortex XDR Detects New Phishing Campaign Installing NetSupport Manager RAT

datensicherheit.de, 07.08.2019
Palo Alto Networks: Sieben Merkmale wirksamer Cloud-Sicherheitslösungen

[datensicherheit.de, 29.07.2019] „Unit 42“, die Malware-Forschungsabteilung von Palo Alto Networks, hat neue Forschungsergebnisse zur Cyber-Bedrohung „MyDoom“ veröffentlicht – ein erstmals Anfang 2004 entdeckter berüchtigter Computerwurm. Diese Malware sei bereits unter den „Top Ten der zerstörerischsten Computerviren“ zu finden – mit einem bis dato „geschätzten Schaden von 38 Milliarden US-Dollar“. Obwohl seine Blütezeit inzwischen lange zurückliege, sei dieser Wurm weiterhin präsent in der Cyber-Bedrohungslandschaft. So hätten die Forscher von Palo Alto Networks beispielsweise erst 2017 die Aktivitäten von „MyDoom“ in einem auf die auf die EMEA-Region fokussierten „Threat Report“ dokumentiert.

MyDoom-Auftreten in den Jahren 2015 bis 2018 relativ konstant

Das Auftreten von „MyDoom“ sei in den letzten Jahren (2015 bis 2018) relativ konstant geblieben und habe bei den Kunden von Palo Alto Networks durchschnittlich etwa 1,1 Prozent aller E-Mails mit Malware im Anhang ausgemacht. Die Verbreitung von „MyDoom“ erfolge über E-Mail via SMTP.
Bei der Überprüfung einzelner Malware-Samples im gleichen Zeitraum habe „MyDoom“ bei durchschnittlich 21,4 Prozent aller individuellen Malware-Anhänge in bösartigen E-Mails gelegen. „MyDoom ist polymorph und neigt dazu, für jede E-Mail unterschiedliche Datei-Hashes zu verwenden.“ Während die Anzahl der „MyDoom“-E-Mails relativ gering sei, ist demnach die Anzahl der Samples im Vergleich zu anderer Malware, die über E-Mail verbreitet wird, vergleichsweise höher.

Deutschland auf Platz 4 der MyDoom-Angriffsziele

Die Forscher von Palo Alto Networks erfassen nach eigenen Angaben „weiterhin jeden Monat Zehntausende von ,MyDoom‘-Samples“. Die „MyDoom“-Aktivitäten im ersten Halbjahr 2019 zeigten einen ähnlichen Durchschnitt wie das gesamte Jahr 2018, mit einem etwas höheren Prozentsatz an E-Mails und Malware-Samples.

• Die überwiegende Mehrheit der „MyDoom“-E-Mails stamme von in China registrierten IP-Adressen, gefolgt von den USA. Diese E-Mails würden an Empfänger auf der ganzen Welt verschickt, vor allem an Branchen wie High-Tech, Groß- und Einzelhandel, Gesundheitswesen, Bildungswesen und Fertigung.
• Die Quell-IP-Adressen der fünf wichtigsten, in den ersten sechs Monaten des Jahres 2019 erfassten Länder seien: China (349.454 E-Mails), USA (18.590 E-Mails), Großbritannien (10.151 E-Mails), Vietnam (4.426 E-Mails), Südkorea und (2.575 E-Mails).
• Die fünf wichtigsten Zielländer waren laut Palo Alto Networks: China (72.713 E-Mails), USA (56.135 E-Mails), Taiwan (5.628 E-Mails), Deutschland (5.503 E-Mails) und Japan (5.105 E-Mails).

Verwandlung durch MyDoom: Windows-Rechner zu Spambots

Anhänge aus solchen E-Mails seien ausführbare Dateien oder Zip-Archive, welche wiederum ausführbare Dateien enthielten. „MyDoom“-Malware verwandele einen infizierten „Windows“-Rechner in einen bösartigen Spambot, um dann wieder „MyDoom“-E-Mails an verschiedene E-Mail-Adressen zu senden.
Dies geschehe auch dann, wenn der infizierte „Windows“-Rechner keinen Mail-Client habe. Ein weiteres Merkmal von „MyDoom“ seien versuchte Verbindungen zu verschiedenen IP-Adressen über den TCP-Port 1042.

China und die USA Hauptempfänger der MyDoom-E-Mails

„MyDoom“ sei 2004 erstmals beobachtet worden und bis heute noch aktiv – ein Beweis für seine ursprünglich große, anhaltende Zerstörungskraft. Im Laufe der Jahre sei genügend Infrastruktur infiziert geblieben, so dass „MyDoom“ weiterhin in der heutigen Bedrohungslandschaft vertreten sei.
Obwohl ein relativ kleiner Prozentsatz der Malware-basierten E-Mails „MyDoom“ enthalte, bleibe diese Malware ständig präsent. Sowohl China als auch die USA seien die Hauptempfänger von „MyDoom“-E-Mails, obwohl die Verbreitung nach wie vor global sei und viele andere Länder – wie eben auch Deutschland – betreffe.

Weitere Informationen zum Thema:

paloalto NETWORKS, Brad Duncan, 26.07.2019
MyDoom Still Active in 2019

datensicherheit.de, 25.07.2019
Cloud-Sicherheit: Mehr als 34 Millionen Schwachstellen in AWS, Azure und GCP

datensicherheit.de, 10.05.2019
Unternehmen: Bedrohliche Entwicklung nigerianischer E-Mail-Angriffe