Jährlicher Bericht zur Cyber Threat-Landschaft

April 2019 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 INDEX

1. EINLEITUNG 5 1.1. Ein Kulturwandel 5 1.2. Digitale Transformation 5 1.3. Geschäftsleistung in Gefahr 6 1.4. Lateinamerika – ein neues Versuchsfeld für Cyberkriminalität 6 1.5. Zweck des Berichts 7 2. ZUSAMMENFASSENDE ÜBERSICHT 8 3. CYBERANGRIFFE GEGEN UNTERNEHMEN 16 3.1. Exactis 16 3.2. Aadhaar 16 3.3. Hudson’s Bay Co. 17 3.4. Dixons Carphone 17 3.5. Marriott 17 3.6. Quora 18 3.7. Cathay Pacifc 18 4. NEUE TRENDS UND ANGRIFFSTAKTIKEN 20 4.1. Malware und Cyberkriminalitätsdienste 20 4.1.1. Marap 20 4.1.2. AdvisorsBot 21 4.1.3. Emotet 21 4.1.4. Threadkit 22 4.1.5. Zoopark 22 4.1.6. IoT-Malware 23 4.2. Cryptominers und Cryptojacking 23 4.3. Ransomware-Angriffe 24 4.3.1. Matanuska-Susitna-Angriff 24 4.4. Digitales Skimming nimmt zu 25 4.5. Hacken von ATMs 25 4.5.1. Cosmos Bank 26 5. AKTIVITÄTEN VON CYBERANGREIFERN 27

Page 2 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 INDEX

5.1. FIN7 27 5.2. Orangeworm 28 5.3. Energetic Bear 29 5.4. Patchwork 30 5.5. TA505 31 5.6. Lazarus 33 5.7. FancyBear 34 5.7.1. LoJax 34 5.7.2. Dear Joohn 34 5.8. Cobalt Gang 36 6. RECHTSVORSCHRIFTEN UND GESCHÄFTLICHE AUSWIRKUNGEN 37 6.1. DSGV-Verletzungen 37 6.1.1. Mehrere europäische Länder beschweren sich über Google 37 6.1.2. Centro Hospitalar Barreiro Montijo 38 6.1.3. Österreichs erstes DSGV-Problem 38 6.1.4. Die Twitter-Untersuchung 38 7. FALLSTUDIE: LATEINAMERIKA – EIN NEUES VERSUCHSFELD 40 7.1. Regionale Betrugskampagnen 40 7.1.1. Reisebranche 40 7.1.2. Einzelhandel 42 7.1.3. Skimming 48 7.2. Phishing 51 7.2.1. In portugiesischer Sprache 52 7.2.2. In spanischer Sprache 53 7.2.3. Crimeware-as-a-Service 54 7.3. Malware 54 7.3.1. Fernzugriffs-Trojaner: Die bevorzugte Malware in Lateinamerika 55 7.3.2. Point of Sale (POS) 59 7.3.3. Emotet-Aktivität in Lateinamerika 59 8. TRENDS FÜR 2019 61

Page 3 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 INDEX

8.1. Cybersicherheit erhält die Aufmerksamkeit des Vorstands 61 8.2. Die Stabilisierung der cyberkriminellen Unterwelt senkt die Zugangsschwelle für Hacker und Kleinbetrüger 61 8.3. Wo ist die Ransomware? 62 8.4. Cryptojacking dominiert die Malware-Szene 62 8.5. Erpressung, alt und neu 63 8.6. Telegram 63 9. SCHLUSSFOLGERUNGEN 64 9.1. Drei Haupttrends 64 9.1.1. Malware-Trends verändern sich: 64 9.1.2. Lateinamerika: 64 9.1.3. Stabilisierung des Untergrunds: 64 9.2. Abwehrmechanismen implementieren werden. 64 10. ENDNOTEN 66

Page 4 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 1. EINLEITUNg

Ab diesem 1. EINLEITUNG Wendepunkt Wenn 2017 das Jahr war, in dem Unternehmen rund um die Welt dunkle Wolken begann die aufziehen sahen, dann erkannten sie im Jahr 2018, dass das Gewitter bereits Öffentlichkeit ausgebrochen war. Cyberkriminelle Aktivitäten nahmen im Jahr 2018 stark zu. Und – und nicht nur angesichts strengerer gesetzlicher Schutzmaßnahmen für Kunden sahen viele Cybersicherheits- Unternehmen sich gezwungen, die Qualität ihrer Cybersicherheitsmaßnahmen und Experten – zu -prozesse zu verbessern – während sie im Regen standen. begreifen, Unternehmen in allen Branchen waren wöchentlich, wenn nicht gar täglich, immer welche Macht aggressiveren und raffnierteren Cyberangriffen ausgesetzt. Auf individueller persönliche Daten Ebene zeigten Vorfälle wie der Facebook/Cambridge Analytica-Skandal, wie wirklich haben leichtfertig Menschen mit ihren Daten umgehen. Ab diesem Wendepunkt begann und wie groß das die Öffentlichkeit – und nicht nur Cybersicherheits-Experten – zu begreifen, welche Potenzial ist, sie Macht persönliche Daten wirklich haben und wie groß das Potenzial ist, sie zu zu manipulieren manipulieren oder für bösartige Zwecke einzusetzen. Das Threat Intelligence-Team oder für von Blueliv verzeichnete einen Anstieg von 50 % in der Menge gestohlener Daten bösartige Zwecke von einem Jahr zum nächsten. einzusetzen. 1.1. EIN KULTURWANDEL Da im Jahr 2018 mehr Cybervorfälle denn je auftraten, war dies auch das Jahr, in dem IT-Sicherheitsteams und andere Unternehmensabteilungen begannen, Das Threat enger miteinander zusammenzuarbeiten. Eine robuste Cybersicherheitskultur ist Intelligence- heute mehr denn je unverzichtbar. Dieser Trend hat sich in den vergangenen zwölf Team von Blueliv Monaten mehr und mehr zum Normalfall entwickelt und dies wird sich auch im Jahr 2019 und darüber hinaus fortsetzen. verzeichnete einen Anstieg von 50 % Die Cybersicherheitskultur sollte sich über das Management-Team hinaus auf in der Menge das gesamte Unternehmen erstrecken. Da Mitarbeiter immer besser verstehen, gestohlener Daten welche Risiken bestehen und welche Sicherheitsmaßnahmen ergriffen werden von einem Jahr sollten, entwickelt sich die Cybersicherheit zu einem integralen Bestandteil der zum nächsten. Unternehmenskultur. Unternehmen haben die interne Schulung verstärkt und sicherheitsrelevante Verfahren beim Onboarding neuer Mitarbeiter erweitert. Insgesamt hat sich ein besseres Verständnis der Sicherheitsrisiken entwickelt – und wird die Interaktion zwischen Abteilungen fördern und den Fluss von Informationen verbessern.

1.2. DIGITALE TRANSFORMATION Digitale Transformation ist unterdessen keine Option mehr, sondern ein Muss für alle Unternehmen, die überleben wollen. Unternehmen müssen fexibel bleiben und gleichzeitig jegliche Unterbrechungen des Geschäftsbetriebs minimieren. Aber wenn Unternehmen ihre Prozesse ändern und Technologien wie Mobilität, IoT und die Cloud nutzen, sind dabei auch Sicherheitsrisiken zu berücksichtigen. Bei einer veränderten Infrastruktur mit einer größeren Angriffsfäche wächst auch das Risiko, dass Schwachstellen entstehen, die von Cyberkriminellen ausgenutzt werden können. Dies war bei einer Reihe von Sicherheitsverletzungen im vergangenen Jahr der Fall, wie z. B. bei den mehrfachen Angriffen an die indische ID-Datenbank Aadhaar.

Um die Transformation zu beschleunigen, übergeben viele Unternehmen die

Page 5 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 1. EINLEITUNg

Kontrolle über wichtige Ressourcen und Daten an externe Drittanbieter. Dies mag zwar geschäftliche Vorteile bieten, aber es macht diese Ressourcen gleichzeitig verletzlich, besonders wenn die Sicherheitsprotokolle eines Drittanbieters nicht so robust wie die seines Auftraggebers sind.

1.3. GESCHÄFTSLEISTUNG IN GEFAHR Die Angriffsoberfächen von Regierungsbehörden, Unternehmen, KMUs und Einzelpersonen sind im Jahr 2018 größer geworden, da es offensichtlich wurde, dass die für Cyberkriminelle zugänglichen Schwachstellen heute nicht mehr nur auf Zugriffspunkte beschränkt sind. Und die Online-Risiken waren nie höher.

Als Reaktion sind Unternehmen bei der Verstärkung ihrer Sicherheitskonzepte proaktiver geworden. Schließlich sind erhebliche Geschäftskosten mit einem erfolgreichen Cyberangriff verbunden – sowohl unmittelbar als auch auf längere Sicht. Die folgende Abbildung zeigt die sofortigen und die längerfristigen Kosten, Ab diesem die bei Cybersicherheitsvorfällen entstehen. Die Analyse zeigt die heutigen Wendepunkt Herausforderungen und Auswirkungen auf, denen Organisationen sich stellen begann die müssen. Öffentlichkeit – und nicht nur Immediate costs Slow-burn costs These are the largely unavoidable costs that include the immediate These vary according to the type and severity of the Cybersicherheits- business and media impact, plus the cost of restoring the event, and how it is handled, but typically include the confidentiality, integrity and availability of data and systems. long-term business impact and costs incurred by Experten – zu Immediate costs include: reimbursing victims, as well as reparation and the – Forensic investigation costs payment of penalties for failure to meet obligations. begreifen, – Legal costs Slow burns costs include: – Customer notification costs – Third-party litigation expenses – Credit monitoring for customers – Customer churn from reputational welche Macht – Potential business interruption costs damage – Public relations expenses – Regulatory fines and penalties persönliche Daten – Fraud costs – Share price impact – Extortion costs – Loss of management focus wirklich haben – Physical damage costs – Loss of competitive advantage – IT/business remediation costs und wie groß das – Loss of revenue Potenzial ist, sie Time from event discovery zu manipulieren Abbildung 1: Dieses Diagramm von KPMG veranschaulicht die Auswirkungen oder für eines erfolgreichen Cyberangriffs auf ein Unternehmen. bösartige Zwecke einzusetzen. 1.4. LATEINAMERIKA – EIN NEUES VERSUCHSFELD FÜR CYBERKRIMINALITÄT Wir haben eine neue und interessante Tendenz beobachtet, die sich im Jahr 2018 in Lateinamerika entwickelte (in diesem Zusammenhang defniert als Mexiko und alle Länder südlich davon). Das cyberkriminelle Ökosystem in Lateinamerika wächst seit Jahren ständig, was sich auf Faktoren wie eine steigende Anzahl von Internetanschlüssen, digitale Transformation, größere Investitionen aus dem Ausland und mangelhafte bzw. fehlende Gesetzgebung zu Cyberkriminalität zurückführen lässt.

Ein Frühindikator für diesen Trend ist in der Regel die Anzahl gestohlener Anmeldedaten, die unsere Infrastruktur in der Region erfasst. Im Jahr 2018 haben wir bei den in lateinamerikanischen Märkten gestohlenen Anmeldedaten eine Zunahme von fast 77 Prozent im Jahresvergleich beobachtet. Im Vergleich mit dem zweiten Halbjahr 2017 war in der zweiten Jahreshälfte von 2018 ein sprunghafter Anstieg von annähernd 200 % zu verzeichnen.

Page 6 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 1. EINLEITUNg

Untersuchungen Dies deutet darauf hin, dass bestimmte Arten von Malware in der Region Erfolg haben gezeigt, dass gehabt haben – was wir später in diesem Bericht näher betrachten werden. Wir auf dem Markt für haben in diesem Jahr auch erhöhte Angriffsaktivitäten durch die Lazarus-Gruppe Cybersicherheitsprodukte in Lateinamerika gesehen. Diese waren beide erfolgreich und vereitelten Angriffe eine durchschnittliche gegen die mexikanische Bank Bancomext, die Banco de Chile und die chilenische jährliche Wachstumsrate RedBanc. (CAGR) von 12,3 % In diesem Bericht werfen wir genaueren Blick auf Brasilien – die größte Volkswirtschaft erwartet wird und dass Lateinamerikas, in der in den letzten Jahren viel von digitaler Modernisierung zu der Markt bis 2023 einen hören war. Weit mehr als die Hälfte des Landes ist mit dem Internet verbunden, aber Wert von 20,7 Milliarden Brasilien war schweren Cyberangriffen gegen Einzelpersonen und Unternehmen USD erreichen sollte. ausgesetzt.1 Anfang 2018 waren fast zwei Drittel aller mit dem Internet verbundenen Brasilianer Ziel von Angriffen gewesen, was zu Verlusten von 22 Milliarden USD geführt hat.2 Mit dem Internet verbundene, kritisch wichtige Infrastrukturen in dieser Entwicklungsregion, wie z. B. Kernenergie, Wasseraufbereitungsanlagen und Stromversorgungssysteme, sind ebenfalls sehr anfällig gegenüber Angriffen, aber die brasilianische Regierung hat es bisher versäumt, grundlegende Vorschriften zu verabschieden, die das Risiko von Cyberangriffen mindern.

Wir sind zu dem Schluss gekommen, dass Lateinamerika eine zunehmend wichtige Komponente im globalen Ökosystem der Cyberkriminalität bildet. Es ist in sofern einzigartig, als Bedrohungen tendenziell weniger länderspezifsch sind als auf anderen Kontinenten. Eine gemeinsame Sprache und ähnliche Infrastruktur in weiten Teilen der Region ermöglichen den problemlosen Fluss und Austausch von Ideen, was zur Bildung einer wahrhaft regionalen Bedrohungslandschaft beiträgt.

Generell ist die Cybersicherheits-Infrastruktur in Lateinamerika eher schwach, verglichen mit mehr ausgereiften Regionen wie Europa und Nordamerika. Untersuchungen haben gezeigt, dass auf dem Markt für Cybersicherheitsprodukte eine durchschnittliche jährliche Wachstumsrate (CAGR) von 12,3 % erwartet wird und dass der Markt bis 2023 einen Wert von 20,7 Milliarden USD erreichen sollte3

Wir haben Lateinamerika in diesem Bericht daher einen speziellen Abschnitt gewidmet, weil wir der Überzeugung sind, dass die gemeinsame Nutzung von Informationen und die Zusammenarbeit der beste Weg sind, um Cyberkriminalität zu bekämpfen.

1.5. ZWECK DES BERICHTS Dieser Bericht soll CISOs und ihren Sicherheitsteams als Referenzdokument dienen, aber auch andere interessierte Führungskräfte darüber informieren, wie Unternehmen heute von Cyberkriminalität betroffen sind.

Er enthält eine Auswahl der wichtigsten cyberkriminellen Vorfälle von 2018 mit Daten zu spezifschen Angreifern und den von ihnen genutzten Taktiken, Methoden und Verfahren (TTP).

Taktische Informationen und Analysen basieren auf Daten, die von Threat Compass, der modularen Cyber Threat Intelligence-Plattform von Blueliv, bereitgestellt wurden. Diese werden durch strategische und operative Threat Intelligence der internen Analystenteams von Blueliv ergänzt, die Empfehlungen zur optimalen Bekämpfung bestimmter Angriffsmethoden sowie zur Verbesserung der Sicherheitskonzepte von Unternehmen im Jahr 2019 und darüber hinaus abgeben. Page 7 JÄHRLICHERZusammenfassende BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 Übersicht Dieser2. ZUSAmm AbschnittENFASSENDE fasstÜBERSICHT einige der wichtigsten Cybersicherheitsereignisse des Jahres 2018 zusammen. Viele der angeführten Vorfälle markiert werden später im Bericht näher behandelt. 2. ZUSAMMENFASSENDE ÜBERSICHT CYBERANGRIFFE GEGEN UNTERNEHMEN Die Anzahl der im Jahr 2018 gemeldeten Unternehmensangriffe, Sicherheitsverletzungen und unbeabsichtigten Offenlegungen war höher als je zuvor. Wir betrachten die Auswirkungen dieser Angriffe für die betroffenen Unternehmen und die Welt insgesamt. Intern besteht nach wie vor die Notwendigkeit zur Verbesserung der IT-Sicherheitsmaßnahmen, um Angriffe zu verhindern und Auswirkungen auf den Geschäftsbetrieb zu minimieren, wenn ein Angriff erfolgt.

MALWARE-TRENDS UND NEUE ANGRIFFSTAKTIKEN Cyberkriminelle haben die Taktiken, methoden und Verfahren weiterentwickelt, mit denen sie Unternehmen angreifen. Verbesserte Tarnung, Verschlüsselung und Verschleierung machen sowohl Einzelpersonen als auch Unternehmen zu schaffen. Wir untersuchen einige dieser Entwicklungen und geben Informationen dazu, wie sie im Jahr 2019 bekämpft werden können.

AKTIVITÄTEN VON CYBERANGREIFERN Technisch hochentwickelte Angreifer haben Unternehmen und staatlichen Institutionen im Jahr 2018 ernste Schäden zugefügt. Es ist wichtig, ihre Aktivitäten hervorzuheben, um dieses Jahr besser gegen sie gewappnet zu sein.

STRAFVERFOLGUNGSOPERATIONEN Eine Reihe von Takedowns und Verhaftungen im letzten Jahr zeigte eine kontinuierliche und koordinierte Reaktion auf cyberkriminelle Aktivitäten. Gleichzeitig haben neue Vorschriften und Regelwerke auch weiterhin bedeutende Auswirkungen auf von Cyberkriminalität betroffene Unternehmen – und dies sind alle. Page 8 JÄHRLICHER BERICHT ZUR CYBERZeitleiste THREAT-LANDSCHAFT 2018-19 2018 2. ZUSAmmENFASSENDE ÜBERSICHT

Die indische ID-Datenbank Aadhaar Die mexikanische Bank Bancomext wird kompromittiert und gestohlene JANUAR wird von Lazarus angegriffen. Daten werden anschließend zum Kauf angeboten.

Eine russische Gruppe von Hackern FEBRUAR dringt in die Systeme der deutschen Außen- und Innenministerien ein und stiehlt 17 GB an Daten.

Informationen zu 150 Mio. Benutzern Der Anführer der Cobalt Gang wird von Under Armors Fitness- und MÄRZ in Spanien festgenommen. Ernährungs-App MyFitnessPal werden kompromittiert.

Die Systeme der Hudson's Bay Co. werden angegriffen und die APRIL Einzelheiten von über fünf Millionen Zahlungskarten offengelegt.

Das SPEI-System in Mexiko ist das Ziel unbekannter Cyberangreifer, was AdvisorBot wird in verschiedenen zu Verlusten von zwischen 18 und 20 MAI Malspam-Kampagnen eingesetzt. Millionen USD aus mexikanischen Banken führt.

Dixons Carphone Warehouse erleidet Exactis wird zum Opfer eines Angriffs, eine Datenschutzverletzung. der die Informationen zu 340 Millionen JUNI Menschen und Unternehmen offenlegt. Die Banco de Chile wird von Lazarus angegriffen.

JULI BitPaymer-Ransomware greift die Verwaltung des Regierungsbezirks Matanuska-Susitna in Alaska an. Page 9 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 Ar3s wird in Belarus nach seiner 2. ZUSAmmENFASSENDE ÜBERSICHT Festnahme im Jahr 2017 Mehrere Mitglieder von FIN7 werden freigelassen. verhaftet. AUGUST In einer großen Malspam-Kampagne von mehreren Millionen Nachrichten wird Marap entdeckt. In der ersten Augusthälfte warnt das FBI alle Banken weltweit vor einem möglichen globalen Cashout-Angriff auf ATMs. TSMC wird zum jüngsten Opfer einer neuen Variante der WannaCry-Ransomware.

Das US-Justizministerium erhebt Anklage gegen den nordkoreanischen Das Verfahren gegen die Mirai-Autoren Hacker Park Jin Hyok. endet ohne Gefängnisstrafen. SEPTEMBER

ZeroEvil: Neue Evolution von ARS AirNaine verteilt Loader zum Stehlen von Phishing-Nachrichten über den Anmeldeinformationen tritt auf. Onliner-Spambot.

Daten zu 9,4 Millionen Passagieren von Cathay Pacific und einer ihrer OKTOBER Tochtergesellschaften, Hong Kong Dragon Airlines, wurden bei einer Datenschutzverletzung im März offengelegt.

Quora entdeckt einen Hack in einem Datenschutzverletzung bei ihrer Systeme, der zur Offenlegung Starwood/Marriott wird gemeldet. der Daten zu ca. 100 Millionen NOVEMBER Benutzern führt die Daten

Emotet beginnt nach ca. 1 Monat Inaktivität wieder mit dem Versenden von Spam.

DEZEMBER Autor von AZORult kündigt Rücktritt an.

Page 10 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 2. ZUSAmmENFASSENDEGlobal ÜBERSICHT wichtige Vorfälle

TOP 10 BOTNETS, DIE ANMELDEDATEN STEHLEN Top 10 der am häufigsten infizierten Benutzer nach Land. Benutzer aus Europa repräsentieren 20 % der Gesamtzahl der infizierten Computer. Eine ähnlicher Wert wie im letzten Jahr.

11% 5% 28% 13% USA NIGERIA INDIEN RUSSLAND

7% ITALIEN

8% TRUTHAHN 5% THAILAND 6% 7% 10% RUMÄNIEN UKRAINE VIETNAM

#Blueliv hat zwischen 2017 und 2018 einen Zuwachs um 50 % in der Anzahl der von Botnets gestohlenen Anmeldeinformationen verzeichnet.

2017 2018

Page 11 JÄHRLICHER BERICHTDIE ZUR 5 BRANCHEN,CYBER THREAT-LANDSCHAFT DIE AM 2018-19 STÄRKSTEN VOM 2. ZUSAmmENFASSENDEANMELDEDATENDIEBSTAHL ÜBERSICHT BETROFFEN SIND, REPRÄSENTIEREN FAST 90 % DER GESAMTZAHL DER VON BOTNETS GESTOHLENEN ANMELDEINFORMATIONEN:

25% mEDIEN, SOZIALE NETZWERKE UND WERBUNG 2% ZAHLUNGSANBIETER

6% EINZELHANDEL 56% IT UND TELEKOM 7% WETTEN UND GLÜCKSSPIELE

BOTNETS, DIE ANMELDEDATEN STEHLEN

18% EMOTET

5% 4.5% LOKIPWS ARKEI 41% 17% PONY AZORULT

Page 12 GEOGRAFISCHER STANDORT ÜBERWACHTER KRIMINELLER SERVER

JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFTIM JAHR 2018-19 2018 Der Prozentsatz von in den USA angesiedelten kriminellen Servern sank im Zeitraum von 2017 bis 2018 von 65 % auf 45 % ab. Mehr als 90 % aller geoloka- lisierten2. ZkriminellenUSAmm ENFASSENDEServer befinden sich ÜBERSICHT weiterhin in den folgenden Ländern: Vereinigte Staaten, Südkorea, Niederlande, Deutschland und Russland

45% 2% 8% 4% USA PORTUGAL NIEDERLANDE RUSSIA

4% 28% DEUTSCHLAND SÜDKOREA

3% BRAZIL

2% POLEN 2% 2% FRANKREICH CHINA 2% ITALIEN

These were picked up by our live cyberthreat map throughout the year.

DIESE WURDEN IM LAUFE DES JAHRES VON UNSERER CYBERBEDROHUNGS-LIVEKARTE ERFASST. ÄHNLICH WIE IM VORJAHR, GEHÖREN 96 % ALLER GESTOHLENEN KREDITKARTEN ZU AMERIKANISCHEN BANKEN.

1% 96% KANADA USA

1% AUSTRALIEN

Page 13 JÄHRLICHER65 BERICHT% DER ZUR IN CYBER UNSEREN THREAT-LANDSCHAFT HONEYPOTS 2018-19 VERZEICHNETEN CYBERANGRIFFE2. ZUSAmmENFASSENDE Ü BERSICHTKAMEN AUS 5 LÄNDERN: VIETNAM, RUSSLAND, DEN VEREINIGTEN STAATEN, CHINA UND FRANKREICH.

14% 5% 9% 7% 15% USA UK FRANKREICH INDIEN RUSSLAND 7% NIEDERLANDE

5% LETTLAND 5% 12% 22% UKRAINE CHINA VIETNAM

TOP 5 DER VON MALWARE AM HÄUFIGSTEN AUSGENUTZTEN SICHERHEITSLÜCKEN-REFERENZEN IM JAHR 2018

20% 2016-0099

5% 2017-0199

4% 10% 2012-0158 60% 2016-7255 2017-0147

Page 14 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 2. ZUSAmmENFASSENDE ÜBERSICHT PONY UND AZORULT MACHEN BIS ZU 95 % DER ANMELDEDATENDIEBSTÄHLE DURCH BOTNETS IN LATEINAMERIKA AUS.

29% AZORULT

2% AGENTTESLA

2% 66% FORmBOOK PONY

BRASILIEN, MEXIKO UND ARGENTINIEN MACHEN MEHR ALS 2/3 DER IM JAHR 2018 VON BOTNETS GESTOHLENEN ANMELDEINFORMATIONEN AUS.

23% MEXIKO

6% DOMINIKANISCHE 7% REPUBLIK VENEZUELA 3% ECUADOR 6% KOLUMBIEN 8% 8% PERU BOLIVIEN 33% BRASILIEN

8% CHILE 12% ARGENTINIEN

Page 15 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 3.CYBERANGRIFFE GEGEN UNTERNEHMEN

3. CYBERANGRIFFE GEGEN UNTERNEHMEN Gezielte Angriffe zum Zweck des Diebstahls wertvoller Informationen nahmen im Jahr 2018 sowohl in ihrer Größe als auch in ihrer Anzahl zu. Viele dieser Angriffe waren offensichtlich fnanziell motiviert, da die Verantwortlichen dann versuchten, die gestohlenen Daten im kriminellen Untergrund zu verkaufen. In anderen Fällen versuchten sie mit der Drohung, Einzelheiten zu mangelnden Sicherheitsmaßnahmen Bei Exactis lagen an die Öffentlichkeit oder die Aufsichtsbehörden gelangen zu lassen, Lösegelder enorme 2 TB von den Opfern zu erpressen. an Daten offen, von Namen und Einzelheiten dazu, wie Cyberkriminelle von diesen Angriffen proftieren, sind in E-Mail-Adressen unserem Bericht „The Credential Theft Ecosystem“ verfügbar, derhier als Download bis hin zu intimen, verfügbar ist. persönlichen Es schien im Jahr 2018 oft so, als ob sich jede Woche eine neue Organisation Einzelheiten wie gezwungen sah, ihre Kunden zu informieren, dass vertrauliche Daten möglicherweise Charaktermerkmale, kompromittiert wurden. Dieser Abschnitt betrachtet einige der Angriffe, die im religiösen Laufe des Jahres erfolgt sind, und fasst Lehren zusammen, die aus den Vorfällen Überzeugungen gezogen werden können. und Interessen, die für Identitätsdiebe 3.1. EXACTIS potenziell sehr Im Juni kursierten Berichte in den Medien, dass bei Exactis, einem gewinnbringend Marketingunternehmen mit Sitz in Florida, Informationen zu ca. 230 Millionen sein könnten. amerikanischen Staatsbürgern sowie 110 Millionen Datensätze zu US-Unternehmen ungeschützt waren. Datensicherheitsforscher Vinny Troia hatte sich zum Ziel gesetzt, ElasticSearch, einen weit verbreiteten Typ von Datenbank, über das Suchprogramm Shodan zu testen und er entdeckte dabei eine Reihe von ungeschützten Datenbanken.

Bei Exactis lagen enorme 2 TB an Daten offen, von Namen und E-Mail- Adressen bis hin zu intimen, persönlichen Einzelheiten wie Charaktermerkmale, religiösen Überzeugungen und Interessen, die für Identitätsdiebe potenziell sehr gewinnbringend sein könnten. Die Tatsache, dass die Aktion nicht in Zusammenhang mit einem konzertierten Angriff von Cyberkriminellen erfolgte, war ein reiner Glücksfall, und nachdem Troia sich Zugriff auf die Daten verschafft hatte, alarmierte er sowohl Exactis als auch das FBI. Organisationen müssen ständig wachsam bleiben und DLP-Module verwenden, um zu prüfen, ob Daten auf Servern öffentlich zugänglich geworden sind.

3.2. AADHAAR Die indische Regierungsdatenbank Aadhaar ist das größte biometrische ID-System der Welt, das die Fingerabdrücke, Fotos, Adressen und andere personenbezogene Informationen von 1,1 Milliarden indischen Bürgern enthält. Aadhaar hatte im Laufe des Jahres mit verschiedenen Sicherheitsproblemen zu kämpfen, obwohl dies in vielen Fällen von der Regierung dementiert wurde. Im Januar berichtete die indische Zeitung The Tribune, dass Aadhaar-Zugang in bestimmten WhatsApp- Gruppen für den Preis von nur 7 USD angeboten wurde.4 In den folgenden Monaten kamen weitere Vorfälle an die Öffentlichkeit, die Sicherheitsprobleme in Bezug auf das Aadhaar-System aufdeckten. Beispielsweise entdeckte ein Datensicherheitsexperte in Neu Delhi im März einen gefährdeten Endpunkt und

Page 16 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 3.CYBERANGRIFFE GEGEN UNTERNEHMEN

und teilte diese Informationen mit ZDNet.5 Im Juli gab ein Regierungsbeamter seine Aadhaar-Nummer in einen Tweet preis und forderte das Internet heraus, zu versuchen, ihm Schaden zuzufügen – mit vorhersagbaren Ergebnissen.6

Diese Sicherheitsverletzungen stellen eine potenziell besorgniserregende Entwicklung dar, besonders angesichts ihres Ausmaßes und der Anzahl der betroffenen Personen. Biometrische Authentifzierung und andere personenbezogene Daten können von Regierungsbehörden verwendet werden, um die Bereitstellung ihrer Dienste zu optimieren, aber in den falschen Händen werden diese Informationen zu einem ernsten Problem.

3.3. HUDSON’S BAY CO. Anfang April wurde gemeldet, dass rund 5 Millionen Kredit- und Debitkartennummern Das Unternehmen bei den Geschäftsketten Saks und Lord & Taylor kompromittiert wurden, die beide erklärte, dass zwei zur nordamerikanischen Hudon’s Bay Co. gehören. Am Ende des Monats wurde Vorfälle zum Diebstahl bestätigt, dass die Cyberangreifer rund neun Monate, von Juli 2017 bis April 2018, von rund 1,2 Zugang zu den Daten hatten. Dies zeigt deutlich, dass solche Verstöße längere Millionen allgemeinen Zeit unentdeckt bleiben können, wenn keine angemessene Threat Intelligence Benutzerdatendateien angewendet wird, um Sicherheitslücken zu identifzieren und sie zu schließen, geführt hatten, bevor es zu spät ist. einschließlich Die Sicherheitsverletzung wurde dem osteuropäischen Verbrechersyndikat FIN7 Informationen wie zugeschrieben und die Daten waren nach dem Angriff im Untergrundgeschäft Namen, Adressen Joker’s Stash zum Verkauf erhältlich. und E-Mail-Adressen sowie 5,9 Millionen 3.4. DIXONS CARPHONE Kreditkartendetails. Am 13. Juni gab Dixons Carphone öffentlich bekannt, dass ihre Systeme eine Sicherheitsverletzung erlitten hatten. Das Unternehmen erklärte, dass zwei Vorfälle zum Diebstahl von rund 1,2 Millionen allgemeinen Benutzerdatendateien geführt hatten, einschließlich Informationen wie Namen, Adressen und E-Mail-Adressen sowie 5,9 Millionen Kreditkartendetails. 5,8 Millionen dieser Karten waren allerdings durch PIN-Nummern geschützt und die Angreifer konnten weder die PIN- noch die CVV-Nummern dieser Karten erreichen, so dass sie nicht für herkömmliche Cyberkriminalität verwendbar waren. Die Banken, die für die verbleibenden 105.000 ungeschützten Karten verantwortlich waren, wurden über den Vorfall informiert. Der Einzelhändler gab an, dass die Datensicherheitsverletzung in dieser Woche entdeckt wurde, sie jedoch bereits im Juli des Vorjahres geschehen war. Obwohl es sich also um die erste große Sicherheitsverletzung nach Einführung der DSGVO handelte, wurden aus diesem Grund keine Geldstrafen verhängt.

3.5. MARRIOTT Am 8. September erhielt Marriott von einem internen Sicherheits-Tool eine Warnung zu dem Versuch, auf die Starwood-Gästereservierungsdatenbank in den Vereinigten Staaten zuzugreifen. Am 19. November 2018 stellte die Untersuchung fest, dass ein unbefugter Zugriff auf die Datenbank erfolgt war, bei dem die Informationen von bis zu 500 Millionen Kunden gestohlen wurden, die zwischen 2014 und dem Tag der Aufdeckung in diesen Hotels zu Gast gewesen waren.

Bei ca. 327 Millionen Kunden bestanden diese Daten aus einer Kombination

Page 17 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 3.CYBERANGRIFFE GEGEN UNTERNEHMEN

von Name, Geburtsdatum, E-Mail Adresse, Telefonnummer, Postanschrift, Passnummer, Kontoinformationen, Geschlecht, Ankunft- und Abreiseinformationen, Bei ca. 327 Millionen Kunden Reservierungsdatum und Kommunikationspräferenzen. Für einige dieser Kunden bestanden diese Daten wurden darüber hinaus Zahlungskartennummern und Ablaufdaten offengelegt, die aus einer Kombination von allerdings mit AES-128 verschlüsselt waren. Bei den verbleibenden Gästen waren Name, Geburtsdatum, E-Mail die Informationen auf Namen und andere Daten wie Post- und E-Mail Adresse Adresse, Telefonnummer, beschränkt. Postanschrift, Passnummer, Die Sicherheitsexperten von Marriott stellten fest, dass der Angreifer die Kontoinformationen, Daten vor dem Abruf kopiert und verschlüsselt hatte und dass er dann Schritte Geschlecht, Ankunft- und unternahm, um sie zu entfernen. Um den betroffenen Kunden zu helfen und sie zu Abreiseinformationen, kompensieren, hat Marriott eine spezielle Website und ein Callcenter eröffnet, die Reservierungsdatum und Opfer benachrichtigt und ein kostenloses einjähriges WebWatcher-Abonnement Kommunikationspräferenzen. . für sie verfügbar gemacht.

3.6. QUORA Quora entdeckte am 30. November, dass eines ihrer Systeme kompromittiert worden war und dass dies zur Offenlegung der Daten von rund 100 Millionen Benutzern geführt hatte. Zu den gestohlenen Daten gehörten Kontoinformationen (Namen, E-Mail-Adressen, verschlüsselte Kennwörter mit einem spezifschen Saltwert für jeden einzelnen Benutzer und aus anderen Netzwerken importierte Daten, wenn die Benutzer dies genehmigt hatten), öffentliche Inhalte (Veröffentlichungen und „Gefällt mir“-Stimmen) und nicht-öffentliche Inhalten und Aktionen (Anfragen, „Gefällt mir nicht“-Stimmen, Direktnachrichten). Glücklicherweise wurden keine fnanziellen Informationen offengelegt.

Nach der Entdeckung des Angriffs leitete Quora eine interne Untersuchung ein, um die Identität des Angreifers zu ermitteln und um festzustellen, wie die Sicherheitsverletzung aufgetreten ist. Das Unternehmen informierte außerdem die Strafverfolgungsbehörden und die betroffenen Benutzer. Zusätzlich meldete Quora alle möglicherweise betroffenen Benutzer ab und setzte ihre Kennwörter außer Kraft und sie behoben das Problem, das ihrer Ansicht nach die Ursache der Verletzung war.

3.7. CATHAY PACIFIC Cathay gab Cathay Pacifc ist eine Fluggesellschaft unter der Flagge von Hongkong, die bekannt, dass die mehr als 190 Ziele in 60 Ländern der Welt anfiegt. Am 24. Oktober meldete das Daten 860.000 Unternehmen, dass Daten zu 9,4 Millionen Passagieren von Cathay Pacifc sowie Reisepassnummern, zu Passagieren einer ihrer Tochtergesellschaften, Hong Kong Dragon Airlines, ca. 245.000 Nummern bei einer Datenschutzverletzung im März 2018 offengelegt wurden. Cathay gab von Hongkonger bekannt, dass die Daten 860.000 Reisepassnummern, ca. 245.000 Nummern von Personalausweisen, Hongkonger Personalausweisen, 403 abgelaufene Kreditkartennummern und 27 403 abgelaufene Kreditkarten ohne CVV enthielten. Es wurden bei diesem Angriff keine Kennwörter Kreditkartennummern offengelegt, aber Daten wie Nationalität, Geburtsdatum, Telefonnummern, E-Mail- und Postadressen wurden kompromittiert. und 27 Kreditkarten ohne CVV enthielten Rupert Hogg, Geschäftsführer von Cathay Pacifc, erklärte, dass das Unternehmen schnell gehandelt habe, um den Vorfall einzudämmen, und dass die Ursache des Vorfalls mit Hilfe einer Cybersicherheitsfrma untersucht würde. Er versicherte darüber hinaus, dass die Flugsicherheit nicht gefährdet sei. Dieser Vorfall kam nur

Page 18 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 3.CYBERANGRIFFE GEGEN UNTERNEHMEN

einen Monat nachdem British Airways sich für einen Vorfall entschuldigen musste, bei dem die Kreditkartendetails von Hunderttausenden ihrer Kunden in einem Cyberangriff auf die BA-Website und App kompromittiert wurden.

Page 19 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 4. NEUE TRENDS UND ANGRIFFSTAKTIKEN

4. NEUE TRENDS UND ANGRIFFSTAKTIKEN 4.1. MALWARE UND CYBERKRIMINALITÄTSDIENSTE Ransomware-Kampagnen waren im Vergleich zu 2017 weniger verbreitet, aber Während klassische Kampagnen, wie etwa Malware-Downloader und Trojaner, lagen auch des letzten 2018 nach wie vor im Trend. Während des letzten Quartals wurden verschiedene Quartals wurden Malspam-Kampagnen entdeckt, was unterstreicht, dass gut geplante, verschiedene professionelle Angriffe oft monatelang unerkannt bleiben können. Diese Arten von Malspam- Kampagnen sind nicht neu, aber sie stellen auch weiterhin eine ernste Bedrohung Kampagnen für Unternehmen in beliebigen Sektoren dar. entdeckt, was Die Sicherheit eines Systems ist immer nur so stark wie ihr schwächstes Glied unterstreicht, dass und häufg handelt es sich bei diesem Glied um eine Person. Dies ist der Grund, gut geplante, warum die Hacker auch weiterhin bösartige E-Mail-Kampagnen verwenden, um in professionelle Systeme und Organisationen einzudringen. E-Mails dieser Art zielen darauf ab, ihre Angriffe oft Opfer zum Durchführen schädlicher Aktionen zu verleiten, wie z. B. das Eingeben monatelang ihrer Anmeldeinformationen in eine Phishing-Website oder das Herunterladen unerkannt bleiben und Ausführen von Malware. Der beliebteste Vektor ist jedoch das Anhängen können. einer Datei, die das Interesse des Empfängers weckt und in die bösartiger Code eingebettet ist. Wenn ein Benutzer die betreffende Datei öffnet, infziert die darin enthaltene Malware das System. Die wichtigste Art von Malware für diese Art von Angriff sind Loader, eine Art Trojaner, die heimlich andere bösartige Software von einem Remoteserver auf den Hostcomputer herunterlädt und sie dort installiert Die Sicherheit eines und ausführt. Bei dieser Methode können Angreifer also wählen, welche Art von Systems ist immer Malware installiert werden soll, so dass sie vollständige Kontrolle über den Zustand nur so stark wie ihr des Botnets erhalten. schwächstes Glied und häufig handelt Wir erwarten, dass diese Methode der Infektion auch in Zukunft Verwendung fnden es sich bei diesem wird, da es sehr einfach ist, Kampagnen auf bestimmte Opfer auszurichten, deren Hostcomputer bei einer Infektion unter dem Radar bleiben werden. Außerdem Glied um eine können Angreifer die Lebenserwartung ihrer Infektion verlängern, indem sie die Person. installierten Module aktualisieren, solange sie vollständige Kontrolle über die bösartigen Code haben.

4.1.1. MARAP Am 10. August entdeckte Proofpoint einen neuen Malware-Loader mit dem Namen Marap in einer großen Malspam Kampagne mit Millionen von Nachrichten. Erste Untersuchungsergebnisse deuten darauf hin, dass er vor allem gegen Finanzinstitute eingesetzt wird. Die Hauptfunktionalität von Marap ist das Herunterladen anderer Module und Nutzlasten, so dass Angreifer beliebige zusätzliche Funktionen installieren können, nachdem die anfängliche Infektion erfolgreich war. Gegenwärtig wurde in Marap nur ein einziges Modul mit System- Fingerprinting-Funktionen erkannt, das Informationen zum Hostgerät sammelt und an den C&C-Server sendet. Diese Aktivität erfolgt wahrscheinlich, um das infzierte Gerät und dessen Funktionen zu identifzieren und um zu erkennen, ob es ein Ziel von Interesse ist oder nicht. Die Angriffs-E-Mails sind als Nachrichten von „Vertrieb“ oder „Großbanken“ getarnt und sie enthalten schädliche Word- Dokumente, PDF-Dateien oder passwortgeschützte ZIP-Dateien. Diese Kampagne wurde TA505 zugeschrieben, da sie Ähnlichkeiten zu früheren Kampagnen dieses

Page 20 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 4. NEUE TRENDS UND ANGRIFFSTAKTIKEN

Angreifers aufweist.

4.1.2. ADVISORSBOT Dieser Malware-Downloader, der im Mai 2018 erstmals von Proofpoint gesehen wurde, fand in verschiedenen Malspam-Kampagnen Verwendung, die TA555 zugeschrieben wurden. Ähnlich wie Marap verwendet AdvisorsBot in der ersten Phase der Infektion sein Fingerprinting-Modul, um festzustellen, ob das Hostgerät ein interessantes Ziel ist oder nicht. Die Kampagnen werden auf verschiedene Weisen getarnt, um bestimmte Opfer anzusprechen. Die erste Kampagne war auf Hotelmitarbeiter gerichtet und enthielt die Beschwerde eines fktiven Hotelgasts, der behauptete, seine Hotelkosten wären zweimal abgebucht worden und der ein bösartiges Word-Dokument als Beleg anfügte. Die zweite und die dritte Kampagnen wurden als Fälle von Lebensmittelvergiftung und gefälschte Bewirtschaftungsaufträge getarnt und richteten sich an Restaurantangestellte. Die letzte erkannte Kampagne wurde als Lebenslauf eines Kandidaten getarnt, der an Positionen bei Telekommunikationsunternehmen interessiert ist. AdvisorsBot hat sich zusammen mit den Kampagnen weiterentwickelt, was darauf hindeutet, dass diese Malware sich derzeit noch im Entwicklungsstadium befndet und dass neue Varianten in den nächsten Monaten erscheinen könnten.

4.1.3. EMOTET Das Stealer-Modul Emotet, auch als Geodo bekannt, ein Stück Code, dass als Malware- von Emotet sammelt Distributionsdienst (Spam-Botnet) eingesetzt wird. Seine Vergangenheit ist jedoch etwas komplexer. Emotet ist eine Weiterentwicklung des Banking-Trojaners Feodo Anmeldeinformationen (auch als Cridex oder Bugat bekannt). Nach dieser Version erschien eine neue und E-Mail Adressen Entwicklung des Trojaners, die den nunmehr berüchtigten Namen Dridex erhielt. für die Verwendung in zukünftigen Spam- Emotet wurde zuvor als Banking-Trojaner eingesetzt, bevor er Mitte 2015 Kampagnen. Im verschwand. Im Dezember 2016 tauchte Emotet mit erheblichen Änderungen November 2018 wieder auf. In dieser neuen Version wurde kein Banking-Modul mehr erkannt und versendete Emotet ihr Hauptziel schien nunmehr das Verteilen von zusätzlicher Malware als Spambot ca. 185.000 Spam- zu sein. Diese neueste Version ist auch als Emotet v4 bekannt. Nachrichten pro Im Jahr 2018 verwendete Emotet hauptsächlich PDF- und DOC-Dateien als Dropper Tag mit über 50.000 mit Nutzlasten von TrickBot, Botbot/IcedID oder PandaBanker. In vielen Fällen ist verschiedenen die Malware selbstvermehrend, genau wie Emotet selbst. Absenderadressen. Das Stealer-Modul von Emotet sammelt Anmeldeinformationen und E-Mail Adressen für die Verwendung in zukünftigen Spam-Kampagnen. Im November 2018 versendete Emotet ca. 185.000 Spam-Nachrichten pro Tag mit über 50.000 verschiedenen Absenderadressen. Diese Absender-E-Mails repräsentieren 15.000 eindeutige Domänen, von denen ca. 8 % aus Ländern in Lateinamerika und etwa 6 % aus Deutschland stammen. Die Empfänger dieser Kampagne sind weitgehend Unternehmens-E-Mail Adressen, die 1.200.000 Millionen verschiedene Maildomänen repräsentieren, von denen ca. 10 % deutsche Unternehmensadressen sind.

Page 21 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 4. NEUE TRENDS UND ANGRIFFSTAKTIKEN

Abbildung2: Emotet-Kampagne an eine deutsche Unternehmensadresse

4.1.4. THREADKIT ThreadKit, das erstmals im Juni 2017 gesehen wurde, ist ein Exploit Builder Kit zum Erzeugen von schädlichen RTF-Dokumenten. Es weist gewisse Ähnlichkeiten zu Microsoft Word Intruder (MWI) auf, weshalb einige Experten vermuten, dass ThreadKit um eine Weiterentwicklung von MWI ist. ThreadKit kann über das Feld INCLUDEPICTURE Statistiken an eine Steuerkonsole senden, ein Verfahren, das auch von WMI verwendet wird.

Obwohl es bereits 2017 zuerst auftrat, hat die Beliebtheit von ThreadKit im Jahr 2018 explosionsartig zugenommen. Das Kit wurde von hochentwickelten Hackergruppen wie z. B. der Cobalt Gang eingesetzt. Es wurde außerdem verwendet, um eine Reihe bekannter Malware-Programme zu verteilen, einschließlich Smoke Loader, TrickBot, Chtonic, Formbook, LokiPWS, Neutrino Bot, AZORult und Ursnif.

ThreadKit wird von seinem Autor, der unter dem Alias „mrbass“ operiert, kontinuierlich aktualisiert und verbessert. Dieser Angreifer integrierte 2018 neu entdeckte Sicherheitslücken – wie z. B. CVE-2018-0802 – in das Produkt. Das Tool wird im cyberkriminellen Untergrund zu einem Preis von 970 USD zum Verkauf angeboten. Im Jahr 2018 deckten Sicherheitsspezialisten 4.1.5. ZOOPARK eine lange Im Jahr 2018 deckten Sicherheitsspezialisten eine lange andauernde andauernde Cyberspionagekampagne gegen Android-Benutzer im Mittleren Osten und Cyberspionage- Nordafrika auf. Bösartige Anwendungen wurden in Ländern wie Marokko, Ägypten kampagne gegen und Iran als legitime Apps getarnt verteilt. Diese App enthält Spionage-Malware Android-Benutzer im mit dem Namen Zoopark, welche verschiedene Funktionen für Angreifer bietet, Mittleren Osten und einschließlich Filtern von Kontaktdaten, GPS-Ortung und Keylogging. Die Malware sammelt außerdem Informationen aus Messaging-Anwendungen wie Telegram Nordafrika auf. oder WhatsApp und versucht, ihre internen Datenbanken zu stehlen, die alle

Page 22 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 4. NEUE TRENDS UND ANGRIFFSTAKTIKEN

gespeicherten Konversationen enthalten und somit die Privatsphäre von Opfern gefährlich beeinträchtigen können. Die Angreifer scheinen sich besonders auf Ziele in Ägypten, Jordanien, Marokko, Libanon und Iran zu konzentrieren, sowie auf Mitarbeiter des Hilfswerk der Vereinten Nationen. Der zunehmende Einsatz von Mobilgeräten für die persönliche und professionelle Kommunikation macht diese zu vorrangigen Spionagezielen für staatlich geförderte Cyberangreifer.

4.1.6. IOT-MALWARE Geräte im Internet der Dinge (IoT) haben unter Cyberkriminellen in jüngster Zeit mehr Aufmerksamkeit erhalten, besonders aufgrund ihres Schadenspotenzials und ihrer unzureichenden Sicherheitsmaßnahmen. Neue Stämme von Malware wie Mirai Sora oder Torii verfügen über Funktionen, die Geräte in verschiedenen Architekturen infzieren können, wie z. B. Router, IP-Kameras und Android-Geräte. Dies vergrößert die Anzahl potenzieller Opfer enorm. Die primären Ziele von Angreifern, die IoT-Geräte ausnutzen, sind Denial-of-Service-Angriffe im Auftrag anderer (auch DDoS-for-hire genannt) und Mining von Kryptowährungen.

Das zerstörerische Potenzial von IoT-Botnets macht sie zu einem wichtigen Tool bei der Durchführung groß angelegter Angriffen. DDoS-for-hire hat sie zu einem proftablen Geschäft gemacht, was weitere Aufmerksamkeit unter kriminellen Gruppen erregen wird. Andererseits ist der Einsatz von IoT-Botnets zum Mining von Kryptowährungen aufgrund niedriger Gewinnspannen generell nicht die Mühe und das Risiko wert.

4.2. CRYPTOMINERS UND CRYPTOJACKING Der enorme Preisanstieg von Kryptowährungen gegen Ende 2017, der Bitcoin auf einen Wert von um 20.000 USD ansteigen sah, hat zu verstärktem Interesse an diesen Währungen geführt, unter anderem auch auf der kriminellen Szene. Im Jahr 2018 entwickelte das bis dahin nur wenig bekannte Cryptojacking sich zu einer der Hauptaktivitäten in der Welt der Cyberkriminalität. Nach Untersuchungen von Skybox Security, machte Cryptojacking im vergangenen Jahr 37 % aller Malware- Angriffe aus.

Die primären Auswirkungen von Cryptojacking sind Leistungseinbußen, obwohl es für betroffene Einzelpersonen und Unternehmen auch zu höheren Kosten führen kann. Zu den potenziellen Folgen für Gerätebesitzer gehören:

• Verlangsamen der Gerätefunktionalität

• Überhitzen der Batterien

• Ausfall von Geräten

• Niedrigere Produktivität

• Höhere Kosten durch erhöhten Stromverbrauch, und für cloud-basierte Firmen, deren Abrechnung auf CPU-Nutzung basiert

• Im Gegensatz zu Bedrohungen wie Ransomware, die den Zugriff von Opfern auf ihre Geräte sofort unterbrechen, kann Cryptojacking längere Zeit unerkannt auf Geräten von Opfern durchgeführt werden, bis diese erkennen, was geschehen ist.

Page 23 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 4. NEUE TRENDS UND ANGRIFFSTAKTIKEN

• Für das Mining von Kryptowährungen gekaperte Router

Cryptojacking Cryptojacking hat im Jahr 2018 eine Menge von Schlagzeilen gemacht. Untersucher entdeckten über 400.000 Router, die gehackt und mit Malware infziert wurden, hat im Jahr 2018 so dass sie ihre Rechenleistung für das Mining von Monero verwendeten – und eine Menge von die Anzahl der betroffenen Geräte könnte möglicherweise noch steigen. Andere Schlagzeilen Cyberangreifer haben heimlich bestimmte Websites infziert, um Cryptomining auf gemacht. den Computern von Besuchern durchzuführen. Dies geschah im November 2018, Untersucher als Hacker eine öffentlich bekannte Drupal-Sicherheitslücke ausnutzten, um die entdeckten über Website der Make-A-Wish Foundation zu kompromittieren. Andere Nutzlasten, die 400.000 Router, die sich der gleichen Drupal-Sicherheitslücke bedienten, wurden im vergangenen Jahr gehackt und mit von Blueliv Analysten beschrieben. Malware infiziert wurden, so dass sie 4.3. RANSOMWARE-ANGRIFFE ihre Rechenleistung Die Verwendung von Ransomware ist in den vergangenen Monaten für das Mining zurückgegangen. Sie wurde im Jahr 2017 nach dem WannaCry-Vorfall beliebt, von Monero was Hacker dazu veranlasste, neue Ransomware-Programme zu entwickeln. Wenn verwendeten – Ransomware ein Gerät erfolgreich infziert, verschlüsselt sie alle wichtigen Dateien und die Anzahl und Daten. Anschließend stellt sie eine Lösegeldforderung als Gegenleistung der betroffenen für einen Schlüssel, den Opfer zum Entschlüsseln der Dateien benötigen. Diese Geräte könnte Lösegelder werden oft in Bitcoin oder anderen Kryptowährungen gefordert, und es wird dringend geraten, dass Opfer sie nicht zahlen. Zahlungen führen nicht nur möglicherweise dazu, dass Ransomware-Angriffe beliebter werden, sondern es ist außerdem gut noch steigen. möglich, dass die Daten auch nach erfolgter Zahlung nicht wiederhergestellt werden können. Trotz zahlreicher Warnungen zahlen Opfer jedoch häufg das Lösegeld und neueste Untersuchungen haben gezeigt, dass Ransomware für einige Angreifer auch weiterhin proftabel ist. Eines der am häufgsten verwendeten Ransomware- Programme von 2018, SamSam, hat z. B. bereits fast 6 Millionen USD einkassiert.

Cyberangreifer beginnen jedoch, das Interesse an Ransomware-Angriffen zu verlieren, weil es relativ schwierig ist, das Geld einzutreiben. Damit Angreifer überhaupt auf Lösegeld hoffen können, müssen ihre Opfer anfällig sein und schnell auf Kryptowährungen zugreifen können. Aber obwohl sie nicht mehr so häufg vorkommen, müssen Ransomware-Angriffe für Unternehmen in allen Branchen auch weiterhin noch als eine gefährliche und potenziell zerstörerische Bedrohung angesehen werden. Bedenken Sie dabei auch, dass die echte wirtschaftliche Bedrohung oft nicht im geforderten Lösegeld liegt, sondern in den Nebenwirkungen des Angriffs.

4.3.1. MATANUSKA-SUSITNA-ANGRIFF Im Juli 2018 fel der Regierungsbezirk Matanuska-Susitna in Alaska einer Kampagne von Cyberkriminellen zum Opfer, die BitPaymer-Ransomware verwendeten. Der Angriff legte alle Desktopcomputer sowie den Großteil der Server der Verwaltungsbehörde lahm, so dass Mitarbeiter auf Schreibmaschinen ausweichen mussten, um ihren Geschäftsbetrieb fortzuführen. Eine Analyse des Angriffs ergab, dass die Infrastruktur bereits im Mai infziert wurde und dass die Ransomware „schlummerte“, bis das IT-Team der Behörde begann, Maßnahmen zum Entfernen der Malware zu ergreifen. Offziellen Berichten zufolge handelt es sich um einen mehrgleisigen Angriff mit verschiedenen Vektoren, der durch durch den

Page 24 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 4. NEUE TRENDS UND ANGRIFFSTAKTIKEN

kombinierten Einsatz einer Reihe verschiedener Malware-Programme und -Tools noch weiter verschärft wurde. Dazu gehörten unter anderem Trojaner, Würmer, der Trotz zahlreicher BitPaymer Crypto Locker und ein externer Hacker, der in das Netzwerk des Opfers Warnungen zahlen eindrang. Opfer jedoch Der Angriff wurde als „Advanced Persistent Threat“ (APT) eingestuft, mit anderen häufig das Lösegeld Worten eine Serie heimtückischer und anhaltender Hacking-Prozesse, die auf ein und neueste bestimmtes Ziel gerichtet waren. Keines der Virenschutzprogramme der betroffenen Untersuchungen Mitarbeiter konnte die Infektion erkennen oder blockieren, was darauf hindeutet, haben gezeigt, dass ein neuer Malware-Stamm verwendet wurde. Die Bezirksverwaltung gab nicht dass Ransomware an, ob sie ein Lösegeld gezahlt haben, um die Daten wiederherzustellen. BitPaymer, für einige Angreifer das mit der Gruppe, die hinter Dridex steckt, in Zusammenhang gebracht wird, hat auch weiterhin dem Vernehmen nach auch weitere Opfer gehabt, sowohl vor als auch nach diesem profitabel ist. Eines Angriff. der am häufigsten verwendeten 4.4. DIGITALES SKIMMING NIMMT ZU Ransomware- Digitale Skimmer haben im letzten Jahr viel Aufmerksamkeit erweckt. Die Zahl der Programme von Angreifer, die unter dem Sammelbegriff „Magecart“ agieren und digitale Skimmer 2018, SamSam, hat verwenden ist deutlich angestiegen. z. B. bereits fast Digitale Skimmer sind Skripte, die darauf ausgerichtet sind, Daten zu stehlen, 6 Millionen USD die Opfer in Online-Zahlungsformulare eingeben. Angreifer verwenden diese einkassiert. auf kompromittierten Websites von e-Commerce-Firmen oder Drittanbietern. Untersuchungen deuten darauf hin, dass Angreifer dabei häufg Schwachstellen in der Website bzw. im CMS ausnutzen oder dass sie die Hosting/CMS-Konten kapern.

Magecart-Gruppen wurden erstmalig im Jahr 2015 gesichtet, als sie die e-Commerce-Plattform Magento angriffen. Im Jahr 2016 hackten sie dann zahlreiche e-Commerce-Webseiten. Dabei injizierten die Gruppen Javascript-Code in die Sites, so dass Angreifer die Kreditkarteninformationen erfassen konnten, die Kunden in das Zahlungsformular eingeben. Seit diesen Angriffen scheint sich das Injizieren von Javascript-Code zum Extrahieren von Kundenzahlungsdaten zur standardmäßigen Vorgehensweise der Gruppen verfestigt zu haben.

Das Jahr 2018 läutete dann eine Ära großer Magecart-Angriffe ein, die zu Sicherheitsverletzungen bei Ticketmaster, British Airways, Newegg und anderen führte.

4.5. HACKEN VON ATMS Geldautomaten (ATMs) sind immer noch eines der proftabelsten Ziele für Kriminelle, so dass viele verschiedene Methoden und Techniken eingesetzt werden, um Geld aus den Geräten zu stehlen. Malware-Infektionen erfreuen sich dabei immer größerer Beliebtheit, so dass physisch zerstörerische Techniken mehr und mehr veraltet erscheinen. Bei Cashout-Angriffen, die auch Jackpotting oder Black-Box-Angriffe genannt werden, werden ATMs so manipuliert, dass sie Bargeld ausgeben, was für die betroffenen fnanziellen Institutionen in einem einzigen Überfall zu hohen Verlusten führen kann. Wir haben im Jahr 2018 eine steigende Anzahl von Cashout-Überfällen gesehen, die sich auf ein breites Spektrum von Ansätzen stützten.

Page 25 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 4. NEUE TRENDS UND ANGRIFFSTAKTIKEN

Die meisten ATM-Modelle haben eine ähnliche Struktur, d. h. sie umfassen einen Safe mit einem Geldausgabemechanismus, der durch ein Computer-Betriebssystem Bei Cashout- gesteuert wird. Jede dieser Komponenten ist für verschiedene Arten von Angriff Angriffen, die auch anfällig, die, je nach der Art des Zugriffs auf das Gerät, als physische, logische oder Jackpotting oder Hybridangriffe klassifziert werden. Was diese Art von Überfall besonders beliebt Black-Box-Angriffe macht, ist die Tatsache, dass nur geringe technische Kenntnisse dafür erforderlich genannt werden, sind. Im Darknet werden daher sogar Schritt-für-Schritt-Anleitungen für solche werden ATMs Angriffe angeboten. Innerhalb der verschiedenen Unterkategorien von logischen so manipuliert, ATM-Angriffen haben besonders Malware-Angriffe auf der kriminellen Szene an Beliebtheit gewonnen. dass sie Bargeld ausgeben, was für Bei vielen anderen Methoden müssen Angreifer eine ATM zu einem gewissen Grad die betroffenen physisch manipulieren, wobei der Angreifer potenziell entdeckt werden kann. Es finanziellen gibt aber auch vollständig standortferne Angriffe, die einen Geldautomaten leeren Institutionen in können, ohne dass der Angreifer dabei gesehen wird. Angreifer können ATMs einem einzigen durch das Netzwerk des Finanzinstituts infzieren und manipulieren. Auf diese Überfall zu hohen Weise können sie sich nicht nur Bargeld auszahlen lassen, sondern sie erhalten Verlusten führen vollständige Kontrolle über das Gerät. kann. 4.5.1. COSMOS BANK In der ersten Augusthälfte 2018 warnte das FBI alle Banken weltweit vor einem möglichen globalen Cashout-Angriff auf ATMs. Einige Tage später verlor die indische Cosmos Bank 13,4 Millionen USD in einem aggressiven Malware-Angriff, der beleuchtete, wie wenig geschützt Banken gegen gezielte Cyberangriffe sind. Es ist noch nicht vollständig geklärt, wie die Hackergruppe in das Netzwerk der Cosmos Bank eindrang, aber wahrscheinlich geschah dies über Phishing-E-Mail- Kampagnen. Der Angriff wurde professionell und gut koordiniert durchgeführt, Einige Tage später was auf eine erfahrenen Gruppe mit ausreichenden Ressourcen hindeutet. Nach verlor die indische dem ersten Eindringen in das Netzwerk verwandelten die Angreifer die ATMs in Cosmos Bank 13,4 bösartige Proxy-Switches, möglicherweise durch die Installation einer manipulierten Millionen USD in Firmware-Version oder durch Ändern ihrer aktuellen Software. Dadurch wurden einem aggressiven ATMs der Cosmos Bank so modifziert, dass sie die Zahlungskarteninformationen und SWIFT-Codes von Kunden stahlen, die für Transaktionen erforderlich sind. Malware-Angriff, der beleuchtete, Der Überfall erfolgte in zwei Phasen: In der ersten Phase wurden nicht autorisierte wie wenig Transaktionen von insgesamt 11,5 Mio. USD in 22 verschiedenen Ländern geschützt Banken durchgeführt, während die Kriminellen in der zweite Phase 2 Mio. USD durch gegen gezielte Debitkartentransaktionen in ganz Indien stahlen. Ein Großteil der gestohlenen Cyberangriffe sind. Mittel wurde später über betrügerische SWIFT-Transaktionen nach Hongkong überwiesen. Nachuntersuchungen deuten darauf hin, dass dies nicht der erste Versuch war, die Systeme der Bank zu kompromittieren, aber es wurden nach den vorherigen Versuchen keine Warnungen ausgegeben und die Bank richtete trotz erkannter verdächtiger Aktivitäten keine zusätzlichen Sicherheitsvorkehrungen ein.

Page 26 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 5. AKTIVITÄTEN VON CYBERANGREIFERN

5. AKTIVITÄTEN VON CYBERANGREIFERN 5.1. FIN7

Victim Origin

FIN7 ist ein fnanziell motivierte Gruppe von Cyberangreifern. Sie konzentriert sich FIN7 muss bisher in erster Linie auf Ziele im Einzelhandel und im Gastgewerbe konzentriert, aufgrund ihrer aber auch ein Auge auf fnanzielle Informationen geworfen. Die Gruppe verwendet gründlichen und Phishing-Methoden, um Point-of-Sale (POS)-Malware zu verteilen, oft kombiniert hochentwickelten mit kühnen Social Engineering-Vorgehensweisen, wie z. B. das Anrufen von Opfern, Verfahren als eine um sicherzustellen, dass sie schädliche Dateien öffnen. Seit ihrem ersten Auftreten gefährliche APT im Jahr 2015 hat die Gruppe Hunderte von Unternehmen, Tausende von POS- angesehen werden, Terminals und Millionen von Zahlungskarten kompromittiert. FIN7 wurde mit und die Gruppe hat spektakulären Sicherheitsverletzungen bei Arby’s, Chili’s, Chipotle, Red Robin, Jason’s Deli und Sonic in Verbindung gebracht. Nach einem erfolgreichen Angriff in verschiedenen bietet FIN7 die kompromittierten Karten typischerweise im Untergrundgeschäft Fällen ihre Joker’s Stash zum Verkauf an. Fähigkeit unter Beweis gestellt, Sicherheitsexperten haben festgestellt, dass FIN7 ihre Aufmerksamkeit neben dem schnell neue Diebstahl von Zahlungskarten gelegentlich auch Finanzabteilungen widmet. US- Strategien und Strafverfolgungsbehörden haben darüber hinaus mit FIN7 verknüpfte Phishing-E- Tools zu entwickeln Mails gemeldet, die vorgeblich von der US Securities and Exchange Commission (SEC) stammen und an Personen mit Zugang zu Dokumenten gerichtet sind, die sich auf der Börse als nützlich erweisen könnten.

Im August 2018 gab das US-Justizministerium (DOJ) bekannt, dass drei Mitglieder von FIN7 verhaftet worden waren. Das DOJ teilte in der Meldung weiterhin mit, dass FIN7 für zumindest einen Teil ihrer Aktivitäten eine Scheingesellschaft mit dem Namen „Combi Security“ verwendet hatte. Combi Security gibt sich als ein legitimes Unternehmen mit Hauptsitz in Russland und Israel aus und es hat auf Job-Börsen in Osteuropa und Zentralasien Positionen ausgeschrieben. Die Mitgliedschaft in der Gruppe ist vorwiegend osteuropäisch.

FIN7 muss aufgrund ihrer gründlichen und hochentwickelten Verfahren als eine gefährliche APT angesehen werden, und die Gruppe hat in verschiedenen Fällen ihre Fähigkeit unter Beweis gestellt, schnell neue Strategien und Tools zu entwickeln. FIN7 hat sich als eine sehr professionelle und disziplinierte Organisation erwiesen, die während normaler Geschäftszeiten arbeitet, so dass ihre Mitglieder Abende und Wochenenden frei haben.

Page 27 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 5. AKTIVITÄTEN VON CYBERANGREIFERN

5.2. ORANGEWORM

Victim Origin

Es wurde eine neue Hackergruppe mit dem Namen Orangeworm entdeckt, die Die Gruppe scheint angepassten Backdoor-Malware auf die Systeme von internationalen Großkonzernen ihre Ziele sorgfältig anwendet, hauptsächlich im Sektor Gesundheitswesen in den Vereinigten Staaten, auszuwählen Europa und Asien. Es gibt keine Anhaltspunkte dafür, dass diese Gruppe sich für und ihre Angriffe eine bestimmte Nation einsetzt oder für politische Ziele kämpft. Bei Orangeworm sind genau handelt es sich daher wahrscheinlich eher um eine einzelne Person oder eine kleine geplant, nachdem Gruppe von Kriminellen, die in ihrem eigenen Interesse handeln. Die Gruppe potenzielle Opfer scheint ihre Ziele sorgfältig auszuwählen und ihre Angriffe sind genau geplant, zuvor länger nachdem potenzielle Opfer zuvor länger lang beobachtet wurden. lang beobachtet Die verwendete Malware ist ein angepasster Backdoor-Trojaner mit dem Namen wurden. Trojan.Kwampirs. Dieser Trojaner versteckt sich in medizinischen Geräten wie z. B. Röntgen- und MRT-Apparaten, aber er wurde auch in Maschinen festgestellt, die Patienten beim Ausfüllen von Einverständniserklärungen für medizinische Verfahren helfen. Um sich Zugang zu Unternehmen im Gesundheitswesen zu verschaffen, entwickelt Orangeworm großfächige Angriffe auf die Lieferkette und zielt dabei besonders auf Branchen ab, die mit dem Gesundheitswesen verbunden sind. Die verwendete Malware, Kwampir, nutzt eine Reihe von Verschleierungsmethoden, um ihre Persistenz im infzierten System zu gewährleisten, und sie vermeidet Erkennung durch Virenschutzprogramme indem sie zufällig generierte Zeichenfolgen in ihre Nutzlast einfügt. Nichtsdestotrotz hat diese Malware ein relativ auffälliges Verhalten, besonders in Bezug auf die Art und Weise, in der sie sich verbreitet und mit ihren C&C-Servern kommuniziert. Sie versucht, alle Geräte im Netzwerk des Opfers zu infzieren, indem sie sich über Netzwerkfreigaben kopiert und bei der Kommunikation mit ihren C&C-Servern geht sie eine große Liste von Servern nacheinander durch. Diese Methoden sind leicht erkennbar und sie deuten darauf hin, dass Orangeworm ist nicht darüber besorgt ist, entdeckt zu werden. Kwampir erfasst grundlegende Informationen zum kompromittierten Gerät, wie z. B. Spracheinstellungen, Systemversion und Einzelheiten zum Netzwerkadapter, und es verwendet diese Daten wahrscheinlich, um zu entscheiden, ob das infzierte System für seine Zwecke potenziell interessant ist. Dann öffnet Kwampir eine Hintertür im System, so dass der Angreifer Remotezugriff auf infzierte Geräte erhält und dort vertrauliche Daten stehlen kann.

Page 28 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 5. AKTIVITÄTEN VON CYBERANGREIFERN

5.3. ENERGETIC BEAR

Victim Origin

Energetic Bear (oder Dragonfy) ist eine seit mindestens 2010 aktive Gruppe von Der Zeitrahmen Angreifern, die an den Interessen der russischen Regierung ausgerichtet ist. Im für einzelne Jahr 2018 hat sie sich besonders auf staatliche Einrichtungen und Angriffe kann Infrastrukturbranchen in Europa und den Vereinigten Staaten konzentriert, wie z. B. unterschiedlich Energie, Kernenergie, Wasserversorgung, Luftfahrt und wichtige Fertigungssektoren. sein, aber im Die Gruppe scheint besonders daran interessiert zu sein, nähere Informationen Allgemeinen über den Betrieb von Energieeinrichtungen zu sammeln, um Wege zu fnden, sich gelingt es der Zugang zu deren Betriebssystemen zu verschaffen. Gruppe innerhalb Der Energiesektor für Cyberkriminelle zu einem interessanten Bereich geworden, einer Woche, in weil ein erfolgreicher Angriff sehr ernste Auswirkungen haben könnte. das gewünschte Beispielsweise waren Hunderttausende von Menschen von den Unterbrechungen Netzwerk in der ukrainischen Stromversorgung betroffen, welche die APT Sandworm 2015 einzudringen, und 2016 verursacht hatte . Im Jahr 2018 wurden mehrere Angriffsversuche auf wonach sie dann die Stromnetze in europäischen Ländern gemeldet, und einige amerikanische oft mehrere Kernenergieeinrichtungen wurden durch Hacker beeinträchtigt. Monate ständigen Diese Art von Kampagne hat zwei Arten von Opfern: Zwischenziele und Endziele. Zugriff aufrecht Die Gruppe infziert Unternehmen in der Peripherie, wie z. B. vertrauenswürdige erhält. externe Lieferanten mit weniger sicheren Netzwerken, um diese Netzwerke als Ausgangspunkt und Malware-Speicher für den Angriff auf das endgültige Opfer zu verwenden. Sie verwenden ihre Zwischenziele als Bereitstellungsstationen, so dass Fachzeitschriften und Informations-Websites zur Prozesssteuerung in gefährliche Websites mit schädlichem Code verwandelt werden. Diese Gruppe nutzt eine große Anzahl von quelloffenen Dienstprogrammen wie nmap, Sqlmap oder Sublis3r, die auf GitHub verfügbar sind, um ihre Operationen auszuführen und zu verbessern. Der Zeitrahmen für einzelne Angriffe kann unterschiedlich sein, aber im Allgemeinen gelingt es der Gruppe innerhalb einer Woche, in das gewünschte Netzwerk einzudringen, wonach sie dann oft mehrere Monate ständigen Zugriff aufrecht erhält.

Page 29 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 5. AKTIVITÄTEN VON CYBERANGREIFERN

5.4. PATCHWORK

Victim Origin

Patchwork (auch als Dropping Elephant bekannt) ist eine Gruppe von Hackern aus TA505 ist einer der dem indischen Subkontinent, die erstmalig im Dezember 2015 beobachtet wurde. aktivsten Angreifer Obwohl es keine eindeutigen Indikatoren für ihre Motivationen gibt, deuten der letzten gewisse Indizien darauf hin, dass diese Gruppe pro-indische nationalistische Jahre. Seit ihrer Interessen verfolgt. Entdeckung hat Eine Reihe von Spearphishing-Kampagnen gegen amerikanische Think Tanks im die Gruppe Ziele März und April 2018 wurden mit Patchwork in Verbindung gebracht. Typisch für in verschiedenen Patchwork sind Phishing-Kampagnen über Malware-Köder und dazu gehören Ländern auch eindeutige Tracking-Links in E-Mails, anhand derer die Angreifer erkennen ausgewählt und können, welche Empfänger ihre bösartigen Nachrichten geöffnet haben. In ihren sie scheint aus letzten drei letzten Spearphishing-Kampagnen des Jahres 2018 imitierte Patchwork rein finanziellen bekannte amerikanische Think Tank-Organisationen, indem sie deren Thematik Motiven zu aufgriffen und ähnliche Domänennamen verwendeten. Die Gruppe ahmte dabei handeln. den Stil von Veröffentlichungen des Council on Foreign Relations, des Center of Strategic and International Studies und des Mercator Institute for China Studies in Phishing-E-Mails und schädlichen Dokumenten nach. Die E-Mails enthielten jeweils einen Link zu einem als DOC-Datei getarnten RTF-Dokument handelte, das darauf abzielte, CVE-2017-8570 durch die Verwendung von öffentlich zugänglichem Code auszunutzen. Wenn der Angriff erfolgreich war, versuchten sie dann, einen quelloffenen RAT mit dem Namen QuasarRat auf dem infzierten Gerät auszuführen. Diese Malware bietet mehrere nützliche Funktionalitäten für die Angreifer, wie z. B. Keylogging, Dateiverwaltung, Remotezugriff auf den Desktop und Reverse Proxy.

Patchwork versucht zu expandieren, indem die Gruppe Methoden und Vorgehensweisen anderer wichtiger APTs kopiert, wie z. B. das Überwachen der Kampagneneffektivität durch das Erfassen, welche Empfänger die Nachricht geöffnet haben.

Page 30 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 5. AKTIVITÄTEN VON CYBERANGREIFERN

5.5. TA505

Victim Origin

TA505 ist einer der aktivsten Angreifer der letzten Jahre. Seit ihrer Entdeckung hat die Gruppe Ziele in verschiedenen Ländern ausgewählt und sie scheint aus rein fnanziellen Motiven zu handeln. Die Gruppe scheint in Osteuropa angesiedelt zu sein, da sie bisher nie Länder in der Gemeinschaft Unabhängiger Staaten (GUS) angegriffen hat und da sie ihre Aktivitäten während russisch-orthodoxer Feiertage einstellt. Die Gruppe bietet in erster Linie einen Malware-Distributionsservice für andere cyberkriminelle Gruppen und Einzelpersonen.

TA505 wurde erstmalig 2014 im Rahmen einer Kampagne gegen die USA identifziert, bei dem sie das Necurs-Botnet verwendeten, um Millionen von Spam-Nachrichten zu versenden, die den Banking-Trojaner Dridex enthielten. Sie wiederholten diese Angriffe ohne viel Variation bis Oktober 2015 gegen Länder wie Großbritannien, Deutschland und Australien. Zu diesem Zeitpunkt begannen sie dann, den Banking-Trojaner Shifu gegen japanische und britische Ziele einzusetzen (während auch weiterhin Dridex-Kampagnen starteten). Im Jahr 2016 stellten sie die Verwendung von Banking-Trojanern vollständig ein und konzentrierten fast alle ihre Aktivitäten auf die Ransomware Locky. Während dieser Änderung ihrer Taktiken, Methoden und Verfahren und am Anfang des Jahres 2017 experimentierte die Gruppe in kleineren Kampagnen mit verschiedenen anderen Ransomware- Varianten wie Bart, Philadelphia und GlobeImposter. Im Oktober 2017 führte TA505 dann ihre erste geografsch gezielte Kampagne durch, bei der der Banking-Trojaner Trickbot für Opfer in Großbritannien, Australien, Luxemburg, Irland und Belgien verwendet wurde während andere Ziele mit Locky angegriffen wurden. Anfang 2018 wurden ihre Aktivitäten aufgrund von Problemen mit dem Necurs-Botnet fast völlig angehalten, aber sie änderten ihre Taktiken, Methoden und Verfahren schnell. Als das Botnet sich zu erholen begann, startete die Gruppe eine Handvoll von Kampagnen, die das Remotezugriffs-Tool FlawedAmmyy bereitstellten, wie zuletzt im Juni dieses Jahres. TA505 wurde zuletzt im August 2018 gesehen, als sie Millionen von Nachrichten versendeten, die den Malware-Downloader Marap als Anlage enthielten. Marap kann verwendet werden, um Malware in infzierten Systemen zu installieren.

Ihr letzter Vorstoß in die großfächige Distribution von Remotezugriffs-Tools

Page 31 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 5. AKTIVITÄTEN VON CYBERANGREIFERN

stützt die Annahme, dass Opfer, im Gegensatz zu Locky- oder GlobeImposter- Infektionen, möglicherweise nicht erkennen werden, dass sie infziert sind, bis die Gruppe zusätzliche Malware-Installationen auslöst oder wertvolle Daten stiehlt. Die Bereitschaft der Gruppe, neue Vektoren, Nutzlasten, Sendeinfrastrukturen und andere schädlicher Dienste zu erproben – auch wenn sie keinen Zugang zu der Spamkanone Necurs haben – verdeutlicht ihre Anpassungsfähigkeit und macht sie zum einem Angreifer, der im Auge behalten werden muss.

Page 32 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 5. AKTIVITÄTEN VON CYBERANGREIFERN

5.6. LAZARUS

Victim Origin

Die Aktivitäten der Lazarus-Gruppe lassen sich bis in das Jahr 2009 zurückverfolgen Interessant ist, dass und einige Analysten nehmen sogar an, dass die Gruppe schon 2007 aktiv wurde. die Lazarus-Gruppe Die Gruppe hat einige der berüchtigsten Hacks der letzten Zeit durchgeführt, wie gegen Ende 2017 z. B. den Angriff auf Sony Pictures Entertainment im Jahr 2014 und den WannaCry- und im Laufe des Ransomwareangriff im Jahr 2017. Einige Experten vermuten, dass die Lazarus- Jahres 2018 begann, Gruppe von der nordkoreanischen Regierung unterstützt wird. Kryptowährungsbörsen Im Laufe des Jahres 2018 griff Lazarus weiterhin Finanzinstitute über nicht autorisierte zu ihrer Liste von Zielen SWIFT-Überweisungen an. Die Ergebnisse dieser Kampagne waren Überfälle – hinzuzufügen einige vereitelt und andere erfolgreich – auf Finanzinstitute in Mexiko und Chile. Es wurde auch beobachtet, dass die Gruppe im März 2018 fnanzielle Institutionen in der Türkei kompromittierte, obwohl keine Verluste im Zusammenhang mit dieser Aktivität bekannt sind.

Interessant ist, dass die Lazarus-Gruppe gegen Ende 2017 und im Laufe des Jahres 2018 begann, Kryptowährungsbörsen zu ihrer Liste von Zielen hinzuzufügen. Dank ihrer charakteristischen adaptiven Kreativität konnte die Lazarus-Gruppe mindestens eine dieser Börsen über eine trojanisierte Kryptowährungs-Handelsanwendung kompromittieren, die als Softwareupdate getarnt war. Dieser Angriff ist auch insofern bemerkenswert, als das Lazarus-Toolkit zum ersten Mal auf andere Betriebssysteme als Windows erweitert wurde, in diesem Fall auf MacOS.

Page 33 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 5. AKTIVITÄTEN VON CYBERANGREIFERN

5.7. FANCYBEAR

Victim Origin

FancyBear (auch als APT 28, Softcay oder Sedint bekannt) ist seit Mitte der 2000er Beide Kampagnen aktiv und heute eine der bekanntesten russischen Hackergruppen. Sie war bestanden aus besonders im letzten Quartal von 2018 sehr aktiv und es wurden dabei verschiedene Spearfishing- Kampagnen sowie neue Malware entdeckt. Angriffen gegen staatliche 5.7.1. LOJAX Organisationen LoJax ist das erste UEFI-Rootkit, das im Gebrauch von Hackern beobachtet wurde. in Nordamerika, Seinen Namen verdankt es dem Wiederherstellungs-Tool LoJack, einer legitimen Europa und Software zum Verfolgen von gestohlener Computer, auch wenn auf diesen ein Nationen der neues Betriebssystem installiert wurde. Die Software wird im UEFI installiert, dem ehemaligen UdSSR. ersten Programm, das beim Start des Computers ausgeführt wird. Die Hacker änderten ein einziges Bit einer Version von LoJack, so dass es sich mit ihrer C&C verbindet, anstelle das Wiederherstellungs-Tool herunterzuladen. Daraufhin kann dann problemlos Malware installiert werden, die wertvolle Informationen sammelt. Dabei spielt es keine Rolle, ob der Benutzer das System wiederherstellt oder das Betriebssystem neu installiert, weil das Rootkit sich im BIOS-Speicher befndet und die Malware erneut herunterladen kann. Das Rootkit kann nur entfernt werden, indem Sie den betroffenen BIOS-Speicher ersetzen.

5.7.2. DEAR JOOHN FancyBear unternahm von Mitte Oktober bis Anfang Dezember zwei große parallele Kampagnen, die unter dem Namen „Dear Joohn“ zusammengefasst wurden. Beide Kampagnen bestanden aus Spearfshing-Angriffen gegen staatliche Organisationen in Nordamerika, Europa und Nationen der ehemaligen UdSSR. Sie zielten außerdem auf Nichtregierungsorganisationen, Marketingunternehmen und die medizinische Industrie ab. Dabei fügte die Gruppe Dateien an gesendete E-Mails an, die spezifsch nach jüngsten Ereignissen wie z. B. einem Flugzeugunglück oder dem Brexit benannt waren, um die Aufmerksamkeit der Opfer zu erwecken. Der Autor dieser Dateien war jeweils als „Joohn“ angegeben, wodurch die Kampagne ihren Namen erhielt. Die Dateien enthalten ein bösartiges Skript zum Herunterladen einer Hintertür in einem Makro, das mit einer Funktion verbunden ist, die beim Schließen der Datei ausgeführt wird. Der Unterschied zwischen den

Page 34 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 5. AKTIVITÄTEN VON CYBERANGREIFERN

Kampagnen liegt in der Nutzlast, die sie liefern.

Die erste Kampagne stellt mit Zebrocy eine der von der Gruppe am häufgsten verwendeten Hintertüren bereit. Diese wird dann verwendet, um Informationen zum Opfer zu sammeln und weitere Malware zu installieren. Ein interessanter Aspekt dieser Hintertür ist, dass sie in vielen verschiedenen Programmiersprachen geschrieben wurde und dass allein in dieser Kampagne mehrere Versionen davon verwendet wurden. Die neueste Version wurde in Go geschrieben, einer relativ neuen Programmiersprache von Google. Es wird vermutet, dass diese Version schwierig zu erkennen sein wird.

Die andere Kampagne liefert eine völlig neue Malware, die den Namen „Cannon“ erhalten hat. Im Gegensatz zu Zebrocy kommuniziert Cannon mit seinem C&C- Server und empfängt Anweisungen per E-Mail und nicht über normalen HTTP- Verkehr. Diese Methode ist nicht neu, aber sie ist schwer zu erkennen, da die Hosts, mit denen kommuniziert wird, aus legitimen Maildiensten stammen.

Page 35 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 5. AKTIVITÄTEN VON CYBERANGREIFERN

5.8. COBALT GANG

Victim Origin

Die Cobalt Gang trat im Jahr 2016 erstmalig in Szene, als sie die First Commercial Die Cobalt Gang Bank in Taiwan angriff und versuchte, über 2 Millionen USD zu stehlen. Es wird trat im Jahr 2016 angenommen, dass die Gruppe ihre Wurzeln in Osteuropa hat. erstmalig in Szene, als sie die First Es wurde beobachtet, dass die Cobalt Gang Spearphishing-E-Mails an Personen Commercial Bank in in hochwertigen Institutionen sendete, um ihre Malware zu verteilen. Nachdem ein System kompromittiert wurde, versucht die Gruppe, sich wertvollen Zugang zu den Taiwan angriff und Institutionen zu verschaffen. Diesen Zugang verwendet die Cobalt Gang dann, um versuchte, über 2 eine Vielzahl betrügerischer Geldgeschäfte durchzuführen. Millionen USD zu stehlen. Im März 2018 meldete Europol, dass einer der Anführer der Cobalt Gang (offenbar auch ein Anführer der Anunak Gang, die Verbindungen zur Cobalt Gang hat) verhaftet wurde. Trotz dieser Festnahme, blieb die Cobalt Gang jedoch weiterhin aktiv. Ende 2018 wurden z. B. Angriffe der Gruppe auf Finanzinstitute beobachtet, die eine Malware mit dem Namen „SpicyOmlette“ lieferten. SpicyOmlette wird Ende 2018 wurden wahrscheinlich verwendet, um Aufklärungsaktivitäten im Netzwerk des Opfers z. B. Angriffe durchzuführen. der Gruppe auf Finanzinstitute Ein weiteres bekanntes Tool, das die Cobalt Gang verwendet, ist Cobint. Cobint beobachtet, die ist eine Hintertür, die mit ihrem C&C-Server kommuniziert und auf Anweisungen eine Malware wartet. Dies kann mehrere Phasen umfassen und es können verschiedener mit dem Namen Anfragen pro Ziel erstellt werden, so dass Angreifer die infzierten Computer leicht identifzieren können. Bisher wurde für Cobalt der Gebrauch von zwei Modulen „SpicyOmlette“ festgestellt: eines, das Screenshots an den Server sendet und ein zweites, das lieferten. eine Liste der laufenden Prozesse und deren Namen übermittelt. Beide Module SpicyOmlette wird scheinen zu Aufklärungszwecken zu dienen. wahrscheinlich verwendet, um Experten haben die Fähigkeit der Cobalt Gang herausgestellt, raffnierte Angriffe Aufklärungsaktivitäten zu entwickeln und deren Entdeckung zu vermeiden. im Netzwerk des Opfers durchzuführen.

Page 36 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 6. RECHTSVORSCHRIFTEN UND GESCHÄFTLICHE AUSWIRKUNGEN

6. RECHTSVORSCHRIFTEN UND GESCHÄFTLICHE AUSWIRKUNGEN 6.1. DSGV-VERLETZUNGEN Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGV) am 25. Mai 2018 wurden mehrere wichtige Unternehmen aufgrund von Verstößen gegen die neuen Da DSGV- Richtlinien für die Verwaltung von Kundendaten und Zugriffsberechtigungen mit Geldstrafen so Geldbußen belegt. Facebook und Google sahen sich Klagen in Höhe von 3,9 Mrd. streng sind, könnte und 3,7 Mrd. Euro gegenüber. Dies geschah nicht, weil die Unternehmen vertrauliche Twitter, dessen Daten offengelegt oder missbraucht hatten, sondern weil beide Unternehmen ihre Einnahmen sich Kunden vor die Wahl stellten, entweder ihre personenbezogenen Daten erfasst im Jahr 2018 auf zu bekommen oder das betreffende Produkt nicht verwenden zu können. Unter 2,4 Milliarden USD der DSGV dürfen Unternehmen beliebige Arten von Kundendaten verarbeiten, beliefen, mit einer solange dies für den Dienst unbedingt erforderlich ist. Diese Daten dürfen jedoch Strafe von bis zu nicht ohne ausdrückliche Zustimmung verwendet werden. 96 Millionen USD Mehrere europäische Länder beklagen sich über Google und Facebook rechnen. WhatsApp, das Facebook gehört, hatte ebenfalls Probleme mit der DSGV. Um ihren Dienst zu verbessern, sendet WhatsApp jeden einzelnen Adressbucheintrag auf den Smartphones von Benutzern an ihre Server, die sich in den Vereinigten Staaten befnden. Dies ist nicht mehr erlaubt, da die Daten von Benutzern, die Datenschutzverletzungen nie beabsichtigt hatten, die Messenger-App zu verwenden, sich jetzt auf diesen kommen auch in Servern befnden. der Ära der DSGV DSGV-Verstöße können auch versehentlich entstehen, wie z. B bei dem Ad-Blocker weiter vor, so dass Ghostery. Das Unternehmen veröffentlichte versehentlich die E-Mail-Adressen von Cyberkriminelle in ihren Hunderten von Benutzern in einer ihrer regelmäßigen E-Mail-Newsletter. Erpressungsmethoden heute oft auf die 6.1.1. MEHRERE EUROPÄISCHE LÄNDER BESCHWEREN SICH ÜBER GOOGLE Verordnungen Bezug nehmen. Im Dezember 2018 gingen Beschwerden aus sieben europäischen Ländern bei Google ein, die die Art und Weise betrafen, wie das Unternehmen Benutzerstandortdaten verwaltet und verfolgt. Die Ergebnisse einer durchgehenden Standorterfassung gelten als sehr sensible Informationen, da sie Aufschlüsse auf Informationen wie politische Interessen, Gesundheitszustand, sexuelle Orientierung oder religiöse Überzeugungen geben können. Google setzt verschiedene Praktiken ein, um sicherzustellen, dass ihre Benutzer die Standorterfassungsdienste aktiviert haben, und diese Praktiken sind für Benutzer größtenteils nicht transparent. Wie bereits oben erwähnt, wird die dazu erforderliche Zustimmung von Google-Benutzern nicht frei gegeben, da sie Googles Nutzungsbedingungen akzeptieren müssen, um Google-Produkte verwenden zu können.

Unternehmen, die gegen die DSGV verstoßen, können Geldstrafen von bis zu 4 Prozent ihres Jahresumsatzes oder von bis zu 20 Millionen Euro erhalten, je nachdem, welcher Betrag höher ist. Europäische Länder nehmen die DSGV ernst, sowohl für Großkonzerne als auch für KMUs. Es treten aber auch weiterhin Fälle auf, in denen bekannte Unternehmen ihre Kunden-Datenschutzrichtlinien verletzen, was aufzeigt, dass Unternehmen oft nicht erkannt haben, wie wichtig die DSGV- Richtlinien sind, bis eine erfolgreiche Beschwerde gegen sie eingelegt wird.

Page 37 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 6. RECHTSVORSCHRIFTEN UND GESCHÄFTLICHE AUSWIRKUNGEN

6.1.2. CENTRO HOSPITALAR BARREIRO MONTIJO Im April 2018 meldete eine Gewerkschaft mit dem Namen Sindicato dos Médicos da Zona Sul, dass nicht-medizinisches Personal des portugiesischen Krankenhauses Centro Hospitalar Barreiro Montijo (CHBM) in der Lage war, über gefälschte Profle auf vertrauliche klinische Daten im CHBM-Computersystem zuzugreifen. Eine darauffolgende Untersuchung durch die Comissao Nacional de Protecçao de Dados (CNPD) ergab, dass 985 Benutzer im System als „Arzt“ registriert waren und daher Zugang zu vertraulichen Patientendaten hatten, während nur 296 echte Mediziner im Krankenhaus arbeiteten. Darüber hinaus stellten die Prüfer fest, dass auch Benutzer mit dem Profl „Techniker“ Zugang zu vertraulichen Informationen hatten.

Im Anschluss an die Untersuchung der CNPD wurde das Krankenhaus mit zwei Geldstrafen belegt. Die erste betrug 300.000 Euro für die Verletzung der ärztlichen Schweigepficht durch Offenlegen von Patientendaten gegenüber nicht autorisierten Personen. Eine weitere Geldstrafe von 100.000 Euro wurde verhängt, weil das Krankenhaus es versäumt hatte „die Vertraulichkeit, Integrität, Verfügbarkeit und dauerhafte Widerstandsfähigkeit von Behandlungsystemen und -diensten“ zu gewährleisten.

6.1.3. ÖSTERREICHS ERSTES DSGV-PROBLEM Vier Monate nach dem Inkrafttreten der DSGV verhängte die österreichische Datenschutzbehörde (DSB) ihre erste Geldstrafe. Sie wurde gegen einen Unternehmer ausgesprochen und betrug 4.800 Euro. Der Unternehmer hatte eine CCTV-Kamera, die den Bürgersteig vor seinem Firmengelände aufzeichnete. Diese Art der Überwachung gilt als Verstoß gegen die DSGV, da diese fächendeckende Überwachung öffentlicher Räume die Privatsphäre von Fußgängern verletzt. Darüber war die Kamera nicht ausreichend als Überwachungsgerät markiert, was der Fall hätte sein sollen.

6.1.4. DIE TWITTER-UNTERSUCHUNG Die irische Datenschutzkommission hat eine Untersuchung von Twitter eingeleitet, nachdem das Unternehmen sich weigerte, Einzelheiten dazu bekanntzugeben, wie es die Art und Weise verfolgt, in der Benutzer auf Links in Tweets klicken. Twitter kontrolliert die auf ihrer Plattform eingefügten Links, indem sie ihren eigenen Link- Verkürzungsdienst, genannt T.co, auf sie anwenden. Twitter behauptet, dass t.co nur ein System zum Messen der Beliebtheit eines Links ist und dass es die Verbreitung von Malware über seine Plattform verhindert. Einige Experten vermuten jedoch, dass es auch verwendet werden kann, um die Aktivitäten von Benutzern und Browserdaten aus ihren Cookies zu verfolgen.

Die DSGV-Richtlinien geben Kunden das Recht, alle personenbezogenen Daten, die zu ihnen gesammelt wurden, abzurufen und zu prüfen, aber Twitter lehnt diese Art von Anfragen ab, wegen des unverhältnismäßigen Aufwands, die ihre Behandlung erforderlich machen würde. Untersucher vermuten auch, dass Twitter Benutzeragenten aufzeichnet und überwacht und dass das Unternehmen den Standort und die IP-Adresse von Benutzern schätzt.

Die Art und Weise, wie die DSGV auf die aktuelle Struktur von Twitter Anwendung fndet, ist noch nicht entschieden, aber wir erwarten, dass diese Struktur in den

Page 38 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 6. RECHTSVORSCHRIFTEN UND GESCHÄFTLICHE AUSWIRKUNGEN

kommenden Monaten von weiteren Unternehmen übernommen werden wird. Da DSGV-Geldstrafen so streng sind, könnte Twitter, dessen Einnahmen sich im Jahr 2018 auf 2,4 Milliarden USD beliefen, mit einer Strafe von bis zu 96 Millionen USD rechnen.

Der Schutz der Privatsphäre von Benutzern und die Achtung ihrer Datenrechte ist heute eine kritisch wichtige Aufgabe für Organisationen innerhalb der Europäischen Union und darüber hinaus, da Unternehmen, die gegen die DSGV verstoßen, zwangsläufg Sanktionen erwarten müssen. Gleichzeitig stellen Ransomware und Cryptominer auch weiterhin eine Bedrohung für Einzelpersonen und für Unternehmen dar. In diesem Quartal hat eine neue Malware, die Router und mobile Betriebssysteme angreift, bereits große Wirkung erzielt. Datenschutzverletzungen kommen auch in der Ära der DSGV weiter vor, so dass Cyberkriminelle in ihren Erpressungsmethoden heute oft auf die Verordnungen Bezug nehmen. Nähere Informationen dazu, wie Organisationen die Anforderungen der DSGV erfüllen können, erhalten Sie hier in unserem Whitepaper.

Page 39 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 7. FALLSTUDIE: LATEINAmERIkA – EIN NEUES VERSUCHSFELD

7. FALLSTUDIE: LATEINAMERIKA – EIN NEUES VERSUCHSFELD Lateinamerika hat sich in den letzten Jahren technologisch stark weiterentwickelt Das und die Verfügbarkeit des Internets und des mobilen Internets hat in der gesamten Sicherheitsbewusstsein Region stark zugenommen. Finanztechnologiedienste (FinTech) sind auf dem ist niedrig: ein Vormarsch und revolutionieren die Wirtschaft mit neuen, leicht zugänglichen Möglichkeiten für Menschen, auf Geld zuzugreifen, es zu bewegen und zu gemeinsamer Bericht investieren. Immer mehr Menschen in Lateinamerika haben heute ein Bankkonto der Inter-American und damit auch Zahlungskarten, mit denen sie Onlinetransaktionen durchführen Development Bank können, während andere FinTech-Unternehmen an Lösungen für Menschen ohne und der Organization Bankkonto arbeiten. of American States im Jahr 2016 stellte fest, Aber mit diesem Wachstum wächst natürlich auch die Zielgruppe für Cyberkriminelle, dass nur zwei Länder die Nutzer von Finanzdiensten betrügen wollen. Das Sicherheitsbewusstsein ist Lateinamerikas (Uruguay niedrig: ein gemeinsamer Bericht der Inter-American Development Bank und der und Kolumbien) eine Organization of American States im Jahr 2016 stellte fest, dass nur zwei Länder Lateinamerikas (Uruguay und Kolumbien) eine höhere Einstufung als 3/5 in Bezug höhere Einstufung auf gesellschaftliches Sicherheitsbewusstsein verdient hatten.7 Dies bedeutet, dass als 3/5 in Bezug auf die Bevölkerung auch einfachen und eher primitiven Formen der Cyberkriminalität gesellschaftliches gegenüber anfällig ist. Dieses Problem wird durch die schwache oder fehlende Sicherheitsbewusstsein Gesetzgebung zu Cyberkriminalität in vielen Ländern Lateinamerikas noch weiter verdient hatten. verschärft, da nur wenig getan werden kann, um illegale Aktivitäten einzudämmen.

Die gleiche Technologie, die Menschen zusammen bringt, vereint auch Cyberkriminelle, die in Untergrundforen nach Partnern suchen, in Facebook- Gruppen kompromittierte Datenbanken zum Verkauf anbieten und YouTube- Videos posten, die zeigen, wie Einzelhändler betrogen werden können.

Dieser Abschnitt enthält detaillierte situative Informationen, die Entscheidungsträgern helfen werden, ihre Unternehmen regional zu schützen, ihre strategischen geschäftlichen Prioritäten anzupassen und langfristige Erwägungen dazu anzustellen, wie Organisationen in Zukunft von ihren digitalen und realen Umgebungen betroffen sein könnten.

7.1. REGIONALE BETRUGSKAMPAGNEN Die gemeinsame Sprache, die mehr 7.1.1. REISEBRANCHE oder weniger über 7.1.1.1. Diebstahl von Treuepunkten ganz Lateinamerika Vorgebliche „Reisebüros“, die betrügerisch anbieten, Flüge, Hotels, Kreuzfahrten, verteilt ist, macht die Mietwagen, Touren und sonstige touristische Aktivitäten zu buchen, sind im Region einzigartig cyberkriminellen Untergrund keine Seltenheit. Angreifer, die diese Dienste in der Art und anbieten, gestatten Ihren Kunden, Reisen zu einem Bruchteil der normalen Kosten Weise, wie sich zu planen; typischerweise berechnen Anbieter dieser Art nur etwa 30 % bis 50 % cyberkriminelle Ideen der tatsächlichen Reisekosten der Reise. schnell von einem Land zum anderen Unsere Analysten haben diese Dienste in englischsprachigen Märkten gesehen, sowie in spanisch-, russisch- und französischsprachigen Foren. Die Tatsache, dass verbreiten können. diese Art von Betrug über sprachliche Grenzen hinausgeht, ist erstaunlich und sie unterstreicht den Reiz dieser Art von Angeboten. Außerdem zeigt sie, dass

Page 40 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 7. FALLSTUDIE: LATEINAmERIkA – EIN NEUES VERSUCHSFELD

unaufrichtige Reisedienste eine Art von Goldlöckchenposition in der Welt des Betrugs einnehmen: sie sind nicht so kompliziert, dass sie weniger entwickelte Angreifer abschrecken würden, aber komplex genug, dass die meisten Angreifer diese Dienste nicht allein bereitstellen können.

Abbildung 3: Der Angreifer mit dem Alias „TEKASHI69“ auf Cebolla Chan 3.0 sucht einen Partner mit „Kunden“, die an Hotel- und Flugbuchungsdiensten interessiert wären.

Unsere Analysten sind der Ansicht, dass die Mehrheit der Anbieter dieser Reisedienste gestohlene Treuepunkte verwenden. Diese Treuepunkte können aus Konten stammen, die direkt mit Reisedienstleistungen zusammenhängen – wie z. B. Bonusmeilen oder Hoteltreuepunkte – oder auch aus anderen Konten, die Reisepunkte als Bonus anbieten, wie z. B. ein Bankkonto mit Kreditkarte, die Bonusmeilen verdient.

Abbildung 4: JetBlue-Konten zum Verkauf in einem Untergrund-Kontoshop zeigen die Anzahl der Punkte (dritte Spalte), die mit dem kompromittierten Konto verbunden sind.

Während die meisten Angreifer wahrscheinlich kompromittierte Treuepunkte verwenden, haben unsere Analysten auch Anzeichen dafür gefunden, dass einige Anbieter kompromittierte Kreditkarteninformationen für solche Einkäufe nutzen.

Page 41 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 7. FALLSTUDIE: LATEINAmERIkA – EIN NEUES VERSUCHSFELD

Abbildung 5: Der Angreifer „patroncito“ auf Carding21 bietet Kunden die Fähigkeit, Flüge, Bustickets, Hotels, und Mietwagen zu buchen. patroncito zeigt ein Flugticket als Nachweis seiner Fähigkeiten an. Das Ticket wurde mit einer Kreditkarte und nicht mit Flugmeilen erworben.

Viele Reiseunternehmen, besonders solche, die in Lateinamerika aktiv sind, scheinen weder das Knowhow noch die Ressourcen zu haben, um diese Art von Betrug effektiv zu bekämpfen. Solange der Betrug relativ einfach durchzuführen, gewinnbringend und ohne schwerwiegende Folgen ist, werden Angreifer diese Dienste auch in Zukunft anbieten. Unsere Analysten gehen davon aus, dass diese Form von Betrug sich im cyberkriminellen Untergrund wahrscheinlich weiter vermehren wird.

7.1.2. EINZELHANDEL 7.1.2.1. Compras Compras sind für Carding, d. h. das Tätigen von Online-Einkäufen mit gestohlenen Kartendetails, das Betrüger attraktiv, im spanischen Sprachraum als „compras“ bezeichnet wird, stellt in verschiedenen was zum Teil auf die spanischsprachigen Untergrund-Communitys ein beliebtes Gesprächsthema dar. Es geringe Barriere weckt sowohl das Interesse von cyberkriminellen Einsteigern, die auf betrügerischem für den Zugang Weg Produkte beziehen möchten, als auch von erfahrenen Cyberkriminellen, deren zu dieser Art von Geschäftsmodell es ist, Compras im Namen zahlenden Kunden durchzuführen. Betrugs-Ökosystem zurückzuführen ist.

Abbildung 6: : Der Compras -Anbieter „John Lennon“, der im spanischsprachigen Carding-Forum Carding21 aktiv ist, beschreibt seinen Dienst. John Lennon listet Preise in mexikanischen Pesos auf.8

Page 42 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 7. FALLSTUDIE: LATEINAmERIkA – EIN NEUES VERSUCHSFELD

Compras sind typischerweise Käufe von Technologieartikeln, obwohl Kleidungsstücke auch ein beliebtes Ziel sind. Diese Waren werden oft von e-Commerce-Sites wie MercadoLibre und Amazon oder von Online-Einzelhändlern bezogen. Viele Compras-„Anbieter“ – Kriminelle, die sichere Carding-Einkäufe im Namen zahlender Kunden durchführen – erwägen nur Transaktionen mit einem Wert von mehreren hundert Dollar und sie berechnen ihren Kunden typischerweise ca. 30 % des Werts des erworbenen Produkts.

Abbildung 7: Ein zufriedener Kunde von John Lennon mit dem Alias „FOREVER34“ postet ein Foto auf Carding21, das für John Lennons Dienste bürgt.

Mehrere erfahrene Carder im spanischsprachigen Untergrund haben umfassende Anleitungen zum Durchführen von Compras-Betrügen veröffentlicht. In einer solchen Anleitung, die vom Administrator des spanischsprachigen Darknet- Cardingforums „Darkside“ verfasst wurde, fndet man die folgenden Anweisungen (übersetzt aus dem spanischen Original):9 Bevor du einen [betrügerischen] Kauf tätigst, musst du die [kompromittierte] Karte mit dem Konto verknüpfen [das du gerade erstellt hast] und 24 Stunden warten. Wenn das Konto nach 24 Stunden nicht gesperrt wurde oder ähnlich, können wir den [betrügerischen] Kauf durchführen... Wenn die Karte als fehlend gemeldet oder storniert wurde, ist das Schlimmste, das passieren kann, dass die Transaktion storniert wird. In dem Fall wissen wir dann, dass die Karte für uns nicht nützlich ist.

Page 43 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 7. FALLSTUDIE: LATEINAmERIkA – EIN NEUES VERSUCHSFELD

If the card is reported as missing or is canceled, the worst that can happen is they will cancel the purchase and we’ll [now] know for a fact that that card is not useful to us. Außerdem wir Viele der cyberkriminellen Anleitungen für Compras, wie z. B. auf Darkside, sich e-Commerce empfehlen den Betrügern, kompromittierte Kreditkarteninformationen und neu in Lateinamerika angelegte Konten zu verwenden. Nach Meinung unserer Analysten besteht eine zunehmend realistische Möglichkeit, dass auch kompromittierte Einzelhandelskonten für diese verbreiten, da die Art von Betrug verwendet werden können, wenn auch in deutlich geringerem Internetdurchdringung Umfang. zusammen mit der Anzahl von Menschen Kompromittierte Zahlungskarten sind in Untergrundforen oder Kartenshops leicht zu mit Bankkonten ständig fnden. Da die Käufe online getätigt werden, entfallen die Kosten und der Aufwand für die Erstellung von physischen Kartenduplikaten. Aussagen von Cyberkriminellen ansteigt. zu Compras deuten darauf hin, dass viele Einzelhandelsunternehmen in Lateinamerika nicht in der Lage sind, diese Art von Betrug effektiv zu verfolgen oder zu verhüten. Beispielsweise geben viele Compras-Anleitungen an, dass es sicher ist, betrügerische Einkäufe direkt an die Adresse des Auftraggebers zu senden. Dies unterstreicht, dass Einzelhändler und e-Commerce-Sites solche Verstöße weder erkennen noch herausstellen können. Da es zunehmend Nach Einschätzung unserer Analysten ist es sehr wahrscheinlich, dass sowohl alte als schwieriger wird, auch neue Cyberkriminelle auch weiterhin von dieser Art des Betrugs angezogen nordamerikanische sein werden. und europäische Unternehmen zu 7.1.2.2. Rückerstattungsbetrug betrügen, sind Betrüger haben Interesse an einer Masche gefunden, bei der unter Vorspiegelung unsere Analysten falscher Tatsachen Rückerstattungen von großen Einzelhändlern eingefordert der Ansicht, dass werden. Ein bekanntes Mitglied des englischsprachigen Forums MPGH Rückerstattungsbetrug (MultiPlayer Game Hacking), wo Rückerstattungsbetrug regelmäßig diskutiert wird sich besonders im und Kriminelle anbieten, Rückerstattungen im Namen ihrer Kunden zu veranlassen, lateinamerikanischen beschrieb Rückerstattungsbetrug wie folgt:10 Untergrund stärker Eine Rückerstattungsdienst ist ein Dienst, bei dem dir die Kosten von Artikeln, die verbreiten wird. du erworben hast, zurückerstattet werden, so als ob du sie nie gekauft hast, während du die Artikel selbst behältst. Der typische Prozess, den ich dafür empfehle, ist der folgende:

• Kontaktiere einen Rückerstatter [Rückerstattungsanbieter] und frage ihn, ob der gewünschte Artikel rückerstattet werden kann (wenn dies nicht bereits ausdrücklich in seinem Thread beschrieben wurde).

• Bestelle und kaufe den Artikel.

• Warte, bis der Artikel geliefert wird.

• Kontaktiere den Rückerstatter, um die Erstattung abzuschließen, und stelle ihm die erforderlichen Informationen bereit, die von Site zu Site unterschiedlich sein können.

Die Risiken dabei sind offensichtlich. Die Rückerstattung eines Artikels ist an und

Page 44 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 7. FALLSTUDIE: LATEINAmERIkA – EIN NEUES VERSUCHSFELD

für sich Betrug, aber der Grund dafür, dass Rückerstattung möglich ist, liegt daran, dass sie plausibel ist. Alle Gründe und Methoden, die Rückerstatter verwenden, sind hier auf MPGH veröffentlicht, aber nicht jeder kann am Telefon überzeugend mit Sachbearbeitern sprechen und sie auf sichere und elegante Weise zu einer Rückerstattung veranlassen.

Im Gegensatz zum Compras-Betrug, verwendet Rückerstattungsbetrug keine kompromittierten Kreditkarteninformationen, sondern er setzt auf Social Engineering-Methoden, um eine Erstattung zu sichern. Rückerstattungsbetrüger versuchen Kundendienstmitarbeiter davon zu überzeugen, dass beim Versand oder bei der Zustellung des Produkts ein Problem aufgetreten ist. Häufg verwendete Erfndungen sind dabei, dass das Paket nicht angekommen ist, dass das Paket gestohlen wurde, dass es leer war oder dass die Artikel innerhalb des Paketes auf irgend eines Weise beschädigt waren.

Rückerstattungsbetrüger fndet man in einer Vielzahl cyberkrimineller Untergrund- Communitys, sowohl im englisch- als auch im russischsprachigen Raum. In geringerem Maße sind sie auch im spanischsprachigen Untergrund vertreten.

Da es zunehmend schwieriger wird, nordamerikanische Abbildung 8: Der Angreifer mit dem Alias „AmazonRefundGlobal“ bietet seine Dienste zum Sichern von Amazon-Rückerstattungen auf Carding21 an. und europäische AmazonRefundGlobal deutet an, dass er in der Lage ist, betrügerischen Unternehmen zu Rückerstattungen von Amazon überall in der Welt erreichen zu können.11 betrügen, sind unsere Analysten Viele Rückerstattungsbetrüger greifen gegenwärtig US-amerikanische Unternehmen der Ansicht, dass (und, in geringerem Maße, europäische und kanadische Firmen) an, aufgrund der Rückerstattungsbetrug Begehrtheit dieser Produkte und wegen des riesigen Kundenpotenzials in diesen sich besonders im Regionen. Lieferungsvereinbarungen und grenzenübergreifende standardisierte lateinamerikanischen Vorschriften in diesen Regionen – wie z. B. innerhalb der Europäischen Union Untergrund stärker oder zwischen den USA und Kanada – machen den Versand zu einem geringeren verbreiten wird. Problem. Lateinamerikanische Cyberkriminelle müssen oft Umschlagsdienste in Anspruch nehmen, um Produkte über Grenzen zu bewegen, was zu zusätzlichen Komplikationen führt. Viele Einzelhändlern in Nordamerika und Europa beginnen jedoch, ernsthafte Maßnahmen gegen Rückerstattungsbetrug zu ergreifen und sie implementieren zu diesem Zweck Maßnahmen wie Signaturen bei Auslieferung oder das Wiegen von Paketen beim Transport.

Da es zunehmend schwieriger wird, nordamerikanische und europäische Unternehmen zu betrügen, sind unsere Analysten der Ansicht, dass Rückerstattungsbetrug sich besonders im lateinamerikanischen Untergrund stärker verbreiten wird. Englischsprachige Rückerstattungsbetrüger könnten entscheiden, ihre alten Methoden, die in ihrer Umgebung nicht mehr funktionieren, für Cyberkriminelle in anderen Sprachgemeinschaften verfügbar zu machen.

Page 45 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 7. FALLSTUDIE: LATEINAmERIkA – EIN NEUES VERSUCHSFELD

Gleichermaßen könnten erfahrene Rückerstattungsbetrüger mit spanischen oder portugiesischen Sprachkenntnissen in diese Märkte eindringen. Außerdem wir Außerdem wir sich e-Commerce in Lateinamerika zunehmend verbreiten, da die sich e-Commerce Internetdurchdringung zusammen mit der Anzahl von Menschen mit Bankkonten in Lateinamerika ständig ansteigt. Je mehr Personen e-Commerce-Plattformen verwenden, desto zunehmend mehr werden Betrüger testen, ob sie dies zu ihrem eigenen Vorteil ausnutzen verbreiten, da die können. Internetdurchdringung zusammen mit der 7.1.2.3. Binero-Betrug Anzahl von Menschen „Binero“ ist eine eigentümliche und weit verbreitete Art von Betrug, die im mit Bankkonten ständig lateinamerikanischen Untergrund häufg diskutiert wird. An Binero interessierte ansteigt. Kriminelle bemühen sich, bestimmte Bank-Identifkationsnummern (BINs) zu identifzieren, die von Online-Zahlungsverarbeitern nicht ordnungsgemäß validiert wurden. Nachdem eine nicht korrekt validierte BIN und die dazugehörige Website entdeckt wurden, fabriziert der Betrüger den Rest der erforderlichen Informationen, die erforderlich sind, um einen Onlinekauf zu tätigen, wie z. B. wie die restlichen 10 Ziffern der Kartennummer und ihr Ablaufdatum.

Betrüger diskutieren Binero-Aktionen in Untergrundforen, Telegram-Gruppen und sogar auf YouTube, wo sie auch Kombinationen von unsicheren BINs und Websites untereinander austauschen. Die Mehrzahl dieser Aktivitäten erfolgt im spanischsprachigen Untergrund, obwohl Gespräche zu Binero-Betrug auch in portugiesischsprachigen Foren zu fnden ist.

Abbildung 9: Ein YouTuber teilt ein Video, das einen Kauf auf MercadoLibre Mexiko mit einer fabrizierten Kartennummer über ein BIN-Muster zeigt. Dieses Video wurde am 25. Januar 2018 hochgeladen.

Nach Einschätzung unserer Analysten ist es wahrscheinlich, dass Betrüger Websites, die BINs fälschlich validieren, durch manuelles Ausprobieren ermitteln. Nachdem Sie eine BIN (oder ein „Kartenmuster“, wie oben beschrieben) gefunden haben, verlassen die Betrüger sich normalerweise auf

Page 46 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 7. FALLSTUDIE: LATEINAmERIkA – EIN NEUES VERSUCHSFELD

Kartengeneratoren, um die übrigen Informationen auf realistische Art und Weise auszufüllen. Kartengeneratoren erzeugen in der Regel eine realistische 16-stellige Kartennummer, ein Ablaufdatum und einen CVV-Code.

Abbildung 10: Namso-Generator liefert Ergebnisse für BIN 45156. Namso und andere Kartennummergeneratoren typischerweise kostenlos erhältlich.

An Binero interessierte Kriminelle tauschen Kombinationen von unsicheren BINs und Websites (da die BIN spezifsch für eine gefährdete Website ist) oft untereinander aus, was einerseits ihr Vertrauen in die Methode und andererseits die Bedeutung von Ansehen in dieser Community illustriert.

Viele Cyberkriminelle setzen Binero-Methoden ein, um Online-Streamingdienste wie Netfix oder Spotify zu betrügen, und in geringerem Maße auch gegen e-Commerce Sites und Online-Einzelhändler.

Binero hat auch das Interesse lateinamerikanischer Cyberkrimineller erweckt, sodass spanischsprachige Foren häufg Binero-Unterforen haben, in denen Anleitungen zum Binero-Betrug verfügbar sind. Aus diesem Grund sind unsere Analysten der Ansicht, dass Binero für Cyberkriminelle in der Region wahrscheinlich auch in Zukunft von großem Interesse sein wird.

7.1.2.4. Zusätzliche Informationen zum Einzelhandel Obwohl der Betrug von Einzelhändlern für lateinamerikanische Cyberkriminelle von Interesse ist, konnten unsere Analysten unter Kriminellen kein starkes Interesse an kompromittierten Einzelhandelskonten identifzieren. Einzelhandelsbezogene Checker und Bruteforcers sind im spanisch- und portugiesischsprachigen Untergrund unübllich und wenn sie angeboten werden, handelt es sich in der Regel um englisch- oder russischsprachige Tools. Gleichermaßen sind Kontoshops typischerweise in englischer Sprache und sie bieten nur selten kompromittierte Konten lateinamerikanischer Einzelhändler an. Nichtsdestotrotz konnten unsere Analysten eine Handvoll von Angreifern identifzieren, die an kompromittierten Einzelhandelskonten interessiert sind.

Page 47 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 7. FALLSTUDIE: LATEINAmERIkA – EIN NEUES VERSUCHSFELD

Abbildung 11: Abbildung 18: Der Angreifer mit dem Alias „enriquetask2“ sucht auf Carding21 Hilfe zur Nutzung kompromittrierter Walmart-Konten.12

Unsere Analysten konnten im lateinamerikanischen Untergrund keine größeren Betrugskampagnen zu Geschenk- oder Prepaid-Karten identifzieren. In anderen Untergrund-Communitys sind Geschenk- und Prepaid-Karten oft eine beliebte Methode, um kompromittierte Informationen zu Geld zu machen. Der Mangel an Informationen zu dieser Art von Betrug im cyberkriminellen Untergrund deutet Viele darauf hin, dass er entweder nicht beliebt ist, oder dass er organisiert und außerhalb lateinamerikanische der Untergrundforen durchgeführt wird. Finanzinstitutionen haben EMV- 7.1.3. SKIMMING Sicherheitsmaßnahmen Viele lateinamerikanische Finanzinstitutionen haben EMV-Sicherheitsmaßnahmen für Zahlungskarten lange für Zahlungskarten lange vernachlässigt, so dass die Region besonders anfällig vernachlässigt, so dass gegenüber Skimming ist. Dabei verwenden Angreifer so genannte „Skimmer“, die Region besonders d. h. Geräte, welche die codierten Spurdaten auf dem Magnetstreifen einer anfällig gegenüber Zahlungskarte lesen, aufzeichnen und auf diese Weise stehlen. Skimming ist. Betrüger fügen Skimmer oft in Point-of-Sale (POS)-Geräte oder Geldautomaten (ATMs) ein, um Informationen aus Zahlungskarten heimlich zu erfassen. Betrüger, die in der Dienstleistungsbranche tätig sind und regelmäßig mit hochwertigen Zahlungskarten in Berührung kommen (siehe „Insider-Bedrohungen“), verwenden Betrüger, die in der möglicherweise auch Skimmer im Taschenformat, um Daten von Kundenkarten Dienstleistungsbranche manuell zu erfassen. tätig sind und Die niedrige Zugangsschwelle von Skimming macht diese Art von Betrug besonders regelmäßig mit für Einsteiger sehr attraktiv. In seiner einfachsten Form erfordert es nur wenig hochwertigen Spezialkenntnisse und Skimmer können problemlos online erworben werden. Zahlungskarten in Sowohl legitime e-Commerce-Sites, wie MercadoLibre in Lateinamerika, als auch Berührung kommen Foren und Marktplätze im Dark Web führen und verkaufen Skimming-Geräte. (siehe „Insider- Bedrohungen“), verwenden möglicherweise auch Skimmer im Taschenformat, um Daten von Kundenkarten manuell zu erfassen.

Page 48 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 7. FALLSTUDIE: LATEINAmERIkA – EIN NEUES VERSUCHSFELD

Abbildung 12: Ein Skimmer zum Verkauf auf MercadoLibre Mexiko. Es gibt auch legitime Gründe für die geschäftliche Verwendung von Skimmern, aber Cyberkriminelle können sich problemlos Zugang zu diesen Produkten verschaffen und sie missbrauchen.

Obwohl der Kauf von Skimmern auf e-Commerce-Sites vielleicht die bequemste Möglichkeit ist, werden risikoscheue Cyberkriminelle diese Geräte eher im Dark Web erwerben, um ihre Privatsphäre zu schützen und ihre illegalen Aktivitäten vor Strafverfolgungsbehörden zu tarnen. Anbieter im Dark Web verkaufen Skimmer auch oft gebündelt mit Produkten wie Software zum Schreiben auf Zahlungskarten oder Anleitungen zum Durchführen von Zahlungskartenbetrug. Erfolgten allein Skimming ist in der Region weit verbreitet und führt für Verbraucher, Einzelhändler im Zeitraum und Finanzinstitute zu beträchtlichen Verlusten. Nach einem im Januar 2018 von Januar bis veröffentlichten Bericht der mexikanischen Nationalen Kommission für den September 2017 Schutz und die Verteidigung von Finanzdienstbenutzern (Comisión Nacional para über 1,6 Millionen la Protección y Defensa de los usuarios de Servicios Financieros, CONDUSEF) Betrugsmeldungen erfolgten allein im Zeitraum von Januar bis September 2017 über 1,6 Millionen in Bezug auf Betrugsmeldungen in Bezug auf kompromittierte Karten an POS-Geräten.13 Dabei kompromittierte nahm Skimming die überwiegende Mehrheit dieser Fälle ein. Karten an POS- Geräten. 7.1.3.1. EMV Skimming EMV-Chips für Karten wurden weltweit eingeführt, um die Flut von Spurdatenverletzungen an kompromittierten POS-Geräten einzudämmen. Im Gegensatz zu Magnetstreifendaten, die nicht verschlüsselt sind und unverändert bleiben, bis die Karte abläuft, sind die auf EMV-Chips gespeicherten Informationen verschlüsselt. Bei Karten mit dynamischer Datenauthentifzierung (DDA) werden die Daten bei jeder Transaktion neu und eindeutig verschlüsselt, während die verschlüsselten Daten bei Karten mit statischer Datenauthentifzierung (SDA) für alle Transaktionen gleich bleibt. Die fxierte Verschlüsselung von SDA-Karten macht diese daher weniger sicher als ihre DDA-Gegenstücke.

Seit der Einführung von EMV-Chips haben Cyberkriminelle nach neuen und kreativen Wegen gesucht, um diese Sicherheitsmaßnahmen zu umgehen. SDA-Karten sind in Lateinamerika weit verbreitet und dies macht die Region zu einem Nährboden für das EMV-Cracking. So fndet man im kriminellen Untergrund heute schon Angreifer, die vorgebliche EMV-Skimmer und Technologie zum Schreiben auf EMV-Chips

Page 49 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 7. FALLSTUDIE: LATEINAmERIkA – EIN NEUES VERSUCHSFELD

zum Verkauf anbieten. Besonders haben sich brasilianische Betrüger fundierte Kenntnisse in der Entwicklung von EMV-Skimmern und der dazugehörigen Software angeeignet. Berichte aus der Region bestätigen, dass diese Art von Betrugs nicht ungewöhnlich ist.14 Obwohl brasilianischen Angreifer sich in diesem Bereich als besonders qualifiziert erwiesen haben, experimentieren auch spanischsprachige Cyberkriminelle mit EMV-Skimming und Technologie zum Schreiben auf Chipkarten.

Abbildung 13: Ein Angreifer postet ein Video in portugiesischer Sprache auf YouTube, in dem eine Person EMV-Chipdaten auf eine JCOP-Chipkarte zu schreiben scheint.

Obwohl brasilianischen Angreifer sich in diesem Bereich als besonders qualifziert erwiesen haben, experimentieren auch spanischsprachige Cyberkriminelle mit EMV-Skimming und Technologie zum Schreiben auf Chipkarten. Sie stützen sich dabei häufg auf bestehende brasilianische und russische Technologie, um ihre Ziele zu erreichen. Auf Foren und Marktplätzen wird eine Vielzahl nicht verifzierter Software zum Skimmen und Schreiben von EMV-Karten angeboten.

Abbildung 21: „BUDDHA’S FAMILY“, ein Administrator des spanischsprachigen

Page 50 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 7. FALLSTUDIE: LATEINAmERIkA – EIN NEUES VERSUCHSFELD

Carding-Forums Carding21, bietet „EMV-Reader Writer Software“ zum Verkauf an. BUDDHA’S FAMILY hat dieses Programm jedoch nicht selbst entwickelt. Obwohl das Kontrollkästchen für „Dynamic Data Authentication“ aktiviert ist, haben Analysten bisher noch keine erfolgreichen Angriffe auf DDA-Karten gesehen.

7.2. PHISHING Phishing ist nach wie vor ein großes Problem in allen Sektoren und Regionen. Obwohl Phishing-Angreifer in der Regel weniger weit entwickelt sind als Kriminelle, die Malware verwenden oder größere Betrugskampagnen durchführen, stellen sie Beispielsweise dennoch eine ständige Bedrohung dar, der sich alle Organisationen bewusst sein reagierten mehr als sollten. 50.000 Brasilianer Gespräche und Angebote zu Phishing sind im lateinamerikanischen cyberkriminellen im April 2017 über Untergrund sehr weit verbreitet, speziell in portugiesischsprachigen Communitys. einen Zeitraum Phishing kann für Cyberkriminelle sehr lukrativ sein, da das mangelnde allgemeine von nur fünf Sicherheitsbewusstsein in Lateinamerika viele Menschen sogar sehr einfachen Tagen auf eine Angriffen gegenüber anfällig macht. Beispielsweise reagierten mehr als 50.000 Phishingnachricht, Brasilianer im April 2017 über einen Zeitraum von nur fünf Tagen auf eine die über WhatsApp Phishingnachricht, die über WhatsApp verbreitet wurde.15 verbreitet wurde.

Abbildung 14: Eine Phishing-Seite, die die mexikanische Organisation AMH imitiert, versucht Opfer zu verleiten, ihre PayPal-Anmeldeinformationen preiszugeben.

Brasilien weist die größte Anzahl von Phishing-Angriffen weltweit auf, so dass fast ein Viertel der Bevölkerung in der ersten Jahreshälfte von 2018 Ziel von Phishing- Angriffen war oder diesen zum Opfer fel.16 Darüber hinaus sind Argentinien, Venezuela und Bolivien unter den zehn Ländern, die am stärksten von Phishing

Page 51 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 7. FALLSTUDIE: LATEINAmERIkA – EIN NEUES VERSUCHSFELD

Zwischen dem betroffen sind, und viele andere lateinamerikanische Länder sehen Phishing- 1. Dezember Angriffe als wachsendes Problem innerhalb ihrer Grenzen an.17 2017 und dem Im November 2018 konnten wir 125 kriminelle Server verzeichnen, die Phishing- 30. November Seiten mit mexikanischen TLDs hosten. Zwischen dem 1. Dezember 2017 und dem 2018 waren mehr 30. November 2018 waren mehr als 71 % der insgesamt 1.800 kriminellen Server mit als 71 % der mexikanischen TLDs mit Phishing verbunden. insgesamt 1.800 kriminellen Server mit mexikanischen TLDs mit Phishing verbunden.

Abbildung 15: Unsere Daten zu kriminellen Servern in den Jahren 2017 und 2018 zeigen einen Aufwärtstrend (in rot) für Phishing-Seiten mit mexikanischen TLDs.

7.2.1. IN PORTUGIESISCHER SPRACHE Cyberkriminelle erstellen, verkaufen und tauschen Phishing-Seiten für Proft. Die Instabilität von cyberkriminellen Foren und Marktplätzen in portugiesischer Sprache, die oft länger ausfallen oder sogar einfach verschwinden, hat dazu geführt, dass viele brasilianische Cyberkriminelle auf legitime Plattformen wie MercadoLibre (MercadoLivre in Portugiesisch) und YouTube ausweichen, um für ihre Produkte zu werben und sie zu verkaufen.

Abbildung 16: Ein Walmart-Phishing-Seite zum Verkauf auf MercadoLivre.18 Die Seite wird für R$120 (31,71 USD) angeboten.

Page 52 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 7. FALLSTUDIE: LATEINAmERIkA – EIN NEUES VERSUCHSFELD

Abbildung 17: Ein Benutzer mit dem Alias „Gamer Strike“ teilt ein YouTube- Video, das für eine Phishing-Seite wirbt, welche die Banco do Brasil zum Ziel hat.19 Interessierte Parteien werden gebeten, den Benutzer auf Facebook zu kontaktieren.

7.2.2. IN SPANISCHER SPRACHE Cyberkriminelle Foren in spanischer Sprache sind im Gegensatz zu ihren portugiesischen Kollegen relativ stabil, was den Handel mit Phishing-Seiten in diesen Räumen ermöglicht.

Abbildung 18: Ein Benutzer des spanischen Carding-Forums Libertor mit dem Alias „Feijy“ wirbt für mehrere Phishing Seiten, die zum Verkauf stehen.

Neben dem Verkauf von vorgefertigten Phishing-Seiten haben verschiedene Angreifer im spanischsprachigen cyberkriminellen Untergrund ausführliche Anleitungen dazu veröffentlicht, wie Leser ihre eigenen Phishing-Seiten erstellen können. Beispielsweise hat der Angreifer „DarkSide“, Administrator des spanischsprachigen Dark Web-Forums Libertor, zwei beliebte Anleitungen auf dem Forum veröffentlicht, die das Erstellen von Facebook- und Twitter-Phishing-

Page 53 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 7. FALLSTUDIE: LATEINAmERIkA – EIN NEUES VERSUCHSFELD

Seiten beschreiben.20,21 Obwohl die Artikel im Mai und Juni 2017 gepostet wurden, erwecken beide Threads auch heute noch Interesse.

7.2.3. CRIMEWARE-AS-A-SERVICE Verschiedene auf Phishing bezogene Crimeware-as-a-Service (CaaS)-Angebote sind im lateinamerikanischen Untergrund verfügbar – besonders in portugiesischer Sprache. Diese Dienste werden typischerweise in WordPress-Blogs angepriesen, wo auch die verschiedenen Angebote und Preisoptionen beschrieben sind. Unsere Analysten haben einen solchen Dienst identifziert, der unter dem Namen „Dr. InfoDNS“ geführt wird Dr. InfoDNS ermöglicht interessierten Parteien, Hosting-Infrastruktur zu mieten, und hilft diesen Angreifern potenzielle Opfer zu identifzieren.22 Der günstigste Plan von Dr. InfoDNS kostet R$1,000 (266,25 USD) pro Woche und bietet die folgenden Dienste (Übersetzung des portugiesischen Originals):

Neulinge bezahlen Besteht aus 3 Servern, 1 für das Hosten von [Phishing] für Hilfe bei Seiten und 2 für DNS-Systeme (Umleitung). ihrem Eintritt in die Welt der In diesem Modul zahlst du PRO PHISHING-SEITE ONLINE Cyberkriminalität, und das Infzieren von Opfern ist meine Verantwortung während erfahrene Cyberkriminelle Daher brauchst du dir keine Gedanken über die technischen die Dienste Aspekte zu machen, sende [uns] nur eine E-Mail, um die nutzen können, [gestohlenen] Informationen zu erhalten. um bestimmte Elemente ihrer Die von Dr. InfoDNS angebotenen Dienste sind sowohl für Einsteiger als auch für Betrugskampagnen erfahrene Cyberkriminelle interessant. Neulinge bezahlen für Hilfe bei ihrem Eintritt auszulagern. in die Welt der Cyberkriminalität, während erfahrene Cyberkriminelle die Dienste nutzen können, um bestimmte Elemente ihrer Betrugskampagnen auszulagern. Außer für den Außer für den Diebstahl von Zahlungskartendaten werden Phishing-Seiten Diebstahl von von Cyberkriminellen auch verwendet, um sich Anmeldeinformationen, Zahlungskartendaten personenbezogene Daten oder andere monetarisierbare Informationen werden Phishing-Seiten anzueignen. von Cyberkriminellen auch verwendet, um sich Phishing-Kits sind ein weiteres CaaS-Angebot, das bereits seit mehreren Jahren Anmeldeinformationen, weit verbreitet ist. Sie werden in der Regel von Angreifern verwendet, die entweder personenbezogene nicht besonders qualifziert oder Einsteiger in die Cyberkriminalität. Kits werden Daten oder andere in cyberkriminellen Foren zum Verkauf angeboten, obwohl einige sogar öffentlich verfügbar sind und seit Jahren immer wieder neue Verwendung fnden. Es ist monetarisierbare daher nicht ungewöhnlich, das Jahr 2012 in der Copyright-Zeile von derzeit aktiven Informationen Phishing-Kits zu sehen. Die Kriminellen verwenden einfach das gleiche Phishing- anzueignen. Kit, ändern einige Dateien und laden sie auf kompromittierte Websites hoch. Man sieht daher häufg bestimmte Dateien und Code-Snippets, die in verschiedenen Phishing-Kits auftauchen.

7.3. MALWARE Dieser Abschnitt enthält einen Überblick über die wichtigsten Arten von Malware,

Page 54 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 7. FALLSTUDIE: LATEINAmERIkA – EIN NEUES VERSUCHSFELD

die in Lateinamerika gefunden werden, mit speziellem Fokus auf RAT- und POS- Malware. Er schließt mit einer Fallstudie der Emotet-Malware, die in letzter Zeit Unsere Analysten sehr aktiv und besonders auf mexikanische E-Mail-Adressen gerichtet war. haben ermittelt, dass Mexiko, Kolumbien, 7.3.1. FERNZUGRIFFS-TROJANER: DIE BEVORZUGTE MALWARE IN LATEINAMERIKA Brasilien, Argentinien und Peru unter den Unsere Analysten haben ermittelt, dass Mexiko, Kolumbien, Brasilien, Argentinien und Peru unter den lateinamerikanischen Ländern am stärksten von Malware- lateinamerikanischen Distribution betroffen sind. Die meisten Malware-Familien, die in diesen Ländern Ländern am stärksten gefunden werden, sind Fernzugriffs-Trojaner (Remote Access Trojans, RATs), wobei von Malware- njRAT, DarkComet XtremeRAT die beliebtesten Typen darstellen. Distribution betroffen sind

Page 55 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 7. FALLSTUDIE: LATEINAmERIkA – EIN NEUES VERSUCHSFELD

7.3.1.1. DARKCOMET

Name DarkComet

Zuerst gesehen 2008

Zuletzt gesehen Gegenwärtig aktiv

Verkaufsplattform Frei verfügbar auf eine Reihe von Schwarzmärkten

Autor/Angreifer Jean-Pierre Lesueur (DarkCoderSc)

Weniger als eine Preis Kostenlos Woche nach dem Syrische Regierung: Im Jahr 2012 behaupteten Pariser Anschlag Gegner des syrischen Regimes, dass die Regierung vom 7. Januar 2015 einen Trojaner verwendet hatte, um das Netzwerk der wurde DarkComet- Demonstranten zu überwachen und zu stören. Malware gefunden, SynBots: Eine Kampagne im Jahr 2012, die auf Benutzer die auf französische Angreifer, die von Runescape und andere Gaming-Communitys Systeme die Malware gerichtet war. gerichtet war verwenden und den Hashtag Iranische Hacker aus dem Ashiyane-Forum: Weniger #JeSuisCharlie als eine Woche nach dem Pariser Anschlag vom 7. verwendete. Januar 2015 wurde DarkComet-Malware gefunden, die auf französische Systeme gerichtet war und den Hashtag #JeSuisCharlie verwendete.

DarkComet ist ein Freeware-RAT, der im Jahr 2008 von Jean-Pierre Lesueur entwickelt wurde. Er begann sich im Jahr 2012 zu verbreiten. Die aktuelle Version ist 5.3.1 und sie ist kostenlos im Internet erhältlich. Beschreibung Zu den Funktionen dieses RAT gehören: Verwaltung von Prozessen, Registrierung, Fenstern, Dateien und Netzwerkfreigaben, Remote Shell, Password Stealer, Webcam, Keylogger, IP-Scanner, DDoS und vieles mehr.

Page 56 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 7. FALLSTUDIE: LATEINAmERIkA – EIN NEUES VERSUCHSFELD

7.3.1.2. NJRAT

Name njRAT

Zuerst gesehen 2012

Zuletzt gesehen Gegenwärtig aktiv

Verkaufsplattform Geknackte Versionen sind im Internet zu fnden

Autor/Angreifer Njq8

Preis Kostenlos

Skayzzen und AllyzzCorp: Version 0.7 wurde im Jahr 2013 von diesen beiden Angreifern entwickelt.

Da dieser Dienst Saudi-arabische Hacker: Im Jahr 2015 wurde eine aus Saudi- speziell für Angreifer, die Arabien stammende njRAT-Kampagne beobachtet, die alte Gamer entwickelt die Malware FakeAV-Taktiken verwendete. verwenden wurde, gehört Discord VoIP-Chatserver: Im Jahr 2016 verwendeten die Mehrheit der Angreifer Discord VoIP-Chatserver, um njRAT zu hosten. Da Ziele zur Gaming- dieser Dienst speziell für Gamer entwickelt wurde, gehört Community. die Mehrheit der Ziele zur Gaming-Community.

NjRAT ist ein in .NET geschriebener Mehrzweck-RAT mit den folgenden Funktionen:

• Remote desktop

• Verwaltung von Netzwerk, Dateien, Registrierung, Fenstern und Prozessen

• Informationen zum infzierten Computer (IP-Adresse, vollständiger Name, vollständige Benutzername, Betriebssystem, Installationsdatum, Land)

• Herunterladen und Ausführen einer Datei von einem Datenträger oder über einen URL

• Remote shell Beschreibung • Webcam-Erfassung

• Audio-Erfassung

• Keylogger

• Stehlen von Kennwörtern für Browser und andere Anwendungen

Nachdem der Quellcode von njRAT offengelegt wurde, erschient eine darauf basierende Wurm-Variante (njworm oder h-worm). Aus diesem Grund ist die am häufgsten verteilte Version 0.7d.

Page 57 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 7. FALLSTUDIE: LATEINAmERIkA – EIN NEUES VERSUCHSFELD

7.3.1.3. XTREMERAT

Name XtremeRAT

Zuerst gesehen 2010

Zuletzt gesehen Gegenwärtig verfügbar

Frei verfügbar auf eine Reihe von Cyber- Verkaufsplattform Schwarzmärkten

Autor/Angreifer XtremeCoder

Kostenlos. Der Autor berechnete 350 EUR für den Preis Quellcode, bevor er online offengelegt wurde.

Molerats: Im Jahr 2012 wurde XtremeRAT in einer Kampagne gegen verschiedene Regierungen sowie gegen israelische und palästinensische Ziele eingesetzt, die als „Operation Molerats“ bekannt wurde.

PackRat: In den Jahren 2013 und 2014 scheint PackRat Angreifer, die ebenfalls XtremeRAT übernommen zu haben. die Malware Kolumbianische Gruppen: Im Jahr 2015 verwenden verwendeten mindestens vier verschiedene Gruppen bösartige E-Mail-Anlagen, um den W32.Extrat- Fernzugriffstrojaner an Mitarbeiter kolumbianischer Finanzorganisationen zu liefern.

Malspam: Am 1. August 2017 wurde Aktivität von Malspam festgestellt, die eine Variante von XtremeRAT bereitstellte.

XtremeRAT ist ein frei verfügbarer Mehrzweck-RAT. Er wurde in verschiedenen Kampagnen auf der ganzen Welt eingesetzt und verteilt und fndet auch heute noch Verwendung Die neueste Version, die gefunden wurde, ist 3.9.

Nachdem eine Maschine infziert wurde, nehmen Bots Verbindung mit dem C2 auf, um Befehle zu erhalten. Die folgenden Funktionen sind verfügbar: Verwaltung von Dateien, Prozessen, Fenstern, Diensten, Registrierung, Beschreibung Zwischenablage und Gerätelisten, Desktop, Webcam- und Audio-Erfassung, Chat, Keylogger, Herunterladen/Ausführen usw.

Der RAT speichert seine Konfguration in einer Datei auf der Festplatte und verschlüsselt sie mit RC4 und einem festen Schlüssel.

Die am häufgsten verteilten Versionen sind 2.9 und 3.6 Private.

Page 58 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 7. FALLSTUDIE: LATEINAmERIkA – EIN NEUES VERSUCHSFELD

7.3.2. POINT OF SALE (POS) POS-Malware ist in allen Regionen der Erde weit verbreitet. Die starke Abhängigkeit Die starke Abhängigkeit von von Magnetstreifentransaktionen in Lateinamerika macht diese Region jedoch Magnetstreifentransaktionen besonders anfällig für massive Verletzungen aufgrund von POS-Malware. in Lateinamerika macht diese Region jedoch besonders Dennoch wird Malware, mit Ausnahme von einfachen RATs, im lateinamerikanischen Untergrund kaum diskutiert. Unsere Analysten sind der Ansicht, dass das anfällig für massive Desinteresse lateinamerikanischer Angreifer an Malware an der der relativen Verletzungen aufgrund von Leichtigkeit liegen könnte, mit der Cyberkriminelle in der Region einfachere POS-Malware. Angriffsmöglichkeiten wie z. B. Phishing-Seiten erfolgreich einsetzen können. Technisch weiter entwickelte lateinamerikanische Cyberkriminelle haben oft Profle auf Foren in spanischer oder portugiesischer Sprache aber darüber hinaus auch auf stärker Malware-orientierten russisch- oder englischsprachigen Foren. Dies deutet darauf hin, dass ein robuster cyberkrimineller Markt für den Verkauf von Malware in Lateinamerika wahrscheinlich nicht existiert.

Obwohl sie im cyberkriminellen Untergrund nicht zum Verkauf angeboten wird, existiert POS-Malware jedoch auch in Lateinamerika und sie verursacht entsprechende Schäden. Mach Ansicht unserer Analysten werden Kampagnen mit POS-Malware in Lateinamerika wahrscheinlich von einer streng kontrollierten Gruppe lateinamerikanischer Cyberkrimineller durchgeführt, möglicherweise in Zusammenarbeit mit Angreifern aus anderen Sprachgemeinschaften. Im März 2018 wurde die erste Höhere EMV-Standards haben Cyberkriminelle dazu gezwungen, kreativ zu werden und ihre Ansätze zu ATM-Malware zu überarbeiten. Im März 2018 wurde die erste bestätigte Malware bestätigte Malware zum Diebstahl von Chip- und PIN-Daten gemeldet, die als zum Diebstahl von „Prilex“ bekannt ist.23 Prilex wird brasilianischen Cyberkriminellen zugeschrieben, Chip- und PIN- obwohl Berichte darauf hindeuten, dass sie in anderen lateinamerikanischen Daten gemeldet, Ländern bereitgestellt wird, einschließlich Mexiko.24 Unsere Analysten sind der die als „Prilex“ Ansicht, dass Prilex wahrscheinlich nur Daten aus SDA-EMV-Karten kompromittieren bekannt ist kann, da der ursprüngliche Bericht vieldeutig von „schlechter Implementierung von [EMV] Technologie“ sprach.

Unsere Analysten sind zu dem Schluss gekommen, dass die Entwicklung und Nutzung von POS-Malware in Lateinamerika voraussichtlich zunehmen wird, vor allem da immer mehr lateinamerikanische Bürger Bankkonten verwenden. Tatsächlich eröffnen lateinamerikanische Benutzer mehr und mehr Bankenkonten und sie verwenden häufger Debitkarten. Viele dieser Karten haben entweder schwache (SDA anstatt DDA) oder gar keine EMV-Chiptechnologie. Die Emotet-Spam- Botnet zielte 7.3.3. EMOTET-AKTIVITÄT IN LATEINAMERIKA auf über 40.000 Wie bereits zuvor in diesem Bericht erwähnt, tauchte Emotet im Dezember 2016 Adressen E-Mail als Spambot wieder auf, der zusätzliche Malware verteilt. Diese neueste Version mit mexikanischen ist als Emotet v4 bekannt. Über sein Spambot-Modul kann Emotet sich selbst und TLDs (.mx) ab. andere Malware-Familien verbreiten. Es verwendet E-Mail-Vorlagen, Anlagen, Empfänger-E-Mail-Adressen und E-Mail-Anmeldeinformationen, die es aus seinem C2 herunterlädt. Die E-Mail Anmeldeinformationen mit einem anderen Modul von infzierten Computern gestohlen und gesammelt.

Blueliv Analysten beobachteten Emotet im November 2018 für ca. einen Monat

Page 59 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 7. FALLSTUDIE: LATEINAmERIkA – EIN NEUES VERSUCHSFELD

und sie haben die verzeichneten Aktivitäten für diesen Bericht zusammengefasst. Die Emotet-Spam-Botnet zielte auf über 40.000 Adressen E-Mail mit mexikanischen TLDs (.mx) ab.

Die folgende Abbildung zeigt ein echtes Beispiel einer E-Mail aus der Spam- Das Jahr Kampagne, bei der mexikanische kompromittierte Konten verwendet wurden, um 2018 sah eine kolumbianische Unternehmen anzugreifen: Stabilisierung der englischsprachigen Darknet- Marktplätze nach einem längeren Zeitraum der Volatilität, der auf die erzwungene Schließung von AlphaBay und Hansa im Sommer 2017 zurückzuführen war.

Abbildung 19: Emotet spam campaign targeting Colombian businesses

Die Empfänger Im November 2018 versendete Emotet ca. 185.000 Spam-Nachrichten pro Tag mit dieser neuesten über 50.000 verschiedenen Absenderadressen. Diese Adressen repräsentieren Kampagne waren 15.000 eindeutige Domänen, von denen ca. 8 % lateinamerikanische TLDs haben. Die Empfänger dieser neuesten Kampagne waren überwiegend E-Mail-Adressen überwiegend von Unternehmen in 1.200.000 Millionen verschiedenen Domänen. E-Mail-Adressen von Unternehmen in 1.200.000 Millionen verschiedenen Domänen.

Page 60 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 8. TRENDS FüR 2019

8. TRENDS FÜR 2019 8.1. CYBERSICHERHEIT ERHÄLT DIE AUFMERKSAMKEIT DES VORSTANDS Cybersicherheit hat sich schnell von einem Thema für eine Handvoll von Mitarbeitern zu einem dringenden Anliegen für die gesamte Organisation entwickelt – einschließlich den Vorstand. Angesichts der Tatsache, dass Sicherheitsvorfälle immer größer, häufger und bekannter werden – und da die DSGV neue Zwänge schafft – hat die Gefahr von ernsten fnanziellen und Reputationsschäden zu einer veränderten Einstellung gegenüber Sicherheit geführt. Es ist entscheidend wichtig für Organisationen, ihr Sicherheitskonzept ernsthaft und transparent zu untersuchen. Da Cybersicherheit und Geschäftsstrategie sich heute zu überschneiden beginnen, sind Führungskräfte gefordert, abteilungsübergreifend zu handeln, um angemessene Praktiken zu entwickeln, zu implementieren und zu verbreiten.

8.2. DIE STABILISIERUNG DER CYBERKRIMINELLEN Die UNTERWELT SENKT DIE ZUGANGSSCHWELLE FÜR Zugangsschwelle HACKER UND KLEINBETRÜGER für Cyberkriminelle Die Zugangsschwelle für Cyberkriminelle ist niedriger als je zuvor. Vorbei sind die ist niedriger als je Zeiten, in denen diese Art von Verbrechen erfahrenen Hackern vorbehalten war. zuvor Heute ist der cyberkriminelle Untergrund voll von Angreifern, die Hostingdienste, Exploit-Kits, Credential Stealers, kompromittierte Konten und andere Werkzeuge für die Cyberkriminalität feilbieten.

Untergrund-Communitys vereinfachen den Austausch von Waren und Dienstleistungen unter Cyberkriminellen, so dass viele Angreifer sich auf die Bereitstellung bestimmter illegaler Produkte spezialisieren können, was seinerseits die Zugangsschwelle für Einsteiger senkt. Diese Angebote geben neuen Cyberkriminellen problemlosen Zugang zur Welt der Cyberkriminalität, während erfahrene Angreifer ihre Operationen durch Outsourcing expandieren können. Um eine solche Umgebung zu schaffen, sind jedoch stabile Untergrund-Communitys Das Jahr erforderlich. 2018 sah eine Das Jahr 2018 sah eine Stabilisierung der englischsprachigen Darknet-Marktplätze Stabilisierung der nach einem längeren Zeitraum der Volatilität, der auf die erzwungene Schließung englischsprachigen von AlphaBay und Hansa im Sommer 2017 zurückzuführen war. Nach einer Periode Darknet- unseriöser neuer Marktplätze, einer Reihe von Exit Scams, der Aufdeckung von Marktplätze nach Bugs in wichtigen Sites und tief verwurzelter, fortdauernder Paranoia in Bezug auf einem längeren eine mögliche Infltration durch Strafverfolgungsbehörden, scheint es, dass viele Zeitraum der der derzeitigen englischsprachigen Darknet-Märkte wie z. B. DreamMarket, Empire Volatilität, der auf Market und Wall Street Market begonnen haben, ihre Benutzer zurückzugewinnen. die erzwungene Der spanischsprachige Untergrund sah im Jahr 2018 ebenfalls eine wichtige Schließung Entwicklung, mit der Rückkehr des berühmt-berüchtigten Forums Cebolla von AlphaBay Chan 3.0 nach einer mehr als einjährigen Pause. Die Rückkehr von Cebolla und Hansa im Chan 3.0 ist symbolisch, da das Forum lange Zeit als das zentrales Wasserloch Sommer 2017 der spanischsprachigen Community von Cyberkriminellen fungierte. Es ist zurückzuführen war. wahrscheinlich, dass die Auferstehung dieses Forums auch die Beteiligung an anderen spanischsprachigen Foren verstärken wird.

Page 61 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 8. TRENDS FüR 2019

Da diese Stabilisierung die Räder des illegalen Handels im englisch- und spanischsprachigen Untergrund schmiert und da auch andere wichtige Untergrund- Communitys relativ stabil erscheinen, wird 2019 wahrscheinlich wachsenden Zugriff auf Produkte und Dienstleistungen für Cyberkriminelle aller Couleur mit sich bringen.

8.3. WO IST DIE RANSOMWARE? Nach zwei Jahren von intensivem Medieninteresse und annähernder Hysterie haben viele Experten im Jahr 2018 einen Rückgang beim Einsatz von Ransomware verzeichnet.

Die Ursache dafür dürfte zumindest teilweise darin bestehen, dass viele weniger kompetente Angreifer dieser früher sehr angesagten Methode den Rücken kehren und sich anderen kriminellen Aktivitäten zuwenden. So können sie beispielsweise mit Cryptomining schneller und mit weniger Aufwand zu Geld kommen.

Spezialisierte Angreifer werden Ransomware jedoch sicherlich auch weiterhin in durchdachten Attacken einsetzen. Dabei wird es sich in der Regel um private Ransomware-Versionen handeln, die in der Hoffnung auf lukrative Erträge auf Großunternehmen gerichtet werden. Ein Beleg dafür fndet sich in den Aktionen der Dridex-Gruppe, die Berichten zufolge ihre proprietäre BitPaymer-Ransomware (auch als Friedex bekannt) einsetzt, um Organisationen wie eine Kommunalverwaltung in Alaska oder die amerikanische Professional Golfers Association anzugreifen.

Eine ähnliche Situation fndet man beim Betrachten der Landschaft für Banking- Trojaner in den späten 2000er Jahren: Die Banking-Malware-Szene wurde popularisiert, was erfahrene Angreifer anzog, die Banking-Trojaner problemlos erwerben und einsetzen konnten. Im Laufe der Jahre verloren weniger erfahrene Cyberkriminelle das Interesse an Banking-Trojanern und gingen zu Ransomware über, so dass die Szene zunehmend von „Big Players“ wie Dridex und Dyre geprägt wurde. Dank ihrer fortschrittlichen Methoden und hochentwickelten Ressourcen konnten diese weiterhin Gewinne erzielen, im Gegensatz zu weniger spezialisierten Angreifern.

Im Jahr 2019 werden wir wahrscheinlich eine Fortsetzung der privatisierten Nutzung von Ransomware durch spezialisierte Gruppen sehen, was zu weniger häufgen Angriffen führen könnte, die aber schwerere Folgen haben.

8.4. CRYPTOJACKING DOMINIERT DIE MALWARE- SZENE Angesichts der fallenden Beliebtheit von Ransomware hat Cryptojacking dessen Nachfolge angetreten. Trotz eines Rückgangs der Preise von Kryptowährungen hat sich die Zahl der Cryptojacking-Angriffe im Jahr 2018 verfünffacht.

Dies ist auf eine Reihe von Faktoren zurückzuführen. Eine wichtige Rolle spielt die wachsende Zahl von Onlinegeräten, die zu einer deutlich größeren Angriffsfäche führt. Außerdem können diese Verbrechen relativ einfach durchgeführt werden – es gibt quelloffene Cryptominer und Cryptominer werden im Dark Web zum Verkauf angeboten – und das Risiko der Entdeckung ist gering.

Page 62 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 8. TRENDS FüR 2019

Ein solcher Fall 8.5. ERPRESSUNG, ALT UND NEU ereignete sich Zusätzlich zu Cryptojacking haben weniger spezialisierte Cyberkriminelle im August 2018, sich von Ransomware auf andere Erpressungstaktiken verlegt. Die DDoS- als eine Gruppe, Erpressungskampagnen der Vergangenheit – wie z. B. die des Armada-Kollektivs – die sich „STD werden durch clevere SEO-Angriffe ersetzt, bei denen Bots negative Bewertungen Company“ nennt, in sozialen Netzwerken und auf beliebten Websites hinterlassen, um den Ruf einer mit der Drohung Organisation zu schädigen. Ein solcher Fall ereignete sich im August 2018, als eine eines negativen Gruppe, die sich „STD Company“ nennt, mit der Drohung eines negativen SEO- SEO-Angriffs Angriffs Lösegeld von einer kleinen Fluggesellschaft zu erpressen versuchte. Lösegeld von Eine primitivere, aber lukrative Form der Erpressung ist die Massenversendung einer kleinen von Drohbriefen per E-Mails, die behaupten, belastendes Material wie Fotos oder Fluggesellschaft Videos in Bezug auf das Opfer zu haben. Der Angreifer droht damit, das fktive zu erpressen Material zu veröffentlichen, wenn das Opfer nicht ein Lösegeld von mehreren versuchte. hundert Dollar in Bitcoin zahlt.

Im Jahr 2019 werden wir neue, kreative Methoden sehen, die Social Engineering verwenden, um Lösegelder von Unternehmen und Einzelpersonen zu erpressen.

8.6. TELEGRAM Experten haben die zunehmende Verwendung von Telegram als Plattform für cyberkriminelle Kommunikation beobachtet. Verschiedene cyberkriminelle und betrugsorientierte Gruppen existieren auf dieser Messaging-App, die den Austausch von Angriffsmethoden, die Werbung für cyberkriminelle Produkte sowie die Verbreitung von Nachrichten und Neuheiten vereinfachen. Beispielsweise verwenden viele brasilianische Cyberkriminelle Telegram als einfache Möglichkeit, um HTTP-Injektoren weiterzugeben – ein Werkzeug für das betrügerische Erlangen Anderswo haben von kostenlosem mobilem Internet. osteuropäische Anderswo haben osteuropäische und iranischen Cyberkriminelle begonnen, und iranischen mit Telegram als benutzerfreundliche und intuitive Schnittstelle für Bots zu Cyberkriminelle experimentieren und die Plattform zur Verteilung von No-Distribute-Virusscannern begonnen, mit zu verwenden. Durch die Abwandlung vertrauter Apps, die viele bereits auf ihren Telegram als Smartphones installiert haben, ebnen diese innovativen Angreifer den Weg zu benutzerfreundliche einer einfacheren Einführung in die Welt der Cyberkriminalität für Uneingeweihte. und intuitive Außerdem wird Telegram zum Abwickeln von Direktgeschäften zwischen Schnittstelle für Bots Cyberkriminellen verwendet. Zweifel in Bezug auf die Stabilität von Online-Foren und zu experimentieren -Marktplätzen – besonders nach der Schließung großer Darknet-Marktplätze durch und die Plattform Strafvollzugsorgane im Sommer 2017 – haben dazu geführt, dass Cyberkriminelle zur Verteilung von für ihre Geschäfte auf alternative Kommunikationsplattformen wie Telegram und No-Distribute- Wickr ausweichen. Virusscannern zu Und da die Beliebtheit von Telegram unter legitimen Benutzern ständig zunimmt, verwenden. werden auch Cyberkriminelle die Plattform attraktiv fnden. Im Jahr 2019 werden wir wahrscheinlich eine erweiterte Nutzung von Telegram als Plattform für die cyberkriminelle Kommunikation und auch für cyberkriminelle Innovationen sehen.

Page 63 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 9. SCHLUSSFoLgERUNgEN

9. SCHLUSSFOLGERUNGEN Die Bedrohungslandschaft hat sich in diesem Jahr als zunehmend komplex erwiesen und die potenzielle Angriffsfäche wächst schneller als je zuvor. Unternehmen und Verbraucher erwerben immer mehr Mobilgeräte, wodurch das Risiko, einem Cybervorfall zum Opfer zu fallen, exponentiell ansteigt. Eine wachsende Anzahl neuer Malware-Kategorien führt innovative Angriffe durch, die Daten, Infrastruktur und Ruf von Unternehmen gefährden.

In diesem Zusammenhang sieht Blueliv die folgenden Trends für das Jahr 2019 voraus:

9.1. DREI HAUPTTRENDS 9.1.1. MALWARE-TRENDS VERÄNDERN SICH: Cybercriminal interest in ransomware appears to now largely be limited to highly skilled threat actors targeting more lucrative targets. Lesser sophisticated cybercriminals have embraced cryptojacking, a scheme that will likely continue to attract at least moderate cybercriminal interest in 2019.

9.1.2. LATEINAMERIKA: Lateinamerika beheimatet wachsende cyberkriminelle Communitys. Diese Region Angeblich staatlich wird sowohl neue und erfolgreiche Betrugskampagnen aus anderen Gebieten emulieren als auch ihre eigenen Methoden entwickeln, die speziell auf Ihre geförderte Umgebung zugeschnitten sind. Angreifer wie die Lazarus-Gruppe 9.1.3. STABILISIERUNG DES UNTERGRUNDS: werden ihre Ziele Eine Stabilisierung der englischsprachigen Darknet-Märkte bedeutet, dass auch in Zukunft cyberkriminelle Geschäfte wieder reibungslos ablaufen. Diese Stabilität führt zu sowohl von reiner Spezialisierung, Partnerschaften und Wissensaustausch unter Cyberkriminellen in Spionage als auch einer Art und Weise, die auf individueller Basis nur schwer zu erreichen ist. Trotz von Geld motiviert dieser Stabilisierung werden Cyberkriminelle auch weiterhin Anwendungen von auswählen. Drittanbietern wie Telegram und Wickr für die Kommunikation verwenden – eine Nachwirkung ihrer schlechten Erfahrungen mit AlphaBay.

Stark proflierte APTs werden ihre Aktivitäten im Jahr 2019 fortsetzen. Angeblich staatlich geförderte Angreifer wie die Lazarus-Gruppe werden ihre Ziele auch in Laut dem Cyber Zukunft sowohl von reiner Spionage als auch von Geld motiviert auswählen. Bei Security Insider den Aktivitäten von cyberkriminellen Gruppen sind ebenfalls keine Anzeichen für Threat Intelligence eine Verlangsamung zu fnden. Obwohl die Verhaftung mehrerer ihrer Mitglieder Report sind 77 die Aktivitäten der Cobalt-Gruppe etwas eingeschränkt haben sollte, wird dies % der befragten wahrscheinlich nicht lange anhalten, wie die Verteilung von Malware mit dem Unternehmen Namen „Spicy Omelette“ durch die Gruppe bereits gezeigt hat. der Ansicht, dass In diesem Zusammenhang wird es erwartet, dass Unternehmen immer Threat Intelligence anspruchsvollere Abwehrmechanismen implementieren werden. wichtig für das Sicherheitskonzept 9.2. ABWEHRMECHANISMEN IMPLEMENTIEREN ihrer Organisation WERDEN. ist Laut dem Cyber Security Insider Threat Intelligence Report sind 77 % der

Page 64 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 9. SCHLUSSFoLgERUNgEN

befragten Unternehmen der Ansicht, dass Threat Intelligence wichtig für das Sicherheitskonzept ihrer Organisation ist, aber sie erwarten auch, die Effektivität ihrer Threat Intelligence-Infrastruktur deutlich zu verbessern.

Die modulare und skalierbare Echtzeit-Threat Intelligence von Blueliv hilft Hunderten von Unternehmen, die wachsende Anzahl von Cyberbedrohungen dynamisch und proaktiv zu bekämpfen. Wir durchsuchen das offene, das tiefe und das dunkle Internet, um aktuelle, automatisierte und umsetzbare Threat Intelligence für Organisationen zu liefern, die ihre Netzwerke vor externen Bedrohungen schützen kann.

Threat Compass, unsere skalierbare, cloud-basierte Plattform, wandelt rohe Bedrohungsdaten in differenzierte und relevante Informationen um, anhand derer Organisationen ihre Risiken mindern, Zeit sparen und ihre Ressourcen optimieren können, um die Reaktionszeit auf Vorfälle zu verkürzen. Unsere modulare Lösung ist speziell auf jeden einzelnen Kunden zugeschnitten und sie bietet die schnellste Implementierung, die heute auf dem Markt erhältlich ist.

Threat Compass liefert Threat Intelligence über zehn verschiedene, zielgerichtete Module, zu denen im Jahr 2019 noch weitere hinzukommen werden. Beteiligen Sie sich am Kampf gegen die Cyberkriminalität!

Page 65 JÄHRLICHER BERICHT ZUR CYBER THREAT-LANDSCHAFT 2018-19 10. ENDNoTEN

10. ENDNOTEN 1 https://www.statista.com/topics/2045/internet-usage-in-brazil/

2 https://www.zdnet.com/article/more-than-half-of-connected-brazilians-suffered- cyberattacks/

3 https://www.businesswire.com/news/home/20180816005244/en/Cybersecurity-Market- Latin-America---Outlook-2023

4 https://www.tribuneindia.com/news/nation/rs-500-10-minutes-and-you-have- access-to-billion-aadhaar-details/523361.html

5 https://www.zdnet.com/article/another-data-leak-hits-india-aadhaar-biometric- database/

6 https://thewire.in/tech/trai-rs-sharma-aadhaar 7 https://publications.iadb.org/handle/11319/7449

8 hxxps://carding21[.]cc/threads/compras-al-35-amazon-mercado-libre-linio-ebay-walmart- cualquier-sitio-web[.]19709/#post-76189

9 hxxp://7pta37j2kgxquq6w[.]onion/foro/viewtopic[.] php?f=9&t=359&hilit=compras&sid=d15b44345a0d7ea9eed2098b7e8d08e6

10 hxxps://www[.]mpgh[.]net/forum/showthread[.]php?t=1265792

11 hxxps://carding21[.]cc/threads/servicio-de-reembolsos-en-amazon[.]12023/

12 hxxps://carding21[.]cc/threads/bypass-walmart-cvv[.]20083/

13 https://www.gob.mx/condusef/prensa/se-registran-4-8-millones-de-reclamaciones-por- posible-fraude-en-tc-y-td?idiom=es

14 https://www.youtube.com/watch?v=5N3rmVafLHg

15 https://www.tecmundo.com.br/whatsapp/115523-golpe-whatsapp-atinge-50-mil- brasileiros-rouba-dados.htm

16 https://www.kaspersky.com.br/blog/phishing-klsec-brasil-assolini/10642/?utm_ source=newsletter&utm_medium=Email&utm_campaign=kd%20weekly%20digest

17 https://www.statista.com/statistics/266362/phishing-attacks-country/

18 https://produto.mercadolivre.com.br/MLB-1136515696-tela-fake-walmart-com-painel- adm-_JM?quantity=1

19 https://www.youtube.com/watch?v=nrWQapT4Rt8

20 hxxp://7pta37j2kgxquq6w[.]onion/foro/viewtopic[.] php?f=6&t=192&sid=926f6855976e391abc9280c49dec60f3

21 hxxp://7pta37j2kgxquq6w[.]onion/foro/viewtopic[.] php?f=6&t=353&p=4110&hilit=twitter&sid=926f6855976e391abc9280c49dec60f3#p4110

22 hxxps://drinfodns[.]wordpress[.]com/kl-dns/

23 https://latam.kaspersky.com/blog/prilex-malware-brasileno-para-puntos-de-venta- evoluciona-hacia-el-robo-de-datos-de-tarjetas-protegidas-por-chip-y-pin/12593/

24 https://www.gob.mx/condusef/prensa/alerta-condusef-ante-nuevos-mecanismos-de- fraudes-en-terminales-puntos-de-venta?idiom=es

Page 66 Über Blueliv Über cat out gmbh BLUELIV ist ein führender Anbieter von Threat Die cat out gmbh – Unternehmensberatung für Intelligence Lösungen mit Firmensitz in Barcelona, Daten- und Informationssicherheit – bietet individuelle Spanien. BLUELIV durchsucht das Internet, das Deep Beratung zum Thema Cyber-Security, Empfehlung Web und das Dark Net, um Unternehmen aller und Implementierung von Softwarelösungen mit Branchen hochaktuelle, automatisierte und sofort Schwerpunkt und im Hinblick auf den Schutz sowie das verwendbare Bedrohungsinformationen bereitzustellen Monitoring von unerwünschtem Verlust von Daten und und ihre Mitarbeiter, Netzwerke und Marken von Informationen aus dem Unternehmen. außen zu schützen. Unsere skalierbare Cloud-basierte Plattform verwandelt globale Bedrohungsdaten in Besondere Aufmerksamkeit legen wir auf die Kombination relevante und sofort verwertbare Informationen, die aus rechtlichen und organisatorischen Maßnahmen, es Unternehmen ermöglichen, Zeit und Ressourcen zu Technologie und Softwarelösungen, um Anzeichen von sparen, indem sie ihre Sicherheitsteams mit Echtzeit- Wirtschaftsspionage und Datenverlust nach Außen und Informationen ausstatten und so die Reaktionsfähigkeit Innen – ob nun vorsätzlich oder unbewusst – aktiv zu des Unternehmens auf Cybervorfälle auf allen Ebenen analysieren und diese dauerhaft zu verhindern.. erheblich verbessern. Unsere Pay-As-You-Need-Lösung Basierend auf Partnerschaften mit renommierten Cyber- bietet eine stets aktuelle und vorausschauende Sicht auf Security-Software-Lösungsanbietern und Beratungen Cyberbedrohungen in Echtzeit. Wir glauben nicht, dass bietet „cat out“ die Unterstützung zur Umsetzung ein und dieselbe Lösung auf jedes Unternehmen passt, relevanter und aktueller Themen wie z.B. „Threat sondern erarbeiten gemeinsam eine auf die Bedürfnisse Management“, „End Point Protection and Response“, unserer Kunden zugeschnittene Konfguration. BLUELIV „Data Leak und Data Loss Prevention“, ISMS. wurde in 2018 von Computing.co.uk zum Gewinner der Kategorie „Enterprise Security and Enterprise Threat Die „cat out“ – mit langjährigen technischen und Detection“ benannt, von Cybersecurity Breakthrough organisatorischen Erfahrungen aus komplexen zur ‘Threat Intelligence Company of the Year 2018’, Enterprise-Umgebungen und -Systemen – kooperiert zum Gartner “Cool Vendor” sowie zum Gewinner nur mit ausgewiesenen Spezialisten und Unternehmen, des „Go Ignite Award“ und ist seit mehreren Jahren um für die verschiedensten Sicherheits-Facetten des angeschlossenes Mitglied der FS-ISAC. digitalen und mobilen Business optimale Lösungen zu fnden und umzusetzen.

blueliv.com cat-out.com

[email protected] [email protected]

twitter.com/blueliv linkedin.com/company/cat-out/about/

linkedin.com/company/blueliv

Blueliv ® is a registred trademark of Leap inValue S.L. in the United States and other countries. All brand names, product names or trademarks belong to their respective owners. © LEAP INVALUE S.L. ALL RIGHTS RESERVED