Unter dem Radar - die Zukunft von unentdeckter Malware

Malwarebytes Report: Emotet Infektionen in Europa

Aktueller Report: Deutschland auf dem zweiten Platz bei Emotet-Infektionen innerhalb Europas

MĂŒnchen, 5. Dezember 2018 – Malwarebytes, der fĂŒhrende Anbieter von Lösungen zur Vermeidung und Behebung von Malware-Bedrohungen, veröffentlicht heute die Studie „Unter dem Radar – die Zukunft von unentdeckter Malware“ und beleuchtet darin einige der neuesten Bedrohungen in diesem Bereich fĂŒr Unternehmen: Emotet, TrickBot, Sobretec, SamSam und PowerShell. Der vollstĂ€ndige, englishsprachige Bericht ist unter diesem Link verfĂŒgbar.

WiderstandsfÀhigkeit und Erkennungsvermeidung als neuer Fokus:
Die stetige Weiterentwicklung von CyberkriminalitĂ€t ist eine Konstante in unserer heutigen digitalen Welt. Fast tĂ€glich gibt es Nachrichten von neuen Angriffsmethoden, einer neuen Angriffsstrategie oder einer Taktik, mit der Cyberkriminelle Benutzer infizieren, ihre Lebensgrundlage gefĂ€hrden und oder ganz allgemein Chaos anrichten. Um ihren Profit zu steigern, wollen Cyberkriminellen Endpunkte zielgerichtet und vollstĂ€ndig besetzen. Sie haben das Ziel, Endpunkte unbemerkt zu infizieren, sowohl in dem Moment der ersten GefĂ€hrdung, als auch bei allen weiteren Versuchen, den Endpunkt zu besetzen. Bisher hatten Malware-Entwickler das ĂŒbergeordnete Ziel, die Erkennung ihrer Schadsoftware zu umgehen. Laut der Studie “ Cost of a Data Breach“ des Ponemon Institutes und IBM aus dem Jahr 2017, vergehen im Durchschnitt bis zu 197 Tage, bis ein Großunternehmen bemerkt hatte, Opfer eines Datenlecks zu sein. Die durchschnittliche Zeit zur EindĂ€mmung dieses Lecks betrĂ€gt dabei weitere 69 Tage. Insgesamt dauert es im Schnitt 266 Tage, um einen Angriff zu beheben. Nicht auszudenken, wie viele kritische Informationen in dieser Zeit entwendet werden, bzw. wie viele Daten allein schon in den 69 Tagen zwischen Erkennung und EindĂ€mmung verloren gehen.

WiderstandsfĂ€higkeit gegen Tools zur Behebung ist fĂŒr Malware-Entwickler heute genauso wichtig geworden wie die Vermeidung ihrer Erkennung: und das schließt nicht nur die Zeit bis zur Erkennung ein, sondern auch die FĂ€higkeit mit Malware-RestbestĂ€nden unbemerkt im kompromittierten Endpunkt zu verbleiben, um sich nach dem Erkennungs- und Behebungsprozess wieder zurĂŒckzubilden und erneut anzugreifen. Diese Art von Malware vermeidet die Erkennung und ist ĂŒber die Maße widerstandsfĂ€hig, indem sie sich die Propagations- und Anti-Forensik-Techniken der komplexen staatlichen Angriffe der Vergangenheit zunutze machen. Innerhalb dieser Methoden sind heute vor allem dateilose Angriffe von Bedeutung. TatsĂ€chlich wird der Anteil von dateilosen Malware-Angriffen im Jahr 2018 auf 35 Prozent der Gesamtzahlen und fast 10-mal wahrscheinlicher als dateibasierte Angriffe geschĂ€tzt. Dies geht aus einem aktuellen Bericht des Ponemon Institute hervor.

Im Rahmen der eigenen Erkennungs- und Behebungstelemetrie hat Malwarebytes einen Anstieg dieser Angriffstypen dokumentiert: So wurden in weniger als einem Monat Tausende von Angriffen aufgezeichnet und verhindert, bei denen ein Microsoft Office-Dokument (Word, PowerPoint, Excel usw.) versuchte, bösartigen Code zu infiltrieren, der zu einem dateifreien Angriff fĂŒhren könnte.
Malwarebytes hat einige der neuesten Bedrohungen fĂŒr Unternehmen identifiziert und beschrieben, warum sie gefĂ€hrlich sind:

Emotet und TrickBot:
Die Banking-Trojaner/Downloader/Botnet-Typen Emotet und TrickBot sind perfekte Beispiele fĂŒr die nĂ€chste Generation von Malware und werden vor allem E-Mail ĂŒber bösartige Office-Dokumente verteilt. DarĂŒber hinaus nutzen diese Bedrohungen, sobald sie sich auf dem System befinden, die gleichen Schwachstellen, die WannaCry und NotPetya ausgenutzt haben. Bestimmte Branchen wurden von dieser Art von Malware stĂ€rker betroffen als andere. Malwarebytes erkannte Angriffe in den ersten neun Monaten 2018 fast eine halbe Million Mal innerhalb des Bildungssegments (von der Grundschule bis hin zur UniversitĂ€t). Zwischen Januar und September 2018 wurde Emotet Malware mehr als 1,5 Millionen Mal von Malwarebytes erkannt und entfernt. Emotet ist am aktivsten in den Vereinigten Staaten tĂ€tig, jedoch hat die AktivitĂ€t sowohl in großen als auch in kleinen LĂ€ndern, darunter Großbritannien, den Philippinen und Kanada, zugenommen. In Großbritannien und Deutschland entdeckte Malwarebytes in den ersten neun Monaten des Jahres 2018 mehr als 100.000 VorfĂ€lle von Emotet. Fast 60.000 FĂ€lle von Emotet-Bedrohungen wurden auf den Philippinen entdeckt. Im Hinblick auf das vergangene Jahr ist Großbritannien das Land mit den meisten Emotet-Infektionen in Europa ist, zumindest im letzten Jahr.

Nach Großbritannien folgt Deutschland auf dem zweiten Platz bei der Anzahl der Emotet-Infektionen. Dabei ist Deutschland schon seit einiger Zeit als Land dafĂŒr bekannt, aus dem neue und ungewöhnliche Malware aufkommt. Forscher von Malwarebytes können hier bisher aber keine sicheren RĂŒckschlĂŒsse nach GĂŒnden ziehen. Deutschland hat in der Regel keine ausgeprĂ€gte Kultur an Sicherheitsforschern, da viele der Instrumente, die Malwartebytes beispielsweise fĂŒr Analysen, Penetrationstests usw. verwenden, im Land verboten sind.

Diese regionalen Erkennungstrends sind bei der Betrachtung von TrickBot-Erkennungen sehr Ă€hnlich. Es gibt deutlich mehr Erkennungen von Emotet in ganz Europa als von TrickBot, vor allem in Frankreich, Spanien und Österreich. Wenn man jedoch davon ausgeht, dass TrickBot-Malware hauptsĂ€chlich von Emotet-Infektionen abstammt, ist davon auszugehen, dass TrickBot als Ergebnis daraus resultiert, dass Emotet-Angriffe nicht erkannt und entfernt wurde.

Die Verbreitung von Sorebrect in Europa:
Der Malwaretyp Sorebrect wurde am hĂ€ufigsten innerhalb der Asien-Pazifik (APAC) Region erkannt. Es gab allerdings auch einige LĂ€nder in EMEA, die mit der dateilosen Ransomware zu tun hatten – darunter etwa die TĂŒrkei. GrĂ¶ĂŸere Erkennungen in der TĂŒrkei könnten auf die AbhĂ€ngigkeit von Ă€lteren und anfĂ€lligeren Technologien zurĂŒckzufĂŒhren sein, wie dies in der APAC-Region der Fall ist.

Zu den weiteren auffĂ€lligen AktivitĂ€ten innerhalb APAC zĂ€hlen Exploit-Kits oder spezieller Code, der im Browser ausgefĂŒhrt wird und eine internetfĂ€hige Anwendung ausnutzt, um Malware auf dem Endpunkt des Opfers zu installieren. Aus welchem Grund auch immer, viele LĂ€nder aus der APAC-Region verwenden Ă€ltere und weniger sichere Browser und Betriebssysteme. Möglicherweise sind es dieselben Exploits, die zur Verbreitung von Sorebrect verwendet werden, da dateifreie Malware immer besser funktioniert, wenn der Start ĂŒber ein Skript erfolgt.

Sorebrect wurde vor allem darĂŒber bekannt, Netzwerke der LĂ€nder des Nahen Ostens im Jahr 2017 zu infizieren zu haben, hauptsĂ€chlich Unternehmen, die in der Fertigungsindustrie tĂ€tig sind. Wenn diese traditionelle LösegeldfunktionalitĂ€t mit den dateifreien Taktiken von morgen kombiniert wird, ergbit dies eine Bedrohung, die unmöglich zu stoppen ist. GlĂŒcklicherweise erzielte diese Bedrohung keine große Verbreitung und Malwarebytes hat auch keine erfolgreichen Nachahmer dieser FunktionalitĂ€t beobachtet. Es ist jedoch nur eine Frage der Zeit, bis jemand diese Infektionsmethode perfektioniert und dieser Malware-Typ verheerender wird.

SamSam als besonders hartnÀckige Schadsoftware:
Viele von uns neigen dazu, Malware als völlig autonom zu betrachten. WĂ€hrend sich viele Malware-Typen, einschließlich Bots, Ă€hnlich wie Drohnen verhalten, gibt es Malware-Typen, die in erster Linie als Werkzeuge fĂŒr den Angreifer verwendet werden, um sie bei Bedarf manuell zu starten, was das Tool weitaus leistungsfĂ€higer macht als die Drohne.

Ein solches Tool ist die Ransomware SamSam. Nachdem SamSam ĂŒber bekannte Schwachstellen oder falsch konfigurierte Dienste in das Netzwerk eingebrochen ist, wird es von Angreifern ĂŒber einen vollstĂ€ndig manuellen Prozess mit Batch-Skripten gestartet.
Der Grund fĂŒr die schwierige Entfernung dieser Malware liegt darin, dass Angreifer vor ihrer EinfĂŒhrung Sicherheitssoftware manuell deaktivieren zu können. Dies geschieht, nachdem Angreifer die administrative Kontrolle ĂŒber das System ĂŒbernommen haben, was meist durch einen RDP-Schwachpunkt möglich ist. In einem prominenten Beispiel eines SamSam-Angriffs hat die Stadt Atlanta prognostiziert, dass sie 2,6 Millionen Dollar fĂŒr die Wiederherstellung der Ransomware-Angriffe ausgeben wird.

Laut einer aktuellen Studie haben die Angreifer hinter SamSam im Jahr 2018 67 verschiedene Ziele getroffen, hauptsÀchlich in den USA. Es ist davon auszugehen, dass SamSam bzw. eine Variante davon, auch im Jahr 2019 ein Thema bleibt.

PowerShell als potentielle Bedrohungsquelle:
PowerShell ist ein vertrauenswĂŒrdiges administratives Skripting-Tool, das auf Windows-Systemen operiert. PowerShell selbst ist zwar keine Malware, kann aber fĂŒr bösartige Handlungen missbraucht werden. Angreifer haben PowerShell in den letzten Jahren als Bedrohungsquelle genutzt. Meistens wird PowerShell in Verbindung mit einem Makroskript in einem bösartigen Office-Dokument verwendet. Im Juni 2018 wurde eine neue Methode zur Verwendung von Office-Dokumenten bei Angriffen auf Benutzer in Umlauf gebracht. Innerhalb dieser Angriffsmethode konnte eine Schwachstelle in der Software ausgenutzt und mit PowerShell zusĂ€tzliche Malware heruntergeladen und installiert werden. Dies gibt den Angreifern Administratorenrechte, einschließlich der AusfĂŒhrung von dateilosen Malware-Angriffen direkt im Speicher, um der Erkennung durch Sicherheitsanbieter zu entgehen.

PowerShell wurde auch bei einem komplexeren Angriff auf eine saudi-arabische Regierungseinheit im Jahr 2017 zusammen mit VBScript- und Office-Makroskripten eingesetzt. Aufgrund der Erfolgsrate dieser Art von Angriffen ist die Malware der Zukunft aller Voraussicht nach dateifrei.

Malwarebytes schĂŒtzt Privatanwender und Unternehmen vor gefĂ€hrlichen Bedrohungen, Ransomware und Exploits, die von Antivirenprogrammen nicht erkannt werden. Malwarebytes ersetzt dabei vollstĂ€ndig andere Antivirus-Lösungen, um moderne Cybersecurity-Bedrohungen fĂŒr Privatanwender und Unternehmen abzuwenden. Mehr als 60.000 Unternehmen und Millionen Nutzer vertrauen Malwarebytes innovativen Machine-Learning-Lösungen und seinen Sicherheitsforschern, um aufkommende Bedrohungen abzuwenden und Malware zu beseitigen, die antiquierte Security-Lösungen nicht entdecken. Mehr Informationen finden Sie auf www.malwarebytes.com

Firmenkontakt
Malwarebytes
Sven Kersten-Reichherzer
Sendlinger Str. 42A
80331 MĂŒnchen
089/21187143
malwarebytes@schwartzpr.de
http://www.schwartzpr.de

Pressekontakt
Schwartz Public Relations
Sven Kersten-Reichherzer
Sendlinger Str. 42A
80331 MĂŒnchen
089/21187143
malwarebytes@schwartzpr.de
http://www.schwartzpr.de