Zurück zu den Artikeln

Wettervorhersage für Cybersicherheit – 4. Quartal 2020

25 Februar 2021

Dieses Quartal wurden sehr viele Vorfälle verzeichnet. Es handelt sich um die höchsten Werte seit der Einführung des Wetterberichts der Cybersicherheit 2020.

Dieser Anstieg ist auf die gewaltigen und vielseitigen Phishing-Kampagnen zurückzuführen, die im Laufe des Quartals registriert wurden. Auch lässt sich ein Zusammenhang mit der Tagesaktualität im Quartal herstellen, insbesondere mit der aktuellen Gesundheitskrise. Solch ein wesentlicher Anstieg der Vorfälle konnte bereits im März beobachtet werden.

Was die Schwere der Vorfälle angeht, so haben wir in dem Zeitraum Schwachstellen feststellen müssen, insbesondere bei der Lösung Solarwinds Orion gab es Schwachstellen mit neuen Techniken ohnegleichen.

Wir werden daher auch Zahlen zur Verteilung der Vorfallsarten (ausgenommen Phishing) veröffentlichen, um die Wichtigkeit anderer Vorfälle im Bereich Cyberbedrohungen festzuhalten.

Phishing 

Auf Phishing entfielen im Quartal fast 80 % der Vorfälle.

Unter den gestohlenen Identitäten befindet sich vorrangig POST Luxembourg, wo z. B. Bankkartennummern infolge von Paketzustellungen erfragt werden oder eine Änderung des Passworts vor Ablauf desselben erbeten wird.

Diese Maschen zielen darauf ab, Zugang zu E-Mail-Konten zu erlangen, um andere Informationen zu erhalten, oder zwecks betrügerischer Machenschaften an EC-Karten-Nummern zu gelangen.

Wir haben überdies einen Anstieg an Phishing-Versuchen des Typs „LuxTrust“ verzeichnet, bei denen versucht wird, potenziellen Opfern die OTP-Token zu stehlen.

Neben dem ungerichteten Phishing in Luxemburg mussten wir ebenfalls sehr gezielte Kampagnen gegen Unternehmen feststellen. Man spricht hierbei auch von Spearphishing. Die Kampagnen sind darauf ausgerichtet, Konten von Unternehmen zu stehlen, um in das Informationssystem desselben einzudringen.

Die Top 10 Hosts von Phishing bzw. Weiterleitung von Phishing in diesem Quartal sind:

Unified Layer
Google LLC
CloudFlare Inc.
DigitalOcean LLC
WebsiteWelcome.com
InMotion Hosting Inc.
Amazon.com Inc.
A100 ROW GmbH
SoftLayer Technologies Inc.
Amazon Technologies Inc.

Die Techniken zur Eindämmung dieser Phänomene entwickeln sich stets weiter. Dank der Analysen der unterschiedlichen von den Angreifern verwendeten Phishing-Kits konnten wir umso proaktiver handeln, um die Verursacher solcher Kampagnen zu verfolgen und diesen ein Ende zu setzen. Die Anzahl der Opfer und die Auswirkungen dieser Kampagnen halten sich demnach in Grenzen.

Schwachstellen 

Die Schwachstelle bei SolarWinds Orion prägte vermutlich das Quartal, wenn nicht das gesamte Jahr, aufgrund ihrer Neuartigkeit, der verwendeten Techniken sowie der Ausnutzung durch die Gruppe UNC2452, die laut FireWire mehrere Unternehmen weltweit angriff.

Im Allgemeinen ist die Ausnutzung einer Schwachstelle Teil der Nutzung einer Software, geht also von einem Insider des Herstellers aus.

Im Fall SolarWinds Orion bestand die Neuheit darin, dass die Schwachstelle vonseiten des Herstellers (SolarWinds) eingebaut und von der Gruppe UNC2452 ausgenutzt wurde.

Die Gruppe schafft sich also ihre eigene Hintertür in aktuellen Versionen von SolarWinds Orion und hackt sich ungeachtet der Updates in diese Software ein. Sobald die Zielorganisation das Update abgeschlossen hat, wird eine Verbindung zum Angreifer hergestellt und letzterer kann so auf die Organisation zugreifen und einen Angriff auf das gewählte Ziel ausüben.

Weitere Schwachstellen wurden aufgedeckt: die Ausnutzung einer unter dem Namen CVE-2018-13379 laufenden Sicherheitslücke in Fortinet SSL VPN durch eine Gruppe von Angreifern, bei der mehrere Tausend VPN-Konten von Unternehmen im Internet veröffentlicht wurden, wodurch diese Organisationen einer unmittelbaren Bedrohung ausgesetzt waren. Auch in Luxemburg wurden einige Fälle gemeldet.

Diese Art von Schwachstelle zeigt eindrücklich auf, wie wichtig es ist, die neusten gepatchten Versionen zu installieren, sobald eine Schwachstelle entdeckt wird. Dies steht in Abhängigkeit der Zusicherungen durch den Softwarehersteller bezüglich seiner Cyberabwehrkapazitäten in seinem Entwicklerumfeld.

Schadcode 

Ende des Jahres haben wir einen Anstieg der Verbreitung von Schadcode verzeichnet. In Luxemburg kam insbesondere ein Schadcode des Typs „Trojaner“ mit dem Namen Emotet vor.

Emotet ist das durchdachteste Virus, das je entwickelt wurde. Weltweit wurden bereits Millionen von Computern infiziert, wobei das Virus die Türen für Ransomware-Angriffe öffnet.

Dieser Schadcode wird per E-Mail in einer passwortgeschützten ZIP-Datei versendet und entgeht somit den Antivirenprogrammen. Öffnet das Opfer die Datei, wird eine Nachricht angezeigt (Word, Excel), in der es gebeten wird, die aktivierten Schutzmaßnahmen auszuschalten. Wird dieser Aufforderung Folge geleistet, startet ein Script, der das Gerät infiziert und Angreifern ermöglicht, auf das Gerät zuzugreifen. Lassen Sie besondere Vorsicht walten, wenn Sie Dokumente unbekannter Herkunft erhalten oder wenn Ihnen Elemente der Mail verdächtig vorkommen.

DoS/DDoS 

Einige Angriffe per Denial-of-Service (DoS) konnten detektiert werden. Jedoch sinken die Zahlen der DDoS-Angriffe im Vergleich zum vorangegangenen Quartal und die entsprechenden Schutzmaßnahmen zeigen Wirkung. Wichtig zu erwähnen ist, dass Angreifer in diesem Bereich häufig die gleichen Opfer wählen. Das heißt, dass bestimmte Angreifer entschlossen sind, bei denselben Opfern Schaden anzurichten.

Kompromittierung von Konten 

Uns wurde eine Vielzahl kompromittierter Konten gemeldet, insbesondere von persönlichen E-Mail-Konten. Diese Kompromittierungen sind das Ergebnis geglückter Phishing-Kampagnen. Bleiben Sie wachsam in Bezug auf Phishing und geben Sie niemals Ihr Passwort oder andere vertrauliche Codes preis. Erhalten Dritte Zugang zu Ihrem E-Mail-Konto ist das alles andere als harmlos, vor allem wenn letzteres mit anderen E-Mail-Adressen, sozialen Netzwerken oder anderen Konten (Bank, Paypal, etc.) verbunden ist.

Wangiri 

Einige Wangiri-Betrugsfälle wurden Ende des Jahres im Rahmen von äußerst großen Kampagnen festgestellt. Allerdings ist dabei keine neue Technik aufgetaucht und die Maßnahmen gegen diese Kampagnen haben sich als effektiv erwiesen.

Maskerade – Social Engineering 

Die verwendeten Techniken haben sich im Vergleich zum bisher Bekannten kaum verändert. Allerdings wurde beobachtet, dass bei Angriffen die luxemburgische Sprache mithilfe von Übersetzungssoftware verwendet wurde. Daran zeigt sich, dass die Angreifer zielgerichteter und angepasster arbeiten.

Telekommunikationsbetrug (Unauthorized use of resource) 

Es wurden einige Betrugsversuche des Typs IRSF (International Revenue Sharing Fraud) bestätigt, wobei die Ausnutzung von Schwachstellen in den Telefonzentralen von Unternehmen beobachtet werden konnte. Diese Art von Betrug wurde zum ersten Mal festgestellt.

Angreifer zeigten sich Ende 2020 besonders aktiv. Es gibt jedoch Lösungen, um dieses Phänomen einzudämmen. Das CSIRT der POST CyberForce bittet Unternehmen, die potenziell Opfer werden könnten, uns zu kontaktieren, um weitere Informationen zu diesen Lösungen zu erhalten.

Maskerade – Markenmissbrauch

Hauptsächlich werden Unternehmensidentitäten auf sozialen Medien gestohlen, um Nutzer dahingehend zu täuschen, dass weitere Angriffsformen durchgeführt werden können (Betrug, (versuchtes) Eindringen). Die niedrigen Zahlen belegen, dass die proaktiven Maßnahmen zur Bekämpfung dieses Phänomens ihre Wirkung entfalten.

Spam

Wir mussten in diesem Zeitraum ein großes Spamaufkommen feststellen. Die Art von Spam ist immer die gleiche (Sextortion, Gewinne jedweder Art, Erbe). Es wurde keine neue Technik bei dieser Art von Vorfall verzeichnet.

Unsere Experten beantworten Ihre Fragen

Sie haben Fragen zu einem der Artikel? Sie brauchen Beratung, um die richtige Lösung für Ihre ICT-Probleme zu finden?

Weitere Artikel aus der Kategorie Sicherheit

DDoS-Angriffe in Luxemburg im Jahr 2023

Erfahren Sie mehr über die Statistiken zu DDoS-Angriffen, die POST Cyberforce im Jahr 2023 in Luxemburg entdeckt hat.

Artikel lesen

Verfasser

Paul Felix

Veröffentlicht am

15 Februar 2023

DDoS-Angriffe in Luxemburg im Jahr 2022

Erfahren Sie mehr über die Statistiken zu DDoS-Angriffen, die POST Cyberforce im Jahr 2022 in Luxemburg entdeckt hat.

Artikel lesen

Verfasser

Paul Felix

Veröffentlicht am

11 Oktober 2022

Cybersicherheit: Vertrauen Sie ganz auf das SOC von POST

Mit der Beauftragung eines Security Operations Center (SOC) stellen Organisationen eine ständige Überwachung sämtlicher Aktivitäten innerhalb ihrer Informationssysteme sicher, um schnell und effizient auf Angriffe oder Anomalien reagieren zu können.

Artikel lesen

Veröffentlicht am

12 Juli 2022