Im neuen "Advanced Threat Research Report: January 2022" untersuchte Trellix das Verhalten und die Aktivitäten von Cyber-Kriminellen im dritten Quartal 2021.
Die Studie stellt unter anderem fest, dass Hacker-Gruppen trotz des Bestrebens, Ransomware-Aktivitäten aus Online-Foren zu verbannen, alternative Personas verwenden, um den Einsatz von Ransomware in immer mehr Branchen zu verbreiten. Am häufigsten sind der Finanzsektor, Versorgungsunternehmen und Einzelhändler betroffen, auf die insgesamt fast 60 Prozent der entdeckten Ransomware-Angriffe entfallen. Raj Samani, Chief Scientist und Fellow bei Trellix, erklärt:
Wir haben uns zum Ende des Jahres 2021 auf den wiedererstarkenden Pandemieverlauf und die Enthüllungen rund um die Log4j-Schwachstelle konzentriert. Bei unseren Untersuchungen der Cyber-Bedrohungsaktivitäten im dritten Quartal entdeckten wir allerdings bereits bemerkenswerte neue Tools sowie Taktiken von Ransomware-Gruppen und versierten globalen Bedrohungsakteuren.
Dieser Report bietet einen besseren Einblick in die Verwendung und den Missbrauch von Personas durch Ransomware-Gruppen. Er zeigt außerdem, wie staatliche APT-Akteure versuchen, tiefer in den Finanzsektor und andere kritische Branchen einzudringen und neue „Living off the Land“-Angriffe die systemeigenen Microsoft-Tools auf neue Art und Weise ausnutzen.
Ransomware-Gruppen tauchen wieder auf
Trellix stellte im dritten Quartal 2021 fest, dass die DarkSide-Ransomware-Gruppe trotz der Behauptung, ihre Aktivitäten eingestellt zu haben, unter dem Namen BlackMatter wiederaufgetaucht ist. BlackMatter nutzt viele der Methoden, die DarkSide beim Angriff auf Colonial Pipeline verwendete, und setzt ebenfalls auf den Ansatz der doppelten Erpressung: Die Gruppe droht, die Daten der Opfer zu veröffentlichen, wenn kein Lösegeld gezahlt wird.
Die Ransomware-Gruppe REvil/Sodinokibi übernahm die Verantwortung für die Ransomware-Attacke auf Kaseya VSA, die Hunderte von Supermärkten für mehrere Tage lahmlegte, und zeigte – wie bereits im zweiten Quartal 2021 – eine starke Verbreitung. Sie machte fast die Hälfte der von Trellix entdeckten Ransomware-Angriffe aus.
Da die Folgen von Ransomware auf Versorgungssysteme, die für den Alltag wichtig sind – wie beispielsweise die Treibstoff-, Getreide-, Lebensmittelversorgung – immer gravierender werden, hat die US-Regierung mit der Initiative StopRansomware.org Schritte unternommen, um ihre Cyber-Agenda voranzutreiben und diese Auswirkungen zu reduzieren. Sie zielt darauf ab, Akteure zu identifizieren und zu lokalisieren, die an Cyber-Aktivitäten auf kritische US-Infrastrukturen beteiligt sind.
Fortschrittliche Mustertechniken entwickeln sich weiter
Trellix beobachtete die Weiterentwicklung der Methoden hochversierter APT-Gruppen, mit denen sie Sicherheitskontrollen umgehen und ihre Operationen durchführen. Dazu identifizierte das Forschungsteam Indikatoren für Kompromittierungen, um Tools, die für die Ausführung von Angriffen verwendet werden, aufzudecken.
Zudem wurden im dritten Quartal Sicherheits-Tools wie Cobalt Strike von staatlichen Akteuren missbraucht, um sich Zugang zum Netzwerk ihrer Opfer zu verschaffen. Cobalt Strike ist ein Simulationswerkzeug für Angreifer, das häufig von ethischen Hackern verwendet wird, um Angriffsmethoden zu studieren und die Reaktion auf Vorfälle zu verbessern. Es wurde in mehr als einem Drittel der untersuchten APT-Kampagnen entdeckt, während Mimikatz, ein Post-Exploitation-Tool, in über einem Viertel der Kampagnen zum Einsatz kam. Hiermit verschaffen sich Angreifer tieferen Zugang zum Netzwerk eines Opfers oder erhöhen die Nutzerrechte, um Aufgaben auszuführen, nachdem sie Zugriff auf das Gerät des Opfers erhalten haben.
Darüber hinaus beobachtete Trellix folgende APT-Aktivitäten im dritten Quartal 2021:
- Bedrohungsaktivitäten, die mutmaßlich von russischen und chinesischen Gruppen mit staatlicher Unterstützung ausgingen, waren für fast die Hälfte (zusammen 46 Prozent) aller beobachteten APT-Aktivitäten verantwortlich. Diese Einschätzung basiert auf der Analyse der verfügbaren technischen Indikatoren.
- Bei fast 40 Prozent der von Trellix beobachteten APT-Aktivitäten war der Finanzsektor das Ziel, gefolgt von Versorgungsunternehmen, Einzelhändlern und Behörden.
„Living off the Land“ breitet sich aus
Im dritten Quartal wurden zudem vermehrt Angriffe mithilfe von Software durchgeführt, die sich bereits auf einem Zielsystem befindet. Diese Ausnutzung von Software und Funktionen – „Living off the Land“ (LotL) – wird häufig von staatlichen Akteuren und großen kriminellen Organisationen verwendet, um die Entwicklung eigener fortschrittlicher Tools zu vermeiden.
Trellix stellte fest, dass PowerShell und Windows Command Shell (CMD) in 40 Prozent der entdeckten LotL-Fälle verwendet wurden, um Befehle auszuführen und sich Zugang zu verschaffen. Zu den anderen häufig genutzten nativen Betriebssystem-Tools gehören Rundll32, WMIC und Excel sowie administrative Remote-Service-Tools wie AnyDesk, ConnectWise Control, RDP und WinSCP.
Q3 2021 Bedrohungsaktivitäten
Ransomware zahlt sich aus: REvil/Sodinokibi übernahm die Verantwortung für die erfolgreiche Infizierung von mehr als einer Million Systeme und forderte anschließend 70 Millionen US-Dollar – die bisher höchste öffentlich bekannte Lösegeldforderung.
APT MITRE ATT&CK-Techniken: Spear-Phishing-Anhänge, verschleierte Dateien oder Informationen sowie PowerShell waren die am weitesten verbreiteten APT MITRE ATT&CK-Techniken und machten fast die Hälfte der entdeckten Angriffe aus.
Branchenaktivität: Mit einem Anstieg von 21 Prozent im dritten Quartal steht der Finanzdienstleistersektor an der Spitze aller Branchen, die Cyber-Vorfälle öffentlich gemeldet haben. Dieser kritische Wirtschaftssektor war zudem über alle Branchen hinweg führend bei der Anzahl der entdeckten Ransomware-Samples und APT-Gruppen-Aktivitäten.
Malware-Familien: Formbook, Remcos RAT und LokiBot machten fast 80 Prozent der entdeckten Malware aus, wobei Formbook in mehr als einem Drittel der Fälle gefunden wurde. Obwohl Malware im dritten Quartal 2021 bei den gemeldeten Vorfällen am häufigsten zum Einsatz kam, ist die Anzahl der gemeldeten Malware-Vorfälle im Vergleich zum zweiten Quartal um 24 Prozent zurückgegangen.
Regionen: In Russland sank die Zahl der gemeldeten Vorfälle um 79 Prozent, während Frankreich einen Anstieg um 400 Prozent verzeichnete. In den USA wurden im dritten Quartal insgesamt die meisten Vorfälle gemeldet, die Anzahl ging jedoch gegenüber dem zweiten Quartal zurück.