WICHTIGE NEUE ERKENNTNISSE, AUF DIE IM JAHR 2019 GEACHTET WERDEN MUSS - Sicherheitsbericht 2019 Band 01 - Bearingpoint Cyber Security
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
CYBER-ANGRIFF
TREND-ANALYSE
WICHTIGE NEUE ERKENNTNISSE, AUF DIE IM JAHR 2019 GEACHTET WERDEN MUSS
Sicherheitsbericht 2019
Band 01
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 1
BAND 01
SICHERHEITSBERICHT 2019
01 EINFÜHRUNG: METHODIK 3
02 ÜBERBLICK: WICHTIGE CYBER-ANGRIFFE 4
03 2018: BEDROHUNGSTRENDS 5
04 VERGANGENHEIT: ÜBERPRÜFUNG DER PROGNOSEN 2017 18
05 FAZIT: NÄCHSTE SCHRITTE 21
INDEX DER TOP-MALWARE-FAMILIEN 2018 22
ANHANG A: TOP-MALWARE-FAMILIEN 24
ANHANG B: GLOBAL AM BESTEN AUSGENUTZTE SCHWACHSTELLEN 37
ANHANG C: MALWARE-FAMILIENBESCHREIBUNG 39
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 2
EINFÜHRUNG: ME T HODIK
Das Jahr 2018 führte eine herausfordernde Bedrohungslandschaft ein. Bedrohungsakteure haben ihre
Cyberwaffen ständig verbessert und schnell neue Methoden eingesetzt und ihre Angriffe an aufkommende
Technologien angepasst. Und obwohl es schien, als sei das vergangene Jahr ruhiger gewesen, ist dies bei weitem
nicht der Fall.
Obwohl Bedrohungsakteure sich bemühten, mit ihren bedrohlichen Aktivitäten nicht aufzufallen, konnten sie
sich unserem wachsamen Auge nicht entziehen. Es vergeht kein Tag, an dem Organisationen nicht ständig von
der stetig wachsenden Zahl von Malware angegriffen werden, die sich schneller als je zuvor verbreitet.
In diesem ersten Teil des Sicherheitsberichts von 2019 untersuchen wir die neuesten Bedrohungen, denen
Organisationen in der fünften Generation der Cyber-Landschaft ausgesetzt sind, und zeigen Ihnen unsere
Beobachtungen und Erkenntnisse aus dem vergangenen Jahr. Angefangen von massiven Datenpannen
und lähmenden Ransomware-Angriffen bis hin zu einem rasanten Anstieg von Kryptojackern
gab es keinen Mangel an Störungen für globale Organisationen.
Mit Daten aus unserer ThreatCloud World Cyber Threat Map und unseren Erfahrungen in der Cyber-
Research-Community geben wir einen umfassenden Überblick über die Trends, die in den Kategorien
Kryptominer, Ransomware, Malware-Techniken, Datenpannen, mobile und nationale Cyber-Angriffe
beobachtet werden.
Abschließend werden wir die in unserem Sicherheitsbericht 2018 gemachten Prognosen
abschließen und bewerten, inwieweit sich diese als zutreffend erwiesen haben. Auf
dem Weg werden wir auch die neuesten Analysen unserer internen Experten
bereitstellen, um die heutige Bedrohungslandschaft besser zu verstehen.
Nachdem wir die aktuelle Bedrohungslandschaft von heute herausgearbeitet haben,
werden wir im zweiten Teil dieses Sicherheitsberichts in einer guten Position
sein, um einen genaueren Blick unter die Haube der heutigen Cybercrime-Welt
zu werfen und zu zeigen, wie dieses Ökosystem eine zentrale Komponente der
Cyberbedrohungslandschaft bleibt.
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 3
Ü BE RB L I C K : GRO SS E C Y B ER- A NG RIF F E
CHECK P OIN T RE SE A RCH – 2019 SICHERHEI T SBERICH T | 4
2018: BEDROHUNGSTRENDS
RANSOMWARE
Atlanta Ransomware-Angriff
Im März erschütterte die SamSam-Ransomware die Stadt Atlanta, indem
sie den Betrieb mehrerer Stadtdienste für mehr als eine Woche infizierte
und lahmlegte. Betroffene waren die Gerichte der Stadt, weshalb
Gerichtsverfahren, die Ausstellung von Haftbefehlen und der Zugang
der Einwohner zu den Online-Zahlungsdiensten der Stadt blockiert
oder vorübergehend eingestellt waren. Die Malware wurde über einen
der vielen öffentlich zugänglichen Einstiegspunkte wie FTP-Server und
verschiedene VPNs eingeschleust und forderte ein Lösegeld von fast
7.000 US-Dollar in Bitcoin, um jeden betroffenen Computer zu entsperren.
Ransomware stand 2017 im Mittelpunkt.
Im letzten Jahr ist diese Art von Angriff
Energieministerium der Ukraine jedoch dramatisch zurückgegangen.
Im April nutzten Bedrohungsakteure Ransomware, um die Website Ungeachtet des Rückgangs sind
des ukrainischen Energieministeriums offline zu setzen und ihre Ransomware-A ngrif fe jedoch nicht
Dateien zu verschlüsseln. Es wird vermutet, dass Bedrohungsakteure verschwunden und sind weiterhin ein
die Schwachstellen in Drupal 7, der Standard-Software für Content- Grund zur Besorgnis für Organisationen
Management-Systeme, für die Durchführung des Angriffs ausnutzten. aller Branchen weltweit.
Check Point Research führte eine detaillierte Analyse der Schwachstellen
Laut unseren Forschungsergebnissen
in Version 6-8 von Drupal durch, um deren Funktionsweise aufzudecken.
zu GandCr ab-Ransomw are, pas sen
Bedrohungsak teure ihre Techniken
2,7 Millionen US-Dollar wurden von der Stadt lediglich zeitweise an und bieten ein
Atlanta für die Reparatur von Schäden durch Af filiate-System an, mit dem auch
Kriminelle mit niedrigem technischem
Ransomware-Angriffe ausgegeben. Ni v e au in die l uk r a t i v e For m de s
Quelle: Atlanta Journal-Constitution Zeitung – www.ajc.com Angriffs einsteigen können.
Boeing Ransomware-Angriff
WannaCry Ransomware-Angriffe waren auch im Jahr 2018 noch
Itai Greenberg
aktiv, wie der Angriff auf eine Boeing-Produktionsanlage in Vice President des
Charleston, South Carolina, zeigt. Der Angriff verbreitete sich rasch Produktmanagements
auf die gesamten Fertigungs-IT-Systeme des Unternehmens. Es
bestand die Sorge, dass das Virus auf Geräte stoßen würde, die
bei Funktionstests von Flugzeugen zum Einsatz kommen und
möglicherweise auf Flugzeugsoftware übertragen werden könnte.
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 5
D A T E N PA N N E N
Fac eb ook-Dat enp anne
Im März wurden Berichte darüber veröffentlicht, wie Cambridge Analytica,
ein Unternehmen für politische Daten, die personenbezogenen Daten von
über 50 Millionen Facebook-Nutzern über eine „Persönlichkeitstest-
App” sammelte, in der Details zu den Persönlichkeiten der Menschen,
zu sozialen Netzwerken und zu ihrem Engagement auf der sozialen
Plattform erfasst wurden. Der Skandal hatte einen großen Einfluss auf
den Internetriesen und führte wohl zu einem dramatischen Rückgang
des Börsenwerts.
Obwohl Datenpannen kontinuierlich
76 % der Organisationen verzeichneten im vorkamen, war 2018 ein Wendepunkt
in Bezug auf die Art und Weise, wie
vergangenen Jahr einen Phishing-Angriff.
Daten wahrgenommen werden und wie
Quelle: IT Professionals Security Report Survey 2018 wichtig es ist, sie zu schützen. Seit
der Einführung der DSGVO im letzten
Mai müssen Organisationen weltweit
Exactis-Datenpanne den Datenschut z zu einer Priorität
Im Juni ließ Exactis, ein in Florida ansässiges Marketing- und machen und au f ge s e t z l icher und
Datenaggregationsunternehmen, eine Datenbank auf einem öffentlich regulatorischer Ebene einhalten.
zugänglichen Server ungeschützt verfügbar. Die Datenbank enthielt Da die Cloud immer beliebter wird, um
zwei Terabyte an Informationen, darunter die personenbezogenen Daten, Daten ent weder über SaaS-Ser vices
wie E-Mail-Adressen, physische Adressen, Telefonnummernund eine o d e r C l o u d -S p e i c h e r c o n t ain e r z u
Vielzahl weiterer persönlicher Informationen von fast 340 Millionen speichern, ist es offensichtlich, dass
amerikanischen Bürgern und Unternehmen. die Nu t z ung v on C l oud- A nbie t er n
nicht ausreicht. Stattdessen
Datenpanne bei Marriott Hotels müssen Organisationen ein Modell
Bei einer massiven Datenpanne wurden die Akten von über 500 Millionen der ge gen s ei t igen Ver an t w or t ung
Kunden der Starwood Hotels, die sich in Marriott-Besitz befinden, übernehmen, um sowohl ihre Daten als
aufgedeckt, was als zweitgrößte Datenpanne der Welt bezeichnet wurde. auch die für den Zugriff verwendeten
Bei den meisten Betroffenen waren Name, Postanschrift, Telefonnummer, Mittel zu schützen.
E-Mail-Adresse, Passnummer sowie Ankunfts- und Abfluginformationen
angegeben. Nach den Regeln der DSGVO kann Starwood mit erheblichen
finanziellen Sanktionen in Höhe von bis zu vier Prozent seines weltweiten Zohar Alon
Jahresumsatzes rechnen, sollte ein Verstoß festgestellt werden können.
Leiter der Cloud-Produkte
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 6
MOBILE MALWARE
„AdultSwine” bösartige Apps
Check Point-Forscher enthüllten im Google Play Store einen neuen
bösartigen Schadcode, der sich in etwa 60 Spiele-Apps versteckt,
von denen einige für Kinder vorgesehen sind. Den Daten von Google
Play zufolge wurden die Apps zwischen drei und sieben Millionen Mal
heruntergeladen. Die als „AdultSwine” bezeichneten bösartigen Apps
haben Chaos verursacht, indem sie häufig ungeeignete und pornografische
Anzeigen aus dem Internet schalten. Sie versuchen Benutzer dazu zu
bringen, gefälschte „Sicherheits-Apps” zu installieren, und veranlassen
die Benutzer, sich auf Kosten des Benutzers für Premiumdienste
Da sich die mobile Bedrohungsland-
zu registrieren.
schaf t ständig weiterent wickelt,
er weisen sich selbst die ver trauen-
Man in the Disk swürdigsten mobilen App-Stores als
Es wurde ein Manko bei der Verwendung von Speicherressourcen durch unzureichend für die Abwehr von An-
Android-Apps entdeckt, durch die Angriffe möglich wurden, die zu einer grif fen. Obwohl die App-Stores ihre
Reihe unerwünschter Ergebnisse führten, z. B. die unbeaufsichtigte eigenen Technologien zur Verhinderung
Installation potenziell böswilliger Apps auf dem Handy des Benutzers. von Bedrohungen verbessern, gibt es
Das äußerst beliebte Spiel Fortnite war für einen solchen Angriff anfällig unter den fünf Milliarden Mobiltele-
und schnell wurde ein Patch-Release für seine Benutzer zur Installation fonnutzern der Welt immer noch eine
bereitgestellt. hohe Infizierungsrate. Dies zeigt, dass
Verbraucher und Mitarbeiter, die ihre
eigenen Geräte für geschäftliche Ak-
Die Malware „AdultSwine” wurde bis zu tivitäten verwenden, auch eine eigene
7 Millionen Mal über 60 Kinderspiele-Apps Technologie zur Bedrohungsprävention
auf dem Gerät benötigen. Die Angriffe
installiert.
des vergangenen Jahres bestätigen, wie
Quelle: Check Point Research Blog anfällig die auf unseren Mobilgeräten
gespeicherten Daten sind .
LG-Schwachstellen
Check Point Research hat zwei Schwachstellen entdeckt, die in der
Standardtastatur aller gängigen LG-Smartphonemodelle auftreten. Brian Gleeson
Laut einer Umfrage von 2017 treten diese Schwachstellen nur bei LG- Leiter Produktmarketing für
Geräten auf, die in den USA mehr als 20 % des Android-Ersthersteller- Bedrohungsprävention
Marktes ausmachen. Beide Schwachstellen könnten dafür verwendet
werden, Code mit höheren Zugriffsrechten auf Mobilgeräten
von LG aus der Ferne auszuführen, durch die Manipulation des
Tastaturaktualisierungsprozesses, der als Keylogger fungiert und
dadurch den Datenschutz und die Authentifizierungsdetails der Benutzer
gefährdet. Beide Schwachstellen wurden LG gemeldet, woraufhin das
Unternehmen einen Patch veröffentlichte.
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 7
E S V E R G E H T K E I N TA G ,
A N D E M W I R O R G A N I S AT I O N E N
N I C H T U N T E R S TÄ N D I G E N
A N G R I F F E N V O N D E R S TÄ N D I G
WACHSENDEN ZAHL VON
M A LW A R E M I T HÖH EREN RATEN
A LS J E Z U V OR BEGEGNEN.
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 8
KRYPTOWÄHRUNGSANGRIFFE
Jenkins Miner
Check Point Research entdeckte einen der größten bösartigen Mining-
Vorgänge, den es je gab. Der als „Jenkins Miner” bezeichnete Vorgang
zielte auf leistungsstarke Jenkins-Server ab, die eine Hybridisierung eines
Remote Access Trojaners (RAT) und eines XMRig-Miners verwendeten.
Über mehrere Monate hinweg visierte die Kryptomining-Malware Opfer
auf der ganzen Welt an, um wertvolle Kryptowährungen zu minen, was sich
negativ auf die Server von Organisationen auswirkte, da die Ladezeiten
langsamer wurden und das Potenzial für Denial of Service erhöht wurde.
Das Ende des Jahres 2017 markierte
Über 20% der Unternehmen sind jede Woche den Aufstieg der Kryptominer, die im
gesamten Jahr 2018 kontinuierlich aktiv
von Kryptojacking Malware betroffen.
blieben. Im Gegensatz zu Ransomware
Quelle: Check Point ThreatCloud bietet Kryptomining Cyberkriminellen
einen viel subtileren Angriffsstil, der
auf den Ser vern einer Organisation
RubyMiner verbleiben kann, ohne entdeck t zu
Durch die Nutzung alter und in den Jahren 2012 und 2013 veröffentlichter w er d en . W ähr en d die s er Z ei t un d
und gepatchter Schwachstellen versuchte ein Bedrohungsakteur, 30 % solange es unentdeckt bleibt, verdienen
aller Netzwerke weltweit auszunutzen und die RubyMiner-Kryptomining- seine Urheber ein stetiges passives
Malware auf ihren Servern zu installieren, um die Monero-Kryptowährung Einkommen.
zu minen. Unter den Top-Zielländern waren die Vereinigten Staaten,
Im Gegensat z zu Ransomware sind
Deutschland, das Vereinigte Königreich, Norwegen und Schweden, aber
Cyber-Kriminelle einer viel geringeren
kein Land blieb dabei unversehrt.
Gefahr ausgesetzt, wenn sie illegal Geld
verdienen. Egal, ob Sie den privaten
Coinrail gehackt Computer eines Benutzers verwenden,
Die südkoreanische Kryptowährungsbörse Coinrail wurde im Juni eine Website mit einer Kryptomining-
gehackt, was den Preis von Bitcoin um 10 % fallen ließ. Der Hacker-Angriff Werbung infizieren oder die immense
verursachte den Verlust von rund 30 % der an der Börse gehandelten Coins CPU-Leistung eines Organisationsservers
(im Wert von rund 35 Millionen US-Dollar) und lenkte die Aufmerksamkeit nutzen, Kriminelle brauchen nicht lange,
auf den Mangel an Sicherheit und die schwache Regulierung der um große Mengen ihrer bevorzugten
weltweiten Kryptowährungsmärkte. Dies war der jüngste in einer Reihe digitalen Währung einzukassieren.
von Angriffen auf den virtuellen Coinhandel. Andere schlossen den
japanischen CoinCheck ein, bei dem ein Coinwert von über 500 Millionen
Dollar gestohlen wurde. Maya Horowitz
Direktor von Threat
40% der Organisationen waren letztes Jahr Intelligence & Research
von Kryptominern betroffen.
Quelle: Check Point ThreatCloud
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 9
BOTNETS
I oTr o o p s e r s t e r A n g r i f f
Ende Januar 2018 startete das Botnet „IoTroop”, das im Oktober 2017
von Check Point-Forschern entdeckt wurde, seinen ersten Angriff auf
den Finanzsektor. IoTroop ist ein leistungsfähiges Internet der Dinge
(IoT) Botnet, das hauptsächlich aus kompromittierten Heimroutern,
Fernsehern, DVRs und IP-Kameras besteht. Beim ersten Angriff wurden
13.000 IoT-Geräte in 139 Ländern eingesetzt, um eine Finanzorganisation
mit einem DDoS-Angriff anzugreifen, gefolgt von zwei weiteren Angriffen
auf ähnliche Ziele innerhalb von 48 Stunden.
Antiviren-Sof t ware macht die
Das Ramnit Botnet infizierte 100.000 Rekrutierung einer Armee von Bots
zum Star ten eines DDoS-A ngrif fs
in nur zwei Monaten. von ungeschützten Computern
Quelle: Check Point Research, Ramnits Netzwerk von Proxyservern z u e i n e r k n i f f l i g e n A u f g a b e f ür
Bedrohungsakteure. Da sich
Un t er n ehm en je do ch z un ehm en d
Olympische Winterspiele in Pyeongchang auf beliebte, jedoch ungeschüt z te
Nach Angaben des Internationalen Olympischen Komitees (IOC) setzte und anfällige IoT-Geräte stüt zen,
ein DDoS-Angriff auf die Olympischen Winterspiele in Pyeongchang um ihren Betrieb im Auge zu
die offizielle Olympia-Website für 12 Stunden außer Betrieb und störte behalten, steigt auch die Anzahl der
WLAN und Fernseher im Olympiastadion. Obwohl kritische Vorgänge von Möglichkeiten für ein großes Botnet-
dem Vorfall nicht betroffen waren, mussten die Veranstalter die Server Anwerbungsprogramm.
und die offizielle Spiele-Website herunterfahren, um weiteren Schaden Es sollte nicht überraschen, dass
zu vermeiden. w i r i n f o l g e d e r g r o ß e n B o t n e t-
Rekrutierung größere DDoS-Angriffe
sehen.
49% der Organisationen erlebten im
vergangenen Jahr einen DDoS-Angriff. Richard Clayton
Quelle: IT Professionals Security Report Survey 2018 Leiter der Botnet-Forschung
Angriff auf demokratische US-Kandidaten
Im Juli 2018 haben Hacker die Kampagnen von mindestens zwei
Kandidaten der US-Demokraten während der Hauptsaison 2018 ins Visier
genommen. Durch DDoS-Angriffe, die Kampagnen-Websites für mehr
als 21 Stunden störten, wurde potenziellen Wählern während aktiver
Spendenaktionen und positiver Nachrichtenwerbung der Zugang zu
wichtigen Informationen oder Ressourcen verwehrt.
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 10A P T- A N G R I F F E
Big Bang APT
Das Check Point Threat Intelligence Team entdeckte das Comeback eines
APT-Überwachungsangriffs auf Institutionen im Nahen Osten, insbesondere
auf die Palästinensische Autonomiebehörde. Der Angriff begann damit, dass
die Ziele einen Anhang erhielten, der in einer Phishing-E-Mail gesendet
wurde, die eine bösartige ausführbare Datei enthielt. Zu den Funktionen
der Malware gehören das Erstellen eines Screenshots des infizierten
Computers, das Protokollieren von Details zum System des Opfers und das
Stehlen einer Liste von Dokumenten mit bestimmten Dateierweiterungen.
Die USA und Großbritannien beschuldigten Im l et z ten Jahr hat ein s eltener
Russland förmlich für den NotPetya- Einbl ick in A P T-A ngr i f fe gezeigt ,
dass nationale und nichtstaatliche
Ransomware-Angriff 2017, der weltweit
Organisationen keine Mühen scheuen,
Milliarden Dollar Schaden verursachte. um Informationen über ihre Gegner
Quelle: Check Point ThreatCloud zu gewinnen.
SiliVaccine Regierungsbehörden müssen sich der
akuten und bestehenden Bedrohung
In exklusiven Recherchen enthüllten Check Point-Forscher einige
durch Cyberkrieg jederzeit bewusst
alarmierende Details über die in Nordkorea selbst-entwickelte
sein. Es ist ein Akt der Aggression,
Antiviren-Software SiliVaccine. Ein interessanter Faktor war, dass eine
Hauptkomponente des Codes von SiliVaccine eine direkte Kopie der
der aufgrund seiner hohen Wirkung,
Anti-Virus-Scan-Engine von Trend Micro ist. Bekannt dafür, dass sie an seines geringen Zuordnungsrisikos
ausländische Journalisten verschickt werden, die über nordkoreanische un d s ein er K o s t en e f f i z ien z ein e
Aktivitäten berichten, stellten die Forscher fest, dass SiliVaccine höchst attraktive Waffe der Wahl bleibt.
verdächtiges Verhalten aufweist, das die Überwachung der Aktivitäten
dieser Journalisten ermöglicht.
Dan Wiley
Beziehungen z w is chen Rus sl and und Gr oßbr i t annien Leiter der Reaktion auf
Als sich die Spannungen in den Beziehungen zwischen Großbritannien Vorfälle
und Russland wegen britischer Vorwürfe verschärften, Russland habe
zwei britische Staatsbürger auf heimischem Boden vergiftet, warnte das
britische National Cyber Security Center, dass russische staatliche Akteure
kritische Infrastrukturen des Vereinigten Königreichs durch Infiltrieren
von Lieferketten angriffen. Obwohl die Zuschreibung bekanntermaßen
schwierig ist, scheinen die Techniken des Angreifers die Kennzeichen von
„Energetic Bear” zu tragen, einer russischen Hackergruppe, die seit 2012
mit Angriffen auf den Energiesektor in Verbindung gebracht wird.
614 GB Daten bezogen sich auf Waffen, Sensor-
und Kommunikationssysteme, die einem US-
amerikanischen Kontrahenten gestohlen wurden,
angeblich von chinesischen Regierungshackern.
Quelle: Check Point ThreatCloud
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 11T R E N D A N A LY S E 2 0 1 8
Kryptomining bleibt ein ständiges Thema
Zu Beginn des Jahres 2018 konnte Kryptomining-Malware eine Vielzahl von Zielen
infizieren, darunter PCs,1 leistungsstarke Server,2 Mobilgeräte,3 und sogar die 1
https://www.bleepingcomputer.com/news/
Cloud-Umgebung. 4 Beim Mining gibt es keinen Zweifel, dass es ein ständiges securit y/winstarnssmminer-coinminer-
Thema bleiben wird. In der Tat nahmen Kryptomining-Angriffe im Jahr 2018 zu und campaign-makes-500-000-victims-in-
three-days/
erreichten auf ihrem Höhepunkt mehr als 40 % der weltweiten Organisationen,
verglichen mit 20,5 % Ende 2017, und dominierten die Cyber-Angriffe5 und Malware- 2
https://research.checkpoint.com/jenkins-
Familien „in freier Wildbahn” seit 12 Monaten. miner-one-biggest-mining-operations-
ever-discovered/
Im Januar 2018 fielen die Kryptowährungswerte insgesamt rapide und schrumpften6 3
ht tps://securit yaf fairs.co/
um etwa 86% von ihrem Höchststand. Trotzdem lösten sich Kryptominer von der wordpress/ 70968/malware/hiddenminer-
android-miner.html
Marktkapitalisierung von Kryptowährungen und behaupteten sich als prominenteste
Malware-Infizierung, die Bedrohungsakteure im Jahr 2018 eingesetzt haben. 4
h t t p s: //mo t her b o ar d.v ic e.c om /en _ us /
ar ticle/8x5w y5/Kr yptocurrency-tesla-
bitcoin-mine-ethereum
Wie wir in der nächsten Ausgabe dieses Sicherheitsberichts aus der Sicht eines
Angreifers sehen werden, können Kryptojacker sehr lukrativ sein, denn sie 5
ht tp://blog.checkpoint.com/2018/12/11/
sind einfach zu starten und leicht zu verbergen. Darüber hinaus ermöglichen november-2018s-most-wanted-malware-
the-rise-of-the-thanksgiving-day-botnet /
Kryptojacking-Angriffe Bedrohungsakteuren, vorsichtig den Anschein der
Legitimität zu wahren, mit dem Wissen, dass Kryptojacking nicht als so anstößig 6
ht tps://coinmarketcap.com/char ts/
gilt wie andere Angriffstechniken, wie zum Beispiel Lösegeld-Erpressung oder 7
https://www.kaspersky.com/about/press-
Datendiebstahl. releases/2018_new-fileless-Kr ypto-miner
8
In der zweiten Hälfte des Jahres 2018 durchliefen Kryptojacker aufgrund der ht tps://securit yaf fairs.co/
wordpress/ 75070/malware/zombieboy-
Aufmerksamkeit, die sie von Sicherheitsanbietern erlangt hatten, eine rasche monero-miner.html
Entwicklung, wurden immer raffinierter und konnten Sicherheitslösungen
überwinden. Als Ergebnis sahen wir Kryptojacker, die verschiedene
Ausweichverfahren anwendeten7, eine schnelle Übernahme von Exploits und sogar
solche, die in mehrstufige Angriffe eingebettet waren, um zusätzliche Malware 8 an
die infizierte Maschine zu liefern.
Es scheint im Hinblick auf Mining, als seien die Bedrohungsakteure kreativer
geworden. Sie scheinen immer mehr betrügerische Techniken zu entwickeln, um
Minern zu dienen. Dazu gehören Drive-by-Attack-Kits und die Installation von
Minern in Installationsprogrammen von legitimen Anwendungen wie Flash-Update
und Windows Installer.
Ein Jahr, nachdem sie die Welt im Sturm erobert hatten, zeigen Kryptominer nicht
die Absicht, bald abzubremsen. Neue, ausgereifte Malware-Familien integrieren
Mining-Funktionen in ihren Code. Zehntausende Websites sind ständig gefährdet,
dass die Ressourcen ihrer Benutzer ausgenutzt werden.
CHECK POINT – 2019 SICHER HEITSBER ICHT | 12
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 12Ransomware-Angriffe finden Gefallen am Boutique-St yle
Ransomware ist heutzutage selbst nicht-technisch orientierten Personen ein Begriff.
In den letzten vier Jahren hat sie sich in großen Kampagnen massiv verbreitet, zielt 9
https://www.bleepingcomputer.com/news/
auf alle Industrien ab, versetzt die Opfer erfolgreich in Panik und fordert sie auf, securit y/cit y-of-atlanta-it-systems-hit-
Lösegeldsummen zu zahlen, um ihre Daten sicher abzurufen. by-samsam-ransomware/
10
ht tp://securit yaf fairs.co/
Im Jahr 2018 sahen wir jedoch, wie sich Ransomware anpasste, um zielgerichteter wordpress/69492/malware/samsam-
zu werden, um lukrativere Gewinne zu erzielen. Diese Entwicklung ist eine ransomware-colorado-dot.html
direkte Folge eines merklichen Rückgangs der tatsächlichen Lösegeldzahlungen, 11
ht tp://securit yaf fairs.co/
der wahrscheinlich auf das wachsende Sicherheitsbewusstsein und die wordpress/68052/malware/samsam-
Risikominderungstechniken zurückzuführen ist, die in vielen Unternehmen ransomware-campaign.html
angewandt werden, einschließlich routinemäßiger Sicherungsrichtlinien und der 12
ht tps://w w w.csoonline.com/
freien Verfügbarkeit von Entschlüsselungswerkzeugen. article/3291617/security/samsam-infected-
thousands-of-labcorp-systems-via-brute-
force-rdp.html
Diese neue Strategie ermöglicht es Bedrohungsakteuren, ihre Einnahmen zu
maximieren, da ein maßgeschneiderter Angriff auf kritische Ressourcen von 13
ht tps://securit yaf fairs.co/
Organisationen eine hervorragende Taktik ist, um die Lösegeldzahlungen sicher- wordpress/ 76248/breaking-news/bristol-
airpor t-cyber-at tack.html
zustellen. Darüber hinaus ermöglicht es Cyberkriminalität, sicher, ohne dass es
Sicherheitsanbietern auffällt, einzudringen, indem sie sich nicht an einer Massen- 14
ht tps://research.checkpoint.com/r yuk-
verteilungskampagne beteiligen, die üblicherweise zu einem höheren Risiko führt. ransomware-targeted-campaign-break /
15
ht tps://w w w.forbes.com/sites/
In diesem Jahr erbeutete die SamSam Ransomware Kryptowährungen in davey winder/2018/12/30/nor th-korea-
Millionenhöhe, nachdem sie Atlantas9 und Colorados10 städtische Abteilungen implicated-in-at tack-that-stops-wall-
street-journal-and-new-york-times-
sowie Krankenhäuser11 und den medizinischen Versuchsriesen LabCorp
presses/#63ca369220a2
heruntergefahren hatte.12 In anderen Fällen litten der Hafen von Barcelona und
der Hafen von San Diego unter erheblichen Ransomware-Angriffen, die kritische
Operationen erheblich störten. Eine weitere Sorte von Ransomware traf auch den
Flughafen Bristol13 in Großbritannien und setzte die Flugbildschirme zwei Tage
lang außer Betrieb.
Da Opfer von gezielten Ransomware-Angriffen in der Regel nicht die vollständigen
Details zu Schaden und Angriffen offenlegen, sind diese Fälle wahrscheinlich nur
ein Tropfen auf den heißen Stein der tatsächlichen Gesamtangriffe, die mithilfe
dieser Strategie durchgeführt wurden. Die Gleichung ist jedoch einfach: je höher
der potenzielle Schaden, desto höher die Chance, dass das Lösegeld bezahlt wird.
Darüber hinaus wurde das Infizierungsstadium, das zuvor von umfangreichen
Spam- oder Drive-By-Methoden dominiert wurde, durch umfangreiche
Aufklärungsmaßnahmen ersetzt, um die lukrativsten Ziele ausfindig zu machen.
Dazu gehören das Suchen nach ungesicherten Remote Desktop Protocol
(RDP) -Verbindungen, die manuelle Netzwerkzuordnung und der Erwerb von
Berechtigungsnachweisen in Hacking-Foren. Die Ryuk Ransomware,14 die im
August 2018 von Check Point-Sicherheitsforschern aufgedeckt wurde, hatte hoch
geplante und ausgefeilte Angriffe auf gut ausgewählte Organisationen durchgeführt
und erzielte 640.000 USD für ihre Betreiber. Während der Arbeit an diesem Bericht
griff Ryuk den Zeitungsdruck- und Onlinemedienverlag Tribune Publishing15 an
und verhinderte die Verbreitung vieler führender US-Zeitungen, darunter das Wall
Street Journal, New York Times und Los Angeles Times.
CHECK POINT – 2019 SICHER HEITSBER ICHT | 13
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 13Malware-Synergie
Die Verlagerung prominenter Malware-Familien, wie beispielsweise des
Banken-Trojaners Emotet,16 vom Diebstahl von Banklegitimierungen bis hin zum 16
https://research.checkpoint.com/emotet-
Vertriebsgeschäft, ist ein bedeutendes Phänomen, das 2018 beobachtet wurde. trick y-trojan-git-clones/
Malware-Familien, die früher für ihr einziges, gut funktionierendes Dienstprogramm 17
http://blog.checkpoint.com/2018/10/23/
bekannt waren, erweitern jetzt ihr Portfolio und bieten zusätzliche Funktionen. ransomware-stopped-working-harder-
Darüber hinaus werden neue Malware-Familien häufig mit mehr als einem started-working-smarter-botnets-phishing/
wichtigen Ziel- oder Angriffsvektor in „die freie Wildbahn” gesetzt. 18
ht tps://research.checkpoint.com/new-
ramnit-campaign-spreads-azorult-malware/
Hybrid-Malware, die einige und oft völlig unterschiedliche Funktionen aufweist,
ist für Angreifer eine hervorragende Möglichkeit, um sicherzustellen, dass ihre
Aktivitäten zu Gewinnen führen. Ein Beispiel ist eine Lösegeldforderung, die
zusammen mit dem Sammeln von Berechtigungsnachweisen von Benutzern oder
dem Sammeln vertraulicher Informationen für einen zukünftigen Phishing-Angriff
bereitgestellt wird. Ein anderes Beispiel ist ein Botnet, das Kryptowährungs-Mining
mit den CPU-Ressourcen des Bot-Netzwerks durchführen und parallel dieselben
Bots zur Verteilung von E-Mail-Spam verwenden kann.
Diese Funktionen müssen jedoch nicht von derselben Malware ausgeführt werden.
Häufig konnten sich zwei Malware-Entwickler in einer einzigen Kampagne
zusammenschließen, bei der verschiedene Malware-Stränge zum Einsatz kamen,
um entweder Umsatz und Erfolg zu sichern oder mehrere Ziele zu erreichen.
Im Oktober 2018 wurden Computer und Server der Onslow Water and Sewer-
Behörde von North Carolina von der Ryuk-Ransomware angegriffen, einer
hochspezialisierten, manuell betriebenen Familie. Interessanterweise ergab die
Untersuchung, dass an einem gut geplanten Angriff17 TrickBot, AdvisorsBot und
die multifunktionale Malware „Emotet” beteiligt waren. Der berüchtigte „TrickBot”
hatte sich mit „IcedID” zusammengetan, beide sind Banken-Malware. Mit „IcedID”
infizierte Computer hatten auch „TrickBot” heruntergeladen. In einem anderen
prominenten Fall wurde beobachtet, dass die erfolgreiche Kampagne „Black” von
Ramnit18 die Verbreitung der datenstehlenden Azorult-Malware ermöglichte.
Die zunehmende Zusammenarbeit zwischen Bedrohungsakteuren und die
Erweiterung ihrer Fähigkeiten stellen einen großen Schritt für Cyberkriminelle
dar. Sie bergen eine große Gefahr für Organisationen und sollten als Erinnerung
daran dienen, dass hochkarätige Angriffe nur der erste Schritt in einer längeren
Operation sind.
C l o u d - R i s i k o -Tr e n d s
2018 führte einen neuen fruchtbaren Spielplatz für Bedrohungsakteure ein – Public
Cloud-Umgebungen. Die Cloud enthält riesige Mengen an sensiblen Daten sowie
umfangreiche Rechenressourcen und bietet alles, was ein Bedrohungsakteur
nur erträumen kann. Im Zusammenhang mit der zunehmenden Verlagerung von
Unternehmen auf Public Cloud-Dienste als Hauptplattform für das Speichern und
Verwalten ihrer Workloads haben wir in diesem Jahr mehrere neue Techniken,
Tools und Exploits gegen die Cloud gesehen.
CHECK POINT – 2019 SICHER HEITSBER ICHT | 14
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 14Die Mehrzahl der Angriffe auf die Cloud wird jedoch hauptsächlich durch
unzureichende Sicherheitsmaßnahmen, einschließlich Fehlkonfigurationen und 19
ht tps://securit yaf fairs.co/
die Verwendung von schwachen Berechtigungsnachweisen, die in der Regel mit wordpress/ 77073/data-breach/fitmetrix-
data-breach.html
Datenkompromissen und Informationsverlust einhergehen, begründet. Diese
Realität lässt im Wesentlichen so viele Ressourcen ungeschützt, dass Angreifer 20
ht tps://securit yaf fairs.co/
schon keine bestimmte Schwachstelle mehr ausnutzen müssen, um einen nicht wordpress/77815/data-breach/amex-india-
data-leak.html
autorisierten Zugriff auf sensible Ressourcen zu ermöglichen. Ein Beispiel, das
Fitness-Software-Unternehmen 'Fitmetrix', hat leider ganze19 Millionen Kundendaten 21
ht tps://w w w.wired.com/stor y/
in einer in AWS gehosteten Datenbank einem Fremdzugriff ausgesetzt. In einem Kr yptojacking-tesla-amazon-cloud/
anderen Fall wurden personenbezogene Daten von fast 700.000 American Express20 22
ht tps://threatpost.com/demonbot-
-Kunden in Indien online über einen ungesicherten MongoDB-Server angezeigt. fans-ddos-flames-with-hadoop-
enslavement /138597/
Darüber hinaus beobachteten wir im Jahr 2018 Cyberkriminelle, die eine falsche
Konfiguration in der Cloud nutzten und dort gehostete Dienste für eine Vielzahl von
Angriffen missbrauchten. Unter ihnen war das Kryptowährungs-Mining,21 indem die
in der Cloud gespeicherte enorme Rechenleistung genutzt und ausgesetzte Cloud-
Server zur Auslösung von DDoS-Angriffen22 missbraucht wurden und sogar Man-in-
the-Middle-Angriffe durch Ausnutzung öffentlich offener S3-Buckets möglich waren.
Man kann also mit Sicherheit sagen, je größer die Cloud wird, desto größer sind
das Ziel und die Anziehungskraft für Cyber-Kriminelle. Das Einrichten kleiner
Umgebungen in der öffentlichen Cloud ist relativ einfach. Wenn Sie jedoch eine
gesamte Netzwerkinfrastruktur in die öffentliche Cloud verschieben möchten,
müssen Sie zusätzliche Sicherheitsmaßnahmen ergreifen, um sicherzustellen,
dass keine wichtigen Daten freigelegt werden.
M o b i l e Tr e n d s: A p p l e i m V i s i e r
Als einer der prominentesten Akteure in der Branche für Mobilgeräte gilt Apple
als das sicherste Betriebssystem. Neben der Sicherung dieses Systems verfügt
Apple über mehrere integrierte Sicherheitsmaßnahmen, um die Benutzer vor
einer Vielzahl von Cyberbedrohungen zu schützen. Einige würden jedoch sagen,
dass dies nicht ausreicht.
Mit der wachsenden Anzahl von Anwendern von Apple ist es ein attraktiveres Ziel
für Bedrohungsakteure geworden, die die sensiblen Daten von Apple-Geräten in die
Finger bekommen und ihre Tools gegen sie einsetzen wollen.
CHECK POINT – 2019 SICHER HEITSBER ICHT | 15
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 15Im Jahr 2018 beobachteten wir eine Zunahme der Schwachstellen für iOS. Allein
in einem Monat wurden drei Passcode-Umgehungsschwachstellen 23 entdeckt, 23
ht tps: // thehacker ne w s.com / 2018 / 10 /
die alle aktuellen iPhone-Modelle, einschließlich der kürzlich veröffentlichten iphone-lock-passcode-bypass.html
iOS-Version 12.0.1, betrafen und einem potenziellen Bedrohungsakteur den 24
ht tps: //threatpost.com/apple-rushes-
Zugriff auf Fotos und Kontakte des Benutzers ermöglichten. fix-for-latest-tex t-bomb-bug-as-abuse-
spreads/129987/
Der schwerwiegende Fehler „Text Bomb“24 wurde auch bei Apple-Geräten unter 25
ht tps: // thehacker ne w s.com / 2018 / 09/
iOS und MacOS gefunden und war in der Lage, Apps einzufrieren und iPhones android-ios-hacking-tool.html
zum Absturz zu bringen. Ein weiterer Fehler, der im Jahr 2018 aufgedeckt wurde, 26
ht tps: //arstechnica.com / information-
wurde beim Koppeln von iPhone-Geräten mit Mac-Workstations oder Laptops technology/2018/03/theres-a-currency-
festgestellt, sodass Angreifer das gekoppelte iPhone-Gerät ohne Wissen der miner-in-the-mac-app-store-and-apple-
Besitzer übernehmen können. seems-ok-with-it /
27
ht tps: //securel is t .com /oper ation-
Zusätzlich hat traditionelle Malware nun ihre Funktionen für iOS-Geräte applejeus/87553/
aktualisiert. Die Pegasus-Spyware,25 eine Kryptowährungsgeldbörse und 28
ht tps://w w w.welivesecurit y.
Berechtigungsdiebstahl Malware und „Roaming Mantis”, ein Miner für Banken- com/2018/08/17/australian-schoolboy-
Trojaner und Kryptowährung26, die als Kalender-App getarnt sind, sind nur einige der apples-net work /
Bedrohungen, mit denen es gelungen ist, Apples Garden Wall zu durchbrechen und 29
h t t p s: // w w w. b a n k i n f o s e c u r i t y. c o m /
im letzten Jahr den App Store zu durchdringen. ukrainian-power-grid-hacked-a-8779
30
ht tps: // w w w.cnet.com /new s /uk-s aid-
Diese Bedrohungen werden jedoch durch die speziell angefertigten Angriffe, die
russia-is-behind-destructive-2017-
auf Apples Geräten auftraten, in den Schatten gestellt. Dazu gehört die FallChill- cyberat tack-in-ukraine/
Malware, die mithilfe einer einzigartigen Mac-Funktion heimlich Screenshots des
Telefons eines Opfers machte. Dies war das erste Mal, dass eine APT-Aktivität
beobachtet wurde,27, die angeblich von der Lazarus Group durchgeführt wurde und
OSX-Geräte anvisierte.
Zusammen mit den zahlreichen Angriffen gegen Apple selbst,28
scheint es, als ob Bedrohungsakteure von 2018 nun bereit sind, zu beweisen, dass
keine Umgebung, Marke oder Betriebssystem gegen Cyberangriffe immun sind.
Nationalstaaten: Kein Of fizier und Gentleman mehr
Der Cyberspace bietet den Nationalstaaten oft einen geheimen Schleier, um operative
Gewinne zu erzielen. In den letzten Jahren hat sich jedoch ein Trend herausgestellt,
der darauf hindeutet, dass mehrere diesen Schleier aufgegeben haben und nun ganz
offen und fast provokativ wirken. Tatsächlich werden die nationalen Interessen ständig
offen gelegt, und es wird uneingeschränkt demonstriert, dass Offensivfähigkeiten
bestehen. Zwar übernimmt kein Land die Verantwortung für Cyberangriffe, aber die
Zuordnung ist manchmal nicht allzu schwierig.
Die Präzedenzfälle für eine solche Offenheit finden sich in den aggressiven Angriffen
der Russischen Föderation gegen die Ukraine. Black Energy, das 2015 in der
Ukraine das Stromnetz 29abschaltete und NotPetya,30 das 2017 das gesamte Land
stilllegte, zeigten einen Weg für mehr Länder, um freier zu agieren; manchmal ohne
den Einsatz von Ausweichtechniken oder das vollständige Verdecken ihrer Spuren.
CHECK POINT – 2019 SICHER HEITSBER ICHT | 16
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 16Die berüchtigte nordkoreanische Hacking-Gruppe, Lazarus, wurde im vergangenen
Jahr und davor auch für zahlreiche gewaltsame Angriffe verantwortlich gemacht. 31
ht tps://securit yaf fairs.co/
Angesichts dem verheerenden WannaCry-Angriff, dem Sony-Hack,31 SWIFT- wordpress/ 75994/cyber-war fare-2/nor th-
korea-agent-indictment.html
Bankdiebstahl 32 und dem Hacken von Kryptowährungsbörsen33 verabschiedete
sich Nordkorea 2018 von jeglicher Eleganz und ging zu einer weit aggressiveren 32
ht tps://securit yaf fairs.co/
Haltung über. wordpress/ 78382/apt /lazarus-latin-
american-banks.html
Der Iran demonstrierte 2018 in der Cyber-Spionage-Arena auch die Entwicklung 33
ht tps://securit yaf fairs.co/
von Cyber-Fähigkeiten. Wie von Check Point Research veranschaulicht, zielte die wordpress/77213/hacking/cyber-at tacks-
Kr ypto-exchanges.html
Domestic Kitten-Kampagne des Iran34 auf internationale Elemente sowie gegen
die eigenen Bürger ab, um ihren nationalen Interessen zu dienen, wobei sowohl 34
ht tps: //research.checkpoint .com /
mobile als auch Desktop-Angriffsvektoren zum Einsatz kamen, um ihre Ziele zu domestic-kitten-an-iranian-sur veillance-
operation/
erreichen. Mit Domestic Kitten gelang es dem Iran, jahrelang eine umfassende
Überwachungskampagne über mobile Apps durchzuführen, und mit Charming 35
https://threatpost.com/charming-kitten-
Kitten, einer weiteren iranischen Gruppe, schloss sich der Iran einer langen Liste iranian-2fa/139979/
von Spionagekampagnen gegen westliche und akademische Ziele an, die Spear- 36
ht tps://w w w.theguardian.com/
Phishing-E-Mails verwendeten.35 Auch hier wurden geringfügige Anstrengungen spor t /2018/feb/11/winter-olympics-was-
unternommen, um ihre Operationen zu verbergen. hit-by-cyber-attack-officials-confirm,%20
http:/blog.talosintelligence.com/2018/02/
olympic-destroyer.html
Neben Aufklärungszielen wie Spionage- oder Überwachungskampagnen enthüllten
Cyber-Angriffe von Nationalstaaten einige neue Aufträge wie Sabotage, finanzielle
Einkünfte und Rache. Dies war wohl bei „Olympic Destroyer” der Fall, der die
Olympischen Winterspiele in diesem Jahr36 zu ruinieren drohte. Obwohl noch keine
Schuldzuweisung vorliegt, ist es angesichts des oben genannten Trends nicht
allzu schwierig, eine Vermutung darüber zu erheben, wer der Täter sein könnte.
Während der Westen im Cyberspace ein gewisses Maß an Staatlichkeit bewahrt,
gibt es vor allem östliche Nationalstaaten, die offenbar in ihrem eigenen Interesse
ungezwungen wirken.
CHECK POINT – 2019 SICHER HEITSBER ICHT | 17
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 17V E R G A N G E N H E I T:
ÜBERPRÜFUNG DER PROGNOSEN 2017
Im letztjährigen Sicherheitsbericht haben wir vorhergesagt, auf welchem Weg sich
jede Informationssystem-Plattform 2018 befand. Zum Vergleich haben wir diese 37
ht tps: //phandroid.com/2017/05/08/lg-
Prognosen erneut durchgesehen, um zu sehen, wie sie sich in den letzten zwölf market-share-q1-2017/
Monaten entwickelt haben. 38
ht tps: //research.checkpoint .com /
malware-displaying-porn-ads-discovered-
Mobil in-game-apps-on-google-play/
Wir haben erwartet, dass weiterhin Fehler in mobilen Betriebssystemen und 39
ht tps: //research.checkpoint .com /
Technologien entdeckt werden würden, und dies war sehr häufig der Fall. Wie rot tensys-not-secure-wi-fi-ser vice/
unsere Entdeckung von Schwachstellen zeigt, die in der Standardtastatur aller
LG-Smartphone-Hauptmodelle vorkommen, auf die über 20% des Android
Ersthersteller-Marktes 37 in den USA entfallen, lassen Fehler wie diese die Tür
für Angreifer offen, die Remote Code Injection-Angriffe ausführen, um Malware
zu verbreiten.
Darüber hinaus wurden von Check Point Research Fehler im Android-Betriebssystem
selbst gefunden, wodurch die externe Speicherungskomponente auf Geräten
weltweit einem Man-in-the-Disk-Angriff ausgesetzt war. Obwohl App-Entwickler
Richtlinien erhalten haben, wie sie verhindern können, dass ihre Anwendungen
anfällig werden, ist es bekannt, dass Entwickler bei der Erstellung solcher Apps
keine Sicherheitsvorkehrungen treffen. Betriebssystemanbieter tun auch nicht
genug, um sicherzustellen, dass ihre Geräte geschützt sind. Infolgedessen besteht
für Unternehmen weiterhin die Notwendigkeit, einen fortschrittlichen Schutz gegen
mobile Malware und das Abhören von Kommunikation bereitzustellen.
Mobile Malware wächst ebenfalls weiter an, wie bis zu sieben Millionen
Benutzer erlebt haben, die die AdultSwine-Malware38heruntergeladen
haben, die über 60 Kinderspiel-Apps infiziert hat, und unangemessene
Anzeigeninhalte grafisch darstellte. RottenSys 39, eine mobile Adware,
infiziert seit 2016 über fünf Millionen Geräte mit Adware. Kryptominer
betraten die Bedrohungslandschaft nicht nur von PCs und Webservern aus,
sondern über fünf Milliarden weltweit eingesetzte Mobilgeräte.
Cloud
Es ist nicht überraschend und kommt wie erwartet: Der Diebstahl von Daten, die in der
Cloudgespeichertwurden,plagtweiterhinUnternehmen, während sie ihre Infrastruktur
auf diese kostengünstige und agile Plattform umstellten. Von Fitness-Apps wie
Under Armour und PumpUp bis hin zu Einzelhändlern und Kinokassen wie TicketFly
und Facebook fanden täglich Datenschutzverletzungen statt und diese werden
fortgesetzt. Dies gilt für alle Branchen aufgrund des Werts, den die Daten für
Cyberkriminelle haben.
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 18Darüber hinaus hat die Einführung der DSGVO im vergangenen Jahr denjenigen, die
Kundendaten nicht nur in der Cloud, sondern auf den Servern ihrer Organisation
speichern, zusätzlichen Stress und Druck eingebracht. Es wird davon ausgegangen,
dass diese neuen Bestimmungen für diejenigen, die sich nicht daran halten, hohe
Geldbußen zur Folge haben.
Aus diesem Grund ermutigen wir alle unsere Kunden, das Shared-Responsibility-
Modell ernst zu nehmen und sich nicht nur auf die grundlegenden Schutzmaßnahmen
ihres Cloud-Anbieters zu verlassen, um sie vor bekannten und unbekannten
Bedrohungen zu schützen.
Netzwerk
Letztes Jahr haben wir vorhergesagt, dass Ransomware-Programme mit einer „einem
Freund weiterempfehlen“-Masche auftauchen werden. Obwohl diese Programme
noch nicht gemeldet werden, gibt es, wie im Vorjahresbericht vorhergesagt, die
vorherrschende Ransomware-as-a-Service durch Partnerprogramme im Dark Web.
Diese Programme bieten sich technisch weniger versierten Bedrohungsakteuren an,
die kostengünstig an der Aktion teilnehmen möchten.
Während Kryptominer Netzwerkserver infiltrierten, um deren hohe CPU-Leistung
für sich zu nutzen, sind Ransomware-Angriffe nicht verschwunden. WannaCry,
der Mega-Angriff von 2017 mit Verdacht auf nordkoreanischen Ursprung, war letztes
Jahr für Angriffe auf die IT-Systeme von Boeing verantwortlich und könnte angepasst
werden, um in Zukunft als Kryptominer fungieren zu können.
Schließlich sterben Würmer wie Ransomware, die Netzwerke infizieren, nie wirklich
aus. Tatsächlich sehen wir immer noch Würmer wie Conficker aus dem Jahr 2009,
und Spuren von SQLSlammer aus dem Jahr 2003 sind heute noch in Umlauf.
I oT
Nach unserem Bericht darüber, wie Bedrohungsakteure über IoT-Geräte wie
Staubsauger in die Privatsphäre der Verbraucher eindringen können, wurde
unsere Vorhersage wahr, dass diese Arten von Exploits durchaus durch den
Einsatz von IoT-Geräten auf Unternehmen angewendet werden könnten.
Durch die Entdeckung von Schwachstellen in DJI-Drohnen, dem Hersteller der
Wahl für 70 % des weltweiten Drohnenmarktes, haben wir aufgezeigt, wie Lücken
in der Sicherheit dieser Geräte Unternehmen großen Schäden aussetzen können.
Bedrohungsakteuren wird die Möglichkeit geboten, sensible Informationen
von beispielsweise kritischen Infrastrukturen, die von der Drohne gesammelt
wurden, einzusehen und zu stehlen und diese könnten bei einem künftigen Angriff
verwendet werden.
Es ist immer noch der Fall, dass Benutzer das Sicherheitselement ihrer IoT-
Geräte im Allgemeinen nicht kennen und die Standard-einstellungen in ihrem
ursprünglichen Zustand beibehalten. Angreifern wird dadurch weiterhin die Tür
zu einem IT-Netzwerk eines Verbrauchers oder einer Organisation weit geöffnet.
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 19Kryptowährungen
Trotz unserer Erwartung sind digitale Währungen noch nicht stark reguliert.
Aus diesem Grund sehen wir Kryptowährungen nach wie vor als bevorzugte
Zahlungsmethode für Cyberkriminelle hinter Ransomware-Angriffen und als
Anreiz für Krypto-Mining-Malware.
Was als relativ neue Malware Ende 2017 begann, wurde 2018 zur neuen
Norm. Unsere Prognose, wie sie in diesem Bericht detailliert beschrieben
wird, war richtig.
Darüber hinaus wurde unsere Prognose, dass der Wert dieser Währungen
sinken würde, ebenfalls erfüllt, obwohl wir der Meinung waren, dass dies auf
das Eingreifen internationaler Regierungen und Strafverfolgungsbehörden
zurückzuführen sein würde. Stattdessen handelte es sich zunehmend um Angriffe
auf den Austausch von Kryptowährungen selbst, wie etwa die von Bithumb,
Coinrail und CoinCheck. Wie wir vorausgesagt haben, hat dies die lukrative
digitale Industrie in Schock versetzt. Dies wiederum machte die Anleger nervös
und senkte unter anderem den Wert von Bitcoin dramatisch.
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 20FA Z I T: N Ä C H S T E S C H R I T T E
Wie wir gesehen haben, sind die Angriffe des Jahres 2018 gezielter und heimlicher.
Unabhängig davon, ob Cyberkriminelle oder Nationalstaaten dahinter stehen,
zeigen diese Angriffe interessante neue Trends und Beweggründe. Von Kryptomining
bis Ransomware, Schwachstellen von Mobilgeräten bis hin zu Angriffen im
Sinne der nationalen Interessen – alle haben die heutige Bedrohungslandschaft
erheblich beeinflusst.
Während Kryptominer eine zentrale Rolle bei der Infizierung von Organisationen
erlebten, wurden im letzten Jahr über 40 % der Organisationen Kryptomining-
Angriffen ausgesetzt, was sie zum häufigsten Malware-Typ machte. Ransomware
richtete sich jedoch an spezifischere Ziele. Dazu gehörten kommunale IT-
Infrastrukturen, Krankenhäuser, Seehäfen und Flughäfen, Zeitungen und viele
andere nicht genannte Einrichtungen.
Malware wurde auch in Bezug auf Methodik und Ziele multifunktionaler und
erzeugte hybride Angriffe, bei denen Kryptominer, Banken-Malware und Botnet-
Versuche kombiniert wurden. Zuvor als „ummauerter Garten” betrachtet,
verzeichnete 2018 eine steigende Anzahl erfolgreicher Angriffe auf die zuvor als
sicher geltenden mobilen Betriebssysteme.
Um Organisationen den bestmöglichen Schutz zu bieten, müssen IT-
Sicherheitsexperten auf die sich ständig verändernde Landschaft und die neuesten
Bedrohungen und Angriffsmethoden angepasst sein.
In der nächsten Ausgabe dieses Sicherheitsberichts werden wir einen tieferen Blick
unter die Haube der heutigen, im Dark Net verkauften Malware-as-a-Service-
Industrie werfen, wodurch auch unerfahrene Angreifer Zugang zu hochentwickelten
Cyberwaffen erhalten. Wie wir sehen werden, war dies im Jahr 2018 weiter
verbreitet als je zuvor, da die Cyberkriminalität inzwischen demokratisiert ist.
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 21I N D E X : T O P- M A L W A R E - FA M I L I E N 2 0 1 8
C y b e r- A n g r i f f s k a t e g o r i e n n a c h R e g i o n
Im Rückblick auf unsere Tabellen von 2017 und 2018 ist eine große Transformation
zu beobachten. Ransomware steht nicht mehr ganz oben auf der Malware-Liste.
Tatsächlich sank der allgemeine Einfluss von Ransomware auf Organisationen
weltweit von 30 % auf seinem Höchststand im Jahr 2017, auf weniger als 4 % im Jahr
2018. Diese Verschiebung könnte das Ergebnis der Umstellung auf Kryptomining
als effizientere und rentablere Alternative sein. Dies kann auch mit der Übernahme
der „Boutique“-Ransomware-Angriffe zusammenhängen, die nur auf bestimmte
Organisationen und nicht auf breite globale Kampagnen abzielen.
Globale Bedrohungsindexkarte
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 22DIE
BÖSARTIGSTEN
DATEITYPEN –
2018
Oben: HTTP-Top-Dateitypen
Rechts: SMTP-Top-Dateitypen
VERTEILUNGS
PROTOKOLLE 2018
H1 vs. H2
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 23A N H A N G A : T O P- M A L W A R E - FA M I L I E N
Globale Malware-Statistiken
In den folgenden Abschnitten vorgestellte Datenvergleiche basieren auf Daten,
die aus der Check Point ThreatCloud-Cyberbedrohungskarte zwischen
Januar und Dezember 2018 entnommen wurden.
Für jede der folgenden Regionen stellen wir zwei Diagramme dar. Im ersten wird
die häufigste Malware in dieser Region beschrieben, gefolgt von einem zweiten
Diagramm, in dem die Malware-Familien mit der höchsten Präsenz in dieser
Region im Vergleich zu anderen aufgeführt sind.
GLOBALE TOP-MALWARE-FAMILIEN
Abbildung 1: Meist verbreitete Malware weltweit:
Prozentsatz der Unternehmensnetzwerke, die
jeden Malware-Typ erfahren
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 2 4TOP-MALWARE-FAMILIEN IN AMERIKA
Abbildung 2: Die meistverbreitete Malware in Amerika
Abbildung 3: Am meisten
anvisierte Malware in
Amerika
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 25TOP-MALWARE-FAMILIEN IN EMEA
Abbildung 4: Die häufigste Malware in der EMEA-Region
Abbildung 5: Am meisten
anvisierte Malware in der
EMEA-Region
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 26TOP-MALWARE-FAMILIEN IN APAC
Abbildung 6: Die häufigste Malware in der APAC-Region
Abbildung 7: Am meisten
anvisierte Malware in der
APAC-Region
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 27G l o b a l e A n a l y s e d e r To p - M a l w a r e 40
h t t p s: // w w w.bl eepingc ompu t er.c om /
Coinhive, der prominente, webbasierte Kryptowährungs-Miner Monero, hat news/securit y/coinhive-Kr yptojacker-
seinen Platz an der Spitze unseres weltweiten Malware-Rankings mit 25% deployed-on-youtube-via-google-ads/
der weltweit betroffenen Organisationen erneut behaupten können. Coinhive wird 41
https://blog.trendmicro.com/trendlabs-
über YouTube 40 und Googles DoubleClick 41 Anzeigen und Facebook Messenger securit y-intelligence/malver tising-
geliefert und ist auch in Zehntausende Websites eingebettet. Unsere globalen campaign-abuses-googles-doubleclick-
Top-Malware-Tabellen für beide Teile des Jahres 2018 zeigen, dass Kryptomining- to-deliver-Kr yptocurrency-miners/
Malware offiziell der meist verbreitete Malware-Typ des Jahres ist, mit einer 42
h t t p s : // w w w . f o r c e p o i n t . c o m / b l o g /
globalen Auswirkung von fast 40%. securit y-labs/thanks-giving-emotet
Emotet, einer der prominentesten Trojaner im freien Umlauf, hat seinen Platz an der
Spitze der globalen und amerikanischen Top-Rangliste erreicht. Als fortschrittlicher,
sich selbst verbreitender und modularer Trojaner wird Emotet, einst bei Banken
eingesetzt, in massiven Spear-Phishing-Kampagnen zusammen mit bösartigen
Links oder Anhängen verbreitet. Eine davon war eine Kampagne zu Thanksgiving42 .
CHECK POINT – 2019 SICHER HEITSBER ICHT | 28
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 28To p - K r y p t o m i n i n g - M a l w a r e
Die folgenden Diagramme zeigen den prozentualen Anteil der Organisationen, die
von jeder Kryptomining-Malware betroffen waren, und liefern globale Ansichten
und regionale Erkenntnisse.
Abbildung 8: Top-
Kryptomining-Malware
Global
Abbildung 9: Top-
Kryptomining-Malware
Amerika
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 29Abbildung 10: Top-
Kryptomining-Malware
EMEA
Abbildung 11: Top-
Kryptomining-Malware APAC
Globale Analyse der Kryptominer
Die bekannteste Kryptomining-Malware, die die globale Top Kryptominers-
Malware-Liste dominiert, Coinhive, Cryptoloot und JSEcoin, sind seit 2017 ganz 43
ht tps: //research.checkpoint .com /
oben auf der Liste. Diese beliebten, webbasierten Kryptominer lassen sich leicht in rubyminer-Kr yptominer-af fects-30-w w-
net works/
Websites integrieren – bereitwillig von Website-Inhabern sowie unwissentlich von
Bedrohungsakteuren, die das hohe Besucheraufkommen der Websites nutzen. Mit
einem anderen Ansatz zielte die RubyMiner-Kampagne auf ungepatchte Windows-
und Linux-Server ab und behielt ihren hohen Rang im ersten Halbjahr 2018 bei. Wie
die Check Point-Forscher43 im vergangenen Januar enthüllten, versuchte RubyMiner,
30 % aller Unternehmensnetzwerke weltweit zu nutzen, um leistungsfähige Server
in den Mining-Pool seiner Betreiber zu mobilisieren.
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 30To p - B a n k e n -Tr o j a n e r
In diesem Abschnitt zeigen wir den Prozentsatz der Organisationen, die
von jeder Banken-Malware betroffen waren, und liefern globale Ansichten und
regionale Erkenntnisse.
Abbildung 12: Top-Banken-
Trojaner Global
Abbildung 13: Top-Banken-
Trojaner Amerika
CHECK P OIN T RE SE A R CH – 2 019 SICHERHEI T SBERICH T | 31Sie können auch lesen
