zurück zur Übersicht

Low Five September 2018: Erfahrene Kriminelle gehen zu „handgemachtem“ Hacking über

Top Hacks im SeptemberIm September haben wir den Sand vom Strand abgeschüttelt und sind in unser Arbeitsleben zurückgekehrt. Die Kriminellen unterscheiden sich in diesem Sinne nicht sehr von uns. Im Laufe des Sommers haben wir in unseren Cyber Defense Centern Rookie-Angriffe gesehen (wie PyLocky, eine in Python erstellte Lösegeldsoftware). Aber wir haben auch Veteranen gesehen, die beim Hacking einen „handwerklichen“ Ansatz verfolgen. Dieser Trend, dass kriminelle Rookies auf alte Tricks zurückgreifen und die Veteranen hingegen maßgeschneidert agieren, bestimmt diesen Monat den Top-Blog der Bedrohungen.

Website skimming & Magecart

Website-Skimming ist die Kunst, ein paar Zeilen Code an einen gehackten Webserver anzuhängen. Diese Zeilen Code „schaben“ dann die Daten von Zahlungen, wie beispielsweise Kreditkarteninformationen. Ticketmaster und BA sind in Großbritannien betroffen, und RiskIQ berichtet darüber. Während dieser Angriff sehr interessant ist, besonders wenn Sie im Einzelhandel sind, oder Online-Kanäle für Unternehmen haben, muss natürlich erst die Voraussetzung erfüllt sein, dass Angreifer zuvor den Server hacken konnten. Und wie machen sie das?

Die Wahrheit ist, dass es auf viele Arten möglich ist. Von CMS-Anmeldediebstahl über Social Engineering bis hin zu Schwachstellen und Exploit-Kits. Es ist ein Zahlenspiel. Die Kriminellen sind zunächst scharf auf eine Infektion. Die Fragen stellen sie dann später. Denn wenn Sie 100.000 Computer infizieren, wird es in Unternehmen mehrere Dutzend interessanter Daten geben. Website-Skimming ist ein neuer Trick im Arsenal.

„Handwerkliches“ Hacking und Erpressung

Im Laufe des Sommers sahen wir zunehmend erfahrene Kriminelle, die in diesen gefährdeten Netzwerken nach Wert suchten. Sie greifen dabei auch auf andere Tricks als nur Magecart zurück: In unseren Cyber Defense Centern haben wir förmlich „digital schwelende Kuverts“ beobachtet: Diese beginnen mit einer ersten Infektion, wenden sich anschließend dem CRM (Customer Relations Management) zu und finden schließlich die Rechnungsvorlage. Im Anschluss wird ein ein kleines Feld geändert: das Bankkonto. Dieses ersetzen die Kriminellen durch ihr Geld-Maultier-Konto. Mit dem Ergebnis, dass Ihre Kunden den Rechnungsbetrag auf ein kriminelles Konto anstelle von Ihrem überweisen.

In diesem Sommer sahen wir Kriminelle, wie sie nach Online-Backups suchten und diese vernichteten, bevor sie generische Ransomware einsetzten. Wenn einem der Genesungsprozess auf diese Weise verweigert wird, gibt es als Opfer nicht viel, was man gegen das Hacking tun kann. Die Veteranen unter den Kriminellen verstehen das besonders gut und fordern dann ein Lösegeld von den Unternehmen. Einem Bericht zufolge sind die Kriminellen dabei sehr gut darin, ein „Goldlöckchen“ Lösegeld zu verlangen: nicht zu viel, nicht zu wenig, aber genau richtig, damit es gezahlt wird. Anscheinend sind einige der erfolgreicheren Kriminellen aus den letzten Jahren nun zu diesem MO übergegangen.

APT28 ist noch am Ball

APT28, oder Fancy Bear, Sednit, oder wie auch immer; wir sprechen von einer russischen APT-Gruppe. Sie waren fleißige Bienen, da sie immer noch VPN-Filtermodule entwickeln. Starten Sie diese Heimrouter neu, zielen sie wahrscheinlich nicht auf Sie ab. Dennoch möchte natürlich niemand ein APT unter dem eigenen Dach haben.

LoJax ist ein UEFI-Rootkit, das quasi in der Wildnis gefunden wurde und nun APT28 zugeschrieben wird. Es ist deshalb relevant, weil das Erreichen von Persitenz vor dem Start eines Betriebssystems so etwas wie den heiligen Gral in der Spionage darstellt. Es gibt zwar mehrere Möglichkeiten, damit dies gelingt, aber LoJax ist potenziell leistungsstark, da die Bedrohungserkennung im Betriebssystem wahrscheinlich nicht funktioniert.

Ransomware lebt und tritt

Während die Veteranen unter den Kriminellen zu maßgeschneiderter Ransomware übergehen, scheinen sich Rookies der Branche von CryptoJacking zurückzuziehen. Auch sie kehren wieder zu Ransomware zurück. Im September wurde eine neue Version von Gandcrab in kriminellen Kreisen veröffentlicht, und die Opfer in ganz Europa bemerkten dies schon bald darauf. Jetzt ist Gandcrab zwar nicht besonders interessant, denn es ist nicht mehr oder weniger gefährlich als andere. Aber es ist interessant, die unerwartete Zunahme von Ransomware im Laufe des Sommers zu beobachten. Das gleiche gilt auch für die Rookies, die sich immer noch an diese destruktive Angriffsform wenden. Wir hatten gehofft, dass sie bei Crypto Jacking bleiben würden, was nicht so viel zerstört und nur einen Haufen CPU-Zyklen kostet.

Wir werden Ende diesen Monats ein kurzes Update über die Statistiken zu Ransomware versus Crypto Jacking veröffentlichen.

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer