Der Wolf im Schafspelz – Cyberkriminelle setzten vermehrt auf vertrauenswürdige Anwendungen für ihre Angriffe

foto freepik ki

Die kriminelle Verwendung von Anwendungen und Tools auf Windows-Systemen, gemeinhin als »Living Off the Land«-Binärdateien bezeichnet, steigt um 51 %. Lockbit ist trotz staatlicher Intervention die Ransomware Nummer 1.

 

Sophos hat seinen neuesten Active Adversary Report unter dem Titel »The Bite from Inside« veröffentlicht, der einen detaillierten Blick auf die veränderten Verhaltensweisen und Techniken der Angreifer im ersten Halbjahr 2024 wirft. Die Analysedaten stammen aus fast 200 Incident-Response-Fällen, die das Sophos X-Ops IR-Team und Sophos X-Ops Managed Detection and Response Team in den ersten sechs Monaten 2024 bearbeitet haben.

 

Die wichtigste Erkenntnis der aktuellen Untersuchungen: Für ihre Aktivitäten nutzen Angreifer zunehmend vertrauenswürdige Anwendungen und Tools auf Windows-Systemen – auch als »Living Off the Land«-Binärdateien (LOLbins) bezeichnet. Dadurch wollen Cyberkriminelle einer schnellen Erkennung entgehen und sich möglichst lange auf Schleichfahrt in einer kompromittierten IT-Infrastruktur umsehen. Im Vergleich zu 2023 verzeichnete Sophos hier einen Anstieg um 51 Prozent, und sogar um 83 Prozent seit 2021.

 

Unter den 187 verschiedenen Microsoft LOLbins, die im ersten Halbjahr 2024 illegal zweckentfremdet wurden, war das Remote Desktop Protocol (RDP) die am häufigsten missbrauchte, vertrauenswürdige Anwendung. Von den fast 200 analysierten Incident-Response-Fällen nutzten Angreifer in 89 Prozent RDP aus. Diese Dominanz setzt einen Trend fort, der erstmals im Active-Adversary-Bericht 2023 beobachtet wurde. Hier lag der Anteil des RDP-Missbrauchs bei 90 Prozent aller untersuchten IR-Fälle.

 

»LOLbins bieten nicht nur die Möglichkeit, die Aktivitäten eines Angreifers zu verbergen, sondern bringen leider oftmals auch eine stillschweigende Billigung seiner Aktivitäten mit sich«, sagt John Shier, Field CTO bei Sophos. »Während der Missbrauch anderer legitimer Tools bei Verteidigern mittlerweile häufig die Alarmglocken läuten lässt, hat der Missbrauch einer Microsoft-Binärdatei oft den gegenteiligen Effekt, da sie ein integraler Bestandteil von Windows ist und legitime Verwendungszwecke hat. Für die schnelle Identifizierung eines Missbrauchs ist es extrem wichtig, dass Systemadministratoren genau wissen, wie diese Dateien in ihren Umgebungen verwendet werden. Denn ohne ein differenziertes und kontextbezogenes Bewusstsein für die IT-Umgebung, einschließlich kontinuierlicher Wachsamkeit gegenüber neuen und sich entwickelnden Ereignissen im Netzwerk, laufen die oftmals überlasteten IT-Teams Gefahr, wichtige Bedrohungsaktivitäten zu übersehen. Für Abhilfe kann hier zum Beispiel ein moderner Managed Detection and Response Service sorgen, der externe Experten an Bord holt und IT-Teams entlastet.«

 

Weitere wichtige Erkenntnisse aus dem aktuellen Active Adversary Report:

  • Lockbit ist immer noch die Nummer 1.
    LockBit war trotz staatlicher Interventionen gegen die wichtigste Leak-Website sowie dessen Infrastruktur im Februar die am häufigsten anzutreffende Ransomware-Gruppe und machte etwa 21 Prozent der Infektionen im ersten Halbjahr 2024 aus.
  • Haupteinfallstor sind weiterhin kompromittierte Zugangsdaten.
    Damit setzt sich ein Trend fort, der erstmals im »Active Adversary Report for Tech Leaders« festgestellt wurde. Kompromittierte Zugangsdaten sind in 39 Prozent der Fälle immer noch die Hauptursache für Angriffe. Dies ist jedoch ein Rückgang gegenüber den 56 Prozent im Jahr 2023.
  • Ältere Active-Directory-Server werden schwerpunktmäßig kompromittiert.
    Angreifer haben zu 87 Prozent die Serverversionen von Active Directory aus den Jahren 2019, 2016 und 2012 kompromittiert. Für alle drei dieser Versionen gibt es keinen Mainstream-Support mehr von Microsoft – sie sind also einen Schritt vor End-of-Life (EOL) bei dem ohne kostenpflichtigen Support von Microsoft kein Patch mehr möglich ist.

 

 

 

 

 

Alle Details zu den Untersuchungen gibt es im umfangreichen, englischen Blogartikel »The Bite from Inside: The Sophos Active Adversary Report«

The Bite from Inside: The Sophos Active Adversary Report

 

2808 Artikel zu „Cyberkriminelle „

Cyberkriminelle nutzen CrowdStrike-Outage

Nach der CrowdStrike-Panne vom 19. Juli 2024 entdeckten Akamai-Forscher mehr als 180 neu erstellte schädliche Domains. Diese gaben vor, Betroffenen bei der Navigation durch ihre IT-Ausfälle behilflich zu sein. Mit mehr als 20 Prozent des beobachteten Angriffsverkehrs gehörten gemeinnützige Organisationen und das Bildungswesen zu den am stärksten betroffenen Branchen. Der Sicherheitsexperte Akamai hat die am…

Olympische Spiele – Im Fadenkreuz der Cyberkriminellen

Egal ob Ringen, Rudern oder Schießen – die Olympischen Spiele sind ein enormes Spektakel, das regelmäßig Spitzenathleten und Zuschauer aus der ganzen Welt begeistert. Doch jenseits der Felder und Bahnen findet noch ein anderer Wettbewerb im Schatten statt – ein Cyber-Match, bei dem Angreifer um ihre eigene Art von Gold wetteifern. Es gibt zahlreiche Beispiele,…

Öffentliche WLANs: Cyberkriminelle freuen sich auf die Generation Z im Urlaub

Sorglose Always-On-Mentalität über öffentliche WLANs führt zu massenweise Identitätsdiebstahl. Hier ein schnelles Selfie für Facebook, dort ein Bild für Instagram und da noch ein hippes Video für TikTok… das Teilen des eigenen Lebens gehört für die Generation Z einfach dazu. Besonders im Urlaub werden dafür gerne freie WLANs genutzt, da das Datenvolumen im Ausland schnell…

Domain-Spoofing: Wie Cyberkriminelle Vertrauen ausnutzen – Sherlock Holmes im Cybernetz

Hacker machen mittlerweile auch keinen Halt mehr davor, E-Mails oder Webseiten zu fälschen. Dieses sogenannte Domain-Spoofing ist eine Technik, die von Cyberkriminellen verwendet wird, um Einzelpersonen und Unternehmen zu täuschen. Und die Herangehensweise wird immer professioneller – gefälschte E-Mails oder Web­seiten zu erkennen, gleicht einer Detektivarbeit.

Halloween: Cyberkriminelle haben gruselige Tricks auf Lager

Findet man im Handel und an Ständen die orangenen Kürbisse, ist sie auch schon da: die Halloween-Saison. Kürbisse schnitzen, Süßes oder Saures geben, Kostüme planen, Süßigkeiten für die Kinder besorgen und natürlich Gruselfilme ansehen. Eine der gruseligsten Bedrohungen ist allerdings wenig witzig, weder für Privatpersonen noch für Unternehmen. Denn jetzt ist auch Hochsaison für Cyberkriminelle…

Identitätsschutz – Cyberkriminelle loggen sich ein – was tun?

Unternehmen auf der ganzen Welt haben in den letzten Jahren vermehrt neue Technologien und Lösungen eingesetzt, um die Herausforderungen der globalen Pandemie zu meistern. Während diese Entwicklung Unternehmen zu Innovationen und neuer Stärke führen kann, sind gleichzeitig auch neue Cyberrisiken entstanden, die ausgenutzt werden können.

Cyberkriminelle geben sich zunehmend als MFA-Anbieter aus

Der Bericht zur E-Mail-Sicherheit für 2023 der VIPRE Security Group analysiert neueste Trends innerhalb der E-Mail-Sicherheit und gibt Empfehlungen, wie man den sich stetig weiterentwickelnden Bedrohungen dennoch einen Schritt voraus bleibt. Der diesjährige Report belegt, dass sich Cyberkriminelle verstärkt auch als Anbieter von Multi-Faktor-Authentifizierung ausgeben und gerade kleinere Unternehmen als Ziel immer beliebter werden. VIPRE…

Trellix erweitert sein Threat-Intelligence-Portfolio zum besseren Schutz gegen Cyberkriminelle

Optimierte Funktionen für mehr Cybersicherheit dank Partnerschaft mit Intel 471.   Trellix, Experte für Cybersicherheit und Vorreiter auf dem Gebiet innovativer XDR-Technologien, gab sein Vorhaben zur Erweiterung des Threat Intelligence-Portfolios bekannt. Damit können Trellix-Kunden weltweit verstärkt auf Expertise sowie umsetzbare Erkenntnisse über Bedrohungen zurückgreifen und Cyberkriminellen somit einen Schritt voraus bleiben. Das neue Angebot umfasst…

Cyberkriminelle starten minütlich neue Angriffe

Laut Threat Intelligence Report von Blackberry verwenden Hacker am häufigsten Malware, um ihre finanziellen, geopolitischen, militärischen und taktischen Ziele zu erreichen.   Das Cybersecurity-Unternehmen Blackberry hat seinen Global Threat Intelligence Report veröffentlicht, der den Umfang und die Art der Bedrohungen für eine Reihe von verschiedenen Organisationen und Regionen aufzeigt. Dies beinhaltet auch gezielte Angriffe auf…

Report zeigt: Cyberkriminelle starten minütlich neue Angriffe

Laut Threat Intelligence Report verwenden Hacker am häufigsten Malware, um ihre finanziellen, geopolitischen, militärischen und taktischen Ziele zu erreichen.   Das Cybersecurity-Unternehmen BlackBerry hat seinen Global Threat Intelligence Report veröffentlicht, der den Umfang und die Art der Bedrohungen für eine Reihe von verschiedenen Organisationen und Regionen aufzeigt. Dies beinhaltet auch gezielte Angriffe auf den Automobil-…

Digitalbarometer 2022: Weiter leichtes Spiel für Cyberkriminelle

Studie von BSI und Polizei zeigt: Kenntnisse zum Schutz vor Cyberangriffen sind vorhanden, werden jedoch noch unzureichend umgesetzt.   Ein aktuelles Virenschutzprogramm, sichere Passwörter und eine aktuelle Firewall sind die Maßnahmen, die Bürgerinnen und Bürger am häufigsten nutzen, um sich vor Angriffen im Netz zu schützen. Zu einem grundlegenden Basisschutz gehört aber auch, Sicherheitslücken mit…

Das Erwachen der LNK-Dateien: Cyberkriminelle setzen bei Angriffen auf Verknüpfungen

Neuer HP Wolf Security Report zeigt, mit welchen neuen Techniken und Phishing-Ködern Mitarbeiter getäuscht werden.   HP Inc. veröffentlicht die aktuelle Ausgabe seines quartalsweise erscheinenden Threat Insights Reports. Demnach setzen Cyberkriminelle, die Malware-Familien – wie QakBot, IceID, Emotet und RedLine Stealer – für ihre Angriffe nutzen, vermehrt auf Verknüpfungsdateien (auch LNK genannt), um die Schadprogramme…

Hohes Risiko durch regierungsnahe Cyberkriminelle

Automatisierung, Problemlösung und Resilienz verbessern. Nur 25 Prozent der IT-Entscheider weltweit würden Nation-State-Angriffe erkennen.   86 Prozent der IT-Entscheider glauben, dass ihr Unternehmen in der Vergangenheit ins Visier einer cyberkriminellen Gruppe geraten ist, die im Namen einer Regierung handelte. Doch nur 27 Prozent sind zuversichtlich, dass ihr Unternehmen sogenannte Nation-State-Angriffe auch als solche erkennt. Dies geht…

Zero-Day-Schwachstelle: Cyberkriminelle nutzen Cloud-Anbieter, um Malware zu hosten

  HP Inc. analysiert in seinem neuesten HP Wolf Security Threat Insights Report reale Cybersecurity-Angriffe, die durch die Isolierungs-Tools von HP Wolf Security entdeckt wurden [1].   Das HP Forschungsteam stellte unter anderem fest, dass Cyberkriminelle Zero-Day-Schwachstellen ausnutzen. So wurde die Zero-Day-Schwachstelle CVE-2021-40444, die die MSHTML-Browser-Engine mit Microsoft Office-Dokumenten bei der Ausführung von Remote-Code gefährdet…

Attack Surface Management für präventive Security-Konzepte – Cyberkriminellen die Basis nehmen

Ein geeignetes ASM verschafft Unternehmen einen vollständigen Überblick der erreichbaren Webseiten, Technologien, IT-Systeme, Internetdienste und Portale mit allen erforderlichen technischen Details. Es läuft vollautomatisch und fortlaufend ab, so dass sehr schnell Maßnahmen ergriffen werden können. Dadurch verlieren Cyberkriminelle die Lust, ihre Spurensuche fortzusetzen, da sie keine Angriffsflächen finden.

DNS im Visier der Cyberkriminellen – Die erste Verteidigungslinie

Das Domain Name System (DNS) ist zentral für den Netzwerkverkehr. Eine Beeinträchtigung des DNS führt dazu, dass Nutzer nicht mehr auf kritische Apps und Services zugreifen können. DNS-Sicherheit ist somit wichtig, um Applikationen, Nutzer und Daten zu schützen. Das spüren Unternehmen gerade in Zeiten vom Home Office, IoT und vernetzten Geräten, da mit der wachsenden Komplexität von Unternehmensnetzwerken auch das Risiko von DNS-Attacken wie Phishing, DDoS oder Ransomware gestiegen ist.

Jäger des Datenschatzes: Unternehmen im Fokus von Cyberkriminellen

Mit der fortschreitenden Digitalisierung wird sich das Datenaufkommen in der Wirtschaft in Zukunft vervielfachen. Die Gesetzgebung hat daher dafür gesorgt, dass der Datenschutz auch bei digitaler Datenverarbeitung einen hohen Stellenwert genießt. Neben dem Schutz von Betriebsgeheimnissen müssen Unternehmen vor allem der Sicherheit von personenbezogenen Daten hohe Priorität einräumen. Besonders folgenreich können Verstöße gegen die DSGVO…

Das neue Malware-Normal 2020: Permanenter Beschuss durch Cyberkriminelle

Bitdefender 2020 Consumer Threat Landscape Report zeigt Trends in der Cyberkriminalität für elf Länder. Enormer Zuwachs von Ransomware-Attacken: 485 Prozent im Vergleich zu 2019 IoT unter Beschuss: Sicherheitslücken smarter TV-Geräte steigen um 335 Prozent, bei NAS-Geräten um 189 Prozent, bei IP-Kameras um 99 Prozent. Herstellereigene IoT-Betriebssysteme sind mit 96 Prozent für fast alle entdeckten Sicherheitslücken…

Wie man die größten Einfallstore für Cyberkriminelle im Home Office schließt

Die neue Arbeitswelt bietet Cyberkriminellen viele Angriffspunkte. Sie nutzen unzureichende Sicherheitsvorkehrungen und verunsicherte Mitarbeiter aus, um Systeme zu infiltrieren und vertrauliche Daten zu stehlen., Was sind die wichtigsten Einfallstore und wie können Unternehmen sie am besten schließen.   Im Home Office haben neue Anwendungen und Abläufe viele Arbeitnehmer verunsichert – Cyberkriminelle versuchen, diese Situation gezielt…

Auf dem Silbertablett serviert: Fehlkonfigurationen laden Cyberkriminelle ein

Fehlkonfigurationen öffnen Cyberkriminellen Tür und Tor zum Netzwerk. Eine Risikoanalyse aller Endpunkte kann dabei helfen, den Blick auf diese Schwachstellen zu schärfen. Mit diesen Informationen gerüstet, kann sich die IT-Sicherheit daran machen, die Risiken zu beseitigen.   Die Bedrohungslage ist ernst und Organisationen sehen sich mehr Angriffen von Cyberkriminellen gegenüber. Diese werden auch immer gefährlicher…