Das Aus für Makros macht Cyberkriminelle kreativ

Die Cyberbedrohungslandschaft für Unternehmen aller Größenordnungen war im letzten Jahr von massiven Veränderungen bei den cyberkriminellen Aktivitäten geprägt. [...]

Foto: PeteLinforth/Pixabay

Eine Folge: Finanziell motivierte Cyberkriminelle, die sich zunächst per E-Mails Zugang zu einer Organisation verschaffen, verzichten auf den Einsatz statischer, vorhersehbarer Angriffsketten. Stattdessen wenden sie sich verstärkt dynamischen Techniken zu, die sich schnell verändern.

Diese Verwerfungen sind größtenteils darauf zurückzuführen, dass Microsoft Makros nun standardmäßig blockiert. Alle Akteure in der cyberkriminellen Nahrungskette – vom kleinen, unbedarften Hacker bis hin zu den erfahrensten Cyberkriminellen, die große Ransomware-Angriffe durchführen – sind daher gezwungen, ihre Arbeitsweise anzupassen.

Die Security-Forscher von Proofpoint konnten wertvolle Einblicke in das veränderte Verhalten der Cyberkriminellen gewinnen. Demnach experimentieren die Angreifer nun in großem Umfang mit veralteten Dateitypen, unerwarteten Angriffsketten und einer Vielzahl von Techniken, um ihre Malware-Payloads zu verbreiten – einschließlich Ransomware.

Dabei konnte Proofpoint folgende Beobachtungen machen:

  • Nach wie vor testen Cyberkriminelle verschiedene Ansätze, um die effektivste Methode zu finden, mit der sie via E-Mail ein Ziel kompromittieren können. Hier zeigt sich: Es gibt keine zuverlässige, einheitliche Methode, die von allen Akteuren des Cybercrime-Ökosystems angewandt wird.
  • Sobald eine Gruppe Cyberkrimineller eine neue Technik nutzt, wird diese in den darauffolgenden Wochen bzw. Monaten auch von anderen Tätergruppen zum Einsatz gebracht.
  • Besonders gerissene Cybercrime-Akteure verfügen über die Zeit und die Ressourcen, die notwendig sind, um neue Malware-Verbreitungstechniken zu entwickeln und zu testen.

Am Beispiel der cyberkriminellen Gruppe TA570, auch bekannt unter dem Namen „Qbot“, lässt sich gut erkennen, wie sehr die Täter nun in ihren Bemühungen variieren, Malware an ihre potenziellen Opfer auszuspielen (siehe Abbildung 1).

Ursprünglich, also vor Juni 2022, griff TA570 in seinen Kampagnen fast ausschließlich auf VBA-Makros und XL4-Makros zurück, um Malware-Payloads zu verbreiten. Hier handelte es sich in der Regel um Qbot, aber auch um IcedID.

Im Juni 2022 konnten die Security-Forscher von Proofpoint erste Veränderungen beobachten. Die Gruppe wendete sich mehreren neuen Taktiken, Techniken und Verfahren (TTPs) zu, insbesondere nutzten sie erstmals HTML Smuggling.

In den folgenden Monaten griff TA570 zu immer neuen und unterschiedlichen TTPs, wobei in einem Monat bis zu sechs verschiedene und einzigartige Angriffsketten genutzt wurden und zahlreiche Dateitypen zum Einsatz kamen. Die Dateitypen umfassten unter anderem PDF, LNK, virtuelle Festplatten (VHD), ISO, OneNote, Windows Script File (WSF) und XLLs.

Abbildung 1: Unterschiedliche Dateitypen, die TA570 zur Verbreitung von Malware in Kampagnen zwischen Januar 2021 und März 2023 verwendete

www.proofpoint.com

powered by www.it-daily.net


Mehr Artikel

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*