365 Tage im Jahr: Solutions, Knowledge und Networking.
Finden und bieten Sie innovative IT-Security-Lösungen, nehmen Sie an unserem vielfältigen Action-Programm teil und knüpfen & pflegen Sie Kontakte.
Werden Sie Teil der it-sa 365 Community!
Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.
Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.
Ob Vermietung oder Verkauf von Malware, Angreifer kombinieren ausgefallene Tricks mit neuester Technik. Die Geschäftsmodelle krimineller Cyber-Gruppen sind dabei ausdifferenziert. Häufig lauert sogar Malware als Schläfer unbemerkt im Netz und wartet auf den Befehl zum Losschlagen.
Es kann mit einem scheinbar harmlosen Anruf im Sekretariat beginnen. Der Gesprächspartner äußert nur eine kleine Bitte: Er habe vor ein paar Tagen mit dem Chef telefoniert, der vor einem weiteren Gespräch um die postalische Übersendung einiger Unterlagen gebeten habe. Da der nächste Termin unmittelbar bevorsteht, sei dies zeitlich nicht mehr möglich. Deshalb will der Anrufer die Unterlagen für den Ausdruck vor Ort per Mail übersenden. Pech nur, dass die Mail, die kurz darauf im Sekretariat eintrifft, neben den avisierten Dokumente auch gefährliche Malware enthält. Aussteller der it-sa, die dazu befragt wurden, beobachteten bei ihren Kunden eine Zunahme solche Phishing-Angriffe gerade im Zeitraum der Corona bedingten Einschränkungen.
Die Kenntnis über Arbeitsweise und Geschäftsmodelle von Cyberkriminellen kann Unternehmen helfen, sich vorzubereiten. Beispielsweise werden extra Dokumente gestohlen, um sie im weiteren Verlauf eines Angriffs als Köder einzusetzen. Die Unterlagen haben so eine besonders hohe Glaubwürdigkeit und sind damit für Phishing-Attacken bestens geeignet. Haben die Opfer dann erst einmal auf den falschen Link geklickt oder infizierte Dateianhänge geöffnet, werden sie im weiteren Verlauf eines Angriffs häufig mehrfach ausgebeutet: Erst geht es darum, Informationen abzuziehen und zu verwerten, dann werden die infizierten Systeme zum Bestandteil eines Botnets, das etwa für Spamming oder DDOS-Attacken vermietet wird. Nebenbei installieren die Angreifer ein Cryptominer. Und zum Schluss (wenn zum Beispiel das Botnet aufgeflogen ist) werden die Rechner mit Ransomware verseucht, um möglichst noch Lösegeld zu kassieren.
Cyber-Gangster müssen die dafür benötigte Malware schon längst nicht mehr selber entwickeln. Diese Prozesse verlaufen arbeitsteilig; im Darknet herrscht ein reger Handel. Immer häufiger wird Software nur noch vermietet. Der Banking Trojaner Cerberus ist dafür ein Beispiel, eine Gruppe offeriert ihn für Android zum Preis von rund 2000,- US-Dollar pro Monat.
Im Darknet werden auch lukrative Ziele gehandelt. Deshalb versuchen Angreifer, prophylaktisch in Unternehmen einzudringen, so wie sich eine Chance bietet. Ist das gelungen, wird eine Backdoor installiert. Oftmals lauert der Schädling anschließend lange Zeit als Schläfer im Netz, bis er aktiviert wird, wenn ein Auftraggeber gefunden wurde. Wie das in Einzelnen funktioniert, zeigt das folgende Beispiel.
Bei sogenannten Supply Chain Attacks greifen Cyberkriminelle ihre Opfer nicht direkt an, sondern deren Zulieferer und Auftragnehmer. Bekanntes Beispiel ist die Gruppe Winnti, die von Malware-Analysten in China vermutet wird. Sie hat derzeit insbesondere Spielehersteller in Asien im Visier, zuvor zählten die Protestbewegung in Hongkong oder osteuropäische Botschaften zu den Zielen. Entsprechend wurden neben Teamviewer oder Ccleaner auch Internet-Spiele mit Malware verseucht. Sie dringen häufig in Build-Systeme und Sourcecode-Verwaltungsserver ein, um unbemerkt Schadcode in den Sourcecode einzufügen. Kommt der dann zur Ausführung, stiehlt der Schädling Unmengen an Informationen von den Opfer-PCs, darunter auch zahlreiche Systeminformationen. Die nebenbei installierte Backdoor lauscht am Netz und wartet auf ein bestimmtes Datenpaket. Erst wann das durch das Netz läuft, beginnt die Operation. Dieses Datenpaket besteht aus einer Sequenz, bei der lediglich in der Zeichenkette „Server: Microsoft-IIS“ ein zusätzliches Leerzeichen eingefügt wurde. Sollte auf dem PC jedoch als Systemsprache Chinesisch oder Russisch eingestellt sein, stoppt die Ausführung sofort. Die Angreifer wissen scheinbar, mit wem sie sich besser nicht anlegen.
