Multi-funktionale Malware als Schweizer Taschenmesser + Loader öffnen die Tür zu sensiblen Daten + ViperSoftX – Alter Feind in neuem Gewand + Phishing-Mails umgehen Erkennung immer besser
Darktrace, ein Anbieter von KI für Cybersicherheit, hat seinen End of Year Threat Report für die zweite Hälfte des Jahres 2023 veröffentlicht. Der Report basiert auf Daten aus der gesamten Kundenbasis und deckt wichtige Entwicklungen in den Bereichen multi-funktionale Malware, Loader, ViperSoftX und Phishing-Mails auf.
Laut der Analyse von Darktrace war in der zweiten Hälfte des Jahres 2023 der am häufigsten beobachtete Bedrohungstyp Malware-as-a-Service (MaaS), die zusammen mit Ransomware-as-a-Service (RaaS) die Mehrheit der bei Cyberangriffen verwendeten bösartigen Tools ausmachte. Aufgrund hoher Nachfrage und der wiederholten abonnementbasierten Einnahmen erwartet Darktrace, dass die MaaS- und RaaS-Ökosysteme weiter wachsen und auch im Jahr 2024 die größten Bedrohungen darstellen. Alle Ergebnisse der Analyse basieren auf Erkenntnissen, die von der selbstlernenden KI von Darktrace gesammelt wurden.
Eine Malware für alles
Malware ist nicht mehr nur auf eine bestimmte Aktion oder Aufgabe zugeschnitten. Sie wurde weiterentwickelt und kann mehrere Aktivitäten ausführen – wie ein Schweizer Taschenmesser. Die Entwicklung multi-funktionaler Malware wird sich fortsetzen und aufgrund ihrer Anpassungsfähigkeit und Vielseitigkeit eine zunehmende Bedrohung für Sicherheitsteams darstellen. Denn damit können Cyberkriminelle eine Reihe bösartiger Aktivitäten effizienter durchführen und die nötige Verweildauer in den betroffenen Netzwerken verkürzen. Dies reduziert auch die Wahrscheinlichkeit ihrer Entdeckung. So wird für Unternehmen die Erkennung von Anomalien zu einem entscheidenden Faktor, um den sich ständig weiterentwickelnden Bedrohungen einen Schritt voraus zu sein.
Ein aktuelles Beispiel für multi-funktionale Malware ist CyberCartel. Diese lateinamerikanische Hacker-Gruppe ist seit 2012 aktiv und dafür bekannt, MaaS-Angebote von anderen Malware-Stämmen wie dem Fenix-Botnet zu nutzen. Das Darktrace Threat Research Team entdeckte rund 40 Netzwerke, die potenziell von CyberCartel betroffen waren. Durch die Kombination von Funktionen verschiedener Stämme und den Einsatz einer gemeinsamen C2-Infrastruktur kann CyberCartel seine Malware effektiv verteilen und Informationen stehlen. Dabei ist eine genaue Zuordnung sehr schwierig, welches Unternehmen von welcher Malware-Funktion betroffen ist.
Die Türöffner
Loader öffnen häufig die Tür in Unternehmensnetzwerke und stellen die am häufigsten beobachtete Bedrohungskategorie innerhalb von MaaS und RaaS dar, die Darktrace in der zweiten Jahreshälfte 2023 analysiert hat. Sie waren an 77 Prozent der untersuchten Angriffe beteiligt, gefolgt von Cryptominern (52 %), Botnetzen (39 %), Malware zum Informationsdiebstahl (36 %) und Proxy-Botnetzen (15 %). Die Prozentsätze ergeben sich aus Mehrfachnennungen, da die betroffenen Kunden auf Basis der Infektionen bei jeder Kategorie in mehr als einen Bedrohungstyp eingeteilt wurden.
Malware für den Erstzugang wie Loader und Information Stealer werden weiterhin zu den größten Gefahren für Unternehmen gehören. Es handelt sich oft um interoperable, flexible MaaS-Tools. Darktrace beobachtet häufig, dass sie für den Erstzugang Daten und Anmeldeinformationen sammeln, ohne Dateien zu übertragen. Die Daten werden dann oft verkauft. Angesichts des steigenden Werts von Daten auf dem modernen Markt für Cyber-Bedrohungen bleiben MaaS-Tools für den Erstzugang ein wichtiges Thema für Sicherheitsteams. Zudem ermöglichen Loader nachfolgende Infektionen der zweiten und dritten Stufe für bösartige Angriffe und Ransomware.
Passwortdieb vermeidet Entdeckung
ViperSoftX ist ein Beispiel für die weite Verbreitung von Malware für den Erstzugang. Der Information Stealer und Remote Access Trojaner (RAT) sammelt sensible Informationen wie Wallet-Adressen von Kryptowährungen und in Browsern oder Passwortmanagern gespeicherte Passwortinformationen, um nachfolgende Angriffe zu erleichtern. Er wird in der Regel über den Download geknackter Software von verdächtigen Domains, Torrent-Downloads und Schlüsselgeneratoren von Drittanbieterseiten verbreitet.
Die Malware wurde erstmals im Jahr 2020 in freier Wildbahn beobachtet. Doch 2022 und 2023 tauchten neue Stämme auf, die ausgefeiltere Techniken zur Umgehung der Erkennung verwenden. Dazu gehören fortschrittliche Verschlüsselungsmethoden sowie monatliche Änderungen an Command-and-Control-Servern (C2). Die aktuellen Versionen nutzen auch DLL (Dynamic-Link Library) Sideloading für Ausführungstechniken. Sie installieren eine bösartige Browsererweiterung mit dem Namen VenomSoftX, die als unabhängiger Information Stealer arbeitet.
Phishing-Mails weiterhin gefährlich
Die Lösung Darktrace/Email entdeckte 10,4 Millionen Phishing-E-Mails zwischen dem 1. September und 31. Dezember 2023. Davon bestanden 65 Prozent erfolgreich die Authentifizierung über DMARC (Domain-based Message Authentication). Das Umgehen dieser Verifizierungsprüfung deutet darauf hin, dass Cyberkriminelle ihre Tarnungs- und Ausweichtaktiken zunehmend verbessern. Auch dass nur 42 Prozent der Phishing-Mails von großen E-Mail-Anbietern wie Microsoft und Google erkannt wurden, zeigt Lücken und Schwachstellen in den herkömmlichen Sicherheitsmaßnahmen.
Von allen Phishing-E-Mails:
- waren 45 % Spear-Phishing-Versuche
- verwendeten 38 % neuartige Social-Engineering-Techniken
- enthielten 28 % mehr als 1.000 Zeichen (oder etwa 200 Wörter)
- nutzten 3 % neu erstellte Domains
- wurden mindestens 639.000 bösartige QR-Codes übermittelt
Neuartige Social-Engineering-Techniken wie der Einsatz von QR-Codes sollen die Empfänger zur Preisgabe sensibler Informationen wie Anmeldedaten und Bankinformationen oder zum Herunterladen bösartiger Dateien verleiten. Da mehr als ein Viertel der beobachteten Phishing-Mails eine größere Textmenge enthielt, verstärken Cyberkriminelle ihre Bemühungen für ausgefeilte Phishing-Kampagnen. Möglicherweise setzen sie dabei auch generative KI-Tools zur Automatisierung von Social-Engineering-Aktivitäten ein.
Über die Methodik
Das Threat Research Team von Darktrace analysiert, welche Bedrohungen Kunden betreffen, und identifiziert wichtige Indikatoren für eine Kompromittierung (IoC). Es beobachtet Auswirkungen in Kundenumgebungen und reichert sie mit Kontext-Daten an, um Kunden mit relevanten Informationen zu versorgen. Die Analysen basieren auf der Anomalieerkennung von Darktrace und fokussieren auf die Untersuchung und Kontextualisierung von Erkennungsinformationen. Der besondere Ansatz von Darktrace, eine Kombination aus einem Anomalie-basierten KI-Ansatz und tiefgreifender kontextbezogener Analyse, bietet eine einzigartige Perspektive auf die Bedrohungslandschaft.