- Anzeigen -


Sie sind hier: Home » Virenwarnung » Statistiken

Trojaner Havex ist am weitesten verbreitet


Cyberkampagne "Crouching Yeti" alias "Energetic Bear": Über 2.800 Schadensfälle in mehr als 100 Organisationen
Umfassende Analyse über die Schadsoftware, ihre Ziele und die Täter

(14.08.14) - Angesichts der enormen Zahl von bereits mehr als 2.800 Schadensfällen in 101 als betroffen identifizierten Unternehmen und Organisationen – auch aus Deutschland und der Schweiz – hat Kaspersky Lab die noch laufende Cyberkampagne "Crouching Yeti" alias "Energetic Bear" tiefgehend analysiert. In einem aktuellen Blogbeitrag sowie einer umfassenden Analyse öffentlichten die Experten von Kaspersky Lab jetzt die Ergebnisse zur Cyberkampagne "Crouching Yeti". Diesen neuen Namen gab das Global Research and Analysis Team (GReAT) der Schadsoftware, die bereits unter "Energetic Bear" bekannt ist. Kaspersky Lab hat außerdem Details zur Command-and-Control-Server (C&C)-Infrastruktur veröffentlicht. Die Kampagne geht bereits auf das Ende des Jahres 2010 zurück, ist aber immer noch aktiv und sucht sich täglich neue Opfer.

Opfer aus Industrie, Pharma, Baugewerbe, Bildung und IT
"Crouching Yeti" ist in verschiedene APT-Kampagnen (Advanced Persistent Threat) verwickelt, also systematisch und längerfristig angelegten Kampagnen, die sich gegen ein breites Spektrum an Unternehmen und Organisationen verschiedener Bereiche richten. Die meisten Geschädigten kommen aus den Branchen
• >> Automation,
• >> Produktion,
• >> Pharma,
• >> Baugewerbe,
• >> Bildung,
• >> sowie Informationstechnologie.

Diese Liste lässt einerseits Rückschlüsse auf eine bestimmte Strategie der Angreifer zu, andererseits finden sich auch Geschädigte in zunächst nicht vermuteten Bereichen. Die Experten von Kaspersky Lab glauben, dass es sich dabei um kollateral geschädigte Organisationen handeln könnte, die zunächst gar nicht im Fokus der Angreifer standen. Genauso denkbar wäre aber, dass "Crouching Yeti" keine auf bestimmte Zielgruppen gerichtete Kampagne ist, sondern breit angelegte Spionageaktivitäten in sehr unterschiedlichen Bereichen verfolgt. Zu finden sind die meisten bisher bekannten Opfer in den USA, Spanien, Japan, Deutschland, Frankreich, Italien, Türkei, Irland, Polen, China sowie in der Schweiz.

Industriespionage
Dabei geht die Cyberkampagne nicht gerade raffiniert vor und nutzt zum Beispiel keine Zero-Day Exploits, sondern im Internet verfügbare Exploit-Codes für bekannte Schwachstellen. Dennoch ist es "Crouching Yeti" gelungen, jahrelang unentdeckt zu bleiben. Jetzt konnten die Experten von Kaspersky Lab fünf Typen von Schadprogrammen identifizieren, mit denen die Angreifer an wertvolle Informationen bei ihren Opfern gelangen konnten. Es handelt sich dabei um
• >> den Trojaner Havex,
• >> den Trojaner Sysmain,
• >> das Backdoor-Programm ClientX
• >> das Backdoor-Programm Karagany zusammen mit weiteren Schadprogrammen,
• >> und sogenannte Lateral Movement und Second Stage Tools.

Der Trojaner Havex ist am weitesten verbreitet. Die Experten von Kaspersky Lab fanden davon allein 27 unterschiedliche Varianten und weitere zusätzliche Module, wie zum Beispiel Werkzeuge zum Sammeln von Informationen über von der Industrie genutzte Kontrollsysteme. Für ihre Steuerung sind die Schadprogramme von "Crouching Yeti" mit einem breiten Netzwerk aus gehackten Webseiten verbunden. Diese sammeln Informationen über die Geschädigten und schicken entsprechende Befehle oder weitere Schadmodule an die bereits infizierten Systeme.

Dazu gehören Module für den Diebstahl von Passwörtern und Outlook-Kontaktdaten, Module zur Anfertigung von Screenshots und solche, mit denen nach bestimmten Dateitypen gesucht werden kann, um diese zu entwenden. Textdateien, Kalkulationstabellen, Datenbanken und PDF-Dokumente sind genauso betroffen wie virtuelle Laufwerke, Passwort-geschützte Dateien und PGP-Schlüssel. Nach derzeitigem Kenntnisstand verfügt Harvex auch über zwei sehr spezialisierte Module, mit deren Hilfe die Angreifer an die Daten bestimmter industrieller IT-Umgebungen gelangen können.

Eines davon ist das OPC-Scanner-Modul, mit dem sehr detaillierte Informationen über alle OPC-Server im Unternehmensnetzwerk gewonnen werden. Diese Server werden in der Regel für den Einsatz mehrerer parallel laufender industrieller Automatisierungssysteme benötigt. Das zweite Modul sucht nach allen Rechnern im Unternehmensnetzwerk, deren Ports mit OPC/SCADA-Software verbunden sind. Das entsprechende OPC/SCADA-System wird daraufhin identifiziert und alle gesammelten Daten an die C&C-Server (Command-and-Control Server) übertragen.

Täter sind noch nicht eindeutig identifiziert
Im Rahmen ihrer Recherche entdeckten die Experten von Kaspersky Lab zahlreiche Hinweise auf die Herkunft der Hintermänner der Cyberkampagne. Eine Auswertung der Zeitstempel von 154 Dateien ergab Kompilierungszeiten zwischen 8 Uhr und 16 Uhr (Weltzeit). Das deutet darauf hin, dass die Täter irgendwo in West- oder Osteuropa sitzen. Auch die Sprache der Täter wurde unter die Lupe genommen. Demnach handelt es sich um ein leicht fehlerhaft gebrauchtes Englisch. Im Gegensatz zu vorherigen Expertenmeinungen kann Kaspersky Lab keine sicheren Rückschlüsse ziehen, dass die Täter russischen Ursprungs sind, wie dies bei Roter Oktober, Miniduke, Cosmicduke, Snake und TeamSpy der Fall war. In den fast 200 untersuchten Schadprogrammen von "Crouching Yeti" wurden nämlich keinerlei Anzeichen für kyrillische Buchstaben beziehungsweise deren entsprechende Transliteration gefunden.Es wurden allerdings sprachliche Hinweise gefunden, die auf französisch- und schwedisch-sprachige Täter deuten.

Bär oder Yeti?
"Der Name 'Energetic Bear' für die Schadkampagne 'Crouching Yeti' wurde ursprünglich von Crowd Strike gemäß deren Nomenklatur vergeben", erklärt Nicolas Brulez, Principal Security Researcher bei Kaspersky Lab. "Mit dem Bär im Namen wollte Crowd Strike symbolisch auf die vermutete russische Herkunft der Kampagne verweisen. Kaspersky Lab geht weiter allen Spuren nach, aber wir haben derzeit noch keine konkreten Anhaltspunkte für eine bestimmte Richtung. Allerdings wissen wir, dass sich die Angreifer nicht nur auf das produzierende Gewerbe konzentrieren, sondern ihre Kampagne weltweit und mit einem breiteren Fokus ausgerichtet haben. Auf Basis dieser Erkenntnis haben wir einen neuen Namen gewählt: Der Yeti erinnert an einen Bär, ist aber zugleich noch ein Mysterium." (Kaspersky Lab: ra)

Kaspersky Lab: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Statistiken

  • Gaming-Branche ein attraktives Ziel für Hacker

    Laut dem "State of the Internet"-Sicherheitsbericht 2019 / Angriffe auf Webanwendungen und die Gaming-Branche von Akamai haben Hacker die Gaming-Branche ins Visier genommen: Mit 12 Milliarden Credential Stuffing-Angriffen in 17 Monaten (November 2017 - März 2019) waren Gaming-Websites ein häufiges Ziel von Hackern. Damit leidet die Gaming-Community unter dem schnellsten Zuwachs an Credential Stuffing-Angriffen und ist eines der lukrativsten Ziele für Kriminelle, die schnell Gewinn machen wollen. Die Gesamtzahl der Credential Stuffing-Angriffe in allen Branchen belief sich laut Akamai im selben Zeitraum auf 55 Milliarden.

  • Millionen betrügerischer Domains

    Proofpoint hat ihren "Domain Fraud Report 2019" veröffentlicht. Darin widmet sich das Unternehmen den neuesten Trends im Bereich betrügerischer Domains sowie den Taktiken und Aktivitäten der in diesem Feld tätigen Cyberkriminellen. Im Untersuchungszeitraum stieg die Anzahl betrügerischer Domains um 11 Prozent. Schwerwiegender ist jedoch, dass für 96 Prozent aller Unternehmen Fake-Domains bestehen und die Einführung neuer Top-Level-Domains (TLDs) die Möglichkeiten des Domain-Betrugs für Cyberkriminelle noch erweitert. Die Anzahl betrügerischer Domains wuchs im vergangenen Jahr analog zu den Wachstumsraten aller insgesamt registrierten Domains weltweit. Zwischen dem ersten und vierten Quartal 2018 stieg die Anzahl an Registrierungen betrügerischer Domains um 11 Prozent an. Nahezu alle von Proofpoint identifizierten betrügerischen Domains blieben über den Beobachtungszeitraum hinweg aktiv - sie blieben also weiterhin registriert - und konnten daher für Angriffe genutzt werden, wobei mehr als 90 Prozent mit einem Live-Server in Verbindung standen. Von diesen betrügerischen Domains verfügten mehr als 15 Prozent über ein Mail Exchanger Record (MX Record), der darauf schließen lässt, dass über diese Domain E-Mails gesendet und/oder empfangen werden.

  • Beleg für die Popularität von Emotet

    Proofpoint hat ihren neuesten Threat Report für das erste Quartal 2019 veröffentlicht. Dem Bericht zufolge konnten die Experten von Proofpoint beobachten, dass sich Emotet hinsichtlich seiner ursprünglichen Klassifizierung stark verändert hat. So entwickelte er sich von einem reinen Banking-Trojaner hin zu einem Botnetz, das Credential Stealern, eigenständigen Downloadern und Remote-Acces-Trojanern (RATs) zunehmend den Rang abläuft. Das Unternehmen stellte in seiner neuesten Untersuchung in diesem Zusammenhang fest, dass hinter 61 Prozent aller im ersten Quartal dieses Jahres beobachteten bösartigen Payloads nur ein einziger Akteur steckte: Die Betreiber des Emotet-Botnetzes. Ein Beleg für die Popularität von Emotet ist vor allem die anhaltende Zunahme von Angriffen mit gefährlichen URLs - verglichen mit Attacken, die auf schädliche Datei-Anhänge setzen. Proofpoint konnte im Rahmen seiner Untersuchung für das vergangene Quartal belegen, dass bösartige URLs in E-Mails diejenigen mit gefährlichen Datei-Anhängen um etwa das Verhältnis fünf zu eins überstiegen. Damit wuchs diese Art von Bedrohung um 180 Prozent im Vergleich zum ersten Quartal 2018 an. Ein Großteil dieses Aufkommens an Cyberbedrohungen, sowohl insgesamt als auch im Hinblick auf die Verbreitung bösartiger URLs in Nachrichten, wurde durch das gleichnamige Emotet-Botnet verbreitet.

  • Fokus auf Traffic-starke Zeiten

    Cyber-Kriminelle legen großen Wert auf die Maximierung ihrer Erfolgschancen. Der Vergleich von Webfiltervolumen zweier Cyber Kill Chains an Wochentagen und Wochenenden zeigt eine dreimal höhere Wahrscheinlichkeit für Pre-Gefährdungs-Aktivitäten während der Arbeitswoche. Der Post-Gefährdungs-Traffic zeigt hingegen weniger Unterscheidung. Dies liegt vor allem daran, dass Exploits oft eine Aktion erfordern, bei der Nutzer beispielsweise auf Inhalte einer Phishing-E-Mail klicken. Command-and-Control-Aktivitäten (C2) haben diese Anforderung nicht und können jederzeit auftreten. Cyber-Kriminellen ist dies bewusst. Deshalb richten sie ihre Aktivitäten an den Traffic-stärksten Zeiten des Internets aus. Die Unterscheidung zwischen Wochentags- und Wochenendfilterung ist wichtig, um die Kill Chain der verschiedenen Angriffe vollständig zu verstehen. Die Lockheed Martin Cyber Kill Chain ist ein mehrstufiges Modell zur Analyse von Cyber-Attacken und zum Aufbau der Abwehr entlang der Angriffsschritte.

  • Trojaner-Erkennungen wachsen um 200 Prozent

    Malwarebytes stellte die Ergebnisse ihres Berichts Cybercrime-Taktiken und -Techniken des ersten Quartals 2019 vor. Die Ergebnisse basieren auf den einzigartigen Analysemöglichkeiten des Unternehmens. Das erste Quartal zeigt demnach einen deutlichen Anstieg bei der Erkennung von Ransomware, die auf Unternehmen zielt (195 Prozent), eine kontinuierlich steigende Bedrohung durch Trojaner-Varianten und einen starken Rückgang von Malware aus der Kategorie Kryptomining. Der jüngste Bericht von Malwarebytes, führender Experte in Sachen Malware und Bedrohungsanalysen, zeigt einen Anstieg an Cyberkriminellen, die Unternehmen und insbesondere kleine und mittelständische Unternehmen (KMU) ins Visier nehmen, deren begrenzte Ressourcen sie zu attraktiven Opfern machen.