Cybersecurity
Cybersicherheit im Rückblick - Unit 42 fasst zentrale Ereignisse zusammen
Bedrohungslandschaft 2019
Meist recht vage sind die Prognosen der IT-Unternehmen für das kommende Jahr – sehr konkret aber sind Analysen für 2019 möglich.
Alex Hinchliffe, Threat Intelligence Analyst von Unit 42 bei Palo Alto Networks, hat die zentralen Ereignisse der vergangenen Monate zum Ende des Jahres zusammengefasst und bewertet:
Im Jahr 2019 haben die IT-Security-Experten von Palo Alto Networks einen deutlichen Anstieg der Anzahl der exponierten Container erlebt, die anfällig für Angriffe sind. Sie gehen davon aus, dass sie auch im Jahr 2020 weitere Fälle von exponierten Containern beobachten werden, die für Unternehmen hohe Risiken darstellen. Angreifer werden weiterhin innovativ darin sein, wie sie Unternehmen via Cloud ins Visier nehmen, da mehr Unternehmen die Technologie weiterhin einsetzen werden. Selbst wenn die Container nicht aufgrund von Fehlkonfigurationen zugänglich sind, können die Systeme immer noch unter Schwachstellen leiden wie herkömmliche Software und Betriebssysteme.“
„Der Trend zu Schwachstellen in Cloud-Software und -Anwendungen wird weiter zunehmen. Ein Beispiel dafür ist die Entdeckung des ersten Cryptojacking-Wurms durch Unit 42, der über Container in der Docker Engine (Community Edition) verbreitet wird. Darüber hinaus gehen wir davon aus, dass sich Ransomware-Angriffe im Jahr 2020 fortsetzen und sogar noch verschärfen werden. 2019 haben wir eine wachsende Zahl von Bedrohungsakteuren beobachtet, die nicht nur Ransomware und Ransomware-as-a-Service verkauften, sondern auch Ransomware-Tutorials anboten. Im vergangenen Jahr haben wir bereits den Anstieg von Post-Intrusion-Ransomware vorhergesagt, die speziell darauf ausgerichtet waren, komplette Geschäftsprozesse zu stören und viel größere Lösegeldbeträgen einzufordern. Im Laufe des Jahres haben wir die Malware-Familie LockerGoga dokumentiert, die vor allem in Europa Wirkung zeigte.
Wir analysierten im Juli auch etwa 10.700 einzigartige Malware-Samples, die in Go geschrieben wurden. Wir stellten anhand von Zeitstempeln fest, dass Go-kompilierte Malware im Jahr 2019 stetig zugenommen hat. Darüber hinaus wurden 92 Prozent der identifizierten Samples für das Windows-Betriebssystem kompiliert, was darauf hindeutet, dass dies das am stärksten betroffene System von Go-Malware-Entwicklern ist. Obwohl Go-Malware bei Malware-Entwicklern immer noch kein großes Interesse geweckt hat, gehen wir davon aus, dass Go-kompilierte Malware im Jahr 2020 weiter an Popularität gewinnen wird. Es ist anzumerken, dass Unit 42 in der Vergangenheit auch nationalstaatliche Akteure beobachtet hat, die unter anderem die Go-Sprache verwendeten. Es scheint, dass dies hauptsächlich darauf zurückzuführen ist, wie der Malware-Code aussieht, wenn er von Sicherheitsscannern überprüft wird.“
Updates zu den wichtigsten Angreifern bzw. Hackernetzwerken in 2019
PKPLUG
„Nach drei Jahren Tracking veröffentlichte Unit 42 im Oktober ein Profil über eine Reihe von Cyberspionage-Angriffskampagnen in ganz Asien, die eine Mischung aus öffentlich zugänglicher und benutzerdefinierter Malware verwendeten. Wir nannten die Gruppe der Bedrohungsakteure – oder Gruppen, da unsere derzeitige Sichtbarkeit es nicht erlaubt, zuverlässig festzustellen, ob es sich um die Arbeit einer Gruppe handelt – PKPLUG und verfolgten sie in und um die Region Südostasiens, insbesondere Myanmar, Taiwan, Vietnam und Indonesien. PKPLUG war wahrscheinlich auch in verschiedenen anderen Gebieten in Asien aktiv, darunter Tibet, Xinjiang und die Mongolei. Dieser Akteur richtete sich sowohl an Android-Geräte mit E-Spionage-Malware als auch an die traditionellen Windows-Ziele mit typischer Malware wie PlugX und Poison Ivy sowie einer bisher undokumentierten Malware namens Farseer, die Backdoor-Funktionen auf den Systemen der Opfer bereitstellt.“
xHunt
„Zwischen Mai und Juni 2019 beobachtete Unit 42 Varianten bisher unbekannter Tools, die auf Transport- und Speditionsunternehmen mit Sitz in Kuwait angesetzt wurden. Im September veröffentlichten wir, wie diese Tools potenzielle Überschneidungen mit den ISMAgent-Kampagnen von OilRig zeigen, die sich an Unternehmen der Transport- und Schifffahrtsbranche im Nahen Osten richten. Aufgrund dieser Überschneidungen planen wir, diese Aktivität auch im Jahr 2020 sehr genau zu verfolgen, um so viel wie möglich über die Bedrohungsgruppen zu erfahren. Die in den xHunt-Kampagnen verwendeten Tools verfügten über mehrere Command-and-Control-(C2)-Techniken, darunter eine neuartige Möglichkeit, Entwürfe von E-Mails zu erstellen, um mit dem Bedrohungsakteur zu kommunizieren, ohne tatsächlich eine E-Mail senden zu müssen, was es potenziell schwieriger macht, den Kommunikationsmechanismus zu erkennen.“
BabyShark
„Im Februar identifizierten und veröffentlichten die Forscher von Unit 42 einen Bericht über Speer-Phishing-E-Mails, die im November 2018 verschickt wurden. Diese enthielten neue Malware, die sich die Infrastruktur mit Playbooks teilt, die mit nordkoreanischen Kampagnen in Verbindung gebracht werden. Die Malware, die wir BabyShark nannten, exfiltriert Systeminformationen auf ihren C2-Server, sobald sie ein System infiziert und die Persistenz auf diesem System aufrechterhält. BabyShark wartet dann auf weitere Anweisungen durch den Betreiber der Malware.“
Mirai
„Varianten von Mira, dem berüchtigten IoT-/Linux-Botnet, waren 2019 reichlich vorhanden. Unit 42 entdeckte im Januar eine neue Variante für drahtlose Präsentations- und Anzeigesysteme in Unternehmen; eine weitere im Februar, die für neue Prozessoren/Architekturen zusammengestellt wurde und die es bisher noch nicht gab, und acht neue Exploits, die im Juni hinzugefügt wurden, um eine breitere Palette von IoT-Geräten anzusprechen. IoT-Geräte sind nach wie vor ein beliebtes Ziel von Hackern, vor allem, weil das Bewusstsein für IoT-Sicherheit nicht so verbreitet ist und die erwartete Anzahl von IoT-Geräten erst 2020 stärker steigen wird, vorangetrieben durch 5G.“