Brief unseres Lead Scientist

Willkommen bei unserem neuesten Threats-Report.

Als unsere Reise mit Trellix begann, wussten wir, dass wir durch die Kombination unseren beiden großen Backends einen einzigartigen Blick auf die aktuellen Entwicklungen in der Welt der Cyber-Bedrohungen erhalten würden. Die aktuelle Ausgabe enthält nun eine neue Kategorie, die unseren Lesern weitere Einblicke in die im Bereich E-Mail-Sicherheit beobachteten Bedrohungen liefert.

Wir haben uns gefreut, so viele von Ihnen auf der RSA-Konferenz zu sehen, wo wir verschiedene Teile unserer Forschungsergebnisse veröffentlicht und präsentiert haben: von einem Überblick über die in der Ukraine beobachteten Angriffe bis zu Schwachstellen, die wir in medizinischen Geräten und Zugangskontrolltechnologie für Gebäude entdeckten. Der vorliegende Bericht informiert über diese Ergebnisse, andere häufig beobachtete Bedrohungen und Angriffe sowie über unsere Daten und Erkenntnisse aus dem 1. Quartal 2022.

Auf der Black Hat, DEFCON, RSA und anderen Konferenzen freuen wir uns immer über die positiven Worte und Rückmeldungen zu unserem Threats-Report. Sie können uns aber auch zwischen den Konferenzen kontaktieren und jederzeit über die sozialen Medien ansprechen, wenn Sie einen Vorschlag haben oder weitere Informationen wünschen.

Bis zum nächsten Mal besuchen Sie bitte unseren Blog zu Trellix-Bedrohungsforschungen. Dort finden Sie unsere neuesten Inhalte, Videos und Untersuchungen zu Bedrohungen. 

– John Fokker
Lead Scientist

John Fokker Twitter

Entwicklungen in der russischen Cyber-Kriminalität

Öffentlich verfügbare Informationen belegen, dass russische cyberkriminelle Gruppen ununterbrochen aktiv sind. Ihre Taktiken, Techniken und Prozeduren (TTPs) haben sich im Laufe der Zeit nicht wesentlich weiterentwickelt, obgleich wir einige Veränderungen beobachtet haben. Die Bedrohungslandschaft hat sich in letzter Zeit insofern verändert, dass sich mehrere Domänen teilweise zusammengeschlossen haben. Wir verzeichnen diesen Trend zwar schon länger, aber die verstärkten digitalen Aktivitäten haben ihn weiter beschleunigt und zu Tage treten lassen.

Trellix hatte schon in der Vergangenheit eine beträchtliche Kundenbasis in der Ukraine. Als jedoch die Cyber-Angriffe auf das Land zunahmen, haben wir eng mit der Regierung und Partnern in der Industrie zusammengearbeitet, um mehr Transparenz in Bezug auf die sich weiterentwickelnde Bedrohungslandschaft bereitstellen zu können. Wir wollten die Region unbedingt bei der Abwehr feindlicher Cyber-Aktivitäten unterstützen und konnten über unser Know-how hinaus in der betroffenen Region kostenlos eine breite Palette von Sicherheits-Appliances bereitstellen. (Unser besonderer Dank geht an unsere Partner bei Mandiant für die Bereitstellung von Appliances in den Unternehmen, die den Schutz am dringendsten benötigten.)

Für unsere Kunden und das ukrainische Volk hat Trellix Threat Labs mit mehreren staatlichen Einrichtungen zusammengearbeitet, um sie mit den notwendigen Telemetrie- und Bedrohungsdaten sowie Analysen zu den von russischen Akteuren eingesetzten Malware-Tools zu versorgen. Ein großer Teil der Anstrengungen von Trellix lief im Verborgenen, weil der Schutz unserer Kunden für uns höchste Priorität hat.

In Zusammenarbeit mit RSA hat das Trellix Threat Labs-Team unsere Studie Growling Bears Make Thunderous Noise zu den Entwicklungen der russischen Cyber-Kriminalität im Zeitverlauf, zu den Auswirkungen eines (Cyber-)Krieges und zu den beobachteten Gruppen und Aktivitäten veröffentlicht.

Der Bericht enthält detaillierte Untersuchungsergebnisse nicht nur zu den Auswirkung des Cyber-Kriegs nach der russischen Invasion, sondern auch zu vielen Cyber-Gruppen und -Kampagnen im Zusammenhang mit dem Konflikt:

• Phishing im ukrainischen Verteidigungsministerium
• Gamaredon
• Wiper
• Angegriffene Exchange-Server
• UAC-0056
• APT28
• DoubleDrop

Weitere Informationen zu den Entwicklungen in der russischen Cyber-Kriminalität erhalten Sie im vollständigen Bericht.

Methoden

Die Backend-Systeme von Trellix stellen Telemetriedaten bereit, die wir als Input für unsere vierteljährlichen Threats-Reports nutzen. We combine our telemetry with open-source intelligence around threats and our own investigations into prevalent threats like ransomware, nation-state activity, etc.

Bei Telemetrie geht es um Erkennungen, nicht um Infektionen. Eine Erkennung wird erfasst, wenn eines unserer Produkte eine Datei, URL, IP-Adresse oder einen anderen Indikator erkennt und dies an uns meldet.

Die Privatsphäre unserer Kunden ist uns immer wichtig, auch bei der Telemetrie und Abbildung der Sektoren und Länder unserer Kunden. Der Kundenstamm variiert je nach Land und es ist möglich, dass die Zahlen zwar einen Anstieg zeigen, wir uns die Daten aber genauer ansehen müssen, um sie richtig interpretieren zu können. Ein Beispiel: Der Telekommunikationssektor liegt in unseren Daten oft weit oben. Das muss aber nicht zwangsläufig bedeuten, dass dieser Sektor übermäßig häufig angegriffen wird. Der Telekommunikationssektor umfasst auch Internetdienstanbieter (Internet Service Provider, ISP) mit eigenen IP-Adressräumen, die von Unternehmen erworben werden können. Das bedeutet, dass Meldungen aus dem IP-Adressraum des ISP werden zwar als Erkennungen für den Telekommunikationsbereich gewertet, könnten aber von ISP-Kunden stammen, die in einem anderen Sektor tätig sind.

Ransomware-Familien, USA, 1. Quartal 2022

Anfang 2022 waren wir optimistisch, als uns Nachrichten über die Festnahme mehrerer Mitglieder der Ransomware-Gruppe REvil in Russland durch den russischen FSB erreichten. Nach unseren Erkenntnissen spielten die betreffenden Personen innerhalb der kriminellen Gruppe nur eine untergeordnete Rolle. Unabhängig davon hatten wir jedoch die Hoffnung, dass dieser erste Hinweis auf eine Zusammenarbeit zu weiteren Festnahmen in Russland führen würde.

Seit der russischen Invasion der Ukraine Ende Februar 2022 wissen wir nun, dass dies Wunschdenken war. Der Krieg hat dazu geführt, dass sich die Cyber-Kriminellen aufteilten. Cyber-Kriminelle haben in der Geschichte schon oft politische Differenzen beiseitegeschoben, und so vermuteten wir, dass russische und ukrainische Ransomware-Kriminelle zum gemeinsamen finanziellen Vorteil zusammenarbeiten könnten.

Die Entscheidung für eine Seite wurde bei der Ransomware-Gruppe Conti besonders offensichtlich. Sie bekundete öffentlich ihre Unterstützung für die russische Administration und ihre Aktionen.

Dieses öffentliche Statement blieb natürlich nicht unbemerkt, und innerhalb weniger Tage begann ein anonymer Forscher, der unter dem Twitter-Namen @contileaks auftrat, mit der Veröffentlichung interner Conti-Kommunikation im Internet. Die geleakten Chats liefen über mehrere Jahre und bestanden aus Tausenden von Nachrichten, sodass wir sie „Panama-Papers der Ransomware“ tauften.

Trellix hat diese Chats eingehend untersucht und einen lesenswerten ausführlichen Blog veröffentlicht. Zu den Highlights, die wir in den Chats fanden, gehörte das öffentliche Statement der Gruppe, dass sie die russische Administration unterstützen und eine enge Beziehung zwischen der Conti-Führung und den russischen Geheimdiensten wahrscheinlich ist. Diese Verbindungen stützen die Beobachtungen des Berichts In the Crosshairs: Organizations and Nation-State Cyber Threats, den wir dieses Jahr bereits in Zusammenarbeit mit CSIS veröffentlicht haben. Eine der wichtigsten Erkenntnisse des Berichts war die Tatsache, dass die Grenzen zwischen staatlichen und nichtstaatlichen Akteuren immer mehr verschwimmen.

Initially we expected this communication breach to have a severe impact on the ransomware gang’s operation. Doch scheinbar verstärkten sie ihre Angriffe noch und setzten sie bis zu einem Punkt fort, an dem sie mit Costa Rica einen ganzen Staat in den Ausnahmezustand trieben. Zum Ende des 2. Quartals 2022 beobachteten wir dann, dass Conti-bezogene Infrastruktur abgebaut wurde. Dies ist jedoch nicht wirklich ein Grund zur Freude. Wenn wir bedenken, dass keine führenden Mitglieder dieser kriminellen Gruppe verhaftet wurden und dass es Verbindungen zu den russischen Geheimdiensten gibt, könnten wir Zeuge der Gründung einer hybriden Gruppe sein, die von der Regierung vorgegebene Ziele angreift, aber ihren Charakter als kriminelle Gruppe mit finanziellen Gewinnabsichten plausibel bestreiten kann. Die Ransomware könnte eine Doppelfunktion erfüllen, d. h. einerseits destabilisieren und andererseits von einer Operation zur Datenexfiltration ablenken.

Daher empfehlen wir allen Unternehmen dringend, Ransomware-TTPs genau im Auge zu behalten, insbesondere wenn sie russische staatlich finanzierte Gruppen bereits als wahrscheinlichste Bedrohung identifiziert haben.

In Bezug auf Innovationen sehen wir, dass die Conti-Gruppe ESXi-Hypervisoren angreift, die mit Linux laufen. Offenbar haben die Kriminellen erkannt, dass Virtualisierungsdienste in einem Unternehmen eine wichtige Rolle spielen. Dieser Trend zeigt sich bereits seit einiger Zeit, allerdings mit wechselndem Erfolg, weil VMs durch einen fehlerhafte Locker und/oder Decryptor beschädigt wurden.

Gibt es denn nur schlechte Nachrichten? Nein, nicht unbedingt. Die Statistiken von Coveware, einer Firma, die sich auf die Reaktion auf Ransomware-Zwischenfälle spezialisiert hat, zeigen für das 1. Quartal 2022 einen starken Rückgang von Fällen, bei denen Opfer zur Zahlung des Lösegelds an die Angreifer gezwungen wurden. Das macht Hoffnung, weil Nichtzahlung immer noch die beste Möglichkeit ist, das kriminelle Geschäftsmodell zu zerschlagen.

Kritische Fehler in Zugangskontrollsystemen für Gebäude

Kritische Infrastruktur stellt weiterhin eines der verlockendsten Ziele für Kriminelle auf der ganzen Welt dar. Diese Branche leidet unter veralteten Systemen, trivialen Hardware- und Software-Mängeln, Konfigurationsproblemen und extrem langen Update-Zyklen. Doch genau in dieser Branche gibt es viele Systeme, die für uns lebensnotwendig sind – von Treibstoff-Pipelines über die Wasseraufbereitung und Energienetze bis hin zur Gebäudeautomatisierung, Verteidigungssystemen u. v. m. 

Ein oft vernachlässigter Bereich der industriellen Kontrollsysteme ist die Zugangskontrolle bei Gebäude-Automatisierungs-Frameworks. Zugangskontrollsysteme sind gängige De-Facto-Lösungen, die Automatisierungs- und Fernverwaltungsfunktionen für Kartenleser sowie Ein- und Ausgänge sicherer Standorte bereitstellen.

Laut einer Studie von IBM aus dem Jahr 2021 belaufen sich die durchschnittlichen Kosten einer Kompromittierung der physischen Sicherheit auf 3,54 Millionen US-Dollar – und es dauert im Durchschnitt 223 Tage, bis eine Kompromittierung erkannt wird. Es steht viel auf dem Spiel für Unternehmen, die sich bei der Sicherheit von Betriebseinrichtungen auf Zugangskontrollsysteme verlassen.

Trellix Threat Labs hat vor kurzem neue Untersuchungen eines solchen Systems – einer universellen Zugangskontrolleinheit von HID Mercury – veröffentlicht. Viele OEM-Hersteller verlassen sich bei der Implementierung ihrer Zugangskontrolllösungen auf Platinen und Firmware von Mercury. Unser Team hat seine Erkenntnisse bei der Hardwear.io-Konferenz in Santa Clara am 9. Juni 2022 vorgestellt und wird diesen Sommer auch auf der Black Hat-Konferenz vertreten sein. Die Erkenntnisse zeigten vier Zero-Day-Schwachstellen und vier bereits gepatchte Schwachstellen, für die nie CVEs  veröffentlicht wurden. Die beiden kritischsten Schwachstellen führten zu Remote-Code-Ausführungen und willkürlichen Neustarts ohne jede Authentifizierung. Das heißt, Angreifer könnten in einem Gebäudenetzwerk Türen aus der Ferne verriegeln und entriegeln und die Erkennung durch die Management-Software verhindern. Die Forscher haben einen Blog vorbereitet, in dem sie ihre wichtigsten Erkenntnisse erläutern, und werden parallel zur Black Hat-Konferenz noch eine eingehende technische Analyse veröffentlichen. Darüber hinaus haben sie ein Demo-Video zum Angriff erstellt, bei dem zwei der Schwachstellen genutzt werden, um ein geklontes Zugangskontrollsystem aus einer Produktionsumgebung im Labor zu kompromittieren.

Demo-Video ansehen

Sicherheits-Updates

Carrier hat auf seiner Produktsicherheitsseite eine neue Empfehlung mit Einzelheiten zu Fehlern sowie mit empfohlenen Behebungsmaßnahmen und Firmware-Updates veröffentlicht. Das Anwenden von Hersteller-Patches sollte nach Möglichkeit immer die erste Maßnahme darstellen. 

Handlungsaufruf: Cyber-Sicherheit im vernetzten Gesundheitswesen

Das Gesundheitswesen ist aufgrund der zahlreichen Spezialgeräte wie Anästhesiegeräte, IV-Pumpen, Point of Care-Systeme, MRT-Geräte u. v. m. besonders für Angriffe gefährdet. Viele dieser Geräte gibt es weder in anderen Branchen, noch in einem typischen Haushalt. Ihr hochspezieller Charakter erzeugt ein falsches Gefühl der Sicherheit und führt dazu, dass die Sicherheitsforschungsbranche ihr wenig Beachtung schenkt.

Medizinische Geräte und Software bieten noch nicht einmal grundlegende Sicherheitsroutinen wie Funktionen zur Anmeldedaten-Verwaltung, dafür aber viele RCE-Schwachstellen. Das ist für Cyber-Kriminelle sehr verlockend, sodass diese Angriffsfläche nicht ewig unbemerkt bleiben wird. Daher müssen wir auf der Hut sein, um weitere Angriffe zu verhindern. Alle Verantwortlichen müssen aufgrund der vielzähligen Authentifizierungsschwachstellen erkennen, dass der medizinische Bereich mehr interne sowie externe Forschung braucht, um diese Geräte zuverlässig zu schützen. Dabei dürfen wir uns nicht nur auf Verwaltungssysteme und andere webbasierte Anwendungen konzentrieren, sondern müssen uns alle medizinische Geräte mit Netzwerkanbindung ansehen. Momentan scheinen diese Geräte nicht im Fokus böswilliger Akteuren liegen. Das heißt aber nicht, dass wir uns ausruhen dürfen. Die Auswahl an RCE-Schwachstellen und öffentlich verfügbarem Exploit-Code ist groß. Angreifer nutzen zwar andere Methoden für ihre Angriffe auf Krankenhäuser und Kliniken, werden aber schnell nach einfacheren Zugangswegen suchen, sobald die aktuellen Methoden versagen. Die Gesellschaft als Ganzes darf nicht zulassen, dass medizinische Geräte und Software weiterhin ausnutzbare Schwachpunkte bleiben. Deshalb muss sie Entwickler und Forscher gleichermaßen zu internen und externen Sicherheitstests aufrufen.

Die Details unserer Forschung können Sie in unserem neuesten Blog Connected Healthcare: A Cybersecurity Battlefield We Must Win nachlesen. Wir haben den aktuellen Zustand der Angriffsfläche im medizinischen Bereich mithilfe öffentlich verfügbarer Daten (z. B. aus CVE-Datenbanken) analysiert sowie aktive Bedrohungen und die Verbreitung der erkannten Schwachstellen ausgewertet. Wir glauben, dass mehr Partnerschaften zwischen Medizingeräteherstellern, medizinischen Betreuungseinrichtungen und Sicherheitsforschern in Kombination mit mehr Sicherheitstests erforderlich sind, damit die wachsende Angriffsfläche für böswillige Akteure nicht noch attraktiver wird.

Living off the Land

Wir beobachten die Entwicklungen bei Bedrohungsakteuren, bei den eingesetzten Taktiken, Techniken und Prozeduren (TTPs) sowie bei der verwendeten Malware. Darüber identifizieren und melden wir quartalsweise unschädliche und oft notwendige Standardbinärdateien, die missbraucht werden können und oft auch missbraucht werden, um verschiedene Phasen eines Angriffs zu implementieren. Wir müssen nicht nur die speziell erstellte und generische Malware sowie die abzuwehrenden Living off the Land-TTPs kennen, sondern auch den Feind und seine Ziele. Wenn wir uns etwas eingehender mit den LoLBins beschäftigen, stellt sich die Frage, wer diese Tools gegen uns einsetzt und warum.  Haben sie nicht die Fähigkeit, eigene Malware zu schreiben, die das gewünschte Ziel erreicht? Oder ist es einfach ein komfortables Angebot und der Versuch, nicht entdeckt zu werden? Letztendlich sind Bedrohungsakteure oft Angestellte wie jeder andere: Sie haben Meetings mit ihren Chefs, Tages-, Quartals- und Jahreszielvorgaben, müssen schnell arbeiten und erhalten einen Lohn. 

If we are going to honor our mission “To Deliver Living Security Everywhere” we must equip ourselves, our customers and our colleagues who are in the day-to-day fight to protect our critical information, infrastructures, and assets from those who seek to profit from the exploitation of vulnerabilities and theft of intellectual and organizational data. 

Bei welchen Binärdateien haben wir einen Missbrauch gesehen und wen haben wir als Täter im 1. Quartal 2022 identifiziert? 

E-Mail-Sicherheitstrends: 1. Quartal 2022

Eine Analyse der E-Mail-Telemetriedaten aus dem 1. Quartal 2022 hat E-Mail-Bedrohungstrends gezeigt, die auf Phishing-URLs und schädlichen Dokumenten basieren.

Die meisten erkannten schädlichen E-Mails enthielten eine Phishing-URL, mit der Anmeldedaten gestohlen oder Opfer zum Download von Malware bewegt werden sollten. An zweiter Stelle standen E-Mails mit schädlichen angehängten Dokumenten wie Microsoft Office- oder PDF-Dateien. Diese Dokumente enthalten Makros, die als Downloader oder Exploit fungieren und dem Angreifer die Kontrolle über das System des Opfers ermöglichen. Zudem trafen wir auf mehrere E-Mails mit schädlichen angehängten ausführbaren Dateien wie Information Stealern oder Trojanern.

Exploits

Die meisten verwendeten Exploits werden als Paket aus schädlichen RTF-Dateien, Microsoft Office-Dokumenten mit präparierten OLE-Objekten oder PDF-Dateien bereitgestellt, die mit Adobe Reader-Exploits oder schädlichen JS-Skripten infiziert sind. Die folgende Abbildung zeigt, dass es sich bei den Dateiformaten am häufigsten um Windows RTF, gefolgt vom neuesten Office-Format und dem alten Office-Format OLE handelt.