Sicherheitsstudie: Malware-Angreifer werden immer professioneller

Das BeyondTrust Incident Response Team hat für seinen Malware Threat Report 2021 Angriffe auf Kunden untersucht und dabei 150 Angriffsketten dokumentiert.

In Pocket speichern vorlesen Druckansicht 10 Kommentare lesen

(Bild: VideoFlow/Shutterstock.com)

Lesezeit: 2 Min.
Von
  • André von Raison

BeyondTrust, Anbieter von Privileged-Access-Management-Lösungen, hat erstmals den Malware Thread Report 2021 veröffentlicht. Dazu untersuchte das Incident-Response-Team des Herstellers gemeinsam mit betroffenen Kunden über den Zeitraum eines Jahres reale Angriffe und glich diese mit dem MITRE ATT&CK-Framework ab. Zwischen dem jeweils ersten Quartal 2020 und 2021 konnten die Sicherheitsexperten so 150 dort aufgeführte Angriffsketten ausmachen. Dabei ging mehr als die Hälfte der Vorfälle auf das Konto von Emotet und Trickbot/RYUK, ein weiteres Drittel auf das von Loki, AgentTesla und NJRat.

Die häufigsten Malware-Stämme, die BeyondTrust Labs von Q1 2020 bis Q2 2021 identifiziert hat.

(Bild: BeyonTrust)

Ein Ergebnis der Forscher ist die zunehmende Professionalisierung von Malware-Angreifern. Die neueste Generation setze noch mehr auf mehrstufige Angriffe und attackiere komplette Unternehmensumgebungen. Ein typischer Verlauf mit mehreren Akteuren, Tools und Plattformen könne wie folgt aussehen:

  • Die Angreifer mieten das Necurs-Botnet und setzen es zur Verteilung von Spam-Nachrichten ein.
  • Die Spam-Mails enthalten mit Schadcode versehene Dokumente, um eine Trickbot-Infektion auszulösen.
  • Trickbot sammelt Anmeldedaten, greift auf E-Mails zu und bewegt sich per „Network Lateral Movement“ im gesamten Netzwerk. Gestohlene Daten werden zum Verkauf angeboten oder für weitere Attacken genutzt.
  • Nach umfassender Kompromittierung eines Unternehmensnetzes verkaufen Hacker den Backdoor-Zugang zum Netzwerk an den Meistbietenden.
  • Der Käufer verteilt die Ransomware RYUK anschließend über Trickbot-Command-and-Control-Server.

Der Abgleich mit dem MITRE ATT&ACK-Framework habe sich als effektive Methode zum Erkennen und Abwehren vieler Malware-Stämme erwiesen. Zwei Drittel der dort empfohlenen Technologien setzen auf ausgefeiltes Rechtemanagement zur Minimierung der Risiken. Das Entfernen von Adminrechten und die Implementierung von Applikationskontrollen verhinderten die aktuell häufigsten Cyber-Risiken und -Bedrohungen durch Schadsoftware, heißt es im Ergebnisüberblick der Studie. Die vollständige Studie steht nach einer Registrierung zum freien Download bereit.

(avr)