Cisco Talos Security Report

Ransomware-Szene immer heterogener

12. Mai 2022, 16:05 Uhr | Wilhelm Greiner | Kommentar(e)
Cyberkrimineller Hoodie-Träger
© Gorodenkoff - AdobeStock

Das Cisco Talos Incident Response (CTIR) Team sieht im ersten Quartal 2022 immer noch Ransomware an der Spitze der Aktivitäten von Cyberkriminellen. Zugleich nahmen die CTIR-Einsätze in Verbindung mit APTs (Advanced Persistent Threats, organisierte Angreifergruppen) zu.

Dazu gehörten die vom iranischen Staat gesponserte MuddyWater-APT und die China zugeordnete Gruppe Mustang Panda. Letztere verwenden USB-Laufwerke zur Verbreitung des PlugX-Remote-Access-Trojaners (RAT). Ein weiterer mutmaßlich chinesischer Angreifer namens Deep Panda nutzte die Log4j-Schwachstelle aus.

Die TK-Branche zählte wie schon in den vorangegangenen Quartalen zu den am häufigsten angegriffenen Wirtschaftszweigen. Gleich danach folgten das Bildungswesen und die öffentliche Hand.

Interessanterweise berichtet das Talos-Team, bei den Ransomware-Angriffen im ersten Quartal keine Ransomware-Familie doppelt beobachtet zu haben. Dies sei ein Anzeichen für stärkere Heterogenität der Ransomware-Angreifer. Man habe diesen Trend bereits letztes Jahr beobachtet.

In diesem Quartal traten laut CTIR zudem neue Ransomware-Familien auf, darunter Cerber (auch bekannt als CerberImposter), Entropy und Cuba. Ebenso habe man hochkarätige Ransomware-Familien wie Hive und Conti beobachtet. Laut der Analyse des CTIR-Teams exfiltrierten auch im aktuellen Quartal Ransomware-Angreifer sensible Daten, um eine doppelte Erpressung auszuführen. Dieser Trend sei bereits seit dem Winter 2019 erkennbar.

Das Talos-Team berichtet von einem Vorfall mit Cerber-Ransomware, bei dem der Angreifer Schwachstellen in GitLab ausnutzte, um Code aus der Ferne hochzuladen und auszuführen. So erhielt er Zugriff auf dieses System im Kontext des git-Kontos. Diese Vorgehensweise deckt sich mit Berichten anderer Sicherheitsanbieter über eine neue Version von Cerber-Ransomware, die auf Atlassian Confluence- und GitLab-Server mit älteren RCE-Schwachstellen (Remote Code Execution) abzielt.

Auf Ransomware folgte laut CTIR die Ausnutzung von Log4j als zweithäufigster Bedrohungsvektor. Das Apache-Protokollierungsdienstprogramm ist bei Unternehmen weltweit im Einsatz. Im Januar beobachtete das CTIR-Team eine wachsende Zahl von Aktivitäten, bei denen Angreifer versuchten, Log4j in anfälligen VMware Horizon-Servern auszunutzen.

Bei den meisten Angriffen war es laut den Talos-Fachleuten schwierig, einen Anfangsvektor zu identifizieren, was das CTIR-Team auf Mängel bei der Protokollierung und Sichtbarkeit zurückführt. Es gab es allerdings auch Einsätze, bei denen sie den ursprünglichen Vektor identifizieren konnten. In diesen Fällen nutzten Angreifer öffentlich zugängliche Anwendungen aus, die für Log4j anfällig waren.

„Viele dieser Angriffe hätten verhindert werden können“, so Holger Unterbrink, Technical Leader von Cisco Talos in Deutschland. „Aufgrund der untersuchten Angriffe empfehlen wir nachdrücklich eine Multi-Faktor-Authentifizierung für alle wichtigen Dienste, insbesondere der Endpoint-Detection-Response-Lösungen.“

Weitere Erkenntnisse des CTIR-Teams: Angriffe per Phishing, bei denen ein bösartiger Link oder ein Dokument zum Einsatz kamen, nahmen weiter zu. Parallel stiegen Bedrohungen per Social-Engineering-Techniken auf einen neuen Höchststand. Dabei tarne die Angreiferseite ihre Phishing-Tools immer besser als legitime Dateien oder Dienstprogramme. Zudem habe man eine Zunahme von Techniken verzeichnet, die auf ungepatchte und öffentlich zugängliche Anwendungen gerichtet waren.


Verwandte Artikel

Cisco

IT-Security

Matchmaker+