Comretix Blog

Die Ransomware-Gruppe Dark Angels hat offenbar die bisher höchste dokumentierte Lösegeldzahlung erhalten. Das geht aus dem ThreatLabz 2024 Ransomware Report des Sicherheitsanbieters Zscaler hervor. Demnach zahlte ein bisher nicht bekanntes Opfer den Cybererpressern 75 Millionen Dollar.

Der Bericht basiert unter anderem auf 4,4 Millionen Ransomware-Angriffen, die durch die Zscaler-Cloud blockiert worden. Die Zahl der Attacken erhöhte sich gegenüber dem Vorjahr um 17,8 Prozent. Zudem analysierte Zscaler die Data Leak Websites verschiedener Ransomware-Gruppen, was wiederum eine Zunahme von 57,8 Prozent bei der Zahl der erpressten Unternehmen nahelegt.

Die Fertigungsindustrie war zwischen April 2023 und April 2024 das beliebteste Ziel für Ransomware mit 653 Attacken. 312 Angriffe zählte Zscaler im Gesundheitssektor, 265 im Technologiesektor und 217 im Bildungsbereich. Auch der Finanzsektor und Großhandel und Einzelhandel stehen bei Cybererpressern hoch im Kurs.

Zudem konzentrierten sich die Erpressungsversuche vor allem auf die USA mit einem Anteil von 49,95 Prozent. Auf den weiteren Plätzen führt Zscaler Großbritannien mit 5,92 Prozent, Deutschland mit 4,09 Prozent, Kanada mit 3,51 Prozent und Frankreich mit 3,26 Prozent.

Kaspersky-Experten haben eine neue Spyware-Kampagne entdeckt, die die Malware Mandrake in Google Play verbreitet. Die Schadsoftware tarnt sich als legitime Apps für Kryptowährungen, Astronomie oder Utility Tools. Fünf der von Kaspersky gefundenen Apps sind bereits seit zwei Jahren in Google Play verfügbar und wurden mehr als 32.000 Mal heruntergeladen. Durch fortgeschrittene Verschleierungs- und Umgehungstechniken umgeht Mandrake einer Entdeckung durch Sicherheitsanbieter.

Bei Mandrake handelt es sich Kaspersky zufolge um eine fortgeschrittene Spionage-Plattform für Android, die zum ersten Mal im Jahr 2020 identifiziert wurde und bereits seit mindestens 2016 aktiv ist. Im April 2024 untersuchten Kaspersky-Experten ein verdächtiges Sample, bei dem Mandrake neue Funktionalitäten aufwies. Ihr Hauptunterscheidungsmerkmal zur früheren Kampagne: erweiterte Verschleierungs- und Umgehungstechniken. Unter anderem kann Mandrake schädliche Funktionen mit OLLVM in systemeigene Libraries verschieben und prüfen, ob sie auf einem gerooteten Gerät oder innerhalb einer virtuellen Umgebung operiert.

Mandrake tarnte sich im Google Play Store als Apps zum Filesharing über WLAN, für astronomische Dienstleistungen, Kryptowährung und Logikpuzzles sowie als Game zum Charakter „Amber“ aus dem RPG „Genshin Impact“. Neben Deutschland stammen die meisten der über 32.000 Downloads aus Kanada, Italien, Mexiko, Spanien, Peru und dem Vereinigten Königreich. Die Apps sind laut Kaspersky nicht länger in Google Play verfügbar.

„Nachdem sie in ihrer Ursprungsform vier Jahre lang einer Entdeckung entgangen war, blieb auch die aktuelle Mandrake-Kampagne im Google Play Store zwei Jahre unentdeckt. Dies zeigt die fortgeschrittenen Fähigkeiten des Bedrohungsakteurs hinter der Malware“, kommentiert Tatyana Shishkova, Lead Security Researcher im Global Research and Analysis Team (GReAT) von Kaspersky. „Sie zeigt einen besorgniserregenden Trend: Angesichts sich verschärfender Vorgaben und Sicherheitskontrollen werden Bedrohungen, die versuchen, in offizielle Appstores einzudringen, immer ausgeklügelter und dadurch schwieriger zu entdecken.“

Der Sicherheitsanbieter Mandiant hat die Ransomware-Bedrohungslage des Jahres 2023 analysiert. Dabei stellten die Sicherheitsforscher fest, dass 76 Prozent der Ransomware-Angriffen außerhalb der Arbeitszeit stattfanden. Fast ein Drittel ereignete sich zudem innerhalb von 48 Stunden nach dem ersten Zugriff der Cyberkriminellen auf ein Unternehmensnetzwerk.

Insgesamt registrierte Mandiant im vergangenen Jahr einen deutlichen Anstieg der Ransomware-Aktivitäten. Gemessen an den Meldungen auf Datenleck-Websites der verschiedenen Ransomware-Gruppen lag die Zunahme bei rund 75 Prozent. Zudem wurden mehr als 50 neue Ransomware-Familien entdeckt, wobei ein Drittel davon Varianten bekannter Familien waren.

Dies begründeten die Forscher unter anderem mit zahlreichen Angeboten für Ransomware-as-a-Service, die Kriminellen den Einstieg in die Welt der Cybererpressung erleichtern. Zudem wurden neue Erpressungsmethoden erprobt wie Swatting. Dabei werden Opfer mit direkten Anrufen oder gar dem Einreichen von Beschwerden bei staatlichen Aufsichtsbehörden unter Druck gesetzt.

Die Statistik zeigt auch, dass die Angreifer zunehmen legitime Tools wie ScreenConnect, Splashtop, Atera und Anydesk einsetzen, um in die Systeme ihrer Opfer einzudringen. Die fünf verbreitetsten Ransomware-Familien waren Alphv (17 Prozent), Lockbit (17 Prozent), Basta (8 Prozent), Redbike (6 Prozent) und Phobos (5 Prozent).

Eine Studie des Sicherheitsanbieters G Data warnt vor einem geringen Sicherheitsbewusstsein am Arbeitsplatz. Demnach verwendet lediglich die Hälfte der deutschen Angestellten sichere Passwörter. Außerdem sollen nur 38 Prozent ihre E-Mais auf Phishing überprüfen.

Die Studie „Cybersicherheit in Zahlen“ wurde von G Data in Zusammenarbeit mit Statista und Brand Eins durchgeführt. G Data weist aufgrund der Ergebnisse auch eine erhöhte Gefahr von Cyberangriffen, Datenverlusten und finanziellen Schäden hin. „IT-Verantwortliche müssen dringend in Security Awareness Schulungen für Mitarbeitende investieren, um einen umfassenden und effektiven Schutz vor Cyberbedrohungen zu gewährleisten“, teilte das Unternehmen mit.

Viele Mitarbeiter sehen offenbar die Verantwortung für die unternehmensweite IT-Sicherheit bei den Fachleuten. Außerdem zeigt die Studie, dass je kleiner ein Unternehmen ist, desto weniger übernehmen Mitarbeiter Verantwortung für die IT-Sicherheit. Dieser Trend werde oft durch den Irrglauben verstärkt, dass kleinere Betriebe kein attraktives Ziel für Cyberkriminelle sein.

„Dabei sind diese genauso gefährdet wie große Unternehmen, da sie oft über weniger robuste IT-Sicherheitssysteme verfügen und daher von Cyberkriminellen als leichteres Ziel angesehen werden“, ergänzte G Data. „Zudem ist eine häufige Herausforderung die begrenzte Budget- und Personalressource, wodurch die Investition in IT-Sicherheit und die Einstellung von Fachkräften erschwert wird. Es ist entscheidend, IT-Sicherheit als integralen Bestandteil der Geschäftsstrategie zu betrachten und die gesamte Belegschaft einzubinden, um das Unternehmen langfristig zu schützen.“

Strafverfolgungsbehörden aus den USA und mehreren europäischen Ländern haben den nach eigenen Angaben „bisher größten Schlag“ gegen das weltweite Cybercrime geführt. Zusammen ist es ihnen gelungen, mehrere der derzeit einflussreichsten Schadsoftware-Familien vom Netz zu nehmen.

An der vom Bundeskriminalamt und der Zentralstelle zur Bekämpfung der Internetkriminalität der Generalstaatsanwaltschaft Frankfurt am Main initiierten Aktion waren auch Ermittler aus den Niederlanden, Frankreich, Dänemark, Großbritannien und Österreich beteiligt. Weitere Unterstützung kam im Rahmen der internationalen Rechtshilfe von Behörden aus Portugal, der Ukraine, der Schweiz, Litauen, Rumänien, Bulgarien und Armenien.

Bei den Maßnahmen im Rahmen der Operation „Endgame“ wurden weltweit mehr als 100 Server beschlagnahmt sowie über 1300 kriminell genutzte Domains abgeschaltet. Außerdem erwirkten die Ermittler gegen einen mutmaßlichen Betreiber und Administrator einen Vermögensarrest in Höhe von 69 Millionen Euro. Außerdem wurden 99 Krypto-Wallets mit einem Gesamtvolumen von 70 Millionen Euro bei mehreren Kryptobörsen gesperrt.

Auf Basis von 10 internationalen Haftbefehlen wurden am 28. und 29. Mai vier Personen vorläufig festgenommen. Es wurden auch 16 Objekte in Armenien, den Niederlanden, Portugal und der Ukraine durchsucht und zahlreiche Beweismittel sichergestellt. Die Strafverfolger gehen laut BKA erwarten, dass die sichergestellten Daten zu Anschlussermittlungen führen werden.

Hierzulande wurde unter anderem wegen des Verdachts der banden- und gewerbsmäßigen Erpressung sowie der Mitgliedschaft in einer kriminellen Vereinigung ermittelt. Ziel der Operation Endgame war es den Ermittlern zufolge, die weltweite Internetkriminalität nachhaltig zu bekämpfen – weswegen nicht nur eine einzelne, sondern mehrere Schadsoftware-Familien ins Visier genommen wurden. Konkret nannte das BKA die Schadsoftware-Familien, IcedID, SystemBC, Bumblebee, Smokeloader, Pikabot und Trickbot. Sie sollen wiederum mit mindestens 15 Ransomware-Gruppierungen in Verbindung gestanden haben.

Zscaler hat mehr als 90 Android-Apps im offiziellen Android-Marktplatz Google Play entdeckt, die sich als legitime Anwendungen tarnen und Schadsoftware verbreiten. Sie werden von den Hintermännern der Malwarekampagne genutzt, um den Banking-Trojaner Anatsa einzuschleusen.

Zusammen kommen die mehr als 90 Apps den Sicherheitsforschern zufolge auf über 5,5 Millionen Installationen. Diese hohe Verbreitung erreichten die Apps offenbar, weil sich als PDF Reader oder QR Code Reader ausgaben. Andere schädliche Apps, die Anatsa enthielten, agierten als Dateimanager oder Übersetzungs-Apps. Zuletzt setzten die Hacker auf zwei Apps mit zusammen mehr als 70.00 Installationen: PDF Reader & File Manager sowie QR Reader & File Manager.

Der Banking-Trojaner, der auch unter dem Namen Teapot bekannt ist, ist auf Banking-Apps von mehr als 650 Finanzinstituten ausgerichtet. Zu den bevorzugten Opfern der Cyberkriminellen gehören Nutzer in den USA und Großbritannien. Anatsa unterstützt aber auch Banking-Apps von Geldinstituten in Deutschland, Spanien und Finnland.

In den Play Store schafften es die schädlichen Apps, weil sie sich einer sogenannten Dropper-Technik bedienen. Die im Play Store eingestellten Versionen zeigen kein schädliches Verhalten. Erst nach der Installation auf einem Endgerät wird der eigentliche Schadcode von einem Befehlsserver heruntergeladen – und als harmloses Update getarnt.

Die Malware Gipy ist seit Mitte 2023 aktiv. Die Cyberkriminellen setzen Gipy weltweit ein. Zu den fünf am stärksten betroffenen Ländern zählen Russland, Taiwan, die USA, Spanien und Deutschland.

Gipy ködert Nutzer, indem sie sich als KI-Tool tarnt. Die Erstinfektion erfolgt durch den Download einer schädlichen Datei, die von einer Phishing-Website heruntergeladen wird und sich als KI-Tool, das Stimmen verändern kann, ausgibt. Diese Webseiten sind täuschend echt gestaltet, wobei die Links zu den schädlichen Dateien oft auf kompromittierten Drittanbieter-Webseiten platziert sind, die WordPress verwenden.

Skript mit schädlichen Aktivitäten

Nachdem Nutzer auf „Installieren“ klicken, wird ein Installationsprogramm für eine legitime Anwendung gestartet; im Hintergrund jedoch ein Skript mit schädlichen Aktivitäten ausgeführt. Dabei lädt Gipy Schadprogramme von Drittanbietern, die als passwortgeschützte ZIP-Archive verpackt sind, über GitHub herunter und startet sie. Die Experten von Kaspersky haben über 200 dieser Archive analysiert, die eine Vielzahl an Bedrohungen enthielten:

Wir trainieren Mitarbeiter seit Jahren darauf, nicht auf Links in E-Mails zu klicken, nicht irgendwelchen Textnachrichten zu vertrauen. Aber durch KI bekommen Fakes eine andere Dimension. Es ist relativ einfach, eine Stimme mit KI zu faken. Da reichen schon 45 Sekunden einer öffentlichen Videoaufnahme, und davon gibt es von wichtigen Unternehmenslenkern hinlänglich viele im Internet. Das Ganze geht es noch ein Schritt weiter. Wir hatten im Januar diesen Jahres in Singapur eine komplette Videokonferenz, wo die Gesichter der Menschen plus die Stimmen gefakt waren“, warnt

Christoph Schuhwerk

Chief Information Security Officer EMEA bei Zscaler

im
IT-Deep-Dive-Podcast von silicon.de
mit

Kaspersky warnt vor einer neuen Malware-Kampagne, die sich derzeit gegen Nutzer in Russland, Taiwan, den USA, Spanien und Deutschland richtet. Die Hintermänner setzen dabei auf die zunehmende Beliebtheit von KI-Tools: Sie tarnen die Malware Gipy als KI-Stimmengenerator, den sie über Phishing-Websites verbreiten.

Gipy ist seit Mitte 2023 aktiv. Die Erstinfektion erfolgt Kaspersky zufolge durch den Download einer schädlichen Datei, die von einer Phishing-Website heruntergeladen wird. Diese Webseiten seien täuschend echt gestaltet, wobei die Links zu den schädlichen Dateien oft auf kompromittierten Drittanbieter-Webseiten platziert seien, die WordPress verwendeten.

Nachdem Nutzer auf „Installieren“ klicken, wird ein Installationsprogramm für eine legitime Anwendung gestartet; im Hintergrund jedoch ein Skript mit schädlichen Aktivitäten ausgeführt. Dabei lädt Gipy Schadprogramme von Drittanbietern, die als passwortgeschützte ZIP-Archive verpackt sind, über GitHub herunter und startet sie. Die Kaspersky-Forscher haben nach eigenen Angaben über 200 dieser Archive analysiert, die eine Vielzahl an Bedrohungen enthielten.

Darunter waren mehrere Passwordstealer wie Lumma, RedLine, RisePro und der auf Golang basierende Loli. Außerdem fanden die Forscher den Cryptominer Apocalypse ClipBanker, mehrere Fernzugriffs-Trojaner wie DCRat und RADXRat und die ebenfalls auf Golang basierende Backdoor TrueClient.

„Auch wenn KI-Tools erstaunliche Vorteile bieten und den Alltag revolutionieren, müssen Nutzer wachsam bleiben“, sagte Oleg Kupreev, Sicherheitsexperte bei Kaspersky. „Cyberkriminelle nutzen die Beliebtheit von KI aus, um Malware zu verbreiten und Phishing-Angriffe durchzuführen. Sie nutzen sie seit über einem Jahr als Köder und wir erwarten nicht, dass dieser Trend zurückgeht.“

Der Exploit zielt hauptsächlich auf Benutzer von Foxit Reader, der neben Adobe Acrobat Reader mit mehr als 700 Millionen Nutzern in mehr als 200 Ländern einer der prominenten PDF-Viewer ist. Der Exploit löst Sicherheitswarnungen aus, die ahnungslose Benutzer verleiten könnten, schädliche Befehle auszuführen. CPR hat beobachtet, dass Varianten dieses Exploits aktiv in Umlauf sind.

Schwachstellen im Design der Warnmeldungen

Die Sicherheitslücke nutzt das fehlerhafte Design der Warnmeldungen in Foxit Reader aus und sorgt dafür, dass dem Nutzer standardmäßig die gefährlichsten Optionen angeboten werden. Sobald ein unvorsichtiger Benutzer zweimal mit der Standardoption fortfährt, wird der Exploit ausgelöst, der eine Nutzlast von einem Remote-Server herunterlädt und ausführt.

Dieser Exploit wurde von mehreren Hackern für kriminelle Aktivitäten und Spionage genutzt. CPR hat drei Fälle isoliert und eingehend untersucht, die von einer Spionage-Kampagne bis hin zu Cyber-Kriminalität mit mehreren Links und Tools reichen und beeindruckende Angriffsketten bilden. Eine der bekanntesten Kampagnen, die diese Schwachstelle ausnutzt, wurde möglicherweise von der als APT-C-35 / DoNot Team bekannten Spionagegruppe durchgeführt. Basierend auf der eingesetzten Malware, den an die Bots gesendeten Befehlen und den erhaltenen Opferdaten sind die Täter in der Lage, hybride Kampagnen durchzuführen, die auf Windows- und Android-Geräte abzielen. Das führte teils zu einer Umgehung der Zwei-Faktor-Authentifizierung (2FA). Dieser Exploit wurde auch von verschiedenen Cyber-Kriminellen genutzt, welche die bekanntesten Malware-Familien verbreiten, wie VenomRAT, Agent-Tesla, Remcos, NjRAT, NanoCore RAT.

PDFs führten PowerShell-Befehle zum Download schädlicher Nutzlasten aus

Bei einer anderen Kampagne identifizierte Check Point Research den Threat Actor als @silentkillertv, welcher eine Kampagne mit zwei verketteten PDF-Dateien durchführte, von denen eine auf einer legitimen Website, trello.com), gehostet wurde. Der Bedrohungsakteur verkauft auch bösartige Tools und warb am 27. April für diesen Exploit. Bei den Recherchen stieß CPR auf mehrere Builds, die der Akteur besitzt, um bösartige PDF-Dateien zu erstellen, die diesen Exploit ausnutzen. Die meisten der gesammelten PDFs führten einen PowerShell-Befehl aus, der eine Nutzlast von einem Server herunterlud und dann ausgeführt wurde, obwohl in einigen Fällen auch andere Befehle verwendet wurden.

Dieser Exploit könnte als eine Form von Phishing oder Manipulation eingestuft werden, die auf Foxit PDF Reader-Benutzer abzielt und sie verleitet, gewohnheitsmäßig auf „OK“ zu klicken, ohne die damit verbundenen Risiken zu verstehen. Die Hacker reichen von rudimentärer Cyber-Kriminalität bis hin zu APT-Gruppen. Das Untergrund-Ökosystem nutzt diesen Exploit bereits seit Jahren aus. Bisher blieb er unentdeckt, da die meisten AV- und Sandboxen den Hauptanbieter von PDF-Readern, Adobe, zugrunde legen. Der Infektionserfolg und die niedrige Entdeckungsrate ermöglichen es, bösartige PDFs über viele unkonventionelle Wege, wie Facebook, zu verbreiten, ohne von Erkennungsregeln aufgehalten zu werden. CPR meldete das Problem an Foxit Reader. Die Entwickler bestätigten die Schwachstelle und teilten mit, dass diese in der Version 2024 3 behoben werden würde