Einführung
Seit der Veröffentlichung unserer ersten vierteljährlichen Ausgabe im Januar 2023 hat sich der BlackBerry Global Threat Intelligence Report schnell zu einem wichtigen Referenzhandbuch in der Cybersicherheitsbranche entwickelt. Dieser Bericht wird von Cybersecurity-Fachleuten auf der ganzen Welt, einschließlich CISOs, Sicherheitsmanagern und anderen Entscheidungsträgern, genutzt, um sich über die neuesten Cybersecurity-Bedrohungen und -Herausforderungen zu informieren, die ihre Branchen und Plattformen betreffen.
In dieser neuen Ausgabe untersucht unser globales Bedrohungsforschungs- und -aufklärungsteam BlackBerry die Herausforderungen für Regierungen und öffentliche Einrichtungen, die Schwachstellen im Gesundheitswesen, die Risiken für Finanzinstitute und die Wichtigkeit des Schutzes lebenswichtiger Infrastrukturen. Wir fügen auch eine neue geopolitische Analyse und einen Kommentarteil hinzu, der zusätzlichen Kontext liefert und den präsentierten Daten eine strategische Perspektive verleiht. Der Bericht umfasst den Zeitraum von März 2023 bis Mai 2023.
Hier einige der Highlights:
- 90 Tage in Zahlen. Von März 2023 bis Mai 2023 wurden mit BlackBerry® Cybersecurity-Lösungen über 1,5 Millionen Angriffe abgewehrt. Im Durchschnitt führten Bedrohungsakteure etwa 11,5 Angriffe pro Minute aus. Diese Bedrohungen umfassten etwa 1,7 neue Malware-Muster pro Minute. Dies entspricht einem Anstieg von 13 Prozent gegenüber dem Durchschnitt von 1,5 neuen Samples pro Minute im vorangegangenen Berichtszeitraum und zeigt, dass die Angreifer ihre Werkzeuge diversifizieren, um Abwehrmaßnahmen zu umgehen, insbesondere solche, die auf Signaturen und Hashes basieren.
- Die meisten Zielbranchen. Das Gesundheitswesen und die Finanzdienstleistungsbranche gehörten zu den am häufigsten angegriffenen Branchen. Im Gesundheitswesen stellt die Kombination aus wertvollen Daten und kritischen Diensten ein lukratives Ziel für Cyberkriminelle dar, was zu Ransomware-Banden führt, die es direkt auf Gesundheitsorganisationen abgesehen haben, und zur Verbreitung von Malware, die Informationen stiehlt (Infostealer). Dieser Bericht unterstreicht, wie wichtig es ist, Patientendaten zu schützen und die ununterbrochene Erbringung wichtiger medizinischer Dienstleistungen zu gewährleisten.
- Fernzugriff erhöht das Cyber-Risiko. Finanzinstitute sind aufgrund ihrer wirtschaftlichen Bedeutung und ihres Reichtums an sensiblen Daten ständigen Bedrohungen ausgesetzt. Dieser Bericht befasst sich mit den Herausforderungen des Finanzsektors, darunter die zunehmende Verfügbarkeit von Standard-Malware, Ransomware-Angriffe und die Zunahme von Mobile-Banking-Malware, die auf digitale und mobile Bankdienstleistungen abzielt.
- Länderspezifische Cyberangriffe. Im zweiten Quartal 2023 waren die APT28 und die Lazarus Group, staatlich geförderte Bedrohungsakteure mit Verbindungen zu Russland bzw. Nordkorea, sehr aktiv. Diese Bedrohungsakteure haben es in der Vergangenheit vor allem auf die Vereinigten Staaten, Europa und Südkorea abgesehen. Sie konzentrieren sich auf Regierungsbehörden, militärische Organisationen, Unternehmen und Finanzinstitute und stellen eine ernsthafte Bedrohung für die nationale Sicherheit und die wirtschaftliche Stabilität dar. Diese Bedrohungsgruppen passen ihre Techniken ständig an, was die Verteidigung gegen ihre Angriffe zu einer Herausforderung macht.
- Schlusswort und Ausblick. Abschließend präsentieren wir unsere Schlussfolgerungen und unsere Prognose für die Cyberbedrohungen in den kommenden Monaten des Jahres 2023.
Um verwertbare und kontextbezogene Informationen über Cyber-Bedrohungen zu liefern, werden in den Abschnitten "Common MITRE Techniques" und "Applied Countermeasures and Remediation" die 20 wichtigsten von Bedrohungsgruppen verwendeten Techniken zusammengefasst und die Trends mit dem letzten Quartalsbericht verglichen. So haben wir beispielsweise festgestellt, dass die fünf am häufigsten verwendeten Taktiken in die Kategorien Entdeckung und Umgehung der Verteidigung fallen. Die als Teil dieser Taktiken gemeldeten Techniken können in violette Teamübungen integriert und zur Priorisierung von Taktiken, Techniken und Verfahren (TTPs) im Rahmen praktischer Übungen zur Bedrohungsmodellierung verwendet werden.
Darüber hinaus nutzte das BlackBerry Threat Research and Intelligence-Team MITRE D3FEND™, um eine vollständige Liste von Gegenmaßnahmen für alle in diesem Zeitraum verwendeten Techniken zu entwickeln. MITRE D3FEND ist in unserem öffentlichen GitHub-Repository verfügbar. Dieser Bericht listet die effektivsten Sigma-Regeln auf, um die bösartigen Verhaltensweisen zu erkennen, die von den 224.851 einzelnen Samples gezeigt wurden, die BlackBerry Cybersecurity-Lösungen powered by Cylance® KI in diesem Berichtszeitraum stoppten. Unser Ziel ist es, die Leser in die Lage zu versetzen, unsere Erkenntnisse in ihre eigenen praktischen Fähigkeiten zur Bedrohungssuche und -erkennung zu übertragen.
Abschließend möchte ich unserem Elite-Team von globalen Forschern des BlackBerry Threat Research and Intelligence-Teams dafür danken, dass sie auch weiterhin erstklassige und marktnahe Forschungsergebnisse produzieren, die unsere Leserschaft informieren und aufklären und gleichzeitig die datengesteuerten Produkte und Dienste von BlackBerry und Cylance KI kontinuierlich verbessern. Wir hoffen, dass Sie die detaillierten und umsetzbaren Daten in unserer neuesten Ausgabe zu schätzen wissen.
Ismael Valenzuela
Vizepräsident, Bedrohungsforschung und Aufklärung bei BlackBerry
@aboutsecurity
Angriffe nach Land und Branche
Cyberangriffe nach Land
Die fünf Länder mit den meisten Cyberangriffen
Abbildung 1 zeigt die fünf Länder, in denen BlackBerry Cybersecurity-Lösungen die meisten Cyberangriffe verhinderten und in denen einzigartige bösartige Muster verwendet wurden. Wie im vorangegangenen Berichtszeitraum hat BlackBerry die meisten Angriffe in den Vereinigten Staaten verhindert. Seitdem haben wir in der Region Asien-Pazifik (APAC) Zuwächse zu verzeichnen, wobei Südkorea und Japan in die Top 3 aufgestiegen sind. Sowohl Neuseeland als auch Hongkong schafften den Sprung in die Top 10. Auch wenn die Vereinigten Staaten nach wie vor an der Spitze stehen, haben wir eine weitaus größere Streuung der Länder festgestellt, in denen diese neuen Muster beobachtet wurden.
Angriffe nach Branchen
Laut der Telemetrie von BlackBerry sind nachstehend die wichtigsten Branchen mit der höchsten Verbreitung von Cyberangriffen aufgeführt, die BlackBerry Cybersecurity-Lösungen während dieses Berichtszeitraums geschützt haben:
- Finanzinstitute
- Dienstleistungen und Ausrüstung im Gesundheitswesen, einschließlich Krankenhäuser, Kliniken und medizinische Geräte
- Regierung/öffentliche Einrichtungen
- Kritische Infrastrukturen
In diesem Berichtszeitraum waren die angegriffenen Branchen vielfältiger als im letzten Bericht. Abbildung 2 zeigt die Verteilung der Cyberangriffe auf die drei wichtigsten Branchen. Sie zeigt auch, dass es eine umgekehrte Beziehung zwischen den Branchen auf den Plätzen 1 bis 3 bei den abgewehrten Angriffen und den abgewehrten eindeutigen Hashes gibt:
Regierung/öffentliche Einrichtungen
Regierungsorganisationen sind attraktive Ziele für Bedrohungsakteure, deren Motive geopolitischer, finanzieller oder störender Natur sein können. Da es sich bei den Bedrohungsakteuren um Privatpersonen, kleine Gruppen oder staatlich gesponserte APT-Gruppen (die APT-Taktiken verwenden) handeln kann, müssen Regierungsorganisationen sich gegen eine Vielzahl von Bedrohungen schützen.
In diesem Berichtszeitraum haben die Cybersecurity-Lösungen von BlackBerry mehr als 55.000 individuelle Angriffe auf den Regierungs- und öffentlichen Dienstleistungssektor abgewehrt, was einem Anstieg von fast 40 % gegenüber dem vorherigen Berichtszeitraum entspricht.
BlackBerry Cybersecurity-Lösungen haben die meisten Angriffe auf Regierungsbehörden in Nordamerika und in der APAC-Region abgewehrt, wobei Australien, Südkorea und Japan die am stärksten angegriffenen Länder der Region waren.
Die größten Bedrohungen durch die Regierung
Im vergangenen Berichtszeitraum dokumentierte das Threat Research and Intelligence Team von BlackBerry mehrere kostengünstige und leicht zugängliche Malware-Familien, die auf Regierungseinrichtungen abzielten, darunter RedLine, Emotet und RaccoonStealer (RecordBreaker). Die Standard-Malware-Loader PrivateLoader und SmokeLoader zielten ebenfalls auf den Regierungssektor ab.
DCRat, auch bekannt als Dark Crystal RAT, wurde in diesem Berichtszeitraum dokumentiert. DCRat wird seit 2019 häufig beobachtet und ermöglicht es Bedrohungsakteuren, die Kontrolle über das Gerät eines Opfers zu übernehmen, das dann als bequemer Zugangspunkt zur kompromittierten Umgebung dient.
Untersuchung der größeren Bedrohungslandschaft der Regierung
Dieser Berichtszeitraum war stark von Nachrichten über Ransomware-Gruppen geprägt, die es auf die Systeme von Stadt- und Staatsverwaltungen in Nordamerika abgesehen hatten und in diese eindrangen.
Im März griff die Ransomware-Gruppe LockBit die StadtOakland1 in Kalifornien an. Die Gruppe betreibt einen Ransomware-as-a-Service (RaaS) und wendet in der Regel mehrere Taktiken und Techniken an, um Netzwerke zu infiltrieren, kritische und vertrauliche Informationen zu identifizieren und Daten zu exfiltrieren, die als Sicherheiten in doppelten Erpressungsversuchen verwendet werden, um die Opfer zur Zahlung größerer Lösegeldforderungen zu zwingen. In diesem Berichtszeitraum hat sich die Bedrohungsgruppe BlackByte außerdem für Royal Ransomware-Angriffe auf die Städte Dallas, Texas, und Augusta, Georgia, verantwortlich erklärt.
Die Ransomware-Gruppe Clop (auch als Cl0P oder CLOP bezeichnet) ist ein ähnlicher RaaS, der beobachtet wurde, wie er die inzwischen gepatchte Sicherheitslücke CVE-2023-06692 in der Managed-File-Transfer-Anwendung (MFT) GoAnywhere ausnutzt. Nachdem diese Schwachstelle aufgedeckt wurde, bekannte sich Clop zu mehreren anderen Angriffen im Berichtszeitraum, darunter ein Angriff auf die StadtToronto3 in Kanada, bei dem die Gruppe behauptet, Geräte verschlüsselt und Metadaten von über 35.000 Bürgern exfiltriert zu haben.
Auch Polen war ein Ziel von Angriffen. Nach Angaben vonReuters4 wurde die polnische Steuerbehörde im März durch einen mutmaßlichen russischen Cyberangriff lahmgelegt. Nach Angaben des polnischen Beauftragten fürInformationssicherheit5 hat die mit Russland verbündete Gruppe NoName die Angriffe initiiert, die er nach heutigen Maßstäben als "einfach" bezeichnete.
Im Mai griff die Hacktivistengruppe Mysterious Team mit einem DDoS-Angriff (Distributed Denial of Service) die Websites der Regierung und des Finanzministeriums im Senegal6 an.
Gesundheitswesen
Der Gesundheitssektor ist eine der Branchen, die am häufigsten ins Visier von Bedrohungsakteuren geraten. Da sie kritische Dienste bereitstellen, können Gesundheitssysteme und -infrastrukturen nicht über längere Zeiträume offline sein. Das macht sie zu verlockenden Zielen für Ransomware-Banden, die ihre Opfer zu einer schnellen Zahlung zwingen, damit der Gesundheitsdienstleister seinen Betrieb wieder aufnehmen kann. Einem aktuellen Bericht des FBI Internet Crime Complaint Center (IC3) zufolge waren das Gesundheitswesen und die öffentliche Gesundheit im Jahr 2022 mit 210 offiziell gemeldeten Angriffen der am häufigsten von Ransomware-Banden angegriffene kritische Infrastruktursektor in den USA.7
Der Gesundheitssektor wird auch wegen des Wertes der vertraulichen Daten in seinen Systemen ins Visier genommen, darunter personenbezogene Daten (PII) wie Namen, Adressen, Geburtsdaten, Sozialversicherungsnummern und oft auch sensible Gesundheitsdaten. PII können für Straftaten wie Identitätsdiebstahl missbraucht werden,8 in Dark-Web-Marktforen verkauft oder für Erpressung und Lösegeld verwendet werden.
Nach Angaben des U.S. Department of Health and Human Services Office for Civil Rights BreachPortal9 gab es in diesem Berichtszeitraum 146 "Hacking/IT-Vorfälle" gegen US-Gesundheitsdienstleister.
Die größten Bedrohungen für das Gesundheitswesen
Während des Berichtszeitraums erkannte und stoppte BlackBerry Cybersecurity-Lösungen 13.433 einzelne Malware-Binaries und verhinderte über 109.922 verschiedene Angriffe im gesamten Gesundheitssektor.
Die bekanntesten Angriffe erfolgten mit Standard-Malware, insbesondere mit Infostealern wie RedLine. Eine weitere weit verbreitete Bedrohung war Amadey (ein Bot, der mit dem gleichnamigen Botnet verbunden ist), der einen infizierten Host auskundschaften, Daten stehlen und zusätzliche Nutzdaten liefern kann.
Bedrohungsakteure setzten auch Malware-Familien wie Emotet, IcedID und SmokeLoader ein, um den Gesundheitssektor anzugreifen. Eine Gemeinsamkeit dieser Angriffe auf Gesundheitsdienstleister besteht darin, dass sie infostealingfähige Malware einsetzen, die auch zusätzliche bösartige Nutzdaten liefern kann.
Untersuchung der breiteren Bedrohungslandschaft im Gesundheitswesen
In diesem Berichtszeitraum gab es mehrere groß angelegte und bemerkenswerte Cyberangriffe auf die gesamte Bedrohungslandschaft im Gesundheitswesen. Anfang März wurde das spanische Krankenhaus Clínic de Barcelona Opfer10 eines Ransomware-Angriffs, der vermutlich von der Cyberkriminalitätsorganisation RansomHouse11 verübt wurde. Der Angriff richtete sich gegen virtuelle Maschinen innerhalb der Infrastruktur des Krankenhauses und führte zu einer erheblichen Unterbrechung der geplanten medizinischen Dienste. Etwas mehr als eine Woche später wurde Alliance Healthcare, einer der führenden Pharmazieanbieter Spaniens, Ziel eines Angriffs, der zur vollständigen Abschaltung12 der Website, der Abrechnungssysteme und der Auftragsabwicklung des Unternehmens führte.
Ebenfalls im März wurde der in Mumbai ansässige Pharmahersteller Sun Pharmaceuticals - der größte seiner Art in Indien und der viertgrößte weltweit - von dem Ransomware-Betreiber ALPHV/BlackCat angegriffen13, der die gestohlenen Daten des Unternehmens kurz darauf auf seiner Leak-Site veröffentlichte. Etwa zur gleichen Zeit griff die Gruppe auch das Lehigh Valley Health Network in Pennsylvania an und drohte mit der Veröffentlichung von Fotos weiblicherBrustkrebspatientinnen14 - ein Vorgehen, das allgemein als neuer Tiefpunkt in der Cyberkriminalität verurteilt wurde.
Es wird vermutet, dass staatlich gesponserte Bedrohungsakteure in diesem Zeitraum auch das Gesundheitswesen ins Visier genommen haben. Im Mai gaben die südkoreanischen Strafverfolgungsbehörden bekannt, dass Hacker aus Nordkorea in das Seoul National University Hospital eingedrungen waren und vertrauliche medizinische Daten gestohlen hatten. Der Einbruch ereignete sich Mitte 2021, gefolgt von einer zweijährigen Untersuchung. Medienquellen behaupteten, dass die APT-Gruppe Kimsuky für diesen Angriff verantwortlich war.15
Diese vielfältigen Angriffe zeigen, dass das Gesundheitswesen ein attraktives Ziel für alle Arten von Bedrohungsakteuren ist. Da Organisationen des Gesundheitswesens in der Regel über sensible Daten verfügen und wichtige Dienstleistungen erbringen, wird die Zahl der Angriffe auf diese Branche wahrscheinlich steigen.
Finanzen
Die Finanzbranche ist ein häufiges Ziel von Cyberkriminellen, die es auf hohe Auszahlungen, zerstörerische Auswirkungen (einschließlich möglicher staatlicher Geldstrafen, Rechtskosten, Kosten für die Bedrohungsabwehr und Schädigung des Rufs des Ziels) und sensible Finanzdaten abgesehen haben, die in Dark-Web-Foren verkauft werden können. Diese Daten werden häufig von sekundären Bedrohungsakteuren gekauft, die sie als Waffe einsetzen, um andere bösartige Ziele zu erreichen.
In diesem Berichtszeitraum wurden mit BlackBerry Cybersecurity-Lösungen über 17.000 Angriffe auf Finanzinstitute abgewehrt, davon fast 15.000 auf US-amerikanische Organisationen. Die übrigen Angriffe auf den Finanzsektor wurden in Ländern in Südamerika und Asien entdeckt und gestoppt.
Die größten Bedrohungen für die Finanzindustrie
Während des Berichtszeitraums beobachtete die Telemetrie von BlackBerry einen anhaltenden Trend bei der Verwendung von Commodity-Malware wie RedLine, die Informationen wie gespeicherte Anmeldedaten, Kreditkarteninformationen und (in einer neueren Version) Kryptowährung abgreifen kann. BlackBerry beobachtete auch Angriffe mit der Backdoor-Malware SmokeLoader und dem Open-Source-Framework MimiKatz.
Amadey, ein in russischsprachigen Hackerforen verkauftes Botnet, wurde als Bedrohung für die Finanzbranche entdeckt. Amadey sendet die Informationen des anvisierten Opfers an sein Command and Control (C2) zurück und wartet auf Befehle des Angreifers. Die Hauptfunktion von Amadey ist das Laden bösartiger Nutzdaten auf kompromittierte Rechner.
Untersuchung der breiteren Landschaft der Finanzbedrohungen
Die Finanzbranche - insbesondere Banken - war im Berichtszeitraum von zahlreichen Angriffen betroffen. Eine weitere häufige Bedrohung für Finanzinstitute war die Clop-Ransomware, eine Variante der CryptoMix-Ransomware-Familie. Die Gruppe, die hinter dieser Malware steckt, nutzte auch eine neue Schwachstelle in der GoAnywhere MFT-Software aus, die durch eine Sicherheitslücke vor der Authentifizierung zur Einspeisung von Befehlen geschädigt wurde, die als CVE-2023-0669 16 bei dem jüngsten Angriff auf die Bankplattform Hatch Bank17 bekannt wurde.
Zu Beginn des Berichtszeitraums griff die RaaS-Gruppe, die hinter Lockbit 3.0 steht, FullertonIndia18 an, ein Finanzunternehmen in Indien, das keine Bank ist. Die Gruppe hinter dem Angriff behauptete, über 600 GB an Daten gestohlen zu haben, die sie auf ihrer Dark-Web-Leak-Site veröffentlichte.
In Australien wurden der Kreditriese Latitude Financial Services19 und die indonesische Abteilung der Commonwealth Bank of Australia20 Anfang 2023 Opfer von Cyberangriffen.
Auch der Finanzsektor war Ziel einer neuen Android-Malware. Der Android-Trojaner mit dem Namen "Chameleon " 21 imitiert eine Anwendung für elektronische Bankdienstleistungen der PKO Bank Polski, um die Opfer zu täuschen. Die Android-Malware-Gruppe Xenomorph veröffentlichte aktualisierte Versionen und stahl Berichten zufolge Anmeldedaten von mehr als 400 Banken22 in aller Welt.
Kritische Infrastrukturen
Da zuverlässige kritische Infrastrukturen für die Erbringung grundlegender Dienstleistungen notwendig sind, auf die ganze Bevölkerungen angewiesen sind, sind sie ein wertvolles Ziel für feindliche Nationalstaaten und andere Gruppen, die Angriffe planen. Wie in unserem letzten Bericht erwähnt, wurde der ukrainische Energiesektor von mutmaßlich von Russland unterstützten Gruppen physisch und digital angegriffen. Angesichts der zunehmenden Konzentration auf die Sicherheitslücken in der Betriebstechnologie (OT) durch Angreifer, Regierungen und kritische Infrastrukturen müssen Unternehmen der Sicherheit ihrer Infrastrukturen Priorität einräumen.
In diesem Berichtszeitraum verzeichnete BlackBerry telemetry die meisten Angriffe auf US-Infrastrukturen, gefolgt von Indien, Japan und Ecuador. Insgesamt stoppten die Cybersecurity-Lösungen von BlackBerry in diesem Berichtszeitraum über 25.000 Angriffe auf kritische Infrastrukturen.
Die wichtigsten Ziele für kritische Infrastrukturen
Kritische Infrastrukturen werden oft von anderen Systemen isoliert, um externe Bedrohungen abzuschirmen. Die zunehmende Digitalisierung und Integration mit dem Internet der Dinge (IoT) sowohl in IT- als auch in OT-Ökosystemen kann jedoch unvorhergesehene Risiken mit sich bringen. Mit der Einführung neuer Technologien werden zweifellos auch ausgefeilte Cyber-Bedrohungen einhergehen. Cyber-Kriminelle versuchen nicht nur, die Infrastruktur zu beschädigen, sondern auch auf Daten und Systeme zuzugreifen.
Commodity-Malware stellt ebenfalls eine wachsende Bedrohung für Infrastrukturen dar. So entdeckte BlackBerry beispielsweise den Vidar Infostealer, eine Commodity-Malware.
Untersuchung der größeren Bedrohungslandschaft für kritische Infrastrukturen
Im Berichtszeitraum gab es mehrere öffentlichkeitswirksame Angriffe auf kritische Infrastrukturen, insbesondere einen Angriff auf die Vereinigten Staaten durch einen mutmaßlich vom chinesischen Staat gesponserten Bedrohungsakteur namens Volt Typhoon. Nach Recherchen vonMicrosoft23 ist Volt Typhoon in erster Linie im Bereich der Spionage tätig. Die Gruppe nutzt Techniken des "living off the land" (LotL)24 und kompromittiert Netzwerkgeräte, um den Netzwerkverkehr unentdeckt zu leiten.
Im April wurde eine mutmaßlich in Nordkorea ansässige Gruppe, die hinter dem Angriff auf die X_Trader-Lieferkette25 stehen soll, mit der Kompromittierung kritischer Infrastrukturen in den Vereinigten Staaten und Europa in Verbindung gebracht. Die zunehmenden geopolitischen Spannungen haben das öffentliche Bewusstsein für die erhöhte Bedrohung kritischer Infrastrukturen in westlichen Ländern geschärft. Das National Cyber Security Center (NCSC) des Vereinigten Königreichs hat beispielsweise eine Warnung26 herausgegeben, in der es zur Wachsamkeit aufruft, da die Aktivitäten staatlicher Bedrohungsakteure, die mit Russlands Invasion in der Ukraine sympathisieren, zugenommen haben.
Geopolitische Analyse und Kommentare
Wir leben in einem Zeitalter der digitalen Geopolitik. Böswillige Cyberaktivitäten haben sich für einige Nationalstaaten zu einer häufig eingesetzten Taktik entwickelt, um Macht zu demonstrieren, Gegner zu stören und ihre geopolitischen Ziele zu erreichen. Wie das kanadische Zentrum für Cybersicherheit in seiner nationalen Bewertung der Cyber-Bedrohung für 2023-24 beschreibt,27 sind Cyber-Bedrohungen "zu einem wichtigen Instrument für Staaten geworden, um Ereignisse zu beeinflussen, ohne die Schwelle eines Konflikts zu erreichen". Die Motive für Cyberangriffe reichen vom Diebstahl geistigen Eigentums über Cyberspionage und die Störung kritischer Infrastrukturen bis hin zu digitalen Beeinflussungskampagnen, die das Vertrauen der Öffentlichkeit in die Regierung untergraben sollen (siehe Nationale Cybersicherheitsstrategie der USA).28 Da immer mehr IT- und OT-Infrastrukturen ins Netz gestellt werden, ist es wahrscheinlich, dass Cyberaktivitäten weiterhin als Mittel zur Erreichung wirtschaftlicher, sozialer, geopolitischer und militärischer Ziele eingesetzt werden.
In diesem Berichtszeitraum dokumentierte BlackBerry einen fast 40-prozentigen Anstieg der Zahl der Cyberangriffe auf öffentliche Einrichtungen, die durch BlackBerry Cybersecurity-Lösungen gestoppt wurden. Kritische Infrastrukturen sind zu strategischen Zielen für staatlich unterstützte Cyber-Akteure geworden, da Ausfallzeiten bei der Erbringung grundlegender staatlicher Dienstleistungen besonders schädlich sein können und das öffentliche Vertrauen untergraben. Aus diesem Grund haben die Regierungen der Five Eyes, eines Geheimdienstbündnisses, das sich aus Australien, Kanada, Neuseeland, dem Vereinigten Königreich und den Vereinigten Staaten zusammensetzt, übereinstimmend festgestellt, dass staatlich unterstützte Cyber-Akteure "mit ziemlicher Sicherheit Aufklärungsaktivitäten gegen kritische Infrastrukturen durchführen" mit dem Ziel, "sich in industriellen OT-Netzwerken zu positionieren" und "einschüchternde Botschaften über [ihre] Macht und Fähigkeit [zu] senden, die Gesundheit und Sicherheit der Bevölkerung zu bedrohen." (The Cyber Threat to Canada's Oil and Gas Sector,29 Canadian Center for Cyber Security, 2023; siehe auch CISA Cybersecurity Alerts & Advisories).30
Angesichts der eskalierenden Cyberangriffe verstärken die Regierungen ihre Zusammenarbeit, um bei der Untersuchung von Vorfällen, der Reaktion darauf und der Wiederherstellung zu helfen. Beispiele hierfür sind die rasche Mobilisierung der Vereinigten Staaten und anderer verbündeter Partnernationen zur Unterstützung von CostaRica31 ,Albanien32 und Montenegro33 im Jahr 2022, als jede ihrer Regierungen mit Cyberangriffen auf kritische Infrastrukturen konfrontiert war. Kürzlich bekräftigten mehr als 30 Regierungen in Vancouver, Kanada, die Notwendigkeit einer umfassenden internationalen Zusammenarbeit zur Abwehr von Cyberbedrohungen und zur Aufrechterhaltung eines verantwortungsvollen staatlichen Verhaltens im Cyberspace (siehe "Nationen nach Treffen in Vancouver zu verantwortungsvollem Verhalten im Cyberspace aufgefordert").34
Während die Feindseligkeiten in der Ukraine andauern, wird die Verbindung zwischen Geopolitik und Cyberangriffen immer deutlicher. Australien, Kanada, Neuseeland, das Vereinigte Königreich und die USA haben mehrere gemeinsame Cyber-Beratungen35 herausgegeben, in denen sie vor potenziellen Cyber-Aktivitäten warnen, die auf kritische Infrastrukturen abzielen und sowohl von "vom russischen Staat gesponserten" als auch von "mit Russland verbündeten", nichtstaatlichen kriminellen Hacktivistengruppen zur Unterstützung der russischen Invasion in der Ukraine durchgeführt werden. In diesem Berichtszeitraum dokumentierteBlackBerry Angriffe von mutmaßlich mit Russland verbundenen Akteuren auf diplomatische Vertretungen der EU und Einrichtungen des US-Gesundheitswesens, die ukrainische Flüchtlinge medizinisch versorgen. Wir gehen davon aus, dass sich dieser Trend mit der Eskalation der geopolitischen Krise fortsetzen wird.
Gesamtzahl der abgewehrten Bedrohungen
Von März bis Mai 2023 wurden mit BlackBerry Cybersecurity-Lösungen 1.528.488 Cyberangriffe abgewehrt. In diesem Zeitraum setzten Bedrohungsakteure durchschnittlich 16.614 Malware-Samples pro Tag gegen BlackBerry Kunden ein. Das entspricht einem Durchschnitt von 11,5 Malware-Samples pro Minute.
Diese Proben umfassten 224.851 neue und einzigartige Malware-Samples. Im Durchschnitt entspricht dies 2.444 neuen Proben pro Tag oder 1,7 neuen Proben pro Minute. Dies entspricht einem Anstieg von 13 Prozent gegenüber dem Durchschnitt des vorherigen Berichtszeitraums, der bei 1,5 neuen Proben pro Minute lag.
Die folgende Grafik zeigt die Dynamik der Cyberangriffe, die BlackBerry Cybersecurity-Lösungen mit Cylance KI in diesem Zeitraum verhindert haben.
Bedrohungsakteure und Werkzeuge
In diesem Berichtszeitraum haben die BlackBerry Cybersecurity-Lösungen, die von Cylance KI unterstützt werden, die Kunden vor diesen fortschrittlichen Bedrohungen und Tools geschützt.
Bedrohungsakteure
APT28
APT28, auch bekannt als Sofacy/Fancy Bear, ist eine hochqualifizierte und gut ausgestattete Cyberspionagegruppe, von der allgemein angenommen wird36, dass sie im Auftrag der russischen Regierung operiert und sich auf westliche Länder und deren Verbündete konzentriert. Die Gruppe ist seit mindestens 2007 aktiv und zielt auf ein breites Spektrum von Sektoren ab, darunter Regierungen, Militär, Verteidigungsunternehmen und Energieunternehmen. Die Gruppe wird verdächtigt, an APT-Kampagnen (Advanced Persistent Threats) wie Operation Pawn Storm und Operation Sofacy beteiligt zu sein.
Im November 2015 begann die Gruppe, eine Waffe namens Zebrocy einzusetzen, die aus drei Hauptkomponenten besteht: einem Downloader und einem Dropper, die laufende Prozesse erkennen und die bösartige Datei auf Systeme herunterladen können, sowie einer Backdoor, die sich im System festsetzt und Daten exfiltriert.
Lazarus-Gruppe
DieLazarus-Gruppe37 , auch bekannt als Labyrinth Chollima, Hidden Cobra, Guardians of Peace, Zinc und Nickel Academy, ist vermutlich eine vom nordkoreanischen Staat gesponserte Cyberbedrohungsgruppe, die dem nordkoreanischen Geheimdienst Reconnaissance General Bureau zugeordnet wird. Die Gruppe ist seit mindestens 2009 aktiv und war Berichten zufolge im November 2014 für den zerstörerischen Wiper-Angriff gegen Sony Pictures Entertainment im Rahmen einer Kampagne namens Operation Blockbuster verantwortlich.38
Diese Gruppe verwendete einen benutzerdefinierten Remote-Access-Trojaner (RAT) namens Manuscrypt39, der Systeminformationen sammelt, Befehle ausführt und zusätzliche Nutzdaten herunterlädt.
Werkzeuge
AdFind
AdFind ist ein Open-Source-Befehlszeilen-Tool, das Informationen aus Active Directory (AD) sammelt. AdFind wird in der Erkennungsphase verwendet, um die AD-Daten der Opfer zu sammeln.
Mimikatz
Mimikatz ist ein Open-Source-Framework und -Werkzeug für Penetrationstests, das mehrere Funktionen zum Testen der Netzwerksicherheit und zum Härten von Systemen bietet. Mimikatz kann vertrauliche Informationen wie Passwörter und Anmeldedaten extrahieren und bietet viele weitere Funktionen, die Sicherheitsexperten dabei helfen, Schwachstellen zu identifizieren, einschließlich der Ausweitung von Berechtigungen auf Windows®-basierten Computern. Aufgrund seiner leistungsstarken Funktionen wird Mimikatz häufig von Bedrohungsakteuren missbraucht, um ihre bösartigen Ziele zu erreichen.
Kobaltstreik
Cobalt Strike®40 ist eine kommerzielle Plattform zur Emulation von Angreifern, die gezielte Angriffe ausführen und die Aktionen von fortgeschrittenen Bedrohungsakteuren nach der Ausbeutung emulieren kann. Das Tool wird häufig von Sicherheitsexperten für Pen-Tests verwendet, um die Sicherheit von Netzwerken und Computersystemen zu bewerten und zu testen.
Cobalt Strike Beacon ist ein leichtgewichtiger dateiloser Agent, der auf dem Gerät eines Opfers bereitgestellt werden kann, um Funktionen wie Dateiübertragungen, Keylogging, Privilegienerweiterung, Port-Scanning und mehr zu ermöglichen. Diese Funktionen werden häufig von Sicherheitsexperten verwendet, um Bedrohungen zu simulieren und die Cyberabwehr zu testen, aber sie werden auch regelmäßig von Bedrohungsakteuren missbraucht.
Extrem RAT
Extreme RAT (auch bekannt als XTRAT, Xtreme Rat) ist ein Fernzugriffs-Trojaner, dessen Fähigkeiten das Hoch- und Herunterladen von Dateien, die Verwaltung der Registrierung, die Ausführung von Shell-Befehlen, die Aufnahme von Screenshots, die Manipulation laufender Prozesse und Dienste sowie die Aufzeichnung von Audiodaten über das Mikrofon oder die Webkamera eines Geräts umfassen. Dieser RAT wurde bei Angriffen auf die israelische41 und syrische42 Regierung in den Jahren 2012 und 2015 sowie bei anderen Angriffen von vielen verschiedenen Bedrohungsakteuren eingesetzt.
Die am weitesten verbreiteten Malware-Familien
Windows
Dropper/Downloader
Emotet
In den letzten zehn Jahren hat sich Emotet von seinem ursprünglichen Ursprung als eigenständiger Banking-Trojaner zu Malware-as-a-Service (MaaS) entwickelt, die hinter einem Trio von Botnets mit den Bezeichnungen Epoch1, Epoch2 und Epoch3 betrieben wird. Die Botnets dienen als Bereitstellungsmechanismus für verschiedene andere Commodity-Malware wie TrickBot, IcedID und Bumblebee Loader und sind auch dafür bekannt, dass sie bösartige Cobalt Strike Beacons einsetzen.
In der Vergangenheit nutzte die berüchtigte Ryuk-Ransomware-Bande Emotet in Verbindung mit TrickBot, um den Zugang zu den Umgebungen der Opfer zu erleichtern. Emotet nutzt Spam-E-Mails und infizierte Microsoft® Office-Dokumente als primären Infektionsvektor. Nachdem Emotet die Bemühungen der Strafverfolgungsbehörden überlebt hat und mehr als eine selbst auferlegte Auszeit genommen hat, ist es immer noch in der heutigen Bedrohungslandschaft präsent.
PrivateLoader
PrivateLoader tauchte erstmals im Jahr 2022 in der Bedrohungslandschaft auf und war mit einem Pay-per-Install-Service verbunden. PrivateLoader nutzt trojanisierte Versionen von "geknackter" (oder modifizierter) Software als primären Infektionsvektor und wurde in zahlreichen Kampagnen zur Verbreitung einer Vielzahl von Standard-Malware wie RedLine, Remcos, njRAT, SmokeLoader und anderen eingesetzt. Die Telemetrie von BlackBerry deutet darauf hin, dass PrivateLoader in Zukunft wahrscheinlich ein regelmäßiger, wenn auch unwillkommener Besucher sein wird.
SmokeLoader
SmokeLoader taucht regelmäßig in der Bedrohungslandschaft auf und hat sich seit seinem Auftauchen im Jahr 2011 kontinuierlich weiterentwickelt. Bis 2014 wurde er vor allem von russischen Bedrohungsakteuren genutzt, um eine Reihe von Schadprogrammen zu laden, darunter Ransomware, Infostealer, Cryptominers und Banking-Trojaner. SmokeLoader wird häufig über Spam-E-Mails, bewaffnete Dokumente und Spearphishing-Angriffe verbreitet. Sobald SmokeLoader auf dem Host eines Opfers installiert ist, kann er einen Persistenzmechanismus erstellen, um nach einem Neustart zu überleben, DLL-Injektion durchführen, um sich in legitimen Prozessen zu verstecken, Host-Enumeration durchführen und zusätzliche Dateien oder Malware herunterladen/laden. SmokeLoader enthält auch Anti-Sandbox- und Anti-Analyse-Techniken wie die Code-Verschleierung.
Im vorangegangenen Berichtszeitraum wurde SmokeLoader zweimal verwendet, um ukrainische Einrichtungen in Ausführungsketten anzugreifen, die Archive, Täuschungsdokumente, JavaScript-Loader und die Verwendung von PowerShell zur Bereitstellung einer SmokeLoader-Nutzlast umfassten.
Infostahler
RedLine
RedLine ist ein bekannter .NET-basierter Infostealer, der auf Windows-Systeme abzielt. Laut der Telemetrie von BlackBerry war RedLine eine der am häufigsten beobachteten Malware-Familien in diesem Zeitraum. Diese weit verbreitete Malware-Familie wurde auch im Global Threat Intelligence Report - April 2023 behandelt.
RedLine ist ein relativ preiswerter Infostealer, der versucht, persönliche Informationen von einem infizierten System zu exfiltrieren, z. B. Passwörter, Sozialversicherungsnummern und in Browsern gespeicherte Kreditkarteninformationen. Darüber hinaus kann RedLine Listen von Anwendungen (einschließlich Sicherheitssoftware), die auf dem Gerät eines Opfers installiert sind, sammeln und an den Angreifer senden, was den Angreifern bei der Planung von Sekundärangriffen hilft. RedLine kann auch Befehle ausführen und ist häufig eine Komponente einer mehrstufigen Ausführungskette.
RedLine ist in Untergrundforen weit verbreitet und wird als eigenständiges Produkt oder als Teil eines MaaS-Abonnementpakets verkauft. Zum Zeitpunkt der Erstellung dieses Artikels kann es für etwa 100 bis 150 US-Dollar erworben werden.
Die Beliebtheit von RedLine und seine Fähigkeit, Schaden anzurichten, sind auf seine Vielseitigkeit zurückzuführen. Die Malware kann auf verschiedene Weise verbreitet werden und wird oft als sekundäre oder tertiäre Nutzlast anderer Malware eingesetzt, um den Schaden auf dem System des Opfers zu vergrößern. In den letzten Monaten wurde RedLine über trojanisierte Microsoft® OneNote-Anhänge in Phishing-E-Mails verbreitet.
RaccoonStealer/RecordBreaker
RaccoonStealer ist ein Infostealer, der Browser-Cookies, Passwörter, Auto-Fill-Webbrowser-Daten und Kryptowährungs-Wallet-Daten abgreift. Die Malware wurde Berichten zufolge in Dark-Web-Foren und ähnlichen Plattformen als MaaS verkauft.
Mitte 2022 kündigte die Gruppe hinter der Malware nach einer Pause und vorübergehenden Einstellung des Betriebs eine neue Version von RaccoonStealer mit dem Namen RaccoonStealer 2.0 oder RecordBreaker an. Diese aktualisierte Malware wird derzeit als MaaS über dunkle Märkte vertrieben. Die Gruppe behauptet, dass sie die Malware von Grund auf mit einer aktualisierten Infrastruktur und verbesserten Fähigkeiten zum Infodiebstahl neu entwickelt hat.
Vidar
Vidar ist eine weitere häufig verwendete Commodity-Malware, die offen in Untergrundforen verbreitet wird. Berichten zufolge handelt es sich um eine Abspaltung des Infostealers Arkei. Vidar sammelt Bankdaten, Browser-Anmeldeinformationen und Kryptowährungs-Wallets sowie Standarddateien. Bei der Ausführung sammelt die Malware wichtige Systeminformationen sowie Daten über Hardware, laufende Prozesse und Software und sendet sie an den Bedrohungsakteur zurück.
Seit seiner Erstveröffentlichung im Jahr 2018 haben mehrere Iterationen von Vidar seine Fähigkeiten, seine Umgehungsmöglichkeiten und seine Gesamtkomplexität verbessert, was seine Beliebtheit bei Bedrohungsakteuren erhöht hat. Es wurde beobachtet, dass andere Malware-Familien Vidar als sekundäre Nutzlast einschleusen.
IcedID
Dieser oft als BokBot bezeichnete Banking-Trojaner wurde erstmals im Jahr 2017 aufgedeckt. Seitdem hat sich IcedID mehrfach neu erfunden und ist in der Bedrohungslandschaft immer wieder aufgetaucht. IcedID ist von Natur aus modular aufgebaut, und seine Kernfunktionalität ist die eines ausgeklügelten Banking-Trojaners.
Da IcedID häufig aktualisiert wird, um noch ausweichender und schädlicher zu sein, bleibt es auch im Jahr 2023 eine bedeutende Bedrohung. Darüber hinaus dient IcedID häufig als Dropper für zusätzliche Nutzdaten für Malware der zweiten Stufe, einschließlich Ransomware und Cobalt Strike-Kompromittierungen.
Trojaner für den Fernzugriff
Agent Tesla
Agent Tesla ist ein .NET-kompilierter RAT und Infostealer, der seit mindestens 2014 in der Bedrohungslandschaft verbreitet ist. Es handelt sich um einen vollwertigen RAT, der eine breite Palette von Daten stehlen und exfiltrieren kann (einschließlich Tastatureingaben, Screenshots und Anmeldeinformationen von vielen häufig verwendeten Anwendungen).
Agent Tesla hat mehrere Infektionsvektoren genutzt, darunter Spam-E-Mails und waffenfähige Microsoft® Word-Dokumente. Er hat sich auch durch die Ausnutzung von Microsoft® Office-Schwachstellen und durch kompilierte HTML-Dateien verbreitet. Im letzten Berichtszeitraum wurde Agent Tesla zu einem der aktivsten RATs in der globalen Bedrohungslandschaft.
Ransomware
SchwarzKatze/ALPHV
BlackCat oder ALPHV/Noberus ist eine Ransomware-Familie, die in der Programmiersprache Rust geschrieben wurde und erstmals im Jahr 2021 in freier Wildbahn auftauchte. Die Malware wird als RaaS verkauft und kann sowohl Windows- als auch Linux-basierte Betriebssysteme angreifen.
ALPHV ist eine weit verbreitete Ransomware, die es auf hochrangige Opfer abgesehen hat. Nach der Infektion des Hosts geht die ALPHV-Ransomware aus dem Weg und versucht, Wiederherstellungs- und Berichtsfunktionen zu blockieren, bevor sie die endgültige Ransomware-Nutzlast zündet.
ALPHV hat weitere Bekanntheit erlangt, weil es sensible Daten exfiltriert und eine doppelte Erpressungsmethode anwendet, um die Opfer zur Zahlung größerer Lösegelder zu zwingen, damit sie wieder Zugriff auf ihre verschlüsselten Dateien erhalten und diese nicht an die Öffentlichkeit gelangen.
EinemFBI-Bericht43 zufolge steht BlackCat/ALPHV möglicherweise in Verbindung mit den älteren Gruppen DarkSide und BlackMatter.
Mobil
Android
Seit seiner ersten Veröffentlichung im Jahr 2008 hat sich AndroidTM zur bevorzugten mobilen Plattform für über drei Milliarden44 aktive Handheld-Benutzer entwickelt, was fast 71 Prozent des weltweiten Marktes ausmacht.45 Leider macht die Popularität von Android es auch zu einem verlockenden Ziel für Bedrohungsakteure, so dass die Android-Bedrohungslandschaft noch nie so lebendig war. Im Folgenden sind einige der häufigsten Android-Bedrohungen aufgeführt, auf die wir in diesem Berichtszeitraum gestoßen sind.
SpyNote
SpyNote46 (auch bekannt als SpyMax) ist eine Malware-Familie, die zum Ausspionieren der Opfer eingesetzt wird. SpyNote extrahiert sensible Informationen wie Anmeldedaten und Kreditkartendetails von Mobilgeräten. SpyNote kann auch den Standort des Benutzers überwachen, auf die Kamera eines Geräts zugreifen, SMS-Nachrichten abfangen (wodurch Bedrohungsakteure die Zwei-Faktor-Authentifizierung umgehen können), Telefongespräche überwachen und aufzeichnen und ein Gerät aus der Ferne steuern.
SpyNote entwickelt sich ständig weiter. Die neueste Version mit dem Namen SpyNote.C ist die erste Variante, die über gefälschte Apps verbreitet wird, die sich als legitime Apps bekannter Finanzunternehmen ausgeben, sowie über andere häufig verwendete mobile Anwendungen. Nach dem Bekanntwerden des Quellcodes im Oktober 2022 hat die Zahl der SpyNote-Varianten in der mobilen Bedrohungslandschaft erheblich zugenommen.47
SpinOk
Bei SpinOk, das erstmals Ende Mai 2023 dokumentiert wurde, handelt es sich um eine bösartige Softwarekomponente mit Spyware-Funktionen, bei der es sich offenbar um ein Software Development Kit (SDK) für eine Marketing-App handelt. Im vorangegangenen Berichtszeitraum wurde SpinOK im Rahmen eines SDK-Lieferkettenangriffs unbeabsichtigt in Dutzende48 von Anwendungen eingebettet.49
Sobald SpinOK eingebettet ist, werden Anzeigen eingeblendet, die wie Minispiele aussehen, um die Nutzer dazu zu bewegen, die App geöffnet zu lassen. SpinOk ermöglicht es Bedrohungsakteuren, den Inhalt des Geräts zu identifizieren und Daten auf entfernte Server zu schleusen. Es kann auch die Analyse von Bedrohungen behindern.50
SMSThief
SMSThief kann die SMS-Nachrichten eines Opfers abfangen, weiterleiten oder kopieren, während es im Hintergrund des Geräts läuft. Varianten von SMSThief sind seit mindestens zehn Jahren im Einsatz. SMSThief kann seine Opfer auch in Betrügereien mit Mehrwertnummern51 verwickeln, indem er Textnachrichten vom Gerät des Benutzers an eine Mehrwertnummer sendet, für die überhöhte Gebühren anfallen.
Linux
Linux® wird in erster Linie auf Unternehmensservern (sowohl vor Ort als auch in der Cloud) und IoT-Geräten und nicht auf Benutzersystemen eingesetzt. Die beliebtesten Infektionsvektoren sind das Erzwingen von Passwörtern, um sich Zugang zu Secure Shell (SSH) zu verschaffen, oder das Ausnutzen von Schwachstellen in öffentlich zugänglichen Diensten. Die Angriffe in diesem Berichtszeitraum entsprechen denen des vorangegangenen Zeitraums, einschließlich DDoS-Angriffen, Kryptominern und Ransomware, die speziell auf VMWare ESXi-Server abzielt.
Da Linux ein aktives Ziel für Bedrohungsakteure ist, müssen Unternehmen handeln, um ihr Risiko zu verringern. Das Aufspielen von Sicherheits-Patches sollte Priorität haben. Patches können Linux-Umgebungen sowohl vor Remote-Exploits als auch vor lokalen Schwachstellen (Local Privilege Escalation, LPE) schützen, die häufig für raffinierte Angriffe genutzt werden. Zu diesen Remote-Exploits gehört auch fortgeschrittene Malware wie Backdoors. Da viele Bedrohungen für Linux-Umgebungen auf das Ausprobieren schwacher Kennwörter angewiesen sind, um sich Zugang zu verschaffen, empfehlen wir, starke Anmeldeinformationen sowie ein effektives Schwachstellenmanagementprogramm zu verlangen.
Verteilter Denial of Service
Malware-basierte DDoS-Angriffe waren in diesem Berichtszeitraum die häufigste Bedrohung für Linux-Systeme. Die am häufigsten verbreitete Malware-Variante war Mirai, die mindestens seit 2016 aktiv ist. Der Quellcode von Mirai wird in Untergrundforen veröffentlicht, was es schwierig macht, die Angriffe bestimmten Gruppen zuzuordnen. Mirai zielt meist auf IoT-Geräte ohne aktuelle Sicherheitsupdates ab.
BeiGafygt52, das seit 2014 aktiv ist, handelt es sich um ein Linux-basiertes Botnetz, das eine ähnliche Codebasis wie Mirai verwendet und im Allgemeinen auf Geräte wie IoT-Router abzielt. Im vorangegangenen Berichtszeitraum war XorDDos53 die fortschrittlichste Malware, die für DDoS-Angriffe verwendet wurde, obwohl sie auch am wenigsten verbreitet war. XorDDoS verbreitet sich hauptsächlich durch das Erzwingen von SSH-Zugang und kann ein Rootkit enthalten, das seine Präsenz vor Systemadministratoren verbirgt.
Kryptomacher
Die zweithäufigste Bedrohung für Linux-Server in diesem Berichtszeitraum waren Kryptominer - Bedrohungsakteure, die die Systemressourcen eines Opfers zum Mining von Kryptowährungen (hauptsächlich Monero) nutzen. Während die quelloffene, plattformübergreifende Software XMRig der häufigste Cryptominer ist, zeigte sich in diesem Berichtszeitraum ein sprunghafter Anstieg der Nutzung desPrometei-Botnets54 , das seit mindestens 2020 aktiv ist und auch als Windows-Version verfügbar ist. Zu den fortschrittlichen Funktionen von Prometei gehört die Verwendung von domänengenerierten Algorithmen, die es schwierig machen, das Botnet zu stoppen. Prometei hatte es auf Opfer in der ganzen Welt abgesehen - allerdings nicht auf russische Hosts. Ursprünglich war Prometei angeblich so konzipiert, dass die GUS-Staaten Russland, Ukraine, Weißrussland und Kasachstan nicht betroffen waren. Spätere Ausgaben der Malware deuten jedoch darauf hin, dass dies nicht mehr der Fall ist. Die Malware scheint so konzipiert zu sein, dass sie alle Geräte mit Ausnahme der russischen infiziert. In Anbetracht dessen scheint es, als ob pro-russische Aktivisten nach Möglichkeiten suchen, Länder anzugreifen, die die Ukraine gegen die russische Invasion unterstützt haben.
Ransomware
Während die meisten Ransomware-Angriffe auf Windows abzielen, erstellen die meisten bekannten Bedrohungsgruppen eine Linux-Version ihrer Malware, die häufig auf VMWare ESXi abzielt. Dazu gehören Aktivitäten mehrerer bekannter Gruppen wie Lockbit, Black Basta, BlackCat/ALPHV, Babuk, Royal und Hive. Trigona55 und Money Message56 sind neue Ransomware-Stämme, die eine Linux-Version enthalten.
Wir gehen davon aus, dass neue Ransomware-Gruppen in Zukunft zu Beginn ihrer Tätigkeit eine Linux-Variante entwickeln werden, wodurch die Wahrscheinlichkeit von Ransomware-Angriffen auf Linux-Systeme steigt.
macOS
Obwohl macOS als sicherer als Windows gilt, ist es dennoch seit langem im Visier fortschrittlicher Bedrohungsakteure. Ausführliche Informationen finden Sie in der Präsentation macOS: Tracking High Profile Targeted Attacks, Threat Actors & TTPs,57 BlackBerryauf der RSA 2023.
Während typische macOS-Malware Werbeprogramme anzeigt oder Webbrowser-Suchvorgänge manipuliert, nutzte eine wachsende Zahl von Bedrohungsakteuren in diesem Berichtszeitraum plattformübergreifende Programmiersprachen, um Malware zu entwickeln, die auf macOS selbst abzielt. So beobachteten wir beispielsweise einen neuen Stamm namens Atomic macOS (AMOS), einen Infostealer, der auf der plattformübergreifenden Programmiersprache GoLang (auch bekannt als Go) basiert.
Adware und Browser-Hijacking
Während viele Menschen Adware lediglich als unerwünschte Anwendung betrachten, kann Adware schädliche Komponenten wie Backdoors herunterladen und installieren. In diesem Berichtszeitraum zeigen unsere Telemetriedaten, dass AdLoad und Pirrit weiterhin die am weitesten verbreitete Adware sind. Wir haben auch das erneute Auftreten von Genieo beobachtet, einer älteren Bedrohung, die Suchleistenergebnisse umleitet, um den Benutzer auf potenziell schädliche Adware zu verweisen. Adware kann so programmiert werden, dass sie Suchende im Internet auf bösartige Websites weiterleitet, die Malware auf das Gerät des Opfers herunterladen. Diese bösartigen Websites können so geklont werden, dass sie wie legitime Websites aussehen. So hat beispielsweise die Bedrohungsgruppe RomCom kürzlich Websites geklont, auf denen legitime Unternehmensanwendungen gehostet werden, und mit Hilfe von Typosquatting URLs erstellt, die denen der echten Website ähneln. Die Besucher der gefälschten Websites luden unwissentlich trojanisierte Versionen beliebter Software herunter, die den Bedrohungsakteuren eine Hintertür zu ihren Rechnern boten, um Informationen auszuspionieren.
Atomic macOS (AMOS) Stealer
Atomic macOS (AMOS) ist ein neuer Infostealer-Stamm, der auf macOS abzielt und in diesem Berichtszeitraum aufgetaucht ist58 und in freier Wildbahn eingesetzt wurde. AMOS wird über die beliebte Cloud-basierte Messaging-App Telegram beworben. Die Malware kann Benutzeranmeldeinformationen aus Schlüsselbunden, Browsern und Krypto-Wallets sammeln und Dateien aus bestimmten Benutzerverzeichnissen wie Desktop und Dokumente exfiltrieren. Auf der Windows-Plattform verwenden Initial Access Broker (IABs) die gestohlenen Anmeldeinformationen, um Netzwerke zu kompromittieren und Ransomware zu installieren. Obwohl dieses Verhalten bei AMOS nicht beobachtet wurde, ist es denkbar, dass es in Zukunft auftreten wird.
Die interessantesten Geschichten
SideWinder nutzt Server-Side Polymorphismus, um pakistanische Regierungsbeamte anzugreifen - und zielt jetzt auf die Türkei
Anfang Mai veröffentlichte das Team von BlackBerry Threat Research and Intelligence Ergebnisse, die eine Kampagne der APT-GruppeSideWinder59 aufdeckten, deren Ursprung in Indien vermutet wird. Die Kampagne konzentrierte sich auf pakistanische Regierungsziele und wurde über eine komplexe Ausführungskette durchgeführt, die sich auf Phishing-E-Mails und waffenfähige Dokumente stützte, die die Sicherheitslücke CVE-2017-019960 ausnutzen, um eine Remote-Vorlageninjektion durchzuführen. Die Gruppe nutzte einen einzigartigen serverseitigen61 Polymorphismus, um signaturbasierte Erkennungsmechanismen zu umgehen. Bei Erfolg würde der Exploit dann die nächste Stufe der Nutzlast liefern.
Die Kampagne wurde erstmals im Dezember 2022 durchgeführt. Im März 2023 entdeckte das BlackBerry Threat Research and Intelligence Team Beweise für eine weitere SideWinder-Kampagne, die auf die Türkei abzielte. Der Zeitpunkt dieser Kampagne überschnitt sich mit geopolitischen Ereignissen in der Region, insbesondere mit der öffentlichen Unterstützung Pakistans durch die Türkei in seinem Streit mit Indien über Kaschmir.62
Erste Implantate und Netzwerkanalysen deuten darauf hin, dass die 3CX Supply Chain Operation bis Herbst 2022 zurückreicht
Ende März 2023 meldete der Anbieter von Unternehmenskommunikation 3CX63 eine große Sicherheitslücke, die zur weltweiten Verbreitung von trojanisierten Versionen seiner VOIP-Software 3CXDesktopApp führte.
3CXDesktopApp ist ein Produkt für Sprach- und Videokonferenzen, das häufig für Anrufe, Video und Live-Chat verwendet wird. Auf der Website des Unternehmens heißt es, dass 3CX etwa 600.000 Kundenunternehmen mit über 12 Millionen täglichen Nutzern in 190 Ländern hat.64
3CX meldete65 die Sicherheitsverletzung am Tag nach dem Angriff. In einem späteren Update zu demVorfall66 erklärte 3CX, dass der mit Nordkorea verbundene Bedrohungsakteur UNC4736 hinter dem Angriff steckte, bei dem die Malware Taxhaul (auch bekannt als TxRLoader) in Verbindung mit dem Coldcat-Downloader eingesetzt wurde.
Die Malware wurde zunächst über ein bösartiges Installationsprogramm bereitgestellt, das als kompromittierte Abhängigkeitsdatei auftrat, die es ermöglichte, dass die trojanisierten Dateien signiert wurden und als legitime Dateien des Anbieters erschienen.
BlackBerry Telemetrie und Analyse der ersten Proben und der entsprechenden Netzwerkinfrastruktur deuten darauf hin, dass die Operation zwischen Sommer und Herbst 2022 begann. Der Angriff betraf die Gesundheits-, Pharma-, IT- und Finanzbranche in Australien, den Vereinigten Staaten und dem Vereinigten Königreich.
NOBELIUM nutzt den Besuch des polnischen Botschafters in den USA, um EU-Regierungen zur Unterstützung der Ukraine anzusprechen
Anfang März, BlackBerry beobachteten Forscher Kampagnen, die auf europäische Einrichtungen abzielten und von einem russischen staatlich gesponserten Bedrohungsakteur namens NOBELIUM (APT29) durchgeführt wurden, der öffentlich mit dem russischen Auslandsgeheimdienst SVR in Verbindung gebracht wird.
Die Gruppe erstellte maßgeschneiderte Köder, die auf Personen abzielten, die sich für die Reise des polnischen Botschafters Marek Magierowksi nach Washington, D.C., interessierten, um über den anhaltenden Krieg in der Ukraine zu diskutieren. Ein anderer Köder sollte die legitimen Systeme LegisWrite und eTrustEx missbrauchen, die EU-Länder für den Informationsaustausch und die sichere Datenübertragung nutzen.
Die Köder waren so konzipiert, dass sie das Opfer dazu brachten, eine bösartige HTML-Datei namens EnvyScout herunterzuladen.67 Das Tool nutzt eine HTML-Schmuggeltechnik, um weitere bösartige Komponenten (oft als ISO- oder IMG-Datei) auf den Rechner des Opfers zu bringen, die dann sensible Informationen stehlen. Die Überschneidung zwischen dem Besuch des polnischen Botschafters in den USA und dem bei den Angriffen verwendeten Köder ist ein Beweis dafür, dass NOBELIUM geopolitische Ereignisse nutzt, um Opfer anzulocken und die Wahrscheinlichkeit einer erfolgreichen Infektion zu erhöhen.
Vom Missbrauch von Google-Anzeigen bis hin zu einer massiven Spearphishing-Kampagne, die sich als spanische Steuerbehörde ausgab
Anfang April 2023 veröffentlichte das BlackBerry Threat Research and Intelligence Team die Ergebnisse einer mehrmonatigen Beobachtung zweier bösartiger Kampagnen, die Typosquatting68 für unterschiedliche Ziele und Zwecke nutzten.
Die erste - eine Malvertising69-Kampagne, die die Google Ads-Plattform missbraucht - war bereits seit mehreren Monaten in Betrieb. Gefälschte und trojanisierte Versionen gängiger Software wie Libre Office, AnyDesk, TeamViewer und Brave lieferten Infostealern wie Vidar und IcedID Ware. Um ahnungslose Opfer zu täuschen, klonten die Bedrohungsakteure legitime Websites und wiesen Domänennamen zu, die mittels Typosquatting die URLs der echten Websites nachahmten.
Bei der zweiten Kampagne handelte es sich um eine groß angelegte gezielte Spearphishing-Kampagne, die sich als spanische Steuerbehörde ausgab. Die Kampagne versuchte, E-Mail-Anmeldedaten von Opfern in wichtigen Branchen wie Technologie, Bauwesen, Energie, Landwirtschaft, Beratung, Regierung, Automobil, Gesundheitswesen und Finanzen zu stehlen.
PaperCut RCE-Schwachstelle wird von Bedrohungsakteuren stark ausgenutzt
Im März 2023 wurde ein RCE-Fehler (Remote Code Execution) in PaperCut NG/MF, Version 8.0 und höher, öffentlich bekannt gegeben.70 PaperCut ist ein Entwickler von Druckverwaltungssoftware, dessen Produkte weltweit eingesetzt werden. Die Schwachstelle (CVE-2023-27350)71 wurde inzwischen gepatcht, aber da sie als öffentlicher Proof-of-Concept (POC) zur Verfügung steht und nur schwer zu erkennen ist, ist der RCE-Fehler ein idealer Infektionsvektor für Bedrohungsakteure, um in Systeme einzudringen, auf denen ungepatchte Versionen der anfälligen Software laufen.
Die Betreiber der Ransomware Bl00dy haben diese Schwachstelle ausgenutzt, um72 Einrichtungen im Bildungssektor anzugreifen. Auch die Clop- und LockBit-Gruppen wurden dabei beobachtet, wie sie anfällige Server angriffen,73 und Anfang Mai teilte Microsoft74 mit, dass mehrere vom iranischen Staat gesponserte APT-Gruppen, darunter Mango Sandstorm und Mint Sandstorm, die Sicherheitslücke aktiv ausnutzten.
Russische Spionage-Malware-Operation von Strafverfolgungsbehörden zerschlagen
Anfang Mai gab das US-Justizministerium75 bekannt, dass die von dem berüchtigten Bedrohungsakteur Turla genutzte Infrastruktur zerschlagen wurde - ein schwerer Schlag gegen die russischen Cyberspionagefähigkeiten. Die Gruppe, die mit dem Föderalen Sicherheitsdienst der Russischen Föderation (FSB) in Verbindung gebracht wurde, nutzte einen ausgeklügelten Infostealer namens Snake, um vertrauliche Dokumente von Staaten der Nordatlantikvertrags-Organisation (NATO) und der Vereinten Nationen zu erlangen. Die Snake-Infrastruktur umfasste ein Botnetz, das auf infizierten Systemen in mindestens 50 Ländern, darunter auch NATO-Mitgliedern, zu finden war, und wurde angeblich über 20 Jahre lang missbraucht.
Als Reaktion auf diese Entdeckung entwickelte das FBI ein Dienstprogramm mit dem treffenden Namen Perseus (ein griechischer Held und Schlächter von Monstern). Perseus deaktiviert die Snake-Malware, ohne die infizierten Systeme zu beschädigen.
Neue Bedrohungsgruppe "Rhysida" greift Chiles Armee an
Ende Mai 2023 wurde ein Ransomware-Angriff auf die chilenische Armee (Ejercito de Chile) durch eine neue Bedrohungsgruppe namens Rhysida bekannt.76 Die Einzelheiten des Angriffs wurden nicht vollständig bekannt gegeben, aber ein Armeegefreiter wurde wegen angeblicher Beteiligung an dem Ransomware-Angriff festgenommen77.
Das BlackBerry Threat Research and Intelligence Team fand Indikatoren für eine Kompromittierung (Indicators of Compromise, IoCs), die darauf hinweisen, dass sich Rhysida in der Anfangsphase der Entwicklung befindet. Eine Beispielanalyse zeigt, dass die Gruppe eine .exe-Datei über PowerShell ausgeführt hat. Diese portable ausführbare Datei (PE) versucht, das Desktop-Hintergrundbild des Benutzers über Registrierungsschlüssel zu ändern, verschlüsselt Dateien mit einem XOR- und AES-Algorithmus und fügt verschlüsselten Dateien die Rhysida-Erweiterung hinzu (um die Verschlüsselung von Betriebssystemordnern zu vermeiden, die den Betrieb des Systems unterbrechen würde). Es wurde auch eine Prozessinjektion in den Explorer beobachtet.
Danach wird eine Lösegeldforderung mit dem Namen "CriticalBreachDetected.pdf" platziert, die Informationen darüber enthält, wie man die Gruppe über ein TOR-Portal kontaktieren kann. Die Gruppe fordert ein Lösegeld, das in Bitcoin (BTC) zu zahlen ist. Wenn das Opfer der Zahlung zustimmt, muss es eine ID angeben und ein weiteres Formular ausfüllen, um von der Gruppe kontaktiert zu werden.
Gemeinsame MITRE-Techniken
Das Verständnis der Techniken von Bedrohungsgruppen auf höchster Ebene kann bei der Entscheidung helfen, welche Erkennungstechniken vorrangig eingesetzt werden sollten. BlackBerry hat die folgenden 20 wichtigsten Techniken beobachtet, die von Bedrohungsakteuren eingesetzt werden.
Ein nach oben gerichteter Pfeil in der letzten Spalte bedeutet, dass der Einsatz der Technik seit unserem letzten Bericht zugenommen hat. Ein Pfeil nach unten zeigt an, dass die Nutzung seit unserem letzten Bericht zurückgegangen ist. Ein Gleichheitszeichen (=) bedeutet, dass die Technik an der gleichen Stelle wie in unserem letzten Bericht bleibt.
Die vollständige Liste der MITRE-Techniken ist auf dem öffentlichen GitHub der Abteilung Threat Research and Intelligence verfügbar.
Technik Name | Technik-ID | Taktik | Letzter Bericht | Ändern Sie |
---|---|---|---|---|
1. Ermittlung von Systeminformationen
|
T1082
|
Entdeckung
|
1
|
=
|
2. Virtualisierung/Sandbox-Umgehung
|
T1497
|
Verteidigung Umgehung
|
3
|
↑
|
3. Entdeckung von Sicherheitssoftware
|
T1518.001
|
Entdeckung
|
4
|
↑
|
4. Prozess Injektion
|
T1055
|
Verteidigung Umgehung
|
2
|
↓
|
5. Maskerade
|
T1036
|
Verteidigung Umgehung
|
5
|
=
|
6. Fernerkundung des Systems
|
T1018
|
Entdeckung
|
6
|
=
|
7. Protokoll der Anwendungsschicht
|
T1071
|
Befehl und Kontrolle
|
7
|
=
|
8. Suche nach Dateien und Verzeichnissen
|
T1083
|
Entdeckung
|
8
|
=
|
9. Nicht-Anwendungsschicht-Protokoll
|
T1095
|
Befehl und Kontrolle
|
9
|
=
|
10. Prozess Entdeckung
|
T1057
|
Entdeckung
|
10
|
=
|
11. Eingabe-Erfassung
|
T1056
|
Sammlung
|
13
|
↑
|
12. DLL-Seiten-Laden
|
T1574.002
|
Persistenz
|
12
|
↓
|
13. Software-Paketierung
|
T1027.002
|
Verteidigung Umgehung
|
14
|
↑
|
14. Befehls- und Scripting-Interpreter
|
T1059
|
Ausführung
|
12
|
↓
|
15. Registry Run Keys/Startup Folder
|
T1547.001
|
Persistenz
|
19
|
↑
|
16. Verschlüsselter Kanal
|
T1573
|
Befehl und Kontrolle
|
17
|
↑
|
17. Deaktivieren oder Ändern von Tools
|
T1562.001
|
Verteidigung Umgehung
|
15
|
↓
|
18. Rundll32
|
T1218.011
|
Verteidigung Umgehung
|
16
|
↓
|
19. Verdeckte Dateien oder Informationen
|
T1027
|
Verteidigung Umgehung
|
18
|
↓
|
20. Anwendungsfenster Entdeckung
|
T1010
|
Entdeckung
|
20
|
=
|
Technik-ID | |
---|---|
1. Ermittlung von Systeminformationen |
T1082
|
2. Virtualisierung/Sandbox-Umgehung |
T1497
|
3. Entdeckung von Sicherheitssoftware |
T1518.001
|
4. Prozess Injektion |
T1055
|
5. Maskerade |
T1036
|
6. Fernerkundung des Systems |
T1018
|
7. Protokoll der Anwendungsschicht |
T1071
|
8. Suche nach Dateien und Verzeichnissen |
T1083
|
9. Nicht-Anwendungsschicht-Protokoll |
T1095
|
10. Prozess Entdeckung |
T1057
|
11. Eingabe-Erfassung |
T1056
|
12. DLL-Seiten-Laden |
T1574.002
|
13. Software-Paketierung |
T1027.002
|
14. Befehls- und Scripting-Interpreter |
T1059
|
15. Registry Run Keys/Startup Folder |
T1547.001
|
16. Verschlüsselter Kanal |
T1573
|
17. Deaktivieren oder Ändern von Tools |
T1562.001
|
18. Rundll32 |
T1218.011
|
19. Verdeckte Dateien oder Informationen |
T1027
|
20. Anwendungsfenster Entdeckung |
T1010
|
Taktik | |
---|---|
1. Ermittlung von Systeminformationen |
Entdeckung
|
2. Virtualisierung/Sandbox-Umgehung |
Verteidigung Umgehung
|
3. Entdeckung von Sicherheitssoftware |
Entdeckung
|
4. Prozess Injektion |
Verteidigung Umgehung
|
5. Maskerade |
Verteidigung Umgehung
|
6. Fernerkundung des Systems |
Entdeckung
|
7. Protokoll der Anwendungsschicht |
Befehl und Kontrolle
|
8. Suche nach Dateien und Verzeichnissen |
Entdeckung
|
9. Nicht-Anwendungsschicht-Protokoll |
Befehl und Kontrolle
|
10. Prozess Entdeckung |
Entdeckung
|
11. Eingabe-Erfassung |
Sammlung
|
12. DLL-Seiten-Laden |
Persistenz
|
13. Software-Paketierung |
Verteidigung Umgehung
|
14. Befehls- und Scripting-Interpreter |
Ausführung
|
15. Registry Run Keys/Startup Folder |
Persistenz
|
16. Verschlüsselter Kanal |
Befehl und Kontrolle
|
17. Deaktivieren oder Ändern von Tools |
Verteidigung Umgehung
|
18. Rundll32 |
Verteidigung Umgehung
|
19. Verdeckte Dateien oder Informationen |
Verteidigung Umgehung
|
20. Anwendungsfenster Entdeckung |
Entdeckung
|
Letzter Bericht | |
---|---|
1. Ermittlung von Systeminformationen |
1
|
2. Virtualisierung/Sandbox-Umgehung |
3
|
3. Entdeckung von Sicherheitssoftware |
4
|
4. Prozess Injektion |
2
|
5. Maskerade |
5
|
6. Fernerkundung des Systems |
6
|
7. Protokoll der Anwendungsschicht |
7
|
8. Suche nach Dateien und Verzeichnissen |
8
|
9. Nicht-Anwendungsschicht-Protokoll |
9
|
10. Prozess Entdeckung |
10
|
11. Eingabe-Erfassung |
13
|
12. DLL-Seiten-Laden |
12
|
13. Software-Paketierung |
14
|
14. Befehls- und Scripting-Interpreter |
12
|
15. Registry Run Keys/Startup Folder |
19
|
16. Verschlüsselter Kanal |
17
|
17. Deaktivieren oder Ändern von Tools |
15
|
18. Rundll32 |
16
|
19. Verdeckte Dateien oder Informationen |
18
|
20. Anwendungsfenster Entdeckung |
20
|
Ändern Sie | |
---|---|
1. Ermittlung von Systeminformationen |
=
|
2. Virtualisierung/Sandbox-Umgehung |
↑
|
3. Entdeckung von Sicherheitssoftware |
↑
|
4. Prozess Injektion |
↓
|
5. Maskerade |
=
|
6. Fernerkundung des Systems |
=
|
7. Protokoll der Anwendungsschicht |
=
|
8. Suche nach Dateien und Verzeichnissen |
=
|
9. Nicht-Anwendungsschicht-Protokoll |
=
|
10. Prozess Entdeckung |
=
|
11. Eingabe-Erfassung |
↑
|
12. DLL-Seiten-Laden |
↓
|
13. Software-Paketierung |
↑
|
14. Befehls- und Scripting-Interpreter |
↓
|
15. Registry Run Keys/Startup Folder |
↑
|
16. Verschlüsselter Kanal |
↑
|
17. Deaktivieren oder Ändern von Tools |
↓
|
18. Rundll32 |
↓
|
19. Verdeckte Dateien oder Informationen |
↓
|
20. Anwendungsfenster Entdeckung |
=
|
Angewandte Gegenmaßnahmen und Abhilfemaßnahmen
Erkennungstechniken
Das BlackBerry Threat Research and Intelligence Team identifizierte 386 öffentliche Sigma-Regeln, die bedrohungsrelevante Verhaltensweisen in den 224.851 einzelnen Samples erkannten, die in diesem Berichtszeitraum von BlackBerry Cybersecurity-Lösungen gestoppt wurden. Abbildung 4 zeigt die 10 wichtigsten Sigma-Regeln, die die meisten bösartigen Verhaltensweisen erkannt haben.
Sigma-Regel | Beschreibung | MITRE ATT&CK-Verfahren | MITRE ATT&CK-Taktik | Letzter Bericht | Ändern Sie |
---|---|---|---|---|---|
1. Erstellung einer ausführbaren Datei durch eine ausführbare Datei
|
Erkennt die Erstellung einer ausführbaren Datei durch eine andere ausführbare Datei
|
Fähigkeiten entwickeln: Schadsoftware - T1587.001
|
Entwicklung der Ressourcen
|
1
|
=
|
2. Wow6432Node CurrentVersion Autorun Keys Modifikation
|
Erkennt die Änderung des Autostart-Erweiterungspunkts (ASEP) in der Registrierung
|
Autostart-Ausführung beim Booten oder Anmelden: Registry Run Keys / Startup Folder - T1547.001
|
Persistenz
|
2
|
=
|
3. CurrentVersion Autorun Keys Modifikation
|
Erkennt die Änderung des Autostart-Erweiterungspunkts (ASEP) in der Registrierung
|
Autostart-Ausführung beim Booten oder Anmelden: Registry Run Keys / Startup Folder - T1547.001
|
Persistenz
|
6
|
↑
|
4. Prozesserstellung mit Sysnative-Ordner
|
Erkennung von Prozesserstellungsereignissen, die den Sysnative-Ordner verwenden (häufig bei Cobalt Strike-Spawns)
|
Prozess-Injektion - T1055
|
Verteidigung Umgehung
|
3
|
↓
|
5. Prozessstart aus verdächtigem Ordner
|
Erkennt den Start von Prozessen aus seltenen oder ungewöhnlichen Ordnern, wie z.B. temporären Ordnern oder Ordnern
|
Benutzerausführung - T1204
|
Ausführung
|
5
|
=
|
6. Deaktivieren der Microsoft Defender Firewall über die Registrierung
|
Angreifer können System-Firewalls deaktivieren oder modifizieren, um Kontrollen zu umgehen, die die Netzwerknutzung beschränken.
|
Abwehrmaßnahmen beeinträchtigen: Deaktivieren oder Ändern der System-Firewall - T1562.004
|
Verteidigung Umgehung
|
7
|
↑
|
7. Verdächtiger Anruf nach Ordnungszahl
|
Erkennt verdächtige DLL-Aufrufe in rundll32.dll-Exporten anhand des Ordnungswerts
|
System-Binär-Proxy-Ausführung: Rundll32 - T1218.011
|
Verteidigung Umgehung
|
9
|
↑
|
8. PowerShell Geplante Aufgabe erstellen
|
Angreifer können den Windows Task Scheduler missbrauchen, um Aufgaben für die erstmalige oder wiederholte Ausführung von bösartigem Code zu planen
|
Geplante Aufgabe/Job: Geplante Aufgabe - T1053.005
|
Persistenz
|
8
|
=
|
9. Verdächtige Ausführung von Taskkill
|
Angreifer können Dienste oder Prozesse anhalten, um die Datenspeicher von Diensten wie Exchange und SQL Server zu zerstören oder Daten zu verschlüsseln.
|
Wartungsstopp - T1489
|
Auswirkungen
|
NA
|
↑
|
10. Net.exe-Ausführung
|
Erkennt die Ausführung des Windows-Dienstprogramms Net.exe, ob verdächtig oder gutartig
|
Mehrere Techniken:
Erkennung von Berechtigungsgruppen - T1069 Erkennung von Konten - T1087 Erkennung von Systemdiensten - T1007 |
Entdeckung
|
NA
|
↑
|
Beschreibung | |
---|---|
1. Erstellung einer ausführbaren Datei durch eine ausführbare Datei |
Erkennt die Erstellung einer ausführbaren Datei durch eine andere ausführbare Datei
|
2. Wow6432Node CurrentVersion Autorun Keys Modifikation |
Erkennt die Änderung des Autostart-Erweiterungspunkts (ASEP) in der Registrierung
|
3. CurrentVersion Autorun Keys Modifikation |
Erkennt die Änderung des Autostart-Erweiterungspunkts (ASEP) in der Registrierung
|
4. Prozesserstellung mit Sysnative-Ordner |
Erkennung von Prozesserstellungsereignissen, die den Sysnative-Ordner verwenden (häufig bei Cobalt Strike-Spawns)
|
5. Prozessstart aus verdächtigem Ordner |
Erkennt den Start von Prozessen aus seltenen oder ungewöhnlichen Ordnern, wie z.B. temporären Ordnern oder Ordnern
|
6. Deaktivieren der Microsoft Defender Firewall über die Registrierung |
Angreifer können System-Firewalls deaktivieren oder modifizieren, um Kontrollen zu umgehen, die die Netzwerknutzung beschränken.
|
7. Verdächtiger Anruf nach Ordnungszahl |
Erkennt verdächtige DLL-Aufrufe in rundll32.dll-Exporten anhand des Ordnungswerts
|
8. PowerShell Geplante Aufgabe erstellen |
Angreifer können den Windows Task Scheduler missbrauchen, um Aufgaben für die erstmalige oder wiederholte Ausführung von bösartigem Code zu planen
|
9. Verdächtige Ausführung von Taskkill |
Angreifer können Dienste oder Prozesse anhalten, um die Datenspeicher von Diensten wie Exchange und SQL Server zu zerstören oder Daten zu verschlüsseln.
|
10. Net.exe-Ausführung |
Erkennt die Ausführung des Windows-Dienstprogramms Net.exe, ob verdächtig oder gutartig
|
MITRE ATT&CK-Verfahren | |
---|---|
1. Erstellung einer ausführbaren Datei durch eine ausführbare Datei |
Fähigkeiten entwickeln: Schadsoftware - T1587.001
|
2. Wow6432Node CurrentVersion Autorun Keys Modifikation |
Autostart-Ausführung beim Booten oder Anmelden: Registry Run Keys / Startup Folder - T1547.001
|
3. CurrentVersion Autorun Keys Modifikation |
Autostart-Ausführung beim Booten oder Anmelden: Registry Run Keys / Startup Folder - T1547.001
|
4. Prozesserstellung mit Sysnative-Ordner |
Prozess-Injektion - T1055
|
5. Prozessstart aus verdächtigem Ordner |
Benutzerausführung - T1204
|
6. Deaktivieren der Microsoft Defender Firewall über die Registrierung |
Abwehrmaßnahmen beeinträchtigen: Deaktivieren oder Ändern der System-Firewall - T1562.004
|
7. Verdächtiger Anruf nach Ordnungszahl |
System-Binär-Proxy-Ausführung: Rundll32 - T1218.011
|
8. PowerShell Geplante Aufgabe erstellen |
Geplante Aufgabe/Job: Geplante Aufgabe - T1053.005
|
9. Verdächtige Ausführung von Taskkill |
Wartungsstopp - T1489
|
10. Net.exe-Ausführung |
Mehrere Techniken:
Erkennung von Berechtigungsgruppen - T1069 Erkennung von Konten - T1087 Erkennung von Systemdiensten - T1007 |
MITRE ATT&CK-Taktik | |
---|---|
1. Erstellung einer ausführbaren Datei durch eine ausführbare Datei |
Entwicklung der Ressourcen
|
2. Wow6432Node CurrentVersion Autorun Keys Modifikation |
Persistenz
|
3. CurrentVersion Autorun Keys Modifikation |
Persistenz
|
4. Prozesserstellung mit Sysnative-Ordner |
Verteidigung Umgehung
|
5. Prozessstart aus verdächtigem Ordner |
Ausführung
|
6. Deaktivieren der Microsoft Defender Firewall über die Registrierung |
Verteidigung Umgehung
|
7. Verdächtiger Anruf nach Ordnungszahl |
Verteidigung Umgehung
|
8. PowerShell Geplante Aufgabe erstellen |
Persistenz
|
9. Verdächtige Ausführung von Taskkill |
Auswirkungen
|
10. Net.exe-Ausführung |
Entdeckung
|
Letzter Bericht | |
---|---|
1. Erstellung einer ausführbaren Datei durch eine ausführbare Datei |
1
|
2. Wow6432Node CurrentVersion Autorun Keys Modifikation |
2
|
3. CurrentVersion Autorun Keys Modifikation |
6
|
4. Prozesserstellung mit Sysnative-Ordner |
3
|
5. Prozessstart aus verdächtigem Ordner |
5
|
6. Deaktivieren der Microsoft Defender Firewall über die Registrierung |
7
|
7. Verdächtiger Anruf nach Ordnungszahl |
9
|
8. PowerShell Geplante Aufgabe erstellen |
8
|
9. Verdächtige Ausführung von Taskkill |
NA
|
10. Net.exe-Ausführung |
NA
|
Ändern Sie | |
---|---|
1. Erstellung einer ausführbaren Datei durch eine ausführbare Datei |
=
|
2. Wow6432Node CurrentVersion Autorun Keys Modifikation |
=
|
3. CurrentVersion Autorun Keys Modifikation |
↑
|
4. Prozesserstellung mit Sysnative-Ordner |
↓
|
5. Prozessstart aus verdächtigem Ordner |
=
|
6. Deaktivieren der Microsoft Defender Firewall über die Registrierung |
↑
|
7. Verdächtiger Anruf nach Ordnungszahl |
↑
|
8. PowerShell Geplante Aufgabe erstellen |
=
|
9. Verdächtige Ausführung von Taskkill |
↑
|
10. Net.exe-Ausführung |
↑
|
Sigma-Regel: Net.exe-Ausführung
Bezogen auf Sysmon Event ID 1 Process Creation. Diese Sigma-Regel identifiziert Ausführungen mit bestimmten Befehlszeilen. Zu den interessanten Verhaltensweisen, die wir beobachtet haben, gehören die folgenden:
Übergeordneter Prozess von \AppData\Local\, der ausgeführt wird
> C:\\Windows\\system32\\net.exe ansehen
Übergeordneter Prozess von \AppData\Local\, der ausgeführt wird
> net stop "TeamViewer"
Übergeordneter Prozess C:\Windows\SysWOW64\cmd.exe wird ausgeführt
> Netzbenutzer
Übergeordneter Prozess von \AppData\Local\, der ausgeführt wird
> net group "Domänenadministratoren" /domäne
Sigma-Regel: Verdächtige Ausführung von Taskkill
Diese Sigma-Regel, die ebenfalls mit der Sysmon-Ereignis-ID 1 Process Creation zusammenhängt, zielt darauf ab, Verhaltensweisen im Zusammenhang mit "Kill"-Prozessen im System zu identifizieren.
> taskkill /F /IM chrome.exe /T
> taskkill /f /t /im <FILENAME>.exe
> taskkill /im google* /f /t
Die meisten der beobachteten Verhaltensweisen beinhalteten das /F-Flag, was bedeutet, dass der Prozess zur Beendigung gezwungen wird. Das /T-Flag bedeutet, dass alle Kindprozesse ebenfalls beendet werden. Der Parameter /IM schließlich gibt den Bildnamen des zu beendenden Prozesses an, wobei Wildcards (*) zulässig sind.
Sigma-Regel: Prozessstart aus verdächtigem Ordner
Diese Sigma-Regel zeigt Prozesse an, die aus ungewöhnlichen Ordnern des Betriebssystems gestartet werden. Im Folgenden finden Sie ein Beispiel für häufige Verzeichnisse:
> C:\Users\<USER>\AppData\Local\Temp\
> C:\Windows\Temp\
Zu den ungewöhnlichen Ordnern, die dieser Sigma-Regel entsprechen, gehören:
> C:\Benutzer\Öffentliche\Bibliotheken
(Wird von RomCom und anderen Bedrohungsakteuren verwendet)> C:\Users\Public\
> C:\Users\<USER>\AppData\Local\Temp\~[a-zA-Z]+\.tmp\ (Regular Expression ~[a-zA-Z]+\.tmp)
Sigma an MITRE
Sigma ist ein textbasiertes, offenes Signaturformat, das Protokollereignisse und Protokollmuster beschreiben kann. Sigma-Regeln werden in der Regel MITRE-Techniken zugeordnet, und einer einzelnen Sigma-Regel können mehrere MITRE-Techniken zugeordnet werden. In diesem Berichtszeitraum erkannten 386 Sigma-Regeln bösartiges Verhalten in mehr als 220.000 neuen und einzigartigen Malware-Samples.
Wenn wir diese auf die MITRE-Techniken zurückführen, sehen wir keine direkte Korrelation mit den "Common MITRE Techniques" dieses Berichtszeitraums.
Die fünf wichtigsten MITRE-Techniken, die bei den Sigma-Regeln beobachtet wurden, sind nachstehend aufgeführt.
Technik | Anzahl der Sigma-Regeln |
---|---|
Autostart-Ausführung beim Booten oder Anmelden: Registry Run Keys / Startup Folder - T1547.001
|
14
|
Verteidigungen beeinträchtigen: Tools deaktivieren oder modifizieren - T1562.001
|
11
|
Interpreter für Befehle und Skripte: PowerShell - T1059.001
|
10
|
Befehls- und Scripting-Interpreter - T1059
|
9
|
Geplante Aufgabe/Job: Geplante Aufgabe - T1053.005
|
9
|
Anzahl der Sigma-Regeln | |
---|---|
Autostart-Ausführung beim Booten oder Anmelden: Registry Run Keys / Startup Folder - T1547.001 |
14
|
Verteidigungen beeinträchtigen: Tools deaktivieren oder modifizieren - T1562.001 |
11
|
Interpreter für Befehle und Skripte: PowerShell - T1059.001 |
10
|
Befehls- und Scripting-Interpreter - T1059 |
9
|
Geplante Aufgabe/Job: Geplante Aufgabe - T1053.005 |
9
|
Schlussfolgerung
Der 13-prozentige Anstieg der eindeutigen bösartigen Samples, die auf unsere Kunden abzielen, zeigt die Bemühungen der Bedrohungsakteure, ihre Tools bei der Zusammenstellung zu diversifizieren. Dieser Prozess erzeugt unterschiedliche Hashes für ähnliche Samples, die dazu verwendet werden könnten, einfache Feeds und Filter zu umgehen, die von traditionellen Security Operations Centers (SOCs) verwendet werden.
APT28 und die Lazarus Group waren zwei der aktivsten Bedrohungsakteure, die es in diesem Berichtszeitraum auf unsere Kunden abgesehen hatten. Es wird vermutet, dass beide staatlich gesponsert sind, wobei APT28 mit Russland und Lazarus mit Nordkorea in Verbindung gebracht wird. Diese beiden Gruppen haben es seit langem auf den Westen abgesehen und konzentrieren sich dabei besonders auf die Vereinigten Staaten, Europa und Südkorea. Zu ihren Zielen gehören Regierungsbehörden, militärische Organisationen, Unternehmen und Finanzinstitute. Beide Gruppen stellen eine ernsthafte Bedrohung für die nationale Sicherheit und den wirtschaftlichen Wohlstand dar. Da diese Gruppen ihre Techniken ständig weiterentwickeln, um die Verteidigung zu erschweren, müssen Organisationen die neuesten TTPs dieser Bedrohungsakteure kennen und sie in violette Teamübungen einbeziehen, um die Verteidigungsstrategien zu stärken und Gegenmaßnahmen zu ergreifen.
Das Gesundheitswesen und Finanzinstitute waren in diesem Berichtszeitraum die am häufigsten angegriffenen Branchen. Infostealer, die gestohlene Anmeldedaten stehlen und tauschen, waren die häufigsten Angriffe auf das Finanz- und Gesundheitswesen. Allerdings gab es auch aufsehenerregende Angriffe auf Krankenhäuser und Finanzinstitute im Zusammenhang mit den Hilfsaktionen in der Ukraine. So hatten es Cyberbedrohungsgruppen wie RomCom auf medizinische Einrichtungen in den USA abgesehen, die humanitäre Hilfe für Flüchtlinge aus der Ukraine leisten.
Ransomware bleibt eine ständige Bedrohung sowohl für Finanz- als auch für Gesundheitseinrichtungen. Ausgehend von unseren Telemetriedaten aus diesem und dem vorangegangenen Berichtszeitraum ist davon auszugehen, dass diese beiden Branchen weiterhin stark betroffen sein werden.
Bei der Arbeit mit den Stichproben aus diesem Berichtszeitraum hat sich bestätigt, dass die am häufigsten verwendeten Taktiken die Entdeckung und die Umgehung der Verteidigung sind. Die Priorisierung der Erkennung dieser Taktiken in einem Netzwerk ist von entscheidender Bedeutung. Durch die Kenntnis dieser TTPs und der Profile von Bedrohungsakteuren kann ein Cybersicherheitsteam die Auswirkungen von Angriffen erheblich reduzieren und die Suche nach Bedrohungen sowie die Reaktion auf Vorfälle und die Wiederherstellung unterstützen.
Vorhersagen
- Ende Mai informierte das Softwareunternehmen Progress Software seine Kunden über eine Sicherheitslücke in seinem Produkt MOVEit Transfer78.* Die Sicherheitslücke (CVE-2023-3436279) kann über SQL-Injektion ausgenutzt werden und zu einer Ausweitung der Privilegien und einem Systemeinbruch führen. Die Schwachstelle wurde bereits in großem Umfang auf ungepatchten Systemen ausgenutzt, vor allem von der Clop-Ransomware-Bande, die diese Schwachstelle ausnutzte, um angeblich80 in Hunderte von Unternehmen einzudringen. Wir gehen davon aus, dass Bedrohungsakteure weiterhin versuchen werden, diese Schwachstelle auszunutzen, bis alle anfälligen Systeme gepatcht sind.81
- Jüngste Untersuchungen82 zeigen, dass der Wert des globalen Mobile-Banking-Marktes im Jahr 2026 schätzungsweise 1,82 Milliarden US-Dollar erreichen wird, und Trends wie der Aufstieg von Neobanken83 deuten darauf hin, dass die Nutzung digitaler und mobiler Bankdienstleistungen im nächsten Jahrzehnt wahrscheinlich weiter zunehmen wird. Leider wird dieses Wachstum wahrscheinlich mit einer Zunahme von Malware für das mobile Banking einhergehen. In den letzten Monaten gab es mehrere alarmierende84 Vorfälle, darunter ein neues Android-Botnet, das auf etwa 450 Finanzanwendungen abzielte.85 Smartphone-zentrierte Malware wird wahrscheinlich zunehmen, da Bedrohungsakteure versuchen, Verbraucher auszunutzen, die Online-Banking intensiv nutzen.
- Phishing-Kampagnen werden immer raffinierter in ihren Bemühungen, nicht entdeckt zu werden. In den letzten Monaten wurden immer mehr neue Webdomänen registriert, die als Proxys fungieren, bevor sie bösartige Inhalte liefern. Die Verwendung von Proxys und Geofencing, um Opfer in einem bestimmten Land oder einer bestimmten Region anzusprechen, macht es schwierig, betrügerische Websites frühzeitig zu erkennen. Diese Art von Phishing-Kampagnen wird zunehmen und den Phishern mehr Zeit geben, Informationen von ihren Opfern zu erhalten, bevor sie entdeckt werden.
- Generative KI wie ChatGPT stellen für Unternehmen ein potenzielles Problem für die Cybersicherheit dar. ChatGPT wurde bereits zur Generierung neuer Malware verwendet. So haben Forscher von HYAS Labs mitBlackMamba86 einen polymorphen Keylogger als Proof-of-Concept entwickelt, der seinen Code im Handumdrehen automatisch ändert, um der Erkennung zu entgehen, und dabei ein großes Sprachmodell (LLM) ausnutzt - die Technologie, auf der ChatGPT basiert. Bedrohungsakteure nutzen auch das weltweite Interesse an ChatGPT, um die Öffentlichkeit zur Installation von Malware zu verleiten. So installierten beispielsweise etwa 2.000 Personen pro Tag eine bösartige Browsererweiterung namens Quick access to ChatGPT87, die Informationen von Facebook Business-Konten abfing. Wir gehen davon aus, dass ChatGPT auch im Jahr 2023 in zunehmendem Maße innovative Bedrohungen darstellen wird.
Wenn Sie mehr darüber erfahren möchten, wie BlackBerry Ihr Unternehmen schützen kann, besuchen Sie https://www.blackberry.com.
Rechtlicher Hinweis
Die im 2023 BlackBerry Global Threat Intelligence Report enthaltenen Informationen sind ausschließlich für Bildungszwecke bestimmt. BlackBerry übernimmt keine Garantie oder Verantwortung für die Richtigkeit, Vollständigkeit und Zuverlässigkeit von Aussagen oder Untersuchungen Dritter, auf die hier Bezug genommen wird. Die in diesem Bericht enthaltenen Analysen spiegeln das aktuelle Verständnis der verfügbaren Informationen durch unsere Analysten wider und können sich ändern, wenn uns zusätzliche Informationen bekannt werden. Die Leser sind selbst dafür verantwortlich, diese Informationen mit der gebotenen Sorgfalt auf ihr privates und berufliches Leben anzuwenden. BlackBerry duldet keinen böswilligen Gebrauch oder Missbrauch der in diesem Bericht enthaltenen Informationen.
© 2023 BlackBerry Limited. Marken, einschließlich, aber nicht beschränkt auf BLACKBERRY, EMBLEM Design und Cylance sind Marken oder eingetragene Marken von BlackBerry Limited, und die exklusiven Rechte an diesen Marken sind ausdrücklich vorbehalten. Alle anderen Marken sind das Eigentum ihrer jeweiligen Inhaber.
Danksagung
Der BlackBerry Global Threat Intelligence Report 2023 ist das Ergebnis der gemeinsamen Arbeit unserer talentierten Teams und Einzelpersonen. Insbesondere möchten wir uns bei ihnen bedanken:
Referenzen
2 https://nvd.nist.gov/vuln/detail/CVE-2023-0669
4 https://www.reuters.com/world/europe/poland-says-russian-hackers-attacked-tax-website-2023-03-01/
5 https://www.thefirstnews.com/article/cyber-attacks-have-become-commonplace-says-govt-official-36902
6 https://www.reuters.com/world/africa/senegalese-government-websites-hit-with-cyberattack-2023-05-27/
7 https://www.ic3.gov/Media/PDF/AnnualReport/2022_IC3Report.pdf
8 https://www.fraudsmart.ie/personal/fraud-scams/phone-fraud/identity-theft/
9 https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf
10 https://www.clinicbarcelona.org/en/news/computer-attack-on-the-frcb-idibaps
14 https://twitter.com/vxunderground/status/1632464810863390721
16 https://nvd.nist.gov/vuln/detail/CVE-2023-0669
24 https://darktrace.com/blog/living-off-the-land-how-hackers-blend-into-your-environment
25 https://techcrunch.com/2023/04/20/3cx-supply-chain-xtrader-mandiant
26 https://www.ncsc.gov.uk/news/heightened-threat-of-state-aligned-groups
27 https://www.cyber.gc.ca/en/guidance/national-cyber-threat-assessment-2023-2024
28 https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf
29 https://www.cyber.gc.ca/sites/default/files/cyber-threat-oil-gas-e.pdf
30 https://www.cisa.gov/news-events/cybersecurity-advisories?page=0
37 https://attack.mitre.org/groups/G0032/
38 https://www.usna.edu/CyberCenter/_files/documents/Operation-Blockbuster-Report.pdf
39 https://www.cisa.gov/news-events/analysis-reports/ar20-133a
40 https://attack.mitre.org/software/S0154/
42 https://archive.f-secure.com/weblog/archives/00002356.html
44 https://www.theverge.com/2021/5/18/22440813/android-devices-active-number-smartphones-google-2021
46 https://cyware.com/news/spynote-infections-on-the-rise-after-source-code-leak-c5d36dce
47 https://www.threatfabric.com/blogs/spynote-rat-targeting-financial-institutions
48 https://github.com/DoctorWebLtd/malware-iocs/blob/master/Android.Spy.SpinOk/README.adoc
50 https://news.drweb.com/show/?i=14705&lng=en
51 https://www.scamwatch.gov.au/types-of-scams/buying-or-selling/mobile-premium-services
52 https://threatpost.com/gafgyt-botnet-ddos-mirai/165424/
54 https://blog.talosintelligence.com/prometei-botnet-improves/
55 https://unit42.paloaltonetworks.com/trigona-ransomware-update/
56 https://blog.cyble.com/2023/04/06/demystifying-money-message-ransomware/
57 https://www.rsaconference.com/library/presentation/usa/2023/macOS
58 https://blog.cyble.com/2023/04/26/threat-actor-selling-new-atomic-macos-amos-stealer-on-telegram/
59 https://attack.mitre.org/groups/G0121/
60 https://nvd.nist.gov/vuln/detail/cve-2017-0199
61 https://nakedsecurity.sophos.com/2012/07/31/server-side-polymorphism-malware/
63 https://www.3cx.com/blog/news/desktopapp-security-alert/
65 https://www.3cx.com/blog/news/desktopapp-security-alert/
66 https://www.3cx.com/blog/news/mandiant-initial-results/
67 https://attack.mitre.org/software/S0634/
68 https://support.microsoft.com/en-us/topic/what-is-typosquatting-54a18872-8459-4d47-b3e3-d84d9a362eb0
69 https://www.cisecurity.org/insights/blog/malvertising
70 https://www.papercut.com/blog/news/rce-security-exploit-in-papercut-servers/
71 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27350
72 https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-131a
74 https://twitter.com/MsftSecIntel/status/1654610012457648129
76 https://www.cronup.com/ejercito-de-chile-es-atacado-por-la-nueva-banda-de-ransomware-rhysida/
77 https://izoologic.com/2023/06/19/rhysida-ransomware-exposes-stolen-data-from-the-chilean-army/
78 https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
79 https://nvd.nist.gov/vuln/detail/CVE-2023-34362
81 https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
82 https://www.alliedmarketresearch.com/mobile-banking-market
83 https://www.bankrate.com/banking/what-is-a-neobank/
84 https://blog.cyble.com/2022/12/20/godfather-malware-returns-targeting-banking-users/
85 https://www.cleafy.com/cleafy-labs/nexus-a-new-android-botnet#3
86 https://www.darkreading.com/endpoint/ai-blackmamba-keylogging-edr-security
*Ein Fix für die Sicherheitslücke vom 31. Mai wurde innerhalb von 48 Stunden nach ihrer Entdeckung zur Verfügung gestellt. Weitere Einzelheiten finden Sie unter https://www.ipswitch.com/blog/update-steps-we-are-taking-protect-moveit-customers.