Cyberkriminalität im Rückblick – Die Entwicklungen 2018 aus Sicht der Cybersicherheit

Illustration: Absmeier, TheDigitalWay

Zum Jahresbeginn 2019 hat Unit 42, die Abteilung für Bedrohungsforschung von Palo Alto Networks, die wichtigsten Entwicklungen, Angriffe und Trends im Umfeld der Cyberangriffsgruppen aus dem vergangenen Jahr zusammengefasst. Dabei haben die IT-Sicherheitsprofis einige zentrale Trends identifiziert.

 

Crypto-Mining im Aufwind

»Wir haben eine starke Zunahme der Anzahl von Angriffskampagnen mit dem Ziel, Kryptowährungen zu schürfen, festgestellt. Diese Angriffswelle wird anhalten, solange sie ein hohes Maß an Rentabilität bei gleichzeitig geringem Risiko für Cyberkriminelle gewährleistet.«

 

  • Im Januar beobachtete Unit 42 eine große Crypto-Mining-Operation, die seit über vier Monaten aktiv war. Die Zahl der betroffenen Opfer haben wir auf rund 15 Millionen geschätzt.«
  • »Im März entdeckte Unit 42 »CryptoJack«, eine Bedrohung, die Wallet-Adressen, die in einer Zwischenablage gespeichert sind, durch die Daten des Angreifers ersetzt, um dann Geld in die falsche Wallet zu senden. Die Masche beruht darauf, dass die Opfer die Ziel-Wallet nicht überprüfen, bevor sie eine Transaktion abschließen.«
  • Im Juni ermittelte Unit 42 einen Gesamtbetrag von 798613,33 Monero, was 143.750.400,15 US-Dollar entspricht, die böswillig geschürft wurden. Das waren etwa 5 Prozent des gesamten Monero-Volumens, das sich zum Zeitpunkt der Untersuchung im Umlauf befand.«
  • »Im Oktober benutzten Cyberangreifer gefälschte Flash-Updates, um unerwünschte Programme wie einen XMRig-Crypto-Miner zu installieren, aber die Malware aktualisierte auch den Flash Player des Opfers auf die neueste »Version«. Aufgrund des legitimen Flash-Updates könnte es sein, dass potenzielle Opfer nichts Ungewöhnliches bemerkten.«

 

2018 im Rückblick: Die wichtigsten Neuigkeiten zu den Cyberangriffsgruppen

 

OilRig

»Die OilRig-Gruppe ist weiterhin sehr aktiv mit ihren anhaltenden Angriffen auf Regierungsstellen in der Nahostregion mittels zuvor von Unit 42 bereits identifizierter Instrumente und Taktiken. Wir haben im Januar, Februar, Juli und September neue Forschungsergebnisse veröffentlicht, in denen wir darlegen, wie OilRig seine Taktiken weiter anpasst und sein Tool-Set mit neu entwickelten Tools ergänzt hat.«

 

Gorgon-Gruppe

»Im August veröffentlichte Unit 42 ein Update über Angriffe von Mitgliedern der Gorgon-Gruppe auf Regierungsorganisationen in Großbritannien, Spanien, Russland und den USA. Die Mitglieder der Gruppe versuchten sich sowohl an nationalstaatlich als auch kriminell motivierten Angriffen. Trotz Fehlern in ihrer operativen Sicherheit blieb die Gruppe besonders effektiv. Die Nutzung derselben Infrastruktur für gezielte Angriffe und kriminelle Aktivitäten ergibt einen interessanten Querschnitt unterschiedlicher Motive.«

 

TheBottle

»Im April untersuchte Unit 42 »SquirtDanger«, eine Malware-Familie, die von einem russischen Malware-Autor nach dem Vorbild von »TheBottle« entwickelt wurde. TheBottle ist seit Jahren auf globalen Untergrundmarktplätzen aktiv, scheint aber in Schwierigkeiten geraten zu sein und hat die Verantwortung für die Entwicklung mehrerer Malware-Familien übernommen.«

 

SilverTerrier

»Im Mai veröffentlichte Unit 42 den neuesten Bericht über das weitere Wachstum der von Nigeria aus gesteuerten Cyberkriminalität unter dem Namen »SilverTerrier«. In den letzten zwölf Monaten hatten die Akteure durchschnittlich 17.600 Angriffe pro Monat durchgeführt, was eine 45-prozentige Steigerung gegenüber 2016 bedeutet. Diese Akteure haben gelernt, wie man problemlos verfügbare, gängige Malware-Tools erfolgreich einsetzt, um lukrative Erträge zu erzielen.«

 

Sofacy

»Das ganze Jahr über nahm die Bedrohungsgruppe Sofacy Regierungsorganisationen in der EU, den USA und den GUS-Staaten ins Visier, um das Zebrocy-Tool als Nutzlast an die ausgewählten Adressen zu liefern. Die Gruppe nutzte die Flugzeugkatastrophe von Lion Air als Köderthema für einen dieser Angriffe. Dies belegt weiterhin die Bereitschaft der Gruppe, aktuelle Ereignisse in ihren Social-Engineering-Themen zu nutzen. Erst letzten Monat beobachteten wir Sofacy wieder bei einer Verlagerung der Taktik. Die Gruppe begann damit, nicht-generische Köderinhalte für ihre bewaffneten Dokumente zu implementieren.«

 


 

Was tun für mehr Cybersicherheit?

Die glorreichen Sieben – Prognosen zur Cybersicherheit 2019

10 Thesen zu künstlicher Intelligenz und Cybersicherheit im Jahr 2019

Kaum Verständnis für und wenig Wissen über Cybersicherheit

Die Trends zur Cybersicherheit im Jahr 2019: Bots legen das Internet lahm