TELI-20170328010.Pdf
Total Page:16
File Type:pdf, Size:1020Kb
1 2 3 Sophos berichtet von einer aktuellen Malware‐Kampagne mit AKBuilder (Exploit Kit), Dyzap (Banking Trojaner) und Betabot (Bot, Ransomware). https://nakedsecurity.sophos.com/2017/03/01/unholy‐trinity‐of‐akbuilder‐dyzap‐ and‐betabot‐used‐in‐new‐malware‐campaigns/ 4 Sophos dokumentiert in dem Artikel die „Satan“‐Ransomware und den dazugehörigen Backend‐Dienst. Salopp formuliert handelt es sich bei Satan um eine „free‐to‐join“‐ RaaS (Ransomware‐as‐a‐Service) mit einem Geschäftsmodell ähnlich iTunes. D.h. dem geneigten Cyberkriminellen entstehen keine Vorabkosten für die erzeugte Malware. Diese jedoch wickelt sämtliche Kommunikation und Zahlung über den Dienst ab, der dem Kriminellen dann 70% des Gewinns auszahlt. Im Grunde genommen also ein „pay‐as‐you‐go“‐Model, bei dem man dem Provider trauen muss. https://nakedsecurity.sophos.com/2017/03/07/satan‐ransomware‐old‐name‐new‐ business‐model/ 5 MalwareBytes beschreibt in einem sehr interessanten Artikel Hintergründe zur CryptoBlock‐Ransomware und der dahinterliegenden C2‐Infrastruktur. Nach Meinung der Autoren befindet sich CryptoBlock auf dem Weg zu einem RaaS‐Angebot. Von besonderem Interesse daher, da noch nicht alle Komponenten fertig sind und man daher die Entstehung sozusagen „am lebenden Objekt“ beobachten kann. https://blog.malwarebytes.com/threat‐analysis/2017/03/cryptoblock‐and‐its‐c2/ https://www.bleepingcomputer.com/news/security/malwarebytes‐researchers‐hack‐ into‐soon‐to‐be‐launched‐raas‐portal/ 6 MalwareBytes hat eine umfangreiche Analyse mehrerer Spora‐Samples vorgestellt. Die Analyse umfasst sowohl Dropper als auch den eigentlichen Encrypter. Darüber hinaus werden auch die Web‐Server mit den Meldungen für User aber auch die Verschlüsselung selber untersucht. https://blog.malwarebytes.com/threat‐analysis/2017/03/spora‐ransomware/ https://gist.github.com/coldshell/6204919307418c58128bb01baba6478f 7 BleepingComputer berichtet über eine neue „Kirk“‐Ransomware. Außer durch eine sehr Star‐Trek‐lastige Ransommeldung (Kirk‐Ransomware, Spock‐Decryptor) sticht die Ransomware auch durch eine eher ungewöhnliche Bezahlmethode hervor: Monero. Auch grassiert inzwischen eine Variante namens „Lick“‐Ransomware. https://www.bleepingcomputer.com/news/security/star‐trek‐themed‐kirk‐ ransomware‐brings‐us‐monero‐and‐a‐spock‐decryptor/ https://twitter.com/JakubKroustek https://www.heise.de/security/meldung/l‐f‐Captain‐Kirk‐verschluesselt‐Daten‐und‐ fordert‐Loesegeld‐3657512.html https://www.grahamcluley.com/kirk‐ransomware‐sports‐star‐trek‐themed‐decryptor‐ little‐known‐crypto‐currency/ https://twitter.com/JakubKroustek/status/842404866614038529 http://securityaffairs.co/wordpress/57261/malware/kirk‐ransomware‐star‐trek.html 8 Lauf McAfee ist die berüchtigte „Jigsaw“‐Ransomware, benannt nach dem Antagonisten in der „Saw“ Horrorfilmreihe, zurück. Einträgen in Untergrundforen nach bieten Verkäufer die angeblich “100% undetectable“ Ransomware für weniger als 100 USD an – teilweise inkl. Sourcecode. Andere Verkäufer verlangen nur 10 USD für ein Package, bestehen aber auf einem 50/50 Split bei den Einnahmen. Teilweise gibt es Jigsaw auch für etwas mehr als 5USD … https://securingtomorrow.mcafee.com/business/jigsaw‐resurrected/ 9 10 11 Verschiedenen Blogs zufolge sinkt die Verbreitung der Locky‐Ransomware. Dies führen die Autoren primär auf das Necurs‐Botnet zurück, über das Locky zwischenzeitlich verteilt wurde. Während Necurs in der Vergangenheit fast ausschließlich DRIDEX verteilte, wurde 2016 überwiegend Locky verteilt. 12 13 Aktuelle Zahlen zeigen aber, dass Necurs (nach der „Winterpause“) wieder Malware verteilt – nun aber weniger Locky, sondern vermehrt CERBER und Spora. Dieses vermehrte Aufkommen von CERBER wird auch unabhängig davon von vielen anderen Firmen dokumentiert. 14 Sophos untersucht den Einbruch an SPAM seit Dezember 2016. Diese Entwicklung lässt sich auch bei Spamhaus und bei Trend Micro beobachten. Als Ursache deuten die Hinweise auf einen „Einbruch“ des Necurs‐Botnets hin. Dieses hat in der Vergangenheit primär unter der Woche Spams versendet und auch in der Vergangenheit mal Pausen eingelegt. Diese lange Pause ist aber in der Tat ungewöhnlich. https://nakedsecurity.sophos.com/2017/02/22/global‐spam‐drops‐by‐more‐than‐ half‐now‐what/ 15 Interessanterweise scheint dies aber nicht die einzige Einnahmequelle für Necurs zu sein. Verschiedenen Berichten zufolge betätigt sich Necurs nun auch im Aktienhandel – genauer gesagt in Aktien‐/Marktmanipulation. Über massenhaft versendete E‐Mails sollen Benutzer dazu gebracht werden, Pennystocks bestimmter Firmen zu kaufen – natürlich in der Hoffnung, dass deren Kurs massiv steigt. Offensichtlich haben die Hintermänner sich vorab aber schon zu deutlich besseren Kursen an eben diesen Aktien bedient. Aus Malware‐Sicht insofern interessant, da bei diesen Aktionen natürlich weder maliziöse Links noch Attachments zum Einsatz kommen … http://blog.talosintelligence.com/2017/01/locky‐struggles.html https://www.bleepingcomputer.com/news/security/numbers‐show‐locky‐ ransomware‐is‐slowly‐fading‐away/ http://blog.morphisec.com/cerber‐ransomware‐new‐wave‐february‐2017 http://blog.talosintelligence.com/2017/03/necurs‐diversifies.html http://news.softpedia.com/news/new‐spam‐campaign‐via‐necurs‐botnet‐tries‐to‐ manipulate‐the‐stock‐market‐514101.shtml https://www.heise.de/security/meldung/Riesiges‐Necurs‐Botnetz‐wird‐nun‐ anscheinend‐zur‐Aktienmanipulation‐eingesetzt‐3661014.html https://www.bleepingcomputer.com/news/security/spam‐sent‐by‐necurs‐botnet‐is‐ trying‐andamp‐succeeding‐in‐altering‐stock‐market‐prices/ 16 In diesem interessanten Artikel dokumentiert Kaspersky die Entwicklung von Exploit‐ Kits in Bezug auf Verbreitung und Effizienz. Eine der Kernaussagen ist, dass die Zeit des Exploit‐Kits vorbei ist. Weniger aufgrund vieler Takedowns in der Vergangenheit – diese wurden schnell durch neue Exploit‐Kits ausgeglichen. Vielmehr nimmt die Angriffsfläche für Exploit‐Kits, z.B. Flash‐Lücken, ab. Hinzu kommt, dass sich auch andere Verbreitungsmethoden (Office‐Dokumente mit Makros) ausbreiten. https://threatpost.com/where‐have‐all‐the‐exploit‐kits‐gone/124241/ 17 2016 haben wir ein exponentielles Wachstum bei Ransomware gesehen, das 2017 ‐ bezogen auf die Anzahl neuer Ransomware‐Familien –abzuflachen beginnt. Das bedeutet aber nicht, dass die Aktivität von Ransomware abnimmt. 18 19 Die größten Ransomware‐Fälle, bei denen zahlreiche Systeme verschlüsselt worden waren, erzielten “Lösegelder” im Bereich von 17.000 bis 30.000 US $. Bei der BEC‐ Masche geht man von einem durchschnittlichen Gewinn von 140.000 $ aus. Diese Zahlen zeigen, wie viel lukrativer BEC verglichen mit Ransomware ist. Selbst wenn Ransomware Unternehmensstrukturen trifft und mehrere Systeme unzugänglich macht, sidn wir immer noch weit entfernt vom Erlös eines durchschnittlichen BEC‐Vorfalls. Unternehmen können unabhängig von ihrer Größe rentable Ziele von BEC‐Attacken sein. Da die Cyberkriminelle zunehmend merken, wie viel mehr sie so stehlen können, werden wir ein weiteres Anwachsen von BEC‐Fällen sehen. 20 21 22 23 https://www.nomoreransom.org/ https://www.bleib‐virenfrei.de/ransomware/ https://cyware.com/news/explore‐the‐complete‐list‐of‐ransomware‐decryption‐ tools‐f9c6caff 24 25 Cyberkriminelle passen ihren Fokus je nach Opfer, Plattformen, und Zielen an. 26 Für 2017 haben wir Vorhersagen für voraussichtliche Ziele getroffen. Dies beinhaltet neben Mobiltelefonen, generellen IoT‐Geräten und industriellen IoT‐Geräten auch weiterhin den Endpunkt. 27 28 29 30 31 32.