- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Unklar, wer hinter den Angriffen steckt


Unsichtbare Angriffe: Im Speicher versteckte Malware greift Unternehmen in 40 Ländern an
Finanz- und Telekommunikationsbranche sowie Regierungsorganisationen betroffen - Hauptverdächtige sind die Gruppen GCMAN und Carbanak

- Anzeigen -





Die Experten von Kaspersky Lab haben eine Reihe zielgerichteter und nahezu unsichtbarer Attacken entdeckt, die ausschließlich mittels legitimer Software durchgeführt wurden. Die Angreifer nutzen weitverbreitete Tools für Penetrationstests und Administratoren sowie das PowerShell-Framework zur Aufgabenautomatisierung unter Windows. Es werden keine Malware-Dateien auf der Festplatte hinterlassen, sondern lediglich kurzeitig im Speicher versteckt. Der Ansatz verhindert eine Entdeckung durch Whitelisting-Technologien und hinterlässt Forensikern kaum analysierbare Spuren oder Malware-Muster. Die Angreifer verbleiben nur im System, solange sie Informationen sammeln. Mit dem nächsten Systemneustart sind alle Spuren beseitigt. Die Angreifer sind noch aktiv.

Ende des Jahres 2016 informierten Banken aus der GUS-Region Kaspersky Lab, dass sie eine Penetrationstest-Software, die oft für schadhafte Zwecke eingesetzt wird, unerwartet im Speicher ihrer Server gefunden haben. Anschließend entdeckten die Experten von Kaspersky Lab, dass der Penetrationstest-Code mit einer Reihe legitimer PowerShell-Skripts und anderen Hilfsmitteln verknüpft wurde. Die kombinierten Tools wurden in schafhaften Code umgearbeitet, der sich im Speicher verstecken und so unbemerkt Passwörter von Systemadministratoren sammeln konnte. Die Angreifer erlangten so die Kontrolle über ein System. Ziel war wohl der Zugriff auf Finanzprozesse.

Seither hat Kaspersky Lab eine Vielzahl solcher Attacken entdeckt: mehr als 140 Unternehmensnetzwerke in unterschiedlichen Wirtschaftsbereichen wurden angegriffen, vornehmlich Banken, Telekommunikationsunternehmen und Regierungsorganisationen. Die meisten Opfer stammen aus den USA, Frankreich, Ecuador, Kenia, Großbritannien und Russland. Auch wurden wenige deutsche und österreichische Zielobjekte ausgemacht. Insgesamt wurden Angriffe in 40 Ländern registriert.

Bisher ist unklar, wer hinter den Angriffen steckt. Der Einsatz von Open Source Exploit Code, herkömmlichen Windows-Tools und unbekannten Domains macht es fast unmöglich, die verantwortlichen Hintermänner zu bestimmen – oder herauszufinden, ob es sich um eine einzige Gruppe handelt oder um mehrere, die dieselben Werkzeuge verwenden. Bekannte Gruppen, die einen ähnlichen Ansatz verfolgen, sind GCMAN und Carbanak.

Kaspersky Lab: Einsatz legitimer und Open-Source-basierter Werkzeuge macht Zuweisung annähernd unmöglich
Die Verwendung derartiger Tools macht zudem die Entdeckung von Angriffsdetails schwierig. Für gewöhnlich folgen Experten während einer Vorfallreaktion (Incident Response) Spuren und Mustern, die im Netzwerk vom Angreifer zurückbleiben. Datenspuren können bis zu einem Jahr nach dem Vorfall auf Festplatten verbleiben, hier allerdings sind sie mit dem nächsten Neustart des Computers aus dem Speicher verschwunden. In diesem Fall konnten die Experten jedoch rechtzeitig die Spuren sichern.

"Die Entschlossenheit der Angreifer, ihre Aktivitäten zu verstecken und so die Entdeckung und eine Incident Response extrem zu erschweren, zeigt den neuesten Trend antiforensischer Techniken und speicherbasierter Malware", so Sergey Golovanov, Principal Security Researcher bei Kaspersky Lab. "Speicherforensik wird deshalb für die Analyse von Malware und deren Funktionen besonders wichtig. Bei diesen Attacken nutzten die Angreifer jede denkbare antiforensische Technik und demonstrierten, dass keine Malware-Dateien für das erfolgreiche Herausfiltern von Daten aus einem Netzwerk benötigt werden. Gleichzeitig zeigt sich, dass die Verwendung legitimer und Open-Source-basierter Werkzeuge eine Zuweisung der Attacke fast unmöglich macht."

Die Angreifer sind noch aktiv. Daher sollten IT-Sicherheitsverantwortliche darauf achten, dass ein derartiger Cyberangriff nur im RAM (Random Access Memory), Netzwerk und der Registry entdeckt werden kann. YARA-Regeln, die auf dem Scan schadhafter Dateien basieren, bieten hier keinen Schutz. Die Lösungen von Kaspersky Lab entdecken Angriffe mit den oben genannten Taktiken, Techniken und Verfahren. (Kaspersky Lab: ra)

eingetragen: 10.03.17
Home & Newsletterlauf: 15.03.17


Kaspersky Lab: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Weitere aggressive Ransomware

    Knapp eine Woche nach der WannaCry-Ransomware-Attacke haben Sicherheitsforscher eine weitere aggressive Ransomware entdeckt. XData hat bereits Hunderte von Rechnern in der Ukraine infiziert. In weniger als 24 Stunden ist es der Ransomware gelungen sich auf den infizierten Rechnern ein starkes Standbein zu verschaffen. Der Fakt allein wäre schon erwähnenswert. Es kommt aber noch etwas anderes hinzu, ausreichend interessant für enthusiastische Anhänger von kriminellen Intrigenspielen und konspirativen Theorien. Es hat sich herausgestellt, dass XData ursprünglich auf eine ältere Ransomware unter dem Namen AES-NI zurückgeht. Seit dem ersten Aufkommen der XData-Ransomware hat der vermutliche Entwickler von AES-NI zahlreiche Sicherheitsexperten und Journalisten angesprochen und jede Verbindung zur XData-Malware geleugnet. Unabhängig von den zugrunde liegenden Motiven schickt sich XData jetzt offensichtlich an, sich auch außerhalb der Ukraine zu verbreiten.

  • Kriminelle nutzen erneut Werkzeuge der NSA

    Die massive Infektionswelle der Ransomware Petna, die in einigen Grundfunktionen der Petya-Erpressersoftware stark ähnelt, hat zahlreiche Unternehmen weltweit getroffen - auch Großunternehmen zählen zu den Opfern. Die G Data Analysten vermuten dahinter eine gezielte Attacke auf Firmen. Der Erpressertrojaner verbreitet sich über die Update-Server einer weit verbreiteten Buchhaltungs-Software in Osteuropa. Nachdem die Ransomware in das Unternehmen gelangt ist, verbreitet sich Petna im Netzwerk durch den Exploit namens Eternalblue, der aus den Beständen des US-Geheimdienst NSA stammt und bereits bei WannaCry zum Einsatz kam. Hierzu werden Administrator-Credentials gestohlen und für die Verbreitung genutzt. Die Ransomware verschlüsselt das gesamte Dateisystem und kompromittiert den Master Boot Record (MBR) der Systemfestplatte. Die aktuelle Variante verfügt, anders als WannaCry, jedoch nicht über einen Not-Aus-Schalter.

  • Ransomware verwendet den EternalBlue-Exploit

    Ende Juni gab es erneut eine Ransomware-Angriffswelle, die sich rasant verbreitet. Die Attacke erinnert stark an die Ransomware WannaCry, die erst im Mai weltweit für Chaos sorgte. Die Forscher des Sicherheitsspezialisten Trustwave gehen davon aus, dass sich auch diese Ransomware, bei der sich um eine Variante des Verschlüsselungstrojaners Petya handeln könnte, sehr schnell global verbreiten wird. Derzeit ist unklar, ob es sich wirklich um eine Petya-Variante oder eine bisher unbekannte Ransomware-Variante handelt. Auf jeden Fall nutzt die neue Ransomware die gleiche Schwachstelle aus, über die sich auch die WannaCry-Ransomware verbreiten konnte. Die Ransomware verwendet den EternalBlue-Exploit, der eine Schwachstelle im SMB-Protokoll von Windows ausnutzt. Microsoft hat diese Schwachstelle bereits im März im MS17-010 Bulletin gepatcht. Die neue, erfolgreiche Angriffswelle zeigt, dass viele Unternehmen und Organisationen diesen Patch noch nicht installiert haben.

  • TeleBots sind zurück

    Ende Juni traf eine neue Cyberattacke zahlreiche Computersysteme weltweit. Im Kern des Angriffs stand eine Malware, die der Ransomware Petya ähnelt. Inzwischen wurde die vor allem in der Ukraine verbreitete Buchhaltungssoftware M.E.Doc als Ursprung der Attacke identifiziert. Eset hat die Backdoor, die die Cyberkriminellen in die Software einschleusten, analysiert. Dabei konnte Eset neue Erkenntnisse über die Verbreitung der Malware gewinnen, die Eset als Win32/Diskcoder.C erkennt. Die Eset Analyse der Backdoor in M.E.Doc zeigt, dass die Hacker ihren Angriff sorgfältig planten und ausführten. Um die Sicherheitslücke in das Programm einzuschleusen, müssen sie sich Zugriff zum Quellcode des Programms verschafft und sich ausführlich mit ihm befasst haben. Außerdem erlangten sie Zugriff auf den Server, über den die Software bereitgestellt wurde. Ohne aktives Zutun der Opfer wurden so immer wieder infizierte Updates auf den Rechnern der Nutzer von M.E.Doc installiert. Über das interne Nachrichtensystem des Programms versendeten die Hacker darüber hinaus Phishing-Nachrichten an weitere Opfer. Zudem verbreitete sich die Malware über VPN-Verbindungen in den Unternehmen, die M.E.Doc nutzen, intern sowie bei ihren Kunden und Geschäftspartnern.

  • Sicherheitslücke EternalBlue

    Unter dem Namen Petya (auch GoldenEye oder NotPetya) verbreitet sich die neue Ransomware-Attacke. Die Schadsoftware nutzt unter anderem eine Schwachstelle in Computersystemen aus, auf die bereits WannaCry und deren Nachfolger EternalRocks zugegriffen haben: EternalBlue. WannaCry erreichte über 230.000 Computer in mehr als 150 Ländern. Petya könnte ein ähnliches Ausmaß annehmen. Wer ist von Petya betroffen? Die ersten Übergriffe von Petya erfolgten in der Ukraine, wo die staatliche Infrastruktur einschließlich staatlicher Banken oder PCs von Ministern sowie Energieunternehmen getroffen wurden. Der Angriff hatte außerdem Auswirkungen auf Transportunternehmen und den Atomreaktor Tschernobyl.