Angreifer erhalten die benötigten Tools, um Erkennung zu umgehen
HP Inc. stellt die Ergebnisse seines neuen, vierteljährlich erscheinenden HP Wolf Security Threat Insights Report vor. Die Analyse zeigt deutlich, dass Angreifer auf Cyber-Marktplätzen alle notwendigen Tools erhalten, um beim Eindringen in Unternehmen alle Erkennungsmaßnahmen zu umgehen. Das Ergebnis: Sie sind in der Lage, die Geräte von Anwendern zu infizieren.
Der Bericht basiert auf Daten von Millionen Endgeräten, auf denen HP Wolf Security läuft, und enthält folgende wichtige Erkenntnisse:
- Houdinis letzter Akt: Eine neue Kampagne zielte auf Unternehmen mit gefälschten Versanddokumenten ab, hinter denen sich die JavaScript-Malware Vjw0rm verbarg. Der verschleierte Code ermöglichte es der Malware, die E-Mail-Abwehr zu umgehen und Endgeräte zu erreichen. Der analysierte Angriff speiste Houdini, ein zehn Jahre altes VBScript-RAT, in das Netzwerk. Dies zeigt, dass Cyber-Kriminelle mit den richtigen vorgefertigten Tools von Cyber-Crime-Marktplätzen in der Lage sind, alte Malware effektiv einzusetzen, indem sie die in Betriebssystemen integrierten Skriptfunktionen missbrauchen.
- Cyberkriminelle setzen sogenannte „Jekyll and Hyde“-Angriffe ein: HP entdeckte eine Parallax RAT-Kampagne, die zwei Threads startet, wenn ein Benutzer eine bösartige gescannte Rechnung öffnet, um ihn so zu täuschen. Der „Jekyll“-Thread öffnet eine Scheinrechnung, die von einer legitimen Online-Vorlage kopiert wurde. So wird das Misstrauen beim Empfänger reduziert. Der „Hyde“-Thread führt die Malware im Hintergrund aus. Dieser Angriff ist für Bedrohungsakteure leicht durchzuführen – und relativ kostengünstig: Hackerforen bieten vorgefertigte Parallax-Kits für 65 US-Dollar pro Monat an.
HP hat außerdem festgestellt, dass Angreifer angehende Cyber-Kriminelle „schikanieren“, indem sie gefälschte Malware-Baukästen auf Code-Sharing-Plattformen wie GitHub bereitstellen. Diese Repositories mit bösartigem Code verleiten Möchtegern-Bedrohungsakteure dazu, ihre eigenen Rechner zu infizieren. Ein beliebter Malware-Baukasten, XWorm, wird auf Untergrundmärkten für bis zu 500 US-Dollar angeboten. Diese relativ hohen Kosten verleiten Cyber-Kriminelle mit knappen Budgets dazu, gefälschte, geknackte Versionen zu kaufen.
HP Wolf Security isoliert Bedrohungen, die sich den Erkennungstools auf PCs entziehen. Dabei wird die Malware in einer sicheren Umgebung ausgeführt und analysiert, ohne den Host zu gefährden. Dadurch gewinnt HP Wolf Security außerdem einen spezifischen Einblick in die neuesten Techniken, die Cyber-Kriminelle in der sich schnell verändernden Cyber-Kriminalitätslandschaft einsetzen. Bis heute haben HP Wolf Security Kunden mehr als 30 Milliarden E-Mail-Anhänge, Webseiten und heruntergeladene Dateien angeklickt, ohne dass eine Sicherheitsverletzung gemeldet wurde.
Der Bericht zeigt, wie Cyber-Kriminelle ihre Angriffsmethoden immer weiter diversifizieren, um Sicherheitsrichtlinien und Erkennungstools zu umgehen. Weitere Ergebnisse:
- Archive waren im sechsten Quartal in Folge der beliebteste Malware Dateityp, der in 36 Prozent der von HP analysierten Fälle verwendet wurde.
- Obwohl sie standardmäßig deaktiviert sind, stiegen makroaktivierte Excel-Add-in-Bedrohungen (.xlam) von Platz 46 im zweiten Quartal auf Platz 7 der von Angreifern am häufigsten missbrauchten Dateierweiterungen im dritten Quartal auf. Im 3. Quartal gab es auch Malware-Kampagnen, die PowerPoint-Add-Ins missbrauchten.
- Mindestens zwölf Prozent der von HP Sure Click identifizierten E-Mail-Bedrohungen umgingen sowohl im dritten Quartal als auch im zweiten Quartal einen oder mehrere E-Mail-Gateway-Scanner.
- Im 3. Quartal wurden vermehrt Angriffe mit Exploits in den Formaten Excel (91 Prozent) und Word (68 Prozent) festgestellt.
- Die Zahl der von HP Wolf Security isolierten PDF-Bedrohungen stieg im Vergleich zum zweiten Quartal um fünf Prozentpunkte.
- Die wichtigsten Bedrohungsvektoren im 3. Quartal waren E-Mails (80 Prozent) und Downloads von Browsern (elf Prozent).
HP Wolf Security führt risikoreiche Aufgaben in isolierten, hardwareverstärkten virtuellen Maschinen auf dem Endgerät aus. Damit sind Anwender geschützt, ohne ihre Produktivität zu beeinträchtigen. Außerdem werden detaillierte Spuren von Infektionsversuchen aufgezeichnet. Die HP-Technologie zur Anwendungsisolierung entschärft außerdem Bedrohungen, die anderen Sicherheitstools entgehen. HP Wolf Security bietet darüber hinaus Einblicke in Eindringungstechniken und das Verhalten von Bedrohungsakteuren