Threat Trend Report: MacOS-Ransomware, Malware-as-a-Service und Wasserloch-Angriffe

Alarm

Laut Threat Trends Report des Varonis Forensik-Teams stellen mit 29 Prozent der untersuchten Vorfälle Inside-Bedrohungen gemeinsam mit Cloud-Angriffen die größte Herausforderung für Sicherheitsverantwortliche dar. Malware, Brute-Force-Attacken und gezielte Angriffe (APTs) teilen sich mit jeweils 14 Prozent den dritten Platz. Die Sicherheitsforscher weisen zudem auf vier aktuelle Bedrohungen hin.

MacOS-Ransomware EvilQuest

EvilQuest (auch bekannt als ThiefQuest und Mac.Ransom.K) ist die dritte Ransomware-Variante für macOS-Geräte, die in freier Wildbahn gefunden wurde. Im Gegensatz zu den meisten Ransomware-Varianten verwendet sie eine symmetrische Verschlüsselung, bei der der gleiche Schlüssel sowohl für das Ver- als auch das Entschlüsseln verwendet wird. Die Ransomware enthält auch eine Funktion zur Datenexfiltration, bei der drei externe Python-Skripte verwendet werden, die HTTP-Post-Anfragen senden können. Sie sucht zudem nach SSH-Schlüsseln und vorhandenen Zertifikaten.

Das Varonis-Forensik-Team fand deutliche Hinweise, dass sich die Ransomware noch in der Entwicklung befindet und noch nicht in ihrer endgültigen Form vorliegt. So ist beispielsweise die Entschlüsselungsfunktionalität noch nicht vollständig implementiert. Entsprechend dürfte die Gefahr für MacOS-Nutzer in Zukunft weiter steigen.

Malware-as-a-Service Agent Tesla

Die Spyware Agent Tesla wurde bereits 2014 erstmals beobachtet und wird als Malware-as-a-Service vertrieben: Cyberkriminelle können bequem auf der „offiziellen“ Website eine Abonnementlizenz für die Schadsoftware erwerben. Die Seite ist überaus nutzerfreundlich gestaltet und erinnert bewusst an legitime Seiten. Bislang wurde Agent Tesla meist über Phishing-E-Mails verbreitet, um Daten von den kompromittierten Geräten zu stehlen. Neuere Versionen der Malware zielen auf gespeicherte Anmeldedaten ab und konzentrieren sich auf Passwörter für VPN- und E-Mail-Dienste. Hintergrund hierfür dürfte die weite Verbreitung von Homeoffice-Arbeitsplätzen in der jüngsten Zeit sein.

Die neue Version missbraucht auch scheinbar legitime und vertrauenswürdige Dienste wie Telegram als Plattformen zur Datenexfiltrierung, um traditionelle netzwerkbasierte Erkennungen zu umgehen.

Linux-Malware Drovorub

Im August 2020 warnten FBI und NSA erstmals vor der Linux-Malware Drovorub, die offensichtlich von der staatlich unterstützten Hacker-Gruppe Fancy Bear (oft auch als APT28 oder Sofacy bezeichnet) entwickelt wurde. Die Varonis-Forensiker konnten sie nun in der freien Wildbahn nachweisen. Das hochentwickelte Post-Exploitation-Tool kombiniert drei verschiedene Dienstprogramme: ein Rootkit für den Betriebssystemkern, eine Portweiterleitungs- und Dateiübertragungskomponente sowie ein C2-Kommunikationsdienstprogramm. Die Software ist darauf ausgelegt, eigene Prozesse, Dateien und Netzwerk-Aktivitäten vor allen anderen Prozessen auf dem System geschickt zu verstecken und kann entsprechend nur sehr schwer erkannt werden.

Datendiebstahl durch StrongPity

Nachdem die 2012 erstmals gesichtete Malware StrongPity zuletzt im November 2020 entdeckt wurde, tauchte sie Anfang des Jahres erneut auf. Hinter ihr steckt die türkische Promethium-Gruppe, die gezielt Finanz- und Industrieunternehmen sowie Bildungseinrichtungen in Europa angreift. Die Schadsoftware wird über den sogenannten Wasserloch-Ansatz verbreitet. Hier werden Webseiten, die von Mitarbeitern der ins Visier genommenen Unternehmen häufig aufgesucht werden („Wasserlöcher“), gezielt mit Malware infiziert.

Wurde die Malware auf diesem Weg installiert, sucht sie gezielt nach bestimmten, vorher festgelegten Daten (etwa basierend auf Datei-Endungen). Die gefundenen Dateien werden dann in eine ZIP-Datei komprimiert, die dann verschlüsselt, in mehrere Teile aufgeteilt und als versteckt markiert wird. Diese aufgeteilten Dateien werden dann über Web-POST-Anfragen an den C2-Server des Angreifers gesendet. Auf diese Weise wird eine Erkennung oft umgangen, da POST-Anfragen mit kleinen Nutzlasten in den meisten Unternehmen als normale Aktivitäten gelten. Zuletzt werden die gesendeten Pakete von der Festplatte des Opfers gelöscht.