Finanzdienstleister im Fokus krimineller Akteure und Ransomware-Gruppen

Im neuen "Advanced Threat Research Report: January 2022" untersuchte Trellix das Verhalten und die Aktivitäten von Cyber-Kriminellen im dritten Quartal 2021.

Ransomware Business Computer Malware Privacy BreachRansomware Business Computer Malware Privacy BreachAndrey Popov – stock.adobe.com

Die Studie stellt unter anderem fest, dass Hacker-Gruppen trotz des Bestrebens, Ransomware-Aktivitäten aus Online-Foren zu verbannen, alternative Personas verwenden, um den Einsatz von Ransomware in immer mehr Branchen zu verbreiten. Am häufigsten sind der Finanzsektor, Versorgungsunternehmen und Einzelhändler betroffen, auf die insgesamt fast 60 Prozent der entdeckten Ransomware-Angriffe entfallen. Raj Samani, Chief Scientist und Fellow bei Trellix, erklärt:

Wir haben uns zum Ende des Jahres 2021 auf den wiedererstarkenden Pandemieverlauf und die Enthüllungen rund um die Log4j-Schwachstelle konzentriert. Bei unseren Untersuchungen der Cyber-Bedrohungsaktivitäten im dritten Quartal entdeckten wir allerdings bereits bemerkenswerte neue Tools sowie Taktiken von Ransomware-Gruppen und versierten globalen Bedrohungsakteuren.

Dieser Report bietet einen besseren Einblick in die Verwendung und den Missbrauch von Personas durch Ransomware-Gruppen. Er zeigt außerdem, wie staatliche APT-Akteure versuchen, tiefer in den Finanzsektor und andere kritische Branchen einzudringen und neue „Living off the Land“-Angriffe die systemeigenen Microsoft-Tools auf neue Art und Weise ausnutzen.

Ransomware-Gruppen tauchen wieder auf

Trellix stellte im dritten Quartal 2021 fest, dass die DarkSide-Ransomware-Gruppe trotz der Behauptung, ihre Aktivitäten eingestellt zu haben, unter dem Namen BlackMatter wiederaufgetaucht ist. BlackMatter nutzt viele der Methoden, die DarkSide beim Angriff auf Colonial Pipeline verwendete, und setzt ebenfalls auf den Ansatz der doppelten Erpressung: Die Gruppe droht, die Daten der Opfer zu veröffentlichen, wenn kein Lösegeld gezahlt wird.

Die Ransomware-Gruppe REvil/Sodinokibi übernahm die Verantwortung für die Ransomware-Attacke auf Kaseya VSA, die Hunderte von Supermärkten für mehrere Tage lahmlegte, und zeigte – wie bereits im zweiten Quartal 2021 – eine starke Verbreitung. Sie machte fast die Hälfte der von Trellix entdeckten Ransomware-Angriffe aus.

Da die Folgen von Ransomware auf Versorgungssysteme, die für den Alltag wichtig sind – wie beispielsweise die Treibstoff-, Getreide-, Lebensmittelversorgung – immer gravierender werden, hat die US-Regierung mit der Initiative StopRansomware.org Schritte unternommen, um ihre Cyber-Agenda voranzutreiben und diese Auswirkungen zu reduzieren. Sie zielt darauf ab, Akteure zu identifizieren und zu lokalisieren, die an Cyber-Aktivitäten auf kritische US-Infrastrukturen beteiligt sind.

Fortschrittliche Mustertechniken entwickeln sich weiter

Trellix beobachtete die Weiterentwicklung der Methoden hochversierter APT-Gruppen, mit denen sie Sicherheitskontrollen umgehen und ihre Operationen durchführen. Dazu identifizierte das Forschungsteam Indikatoren für Kompromittierungen, um Tools, die für die Ausführung von Angriffen verwendet werden, aufzudecken.

Zudem wurden im dritten Quartal Sicherheits-Tools wie Cobalt Strike von staatlichen Akteuren missbraucht, um sich Zugang zum Netzwerk ihrer Opfer zu verschaffen. Cobalt Strike ist ein Simulationswerkzeug für Angreifer, das häufig von ethischen Hackern verwendet wird, um Angriffsmethoden zu studieren und die Reaktion auf Vorfälle zu verbessern. Es wurde in mehr als einem Drittel der untersuchten APT-Kampagnen entdeckt, während Mimikatz, ein Post-Exploitation-Tool, in über einem Viertel der Kampagnen zum Einsatz kam. Hiermit verschaffen sich Angreifer tieferen Zugang zum Netzwerk eines Opfers oder erhöhen die Nutzerrechte, um Aufgaben auszuführen, nachdem sie Zugriff auf das Gerät des Opfers erhalten haben.

Darüber hinaus beobachtete Trellix folgende APT-Aktivitäten im dritten Quartal 2021:

  • Bedrohungsaktivitäten, die mutmaßlich von russischen und chinesischen Gruppen mit staatlicher Unterstützung ausgingen, waren für fast die Hälfte (zusammen 46 Prozent) aller beobachteten APT-Aktivitäten verantwortlich. Diese Einschätzung basiert auf der Analyse der verfügbaren technischen Indikatoren.
  • Bei fast 40 Prozent der von Trellix beobachteten APT-Aktivitäten war der Finanzsektor das Ziel, gefolgt von Versorgungsunternehmen, Einzelhändlern und Behörden.

„Living off the Land“ breitet sich aus

Im dritten Quartal wurden zudem vermehrt Angriffe mithilfe von Software durchgeführt, die sich bereits auf einem Zielsystem befindet. Diese Ausnutzung von Software und Funktionen – „Living off the Land“ (LotL) – wird häufig von staatlichen Akteuren und großen kriminellen Organisationen verwendet, um die Entwicklung eigener fortschrittlicher Tools zu vermeiden.

Trellix stellte fest, dass PowerShell und Windows Command Shell (CMD) in 40 Prozent der entdeckten LotL-Fälle verwendet wurden, um Befehle auszuführen und sich Zugang zu verschaffen. Zu den anderen häufig genutzten nativen Betriebssystem-Tools gehören Rundll32, WMIC und Excel sowie administrative Remote-Service-Tools wie AnyDesk, ConnectWise Control, RDP und WinSCP.

Q3 2021 Bedrohungsaktivitäten

Ransomware zahlt sich aus: REvil/Sodinokibi übernahm die Verantwortung für die erfolgreiche Infizierung von mehr als einer Million Systeme und forderte anschließend 70 Millionen US-Dollar – die bisher höchste öffentlich bekannte Lösegeldforderung.

APT MITRE ATT&CK-Techniken: Spear-Phishing-Anhänge, verschleierte Dateien oder Informationen sowie PowerShell waren die am weitesten verbreiteten APT MITRE ATT&CK-Techniken und machten fast die Hälfte der entdeckten Angriffe aus.

Branchenaktivität: Mit einem Anstieg von 21 Prozent im dritten Quartal steht der Finanzdienstleistersektor an der Spitze aller Branchen, die Cyber-Vorfälle öffentlich gemeldet haben. Dieser kritische Wirtschaftssektor war zudem über alle Branchen hinweg führend bei der Anzahl der entdeckten Ransomware-Samples und APT-Gruppen-Aktivitäten.

Malware-Familien: Formbook, Remcos RAT und LokiBot machten fast 80 Prozent der entdeckten Malware aus, wobei Formbook in mehr als einem Drittel der Fälle gefunden wurde. Obwohl Malware im dritten Quartal 2021 bei den gemeldeten Vorfällen am häufigsten zum Einsatz kam, ist die Anzahl der gemeldeten Malware-Vorfälle im Vergleich zum zweiten Quartal um 24 Prozent zurückgegangen.

Regionen: In Russland sank die Zahl der gemeldeten Vorfälle um 79 Prozent, während Frankreich einen Anstieg um 400 Prozent verzeichnete. In den USA wurden im dritten Quartal insgesamt die meisten Vorfälle gemeldet, die Anzahl ging jedoch gegenüber dem zweiten Quartal zurück.

LESEN SIE AUCH

Shot from the Back to Hooded Hacker Breaking into Corporate DataShot from the Back to Hooded Hacker Breaking into Corporate DataGorodenkoff – stock.adobe.comShot from the Back to Hooded Hacker Breaking into Corporate DataGorodenkoff – stock.adobe.com
Assekuranz

Ransomware-Vorfälle auf besorgniserregendem Niveau

Hacker nehmen zunehmend digitale Lieferketten ins Visier und starten massenhafte Cyberangriffe, um Geld von Unternehmen zu erpressen. Zwischen 2019 und 2022 stieg die Zahl der Cyber-Vorfälle, in denen Daten abfließen, auf fast 80 Prozent. Für 2023 ist ein weiterer signifikanter Anstieg absehbar.

Petya virus message on computer screen, cyberattack, hackers demanding moneyPetya virus message on computer screen, cyberattack, hackers demanding moneyPetya virus message on computer screen, cyberattack, hackers demanding money
Digitalisierung

So wappnen sich KMU erfolgreich gegen Cyber-Angriffe

Ransomware-Attacken sind eine existenzielle Bedrohung für Unternehmen jeder Größe geworden. Mit gesteigerter Raffinesse infiltrieren Hacker Netzwerke, lähmen Betriebsabläufe und richten irreparable Schäden an. Mit welchen präventiven Maßnahmen Unternehmen sich erfolgreich davor schützen können.

cyber crime phishing mail , security awareness training to protecyber crime phishing mail , security awareness training to protejanews094 – stock.adobe.comcyber crime phishing mail , security awareness training to protejanews094 – stock.adobe.com
Digitalisierung

Deutschland unter den Top-5-Hosts von Malware- und Phishing

Zwar sinkt die Malware-Infektionsrate insgesamt, nicht jedoch die Anzahl bösartiger URLs. Deutschland zählt zu den Top-5-Ländern, in denen solche Webseiten vornehmlich gehostet werden.

Cyber-Tunnel-285936019-AS-lassedesignenCyber-Tunnel-285936019-AS-lassedesignenlassedesignen – stock.adobe.comCyber-Tunnel-285936019-AS-lassedesignenlassedesignen – stock.adobe.com
Digitalisierung

So schützen Sie Ihr Unternehmen wirksam gegen Cyberangriffe

Unternehmen investieren zwar zunehmend in den Ausbau der eigenen IT- und Cybersicherheit, dennoch können sie das Risiko eines Cyberangriffs oft nicht mehr kontrollieren - aber immerhin stark eindämmen. Ein Überblick über die wichtigsten Maßnahmen zur Stärkung der IT-Sicherheit und Cyberresilienz.

Hacker in mask with laptop on dark backgroundHacker in mask with laptop on dark backgroundAfrica Studio – stock.adobe.comHacker in mask with laptop on dark backgroundAfrica Studio – stock.adobe.com
Digitalisierung

Aktuelle Cyberbedrohungen für die deutsche Wirtschaft

Deutschland ist das am stärksten von Ransomware betroffene Land in Europa und das vierte nach der Anzahl an kompromittierten Unternehmensnetzwerken. Zudem erbeuteten Info-Stealer die Zugangsdaten von knapp 700.000 deutschen Nutzerkonten.

Fabrik-Roboter-414599410-AS-Pugun-&-Photo-StudioFabrik-Roboter-414599410-AS-Pugun-&-Photo-StudioPugun & Photo Studio – stock.adobe.comFabrik-Roboter-414599410-AS-Pugun-&-Photo-StudioPugun & Photo Studio – stock.adobe.com
Assekuranz

Cybersicherheit in der Industrie: So schützen sich Unternehmen

Automatisierung und Industrie 4.0 führen nicht nur zu hoher Effizienz- und Produktivitätssteigerung, sondern auch vermehrt zu schweren Cyberangriffen. Welche Schutzmaßnahmen automatisierte Betriebe ergreifen können und wie sich Schaden begrenzen lässt.

Mehr zum Thema

Matt Benkendorf, Chief Investment Officer, Vontobel Quality GrowthVontobelMatt Benkendorf, Chief Investment Officer, Vontobel Quality GrowthVontobel
Finanzen

Vier Schlüsselthemen für die globalen Aktienmärkte im Jahr 2025

Von den Auswirkungen der KI-Welle bis hin zu geopolitischen Verschiebungen: Matt Benkendorf, Chief Investment Officer bei Vontobel Quality Growth, beleuchtet in einem Marktkommentar die vier zentralen Themen, die die globalen Aktienmärkte im Jahr 2025 prägen könnten.

Sind die Deutschen zu 'zinsverliebt'? Man sollte sich nicht allein durch die trügerische Sicherheit der Nominalzinsen leiten lassen, so Thomas Meier, Portfoliomanager bei MainFirst.DALL-ESind die Deutschen zu 'zinsverliebt'? Man sollte sich nicht allein durch die trügerische Sicherheit der Nominalzinsen leiten lassen, so Thomas Meier, Portfoliomanager bei MainFirst.DALL-E
Finanzen

Die Nominalzins-Illusion: Warum die Deutschen zu zinsverliebt sind

Trotz der geopolitischen Unsicherheiten gebe es kein Vorbeikommen an den Aktienmärkten, meint Thomas Meier, Portfoliomanager bei MainFirst.

Rick de los Reyes, Sector Portfolio Manager und Head of Commodities bei T. Rowe PriceT. Rowe PriceRick de los Reyes, Sector Portfolio Manager und Head of Commodities bei T. Rowe PriceT. Rowe Price
Finanzen

„Fast alle Währungen verlieren an Wert – Gold bleibt stabil“

Gold erweist sich als stabiler Wertaufbewahrer, insbesondere in Zeiten von Inflation und Währungsabwertung. Im Interview erläutert Rick de los Reyes, Sector Portfolio Manager und Head of Commodities bei T. Rowe Price, wie Vermittler den langfristigen Wert von Gold erklären können.

Dr. Eduard Baitinger ist seit 2015 Leiter Asset Allocation der FERI AG.FERI AGDr. Eduard Baitinger ist seit 2015 Leiter Asset Allocation der FERI AG.FERI AG
Finanzen

Aufwärtstrend an den Aktienmärkten hält trotz Risiken an

Trotz geopolitischer Spannungen und wirtschaftlicher Herausforderungen setzen die globalen Börsen ihren Höhenflug fort, getragen von den starken US-Märkten und dem KI-Hype. Dr. Eduard Baitinger (FERI AG) beleuchtet die wichtigsten Trends und Risiken.

WorldSpectrum / pixabayWorldSpectrum / pixabay
Finanzen

Volatilitätsindikatoren auf den Kryptomärkten: Ein umfassender Leitfaden

Die Märkte für Kryptowährungen sind sehr volatil. Mit sogenannten Volatilitätsindikatoren lässt sich der Schwankungsgrad messen. Welche dieser Indikatoren es gibt und welche Bedeutung sie haben.

Raten-Kauf / pixabayRaten-Kauf / pixabay
Finanzen

Zinsen für Festgeld und Tagesgeld sinken

Viele Banken und Sparkassen haben nach der letzten Leitzinssenkung der Europäischen Zentralbank ihre Zinsen für Festgeld und Tagesgeld reduziert.