Wettervorhersage für Cybersicherheit – 4. Quartal 2021

Zahlen

Allgemeines

Nachdem das dritte Quartal in Bezug auf Sicherheitsvorfälle eher ruhig verlief, stiegen die Zahlen in Q4 2021 insgesamt um 40 % im Vergleich zu Q3 2021. Phishing macht dabei noch immer den größten Anteil aus. Das Jahresende war sowohl durch die Schwachstelle Log4j geprägt, die alle Produkte betrifft, die diese Bibliothek verwenden, als auch durch besonders infektiösen Schadcode.

Phishing  

Im Quartal erreichte Phishing einen Anteil von 74 % aller vom CSIRT der POST CyberForce untersuchten Vorfälle.
Der Großteil der an unsere POST-Kunden mit dem Mail-Suffix @pt.lu gerichteten Phishings erfolgt per Fälschung der Webmail-Oberfläche. Hier ein Beispiel:

Zudem konnten wir eine Vielzahl an Phishing-Versuchen beobachten, bei denen kriminelle Akteure sich als LuxTrust ausgaben. Dabei wurde am häufigsten das Kit verwendet, bei dem um eine „Reaktivierung eines Zertifikats“ gebeten wird.

Auch beobachteten wir Phishing-Techniken, bei denen einer E-Mail eine HTML-Datei angehängt ist, die ausgeführt wird, sobald man die Datei in einem Browser öffnet.

Diese Techniken werden verwendet, um den Spam-Filter zu umgehen. Folglich wird die Chance erhöht, ein Ziel zu erreichen sowie Anmeldedaten für Microsoft Corporate zu stehlen.

Mit den herannahenden Feiertagen am Jahresende und den damit verbundenen Geschenkkäufen für Weihnachten mussten wir auch eine steigende Anzahl an Phishing-Versuchen vermerken, die sich rund um Paketlieferungen gestalteten. DHL ist nach wie vor die am stärksten von Phishing-Versuchen betroffene Marke weltweit.

Quelle: https://www.bleepingcomputer.com/news/security/dhl-dethrones-microsoft-as-most-imitated-brand-in-phishing-attacks/

Im Folgenden finden Sie das Ranking der Phishing-Hosts im 4. Quartal 2021:

1. Google LLC (=)
2. Namecheap Inc. (+4)
3. Bitly Inc (+6)
4. Cloudflare Inc. (-2)
5. Amazon Technologies Inc. (=)
6. HostHatch LLC (New)
7. Microsoft Corporation (-4)
8. OVH SAS (=)
9. Unified Layer (New)
10. Akamai Technologies Inc. (New)

Vishing/Spam-Calls  

Im Laufe des letzten Quartals 2021 haben wir einen Anstieg an betrügerischen Fake-Anrufen festgestellt. Der Großteil dieser Betrugsversuche wurde von gefälschten luxemburgischen Nummern aus getätigt.
Wird der Anruf entgegengenommen, teilt eine Roboterstimme mit, dass es sich um einen Anruf der Justizbehörde (Polizei) handelt und illegale Aktivitäten in Verbindung mit der Nummer des Opfers festgestellt wurden, weswegen eine US-amerikanische Nummer zurückgerufen werden soll.

Schadcode  

Im Laufe des Quartals konnten wir eine Zunahme an Malwareangriffen gegen Android-Nutzer feststellen.

Die erste hier dokumentierte Malware heißt „Flubot“. Die Vorgehensweise besteht darin, dass eine SMS versendet wird, die angibt, ein Päckchen sei angekommen und eine URL enthält, über die die Malware – eine Datei mit der Endung „.apk“ – heruntergeladen wird. Sie ist in der Lage, vertrauliche Informationen wie Bankdaten, Passwörter und Telefonnummern zu extrahieren.
Die Social-Engineering-Techniken ändern sich stetig, um potenzielle Opfer auch künftig täuschen zu können. Auch Schrift und Design verändern sich, sodass es Netzbetreibern erschwert wird, diese Art von Nachricht aufzuspüren. Die Nachricht verbreitet sich wie ein Kettenbrief, sobald die Kontaktliste eines Opfers extrahiert wurde.

Eine weitere Schadsoftware „Medusa“ nutzt die gleiche Technik. Auch hier wird eine SMS mit einem Link an ein potenzielles Opfer geschickt, über den die Malware heruntergeladen wird. Dieser Banktrojaner ist in der Lage, betrügerische Angriffe auf Telefone vorzunehmen, indem er Verbindungsschritte automatisiert, den Kontostand überprüft und Zahlungen tätigt. Darüber hinaus nutzt er den nativen Code von Android, um unauffälliger zu sein und der Wachsamkeit der Nutzer zu entgehen. Dadurch kann einerseits verfolgt werden, was auf dem Bildschirm zu sehen ist und andererseits kann der Bildschirm ferngesteuert werden.

DDoS  

Es konnte keine signifikante Zu- oder Abnahme von DDoS-Attacken festgestellt werden, allerdings erhöht sich der Schweregrad der Angriffe. Der von uns registrierte Höchststand dieses Quartal lag bei 21 Gbit/s.
Die zwei verwendeten Techniken waren:

• DNS Reply Flood
• Global UDP Abnormal

Eindringlinge 

Im Berichtszeitraum wurden auf geleakten Kontodatenbanken beruhende Angriffsversuche des Typs „Credential Stuffing“ verzeichnet.
Eine Art, sich davor zu schützen besteht darin, Bescheid zu wissen, bevor solch ein Angriff stattfindet. Wir empfehlen Ihnen zu überprüfen, ob Ihre Zugangsdaten bereits geleakt wurden. Geben Sie hierzu Ihre E-Mail-Adresse auf folgender Website ein: https://haveibeenpwned.com/.
Außerdem ist die Aktivierung einer Zwei-Faktor-Authentifizierung (MFA) ein zusätzliches Mittel für erhöhte Sicherheit unter den Authentisierungsmöglichkeiten im Internet.

Maskerade  

Kriminelle Akteure verwenden legitime Inhalte unseres Facebook-Kontos auf ihrer Fake-Seite wieder.
Selbst wenn die von Ihnen besuchte Seite ein blaues Verifizierungsabzeichen trägt, ist nicht garantiert, dass es sich um eine offizielle Seite handelt. Hier sehen Sie eine nicht offizielle Facebook-Seite (1) ohne Verifizierungsabzeichen, die im offiziellen Feed integriert ist, und eine Seite (2) mit jenem Abzeichen. Diese Methode verleiht den Angriffen mehr Glaubwürdigkeit in den sozialen Netzwerken.

Wenn Sie diese Art von Betrug vermeiden wollen, können Sie die Links zu den legitimen Seiten in Ihren Favoriten speichern und unsere Social-Media-Inhalte von unserer Website aus erreichen.

Schwachstellen  

Als die Zero-Day-Schwachstelle Log4Shell am 9. Dezember 2021 entdeckt wurde, hatte dies beispiellose Auswirkungen im Bereich Cybersicherheit weltweit. Log4j ist eine in Java programmierte Open-Source-Log-Bibliothek. Mit ihr lassen sich Anwendungsaktivitäten nachverfolgen. Da Log4j in viele Lösungen integriert ist und eine äußerst große Angriffsfläche bietet (zahlreiche Möglichkeiten für Angreifer), ist die Schwachstelle Log4Shell eine der schwerwiegendsten des Jahrzehnts.

Die Schwachstelle mit der Kennung CVE-2021-44228 wurde als kritisch eingestuft. Daher erhielt sie den höchstmöglichen CVSS-Score (CVSSv3-Score: 10,0). Durch die Schwachstelle lässt sich ohne Authentifizierung willkürlich Code aus der Ferne ausführen (RCE).
Der mit Version 2.15 eingeführte Patch beseitigt das Problem nicht gänzlich. Eine neue Schwachstelle mit der Kennung CVE-2021-45046 wurde entdeckt, mit der auch aus der Ferne Code ausgeführt werden kann. Aufgrund der weltweiten Dimension und der Schwere dieser Schwachstelle wurde zahlreich nach weiteren Schwachstellen in der Bibliothek Log4j gesucht, was auch zu etlichen Funden und in der Folge zu einer Rekursion von Patch-Ankündigungen geführt hat.

Die neue Schwachstelle CVE-2021-45105 lässt Cyberangreifer ein Denial-of-Service ausführen.

Die schließlich neuste Schwachstelle, die in Q4 2021 in Log4j entdeckt wurde, ist CVE-2021-44832 und hat einen VCSSv3-Score von 6,6 (mittel). Diese ermöglicht ebenfalls, Code aus der Ferne auszuführen, ist aber schwieriger auszunutzen. Der Angreifer benötigt dazu die Bearbeitungsrechte der Konfigurationsdatei für Log4j in der Anwendung des Opfers, um diese ausnutzen zu können. Dies erweist sich allerdings als äußerst schwierig.