Jährlicher Bericht Zur Cyber Threat-Landschaft
Total Page:16
File Type:pdf, Size:1020Kb
Jährlicher Bericht zur Cyber Threat-Landschaft April 2019 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 INDEX 1. EINLEITUNG 5 1.1. Ein Kulturwandel 5 1.2. Digitale Transformation 5 1.3. Geschäftsleistung in Gefahr 6 1.4. Lateinamerika – ein neues Versuchsfeld für Cyberkriminalität 6 1.5. Zweck des Berichts 7 2. ZUSAMMENFASSENDE ÜBERSICHT 8 3. CYBERANGRIFFE GEGEN UNTERNEHMEN 16 3.1. Exactis 16 3.2. Aadhaar 16 3.3. Hudson’s Bay Co. 17 3.4. Dixons Carphone 17 3.5. Marriott 17 3.6. Quora 18 3.7. Cathay Pacifc 18 4. NEUE TRENDS UND ANGRIFFSTAKTIKEN 20 4.1. Malware und Cyberkriminalitätsdienste 20 4.1.1. Marap 20 4.1.2. AdvisorsBot 21 4.1.3. Emotet 21 4.1.4. Threadkit 22 4.1.5. Zoopark 22 4.1.6. IoT-Malware 23 4.2. Cryptominers und Cryptojacking 23 4.3. Ransomware-Angriffe 24 4.3.1. Matanuska-Susitna-Angriff 24 4.4. Digitales Skimming nimmt zu 25 4.5. Hacken von ATMs 25 4.5.1. Cosmos Bank 26 5. AKTIVITÄTEN VON CYBERANGREIFERN 27 Page 2 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 INDEX 5.1. FIN7 27 5.2. Orangeworm 28 5.3. Energetic Bear 29 5.4. Patchwork 30 5.5. TA505 31 5.6. Lazarus 33 5.7. FancyBear 34 5.7.1. LoJax 34 5.7.2. Dear Joohn 34 5.8. Cobalt Gang 36 6. RECHTSVORSCHRIFTEN UND GESCHÄFTLICHE AUSWIRKUNGEN 37 6.1. DSGV-Verletzungen 37 6.1.1. Mehrere europäische Länder beschweren sich über Google 37 6.1.2. Centro Hospitalar Barreiro Montijo 38 6.1.3. Österreichs erstes DSGV-Problem 38 6.1.4. Die Twitter-Untersuchung 38 7. FALLSTUDIE: LATEINAMERIKA – EIN NEUES VERSUCHSFELD 40 7.1. Regionale Betrugskampagnen 40 7.1.1. Reisebranche 40 7.1.2. Einzelhandel 42 7.1.3. Skimming 48 7.2. Phishing 51 7.2.1. In portugiesischer Sprache 52 7.2.2. In spanischer Sprache 53 7.2.3. Crimeware-as-a-Service 54 7.3. Malware 54 7.3.1. Fernzugriffs-Trojaner: Die bevorzugte Malware in Lateinamerika 55 7.3.2. Point of Sale (POS) 59 7.3.3. Emotet-Aktivität in Lateinamerika 59 8. TRENDS FÜR 2019 61 Page 3 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 INDEX 8.1. Cybersicherheit erhält die Aufmerksamkeit des Vorstands 61 8.2. Die Stabilisierung der cyberkriminellen Unterwelt senkt die Zugangsschwelle für Hacker und Kleinbetrüger 61 8.3. Wo ist die Ransomware? 62 8.4. Cryptojacking dominiert die Malware-Szene 62 8.5. Erpressung, alt und neu 63 8.6. Telegram 63 9. SCHLUSSFOLGERUNGEN 64 9.1. Drei Haupttrends 64 9.1.1. Malware-Trends verändern sich: 64 9.1.2. Lateinamerika: 64 9.1.3. Stabilisierung des Untergrunds: 64 9.2. Abwehrmechanismen implementieren werden. 64 10. ENDNOTEN 66 Page 4 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 1. EINLEITUNg Ab diesem 1. EINLEITUNG Wendepunkt Wenn 2017 das Jahr war, in dem Unternehmen rund um die Welt dunkle Wolken begann die aufziehen sahen, dann erkannten sie im Jahr 2018, dass das Gewitter bereits Öffentlichkeit ausgebrochen war. Cyberkriminelle Aktivitäten nahmen im Jahr 2018 stark zu. Und – und nicht nur angesichts strengerer gesetzlicher Schutzmaßnahmen für Kunden sahen viele Cybersicherheits- Unternehmen sich gezwungen, die Qualität ihrer Cybersicherheitsmaßnahmen und Experten – zu -prozesse zu verbessern – während sie im Regen standen. begreifen, Unternehmen in allen Branchen waren wöchentlich, wenn nicht gar täglich, immer welche Macht aggressiveren und raffnierteren Cyberangriffen ausgesetzt. Auf individueller persönliche Daten Ebene zeigten Vorfälle wie der Facebook/Cambridge Analytica-Skandal, wie wirklich haben leichtfertig Menschen mit ihren Daten umgehen. Ab diesem Wendepunkt begann und wie groß das die Öffentlichkeit – und nicht nur Cybersicherheits-Experten – zu begreifen, welche Potenzial ist, sie Macht persönliche Daten wirklich haben und wie groß das Potenzial ist, sie zu zu manipulieren manipulieren oder für bösartige Zwecke einzusetzen. Das Threat Intelligence-Team oder für von Blueliv verzeichnete einen Anstieg von 50 % in der Menge gestohlener Daten bösartige Zwecke von einem Jahr zum nächsten. einzusetzen. 1.1. EIN KULTURWANDEL Da im Jahr 2018 mehr Cybervorfälle denn je auftraten, war dies auch das Jahr, in dem IT-Sicherheitsteams und andere Unternehmensabteilungen begannen, Das Threat enger miteinander zusammenzuarbeiten. Eine robuste Cybersicherheitskultur ist Intelligence- heute mehr denn je unverzichtbar. Dieser Trend hat sich in den vergangenen zwölf Team von Blueliv Monaten mehr und mehr zum Normalfall entwickelt und dies wird sich auch im Jahr 2019 und darüber hinaus fortsetzen. verzeichnete einen Anstieg von 50 % Die Cybersicherheitskultur sollte sich über das Management-Team hinaus auf in der Menge das gesamte Unternehmen erstrecken. Da Mitarbeiter immer besser verstehen, gestohlener Daten welche Risiken bestehen und welche Sicherheitsmaßnahmen ergriffen werden von einem Jahr sollten, entwickelt sich die Cybersicherheit zu einem integralen Bestandteil der zum nächsten. Unternehmenskultur. Unternehmen haben die interne Schulung verstärkt und sicherheitsrelevante Verfahren beim Onboarding neuer Mitarbeiter erweitert. Insgesamt hat sich ein besseres Verständnis der Sicherheitsrisiken entwickelt – und wird die Interaktion zwischen Abteilungen fördern und den Fluss von Informationen verbessern. 1.2. DIGITALE TRANSFORMATION Digitale Transformation ist unterdessen keine Option mehr, sondern ein Muss für alle Unternehmen, die überleben wollen. Unternehmen müssen fexibel bleiben und gleichzeitig jegliche Unterbrechungen des Geschäftsbetriebs minimieren. Aber wenn Unternehmen ihre Prozesse ändern und Technologien wie Mobilität, IoT und die Cloud nutzen, sind dabei auch Sicherheitsrisiken zu berücksichtigen. Bei einer veränderten Infrastruktur mit einer größeren Angriffsfäche wächst auch das Risiko, dass Schwachstellen entstehen, die von Cyberkriminellen ausgenutzt werden können. Dies war bei einer Reihe von Sicherheitsverletzungen im vergangenen Jahr der Fall, wie z. B. bei den mehrfachen Angriffen an die indische ID-Datenbank Aadhaar. Um die Transformation zu beschleunigen, übergeben viele Unternehmen die Page 5 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 1. EINLEITUNg Kontrolle über wichtige Ressourcen und Daten an externe Drittanbieter. Dies mag zwar geschäftliche Vorteile bieten, aber es macht diese Ressourcen gleichzeitig verletzlich, besonders wenn die Sicherheitsprotokolle eines Drittanbieters nicht so robust wie die seines Auftraggebers sind. 1.3. GESCHÄFTSLEISTUNG IN GEFAHR Die Angriffsoberfächen von Regierungsbehörden, Unternehmen, KMUs und Einzelpersonen sind im Jahr 2018 größer geworden, da es offensichtlich wurde, dass die für Cyberkriminelle zugänglichen Schwachstellen heute nicht mehr nur auf Zugriffspunkte beschränkt sind. Und die Online-Risiken waren nie höher. Als Reaktion sind Unternehmen bei der Verstärkung ihrer Sicherheitskonzepte proaktiver geworden. Schließlich sind erhebliche Geschäftskosten mit einem erfolgreichen Cyberangriff verbunden – sowohl unmittelbar als auch auf längere Sicht. Die folgende Abbildung zeigt die sofortigen und die längerfristigen Kosten, Ab diesem die bei Cybersicherheitsvorfällen entstehen. Die Analyse zeigt die heutigen Wendepunkt Herausforderungen und Auswirkungen auf, denen Organisationen sich stellen begann die müssen. Öffentlichkeit – und nicht nur Immediate costs Slow-burn costs These are the largely unavoidable costs that include the immediate These vary according to the type and severity of the Cybersicherheits- business and media impact, plus the cost of restoring the event, and how it is handled, but typically include the confidentiality, integrity and availability of data and systems. long-term business impact and costs incurred by Experten – zu Immediate costs include: reimbursing victims, as well as reparation and the – Forensic investigation costs payment of penalties for failure to meet obligations. begreifen, – Legal costs Slow burns costs include: – Customer notification costs – Third-party litigation expenses – Credit monitoring for customers – Customer churn from reputational welche Macht – Potential business interruption costs damage – Public relations expenses – Regulatory fines and penalties persönliche Daten – Fraud costs – Share price impact – Extortion costs – Loss of management focus wirklich haben – Physical damage costs – Loss of competitive advantage – IT/business remediation costs und wie groß das – Loss of revenue Potenzial ist, sie Time from event discovery zu manipulieren Abbildung 1: Dieses Diagramm von KPMG veranschaulicht die Auswirkungen oder für eines erfolgreichen Cyberangriffs auf ein Unternehmen. bösartige Zwecke einzusetzen. 1.4. LATEINAMERIKA – EIN NEUES VERSUCHSFELD FÜR CYBERKRIMINALITÄT Wir haben eine neue und interessante Tendenz beobachtet, die sich im Jahr 2018 in Lateinamerika entwickelte (in diesem Zusammenhang defniert als Mexiko und alle Länder südlich davon). Das cyberkriminelle Ökosystem in Lateinamerika wächst seit Jahren ständig, was sich auf Faktoren wie eine steigende Anzahl von Internetanschlüssen, digitale Transformation, größere Investitionen aus dem Ausland und mangelhafte bzw. fehlende Gesetzgebung zu Cyberkriminalität zurückführen lässt. Ein Frühindikator für diesen Trend ist in der Regel die Anzahl gestohlener Anmeldedaten, die unsere Infrastruktur in der Region erfasst. Im Jahr 2018 haben wir bei den in lateinamerikanischen Märkten gestohlenen Anmeldedaten eine Zunahme von fast 77 Prozent im Jahresvergleich beobachtet. Im Vergleich mit dem zweiten Halbjahr 2017 war in der zweiten Jahreshälfte von 2018 ein sprunghafter Anstieg von annähernd 200 % zu verzeichnen. Page 6 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 1. EINLEITUNg