ISPIN Security Radar #24/19

/Security Radar

Alle reden über BlueKeep, dabei ist das GoldBrute Bot-Netz zurzeit die grösste Bedrohung für RDP-Systeme, was aber nicht heissen soll, dass die Unternehmen das Patchen verzögern können. Das von Morphus Labs entdeckte GoldBrute-Netzwerk arbeitet nach und nach 1,5 Millionen aus dem Internet erreichbare RDP-Server ab, die per Brute-Force-Angriff attackiert werden. Die Attacke ist nur schwer erkennbar, da jeder Bot im Netz nur einen Login-Versuch pro angegriffenem System durchführt. Derzeit ist der Zweck des Botnetz noch nicht einwandfrei klar.

Nachdem mehrere beliebte Kryptomining-Dienste vom Netz gingen, verlagern sich die Cyberkriminellen wieder auf altbewährte Methoden, wie die Rückkehr des eigentlich sehr alten Banking-Trojaners Trickbot verdeutlicht. SonicWall Capture Labs hat im Juni eine neue Variante der TrickBot-Malware-Familie entdeckt. Diese spezielle Variante verwendet ein RSA-Verschlüsselungsschema, um bestimmte Bereiche des Kerncodes zusammen mit benutzerdefinierten oder verschlüsselten Zeichenketten zu schützen. TrickBot verfügt auch über die Möglichkeit, sich selbst laufend zu aktualisieren, indem es neue Module vom C&C-Server herunterlädt und seine Konfiguration spontan ändert.

Der Trend zu bewährten Methoden in der Schweiz zeigt auch die Check Points «Most Wanted»-Liste, wie Computerworld berichtet.

Yoroi-ZLab hat in Italien eine grosse Phishing-Kampagne beobachtet, die den NanoCore Remote Access Trojaner (RAT), geschützt durch einen Delphi-Wrapper, verbreitet. Der Angriffsvektor ist ein Phishing Mail, welches behauptet, von einer bekannten italienischen Bank zu stammen. Das Attachment sieht wie eine 7z-Archivdatei aus, die eine gültige PE-Datei mit Adobe Acrobat-Symbol enthält. Ein trivialer Trick, der unbedarfte Benutzer dazu verleitet, zu glauben, dass es sich um eine legitime PDF-Datei handelt. Sie enthält jedoch eine PE-Executable. Diese wurde mit dem Compiler "BobSoft Mini Delphi" kompiliert. Zwei Merkmale sind von Bedeutung: das erste ist das hohe Mass an Entropie, und das zweite ist der gefälschte Kompilierungs-Zeitstempel der ausführbaren Datei.

Kein Tag ohne Betrug
Es wird allgemein berichtet, dass mehr als 90 Prozent der erfolgreichen Hacks und Datenschutzverletzungen auf Phishing-Betrug zurückzuführen sind, E-Mails, die ihre Empfänger dazu bringen sollen, auf einen Link zu klicken, ein Dokument zu öffnen oder Informationen an jemanden weiterzugeben, den sie nicht sollten. Die Schulung der Benutzer, wie sie diese Bedrohungen erkennen und darauf reagieren können, ist eine entscheidende Abschreckung vor Ransomware. Ihre Mitarbeiter öffnen keine Phishingmails – sicher? Überprüfen Sie es mit unseren Phishing-Services. Kontaktieren Sie uns.

Die drei nachfolgenden Grafiken geben Ihnen einen Überblick über die aktivsten Bedrohungsgruppen und die am meisten diskutierten Sicherheitsthemen.

Aktivste Bedrohungsgruppen der letzten 7 Tage

Erklärung: Die Auswertung zeigt eine Übersicht auf die Threat Actors, welche in den letzten 7 Tagen Aktivitäten aufzeigten. Die Aktivität wird anhand von gefundenen IOC’s oder Publikationen gemessen. Die gefundenen Indikatoren können aber auch das Resultat eines Entwicklungsschritts von Technologien sein und es werden Threats erkannt oder erklärt, welche schon länger im Umlauf sind. Die Daten basieren auf Malpedia – Fraunhofer FKIE und werden weiter über OSINT Sourcen angereichert.
Source: Malpedia – Fraunhofer FKIE, ISPIN Threat Database
 

Die am häufigsten diskutierten Themen der letzten 7 Tage (ungefiltert)

Erklärung: Für diese Auswertung werden 250 Twitter Accounts von Firmen und Individuen aus dem ICT Sicherheitsumfeld verwendet. Es werden zwischen 1000 und 2000 Tweets am Tag ausgewertet. Alle Hashtags fliessen in diese erste Übersicht ein und diese werden ungefiltert verwendet. Wir erhalten dadurch eine Sicht aus erster Hand, welche Sicherheitsthemen die Experten und Firmen in der letzten Woche beschäftigt haben.
Source: Twitter

Die am häufigsten diskutierten Themen der letzten 7 Tage (gefiltert)

Erklärung: Diese Auswertung basiert auf den vorhergehenden, ungefilterten Daten. Aus diesen Daten wurden allgemeine Begriffe, Firmennamen, Events und Produkte rausgefiltert, um eine genauere Sicht auf die diskutierten Sicherheitsthemen zu erhalten. Hiermit soll aufgezeigt werden können, dass eine spezifische Malware oder eine spezifische Angriffstechnik sich herauskristallisiert. Ein einzelner Kommentar kann hier interessant sein und mit Hilfe von «Crowd Amplification» werden diese einzelnen Findings verstärkt und gelangen so auf unseren Radar.
Source: Twitter