Wettervorhersage für Cybersicherheit – 2. Quartal 2021
17 August 2021
Zahlen
Allgemeines
An den vom CSIRT der POST CyberForce erarbeiteten Zahlen lässt sich ein Rückgang der Vorfälle im Laufe der Monate feststellen. Dieser Rückgang geht auf die sinkenden Fallzahlen von Phishing-Kampagnen im Quartal zurück. Trotzdem stellen Phishing-Kampagnen mit etwa 50 % der vom CSIRT der POST erarbeiteten Zahlen noch immer den Großteil der Vorfälle dar.
Phishing
Wir verzeichneten eine erhebliche Abnahme der Anzahl an Kampagnen mit Bulk-Phishing, d. h. ungerichtetes Phishing. Allerdings wird dies durch zielgerichtete Phishing-Kampagnen (Spearphishing) wieder ausgeglichen.
Im Folgenden finden Sie eine Liste von gestohlenen Identitäten und dem Ziel der Angreifer:
Gestohlene Identität Ziel
POST Logindaten Webmail (pt.lu), MyPOST (persönliche Daten)
Microsoft Logindaten Microsoft Cloud
LUXTRUST, DHL Bankkartendaten und Token
Darüber hinaus stellten wir einen vermehrten Gebrauch von neuen Techniken fest, mithilfe derer die Lebensdauer der Kampagnen verlängert und die Abwehr erschwert wird. Folglich schrecken Cyberkriminelle nicht mehr davor zurück, Phishing mithilfe von Ausweichtechniken zu betreiben.
Beispiele hierfür sind etwa eine begrenzte Exposition des schadhaften Inhalts für Nutzer eines bestimmten geografischen Gebiets (anhand der IP-Adresse) oder bezogen auf einen bestimmten Kontext (indem IP-Adresse, Zeitstempel und automatisch vom Browser der Opfer generierte Zugangsdaten kombiniert werden).
Wird also dem CSIRT der POST CyberForce eine URL gemeldet, so wird die IP-Adresse blockiert und in der Folge Werbung, die nichts mit dem Angriff zu tun hat, eine weiße Seite oder eine Seite mit der Fehlermeldung „404 not found“ angezeigt.
Cyberkriminelle verschleiern ihre Aktivität, um nicht von den Abwehrsystemen entdeckt zu werden.
Google LLC (=)
CloudFlare Inc. (+1)
Bitly Inc. (+4)
DigitalOcean LLC (+1)
Online SAS (-1)
Microsoft Corporation (+3)
A100 ROW GmbH (-3)
Namecheap Inc. (Neu)
Weebly Inc. (Neu)
OVH SAS (-2)
Hier sind einige Beispiele von Phishing anhand von Screenshots, sodass Sie diese wiedererkennen können. Wir stellen Ihnen solche bei jedem Vorfall zur Verfügung. Folgen Sie uns auf Twitter: https://twitter.com/CsirtPost
Vishing/Spam-Calls
Im Quartal sind tausende betrügerische Anrufe in Luxemburg eingegangen, die von Gruppen getätigt wurden, die sich als Microsoft ausgaben. Hierbei spricht man von Vishing (Voice Phishing), das einen großen Anteil der Vorfälle im Quartal ausmachte.
Diese Anrufe stammten scheinbar aus unterschiedlichen Ländern wie Spanien, Vereinigtes Königreich usw., was sich allerdings als gefälscht herausstellte: Alle Anrufe, deren Ursprung bestätigt wurde, kamen aus Indien. Die Anrufe verfolgen ein klassisches Schema, wobei eine Vorwahl ausgewählt und per Zufallsprinzip der Rest der Nummer ergänzt wird, bis eine vergebene Nummer gefunden wird.
Nimmt ein Opfer solch einen Anruf entgegen, wird es darum gebeten, einige Schritte zu unternehmen, bis es bei der Ereignisanzeige von Windows (Event Viewer) und schließlich bei den Fehlern des Betriebssystems landet, wobei darauf geachtet wird, dass das Opfer die Bedeutung der Ereignisse nicht kennt. Im Laufe des Prozesses und zwischen den unterschiedlichen Schritten wechseln die Gesprächspartner.
Im Anschluss wird dem Opfer berichtet, dass sein Windows-System auf Grundlage der Beobachtungen in der Ereignisanzeige mit Malware infiziert sei. Aus diesem Grund müsse man zwei Programme installieren, die als Sicherheitslösungen zur Beseitigung des Problems verkauft werden.
Das erste – UltraViewer – ist eine Software, mit der die Kriminellen den Computer des Opfers fernsteuern können.
Das zweite Programm zur Fernsteuerung durch die Angreifer, das das Opfer installieren soll, heißt TeamViewer.
Sobald die zwei Programme installiert sind, folgt der dritte und letzte Schritt: Das Opfer soll sich in seinem Onlinebanking anmelden, um 10 € an die Angreifer zu überweisen. Diese Gebühr wird angeblich für die Aktivierung der Sicherheitslösung erhoben. Tatsächlich geht es aber darum, die Zugangsdaten zum Onlinebanking zu stehlen, um im Anschluss selbst eine weitere Überweisung durchführen zu können.
Wir stellen fest, dass die Angreifer hemmungslos die Gutgläubigkeit der Opfer ausnutzen, um Ihnen letzten Endes ihre Bankdaten zu stehlen. Für Unternehmen ist es wichtig, sich mittels Kampagnen zur Sensibilisierung gegen solche Risiken zu wappnen. Auch lassen sich die Installationsrechte für Programme anpassen, sodass nicht jeder Nutzer in einem Unternehmen jedwedes Programm installieren kann.
Ransomware und Leaks
Was Ransomware angeht, haben wir ein großes Aufkommen von Gruppen wie Conti verzeichnet. Conti ist auf geleakte Unternehmensdaten spezialisiert, die preisgegeben werden, wenn das Unternehmen den Forderungen der Gruppe nicht nachkommt.
Diese Gruppen suchen permanent nach exponierten und ausnutzbaren Schwachstellen, um Ransomware zu platzieren.
Diese Vorfälle zeigen auf, wie wichtig es ist, die Schwachstellen seiner exponiertesten Geräte zu beheben, sobald entsprechende Patches verfügbar sind.
Schadcode
Wir haben einige schadhafte Softwares im Quartal beobachtet, etwa die Verbreitung von Agent Tesla.
Agent Tesla ist ein Programm zur Entnahme von Informationen wie bei einem Keylogger. Es ist in der Lage, Zugangsdaten von verschiedenen Browsern, E-Mails und FTP-Clients zu extrahieren. Außerdem stellt es Daten aus Registrierungsschlüsseln und der Zwischenablage wieder her, erfasst Bildschirm und Kamera, etc.
DDoS
Im Laufe des Quartals konnten wir einige DDoS-Angriffe verzeichnen mit einem volumetrischen Hochpunkt in unserem Netz von 7,8 Gbit/s. Folgende Techniken konnten im Quartal festgestellt werden:
NTP Amplification mit 2 identifizierten Angriffen
Ungewöhnliche ICMP-Anfragen
Die Anzahl an DDoS-Großangriffen kann dank der Anti-DDoS-Lösungen der POST Telecom recht gut in Schach gehalten werden.
Schwachstellen
Das Quartal wurde bestimmt durch die Veröffentlichung einer Zero-Day-Schwachstelle bei den Anwendungen von Pulse Secure VPN. Diese Schwachstelle war Grund für mehrere Sicherheitsvorfälle, bei denen die Anwendungen von Pulse Secure VPN kompromittiert wurden. Eingangsvektor in das System war die genannte Schwachstelle (CVE-2021-22893). Nähere Angaben hierzu finden Sie im Blog von Fireeye:
Diese aktiv von Angreifern ausgenutzte Schwachstelle wurde vom FBI 2021 in die Liste der am stärksten ausgenutzten Schwachstellen aufgenommen, nebst den Schwachstellen bei Microsoft Exchange Server (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065):
Das CSIRT der POST CyberForce verzeichnete mehrere exponierte Anwendungen von Pulse Secure VPN gefährdeter Kunden und empfiehlt dringend, die von Pulse Secure VPN bereitgestellten Patches zu installieren, sofern noch nicht geschehen.
Infolge von geglückten Phishing-Kampagnen mit Wörterbuchangriffen haben wir im Laufe des Quartals Eindringlinge registriert, die einen ersten Zugriff zu erlangen ersuchten.
Gibt ein Opfer seine Zugangsdaten im Rahmen einer Phishing-Kampagne mit bestimmtem Ziel preis, wird ein Angreifer diese nutzen, um sich in der Anwendung bzw. dem System der Wahl anzumelden und von da aus weitere Aktionen mit neuem Ziel zu starten.
Die in diesem Quartal verzeichneten Ziele infolge eines geglückten Eindringens waren Betrug und Datendiebstahl.
In puncto Phishing-Angriffe empfiehlt das CSIRT der POST CyberForce große Vorsicht walten und sich nicht täuschen zu lassen. Überprüfen Sie stets die Kohärenz zwischen URL und Absender und das Format sowie den Text der E-Mail bzw. der SMS.
Was Wörterbuchangriffe angeht, so liegt der Grundgedanke in der Wiederverwendung derselben Zugangsdaten für unterschiedliche Anwendungen. Werden die Daten einer Anwendung geleakt, in der diese Zugangsdaten vorliegen, und fallen diese Daten in die falschen Hände, können sie verwendet werden, um sich in anderen Anwendungen oder Systemen einzuloggen, insbesondere wenn das Opfer ähnliche Zugangsdaten in den Zielanwendungen und -systemen der kriminellen Akteure verwendet.
Darum ist es von größter Wichtigkeit, möglichst je Anwendung oder System unterschiedliche Passwörter zu verwenden.
Wurde in Ihre Anwendung oder Ihr System eingedrungen? Gab es einen Sicherheitsvorfall oder einen Cyberangriff? Oder möchten Sie nachvollziehen, wie es zu einem Vorfall bei Ihnen kommen konnte? Nehmen Sie gerne Kontakt mit unserem Service des CSIRT der POST CyberForce auf. Unsere Experten stehen an Ihrer Seite und bieten Ihnen die nötige Hilfe bei Ihrem Sicherheitsvorfall.
