Der neue Malware Trends Report des Varonis Forensik-Teams untersucht die aktuellsten Bedrohungen für Unternehmen und Organisationen weltweit. Hierbei ist eine große Bandbreite an Techniken und Zielen zu beobachten: So stellt mit 44 Prozent der untersuchten Vorfällen Ransomware das größte Risiko dar, jedoch zeigen sich auch weitere besorgniserregende Entwicklungen, etwa im Bereich Diebstahl von geistigem Eigentum.
Mit 43 Prozent der untersuchten Vorfälle stellt Ransomware nach wie vor die größte Herausforderung für Sicherheitsverantwortliche dar. Auf dem zweiten Platz folgt Malware (15 %) gefolgt von Brute-Force-Angriffen, APTs und professionellen Cyberkriminellen sowie die Kompromittierung von Geschäfts-E-Mails (jeweils 14 %).
Ryuk
Ryuk ist eine Art von Ransomware, die im August 2018 entdeckt wurde und spätestes seit Anfang 2019 auch im deutschsprachigen Raum eingesetzt wird. Ryuk unterscheidet sich von anderen Ransomware-Varianten wie z.B. WannaCry dadurch, dass er vor allem bei gezielten Angriffen verwendet wird. Bekannte Ryuk-Varianten haben zwei Hauptinfektionsmethoden: zum einen speziell gestaltete Spear-Phishing-E-Mails, die sich in der Regel an bestimmte Mitarbeiter innerhalb eines Unternehmens richten, und zum anderen die Verwendung vorab erworbener Zugangsdaten für den Zugriff auf Geräte eines Unternehmens über Remote-Desktops. In jüngster Zeit ließ sich beobachten, dass Ryuk auch den Zerologon-Exploit (CVE-2020-1472) ausnutzt, der es den Cyberkriminellen ermöglicht, ihre Privilegien viel schneller als mit anderen Methoden zu eskalieren: Angreifer nutzen das Passwort des primären Domänencontrollers, um sich intern mit den übrigen Domänencontrollern zu verbinden und so die entsprechende Ransomware im Netzwerk zu verteilen.
Silent Librarian APT
Silent Librarian, auch bekannt als COBALT DICKENS oder TA407, ist ein mutmaßlich staatlich unterstützter iranischer Bedrohungsakteur, der Spear-Phishing-Techniken zum Angriff vor allem auf Universitäten einsetzt, um so akademische Forschungsergebnisse zu erbeuten. Derzeit sind verstärkt Angriffe in den USA zu verzeichnen, jedoch wurden auch schon deutsche Hochschulen attackiert. Hierzu werden speziell Universitätsmitarbeiter und Studenten angegangen. Dabei verwendet Silent Librarian Domainnamen, die dem echten Domainnamen der Universität sehr ähnlich sind: So wird beispielsweise statt der echten Domäne der Western University Canada (login.proxy1.lib.uwo.ca) eine leicht veränderte und auf den ersten Blick nicht sofort zu erkennende Variante (login.proxy1.lib.uwo.ca.sftt.cf) verwendet. Um den Hosting-Standort zu verbergen, setzen die Angreifer zudem auf Cloudflare. Dies könnte darauf hinweisen, dass die Angreifer nicht in der Lage sind, Hosting-Kapazitäten in anderen, „unauffälligeren“ Ländern zu erwerben.
Mekotio
Mekotio ist ein spezieller Banking-Trojaner, der erstmals 2015 beobachtet wurde. In den letzten Jahren haben Banking-Trojaner bei Cyberkriminellen deutlich an Beliebtheit gewonnen, da sie als Payload eines erfolgreichen Angriffs sehr profitabel sein können. Damit sie nicht von Antiviren- und EDR-Lösungen entdeckt werden, müssen sie sich ständig verändern und weiterentwickeln. Hierfür ist der insbesondere in Lateinamerika verbreitete Trojaner Mekotio ein gutes Beispiel: Offensichtlich werden ständig mehrere Varianten von Mekotio gleichzeitig entwickelt. Die Verbreitung erfolgt zumeist über Spam-Mails, wobei ein mehrstufiger Ansatz verwendet wird. Die Malware verfügt über fortschrittliche Funktionen, mit denen zuerst Firewall-Konfigurationen, Windows-Version, installierte Sicherheitslösungen und mögliche Administratorenrechte des Opfers identifiziert werden können. Neben den üblichen Features wie Keylogging und dem Erstellen von Screenshots enthält Mekotio mehrere interessante Funktionalitäten, wie das Exfiltrieren von im Google Chrome-Browser gespeicherten Anmeldeinformationen, den Diebstahl von Krypto-Währung durch Ersetzen von Zeichenfolgen in der Zwischenablage und die teilweise Zerstörung von Daten durch Entfernen von Dateien und Ordnern in System-Verzeichnissen. Aufgrund der unterschiedlichen Finanzsysteme in den verschiedenen Ländern sind die Varianten von Banking-Trojanern tendenziell standortspezifisch angepasst. Mekotio ist hier eines von vielen Beispielen. Dennoch sind bereits Varianten außerhalb des ursprünglichen Einsatzgebiets aufgetaucht.