Sicherheitsstudie: Malware-Angreifer werden immer professioneller
Das BeyondTrust Incident Response Team hat für seinen Malware Threat Report 2021 Angriffe auf Kunden untersucht und dabei 150 Angriffsketten dokumentiert.
BeyondTrust, Anbieter von Privileged-Access-Management-Lösungen, hat erstmals den Malware Thread Report 2021 veröffentlicht. Dazu untersuchte das Incident-Response-Team [1] des Herstellers gemeinsam mit betroffenen Kunden über den Zeitraum eines Jahres reale Angriffe und glich diese mit dem MITRE ATT&CK-Framework [2] ab. Zwischen dem jeweils ersten Quartal 2020 und 2021 konnten die Sicherheitsexperten so 150 dort aufgeführte Angriffsketten ausmachen. Dabei ging mehr als die Hälfte der Vorfälle auf das Konto von Emotet [3] und Trickbot/RYUK [4], ein weiteres Drittel auf das von Loki, AgentTesla und NJRat.
Mehr Professionalität der Angreifenden
Ein Ergebnis der Forscher ist die zunehmende Professionalisierung von Malware-Angreifern. Die neueste Generation setze noch mehr auf mehrstufige Angriffe und attackiere komplette Unternehmensumgebungen. Ein typischer Verlauf mit mehreren Akteuren, Tools und Plattformen könne wie folgt aussehen:
- Die Angreifer mieten das Necurs-Botnet und setzen es zur Verteilung von Spam-Nachrichten ein.
- Die Spam-Mails enthalten mit Schadcode versehene Dokumente, um eine Trickbot-Infektion auszulösen.
- Trickbot sammelt Anmeldedaten, greift auf E-Mails zu und bewegt sich per „Network Lateral Movement“ im gesamten Netzwerk. Gestohlene Daten werden zum Verkauf angeboten oder für weitere Attacken genutzt.
- Nach umfassender Kompromittierung eines Unternehmensnetzes verkaufen Hacker den Backdoor-Zugang zum Netzwerk an den Meistbietenden.
- Der Käufer verteilt die Ransomware RYUK anschließend über Trickbot-Command-and-Control-Server.
Der Abgleich mit dem MITRE ATT&ACK-Framework habe sich als effektive Methode zum Erkennen und Abwehren vieler Malware-Stämme erwiesen. Zwei Drittel der dort empfohlenen Technologien setzen auf ausgefeiltes Rechtemanagement zur Minimierung der Risiken. Das Entfernen von Adminrechten und die Implementierung von Applikationskontrollen verhinderten die aktuell häufigsten Cyber-Risiken und -Bedrohungen durch Schadsoftware, heißt es im Ergebnisüberblick der Studie. Die vollständige Studie steht nach einer Registrierung [5] zum freien Download bereit.
(avr [7])
URL dieses Artikels:
https://www.heise.de/-6229062
Links in diesem Artikel:
[1] https://www.heise.de/news/Aus-der-iX-11-2021-Wie-Sie-sich-effektiv-gegen-Ransomware-schuetzen-6224589.html
[2] https://attack.mitre.org/
[3] https://www.heise.de/themenseite/themenseite_4539891.html
[4] https://www.heise.de/news/Trickbot-55-jaehrige-Litauerin-angeklagt-6063012.html
[5] https://www.beyondtrust.com/resources/whitepapers/malware-threat-report-2021
[6] https://www.heise.de/ix/
[7] mailto:avr@ix.de
Copyright © 2021 Heise Medien