ISPIN Security Radar #15/19

/Security Radar

In der Woche 15 sorgte vor allem die  Mitteilung von der Verhaftung von Wikileaks-Gründer Julian Assange, nach sieben Jahren Hausarrest in der ecuadorianischen Botschaft in London, weltweit für Schlagzeilen. In den sozialen Medien wurde intesiv diskutiert ob und wo er mit Strafverfolgung zu rechnen hat. Die Verhaftung hatte aber auch Auswirkungen auf Ecuador. Gemäss Regierungsangaben wurde Ecuador nach der Festnahme Ziel von mehr als 40 Millionen Cyberattacken. Die Angriffe betrafen Internetseiten öffentlicher Institutionen. Die Attacken seien unter anderem aus Deutschland, den USA, und aus Ecuador selbst gekommen, und zielten vor allem auf die Internetseiten von Aussenministerium, Präsidentenamt, Zentralbank sowie Universitäten. 

Die aktivsten cyberkriminellen Gruppierungen waren «Wizard Spider» und «Mummy Spider». Dabei konnten wir wiederum eine intensive Nutzung von «Ursnif» der aktuellen Version des früheren «Gozi-ISFB» Banking-Trojaners beobachten. Der Trojaner nimmt nicht nur E-Banking-Systeme ins Visier, sondern auch Offline Zahlungssoftware und Kryptowährungs-Geldbörsen.

Obwohl Google seine Qualitätskontrolle für Android-Apps verbessert hat (»Link), kann Google leider nicht mit den Malware-Entwicklern mithalten, die immer neue kreative Wege finden, um ihre Malware in den Google Play Store einzubringen. Wir haben vor allem einen Anstieg der Android-Malware in Form von Banktrojanern und Ransomware festgestellt. «Gustuff» zum Beispiel ist ein relativ neuer, aber äusserst gefährlicher Banktrojaner, der seit fast einem Jahr existiert. «Gustuff» kann, gemäss einer Analyse von Forschern, Anmeldedaten von mehr als 100 Banking-Apps und 32 Kryptowährungs-Apps stehlen und automatisch Transaktionen auszuführen. Darüber hinaus kann sie auch Anmeldedaten für verschiedene andere Android-Zahlungs- und Messaging-Anwendungen wie PayPal, Western Union, eBay, Skype, WhatsApp, etc. verwenden. Im Gegensatz zu anderen Banking-Trojanern kann die Malware Apps öffnen, automatisch die Anmeldedaten und Transaktionsdetails eintragen und gleich auch noch die Überweisung selbstständig bestätigen (Automatic Transfer Service (ATS)). «Gustuff» scheint es im Moment noch nicht in den Google Play Store geschafft zu haben, sie wird stattdessen per SMS-Spam verteilt,wobei diese einen Link zur Installationsdatei des Trojaners enthält. 

«Anubis», ein weiterer bekannter Banking-Trojaner, wurde mit einem Ransomware-Modul entdeckt (» Mehr Infos). «Anubis» ist in der Lage, PayPal-Anmeldeinformationen zu stehlen, Dateien vom externen Speicher des Geräts zu verschlüsseln und den Bildschirm mit einem schwarzen Bildschirm zu sperren. Die Verschlüsselungsfunktion von «Anubis» ist nichts Neues, da sie seit August 2018 aktiv ist. Im Gegensatz zu «Gustuff» wird «Anubis» über den Google Play Store vertrieben. 

Mehr Details zu den aktivsten Bedrohungsgruppen und den am meisten diskutierten Sicherheitsthemen finden Sie in den drei nachfolgenden Grafiken.

Aktivste Bedrohungsgruppen der letzten 7 Tage

Erklärung: Die Auswertung zeigt eine Übersicht auf die Threat Actors, welche in den letzten 7 Tagen Aktivitäten aufzeigten. Die Aktivität wird anhand von gefundenen IOC’s oder Publikationen gemessen. Die gefundenen Indikatoren können aber auch das Resultat eines Entwicklungsschritts von Technologien sein und es werden Threats erkannt oder erklärt, welche schon länger im Umlauf sind. Die Daten basieren auf Malpedia – Fraunhofer FKIE und werden weiter über OSINT Sourcen angereichert.
Source: Malpedia – Fraunhofer FKIE, ISPIN Threat Database
 

Die am häufigsten diskutierten Themen der letzten 7 Tage (ungefiltert)

Erklärung: Für diese Auswertung werden 250 Twitter Accounts von Firmen und Individuen aus dem ICT Sicherheitsumfeld verwendet. Es werden zwischen 1000 und 2000 Tweets am Tag ausgewertet. Alle Hashtags fliessen in diese erste Übersicht ein und diese werden ungefiltert verwendet. Wir erhalten dadurch eine Sicht aus erster Hand, welche Sicherheitsthemen die Experten und Firmen in der letzten Woche beschäftigt haben.
Source: Twitter

Die am häufigsten diskutierten Themen der letzten 7 Tage (gefiltert)

Erklärung: Diese Auswertung basiert auf den vorhergehenden, ungefilterten Daten. Aus diesen Daten wurden allgemeine Begriffe, Firmennamen, Events und Produkte rausgefiltert, um eine genauere Sicht auf die diskutierten Sicherheitsthemen zu erhalten. Hiermit soll aufgezeigt werden können, dass eine spezifische Malware oder eine spezifische Angriffstechnik sich herauskristallisiert. Ein einzelner Kommentar kann hier interessant sein und mit Hilfe von «Crowd Amplification» werden diese einzelnen Findings verstärkt und gelangen so auf unseren Radar.
Source: Twitter