ISPIN Security Radar #14/19

/Security Radar

In der letzten Woche konnten wir eine erhöhte Anzahl neuer Samples von verschiedenen cyberkriminellen Gruppierungen beobachten, es wurden insgesamt 42 Malware-Familien mit neuen Samples aktualisiert. Dies deutet auf einen ungewöhnlichen Anstieg von Malware-Aktivitäten hin. Unter anderem hat die cyberkriminelle Gruppe «Operation C-Major» 8 neue Samples für seine Malware veröffentlicht, darunter die in der Vergangenheit sehr bekannte Malware Andromeda. Weiter wurden neue Versionen von SQLRat und DNSRat von der Gruppierung Anunak, auch bekannt als Carbanak und FIN7, veröffentlicht.
 
Desweiteren konnten wir beobachten, dass auf Twitter «Ursnif» eines der am häufigst diskutierten Themen zwischen den IT-Sicherheitsexperten war, da es einige Wochen zuvor in Italien eine Welle von Cyberangriffen gegen mehrere Organisationen gab. Der neueste Typ dieses Banking-Trojaners wird über Phishing-E-Mails verteilt und nutzt ein VB-Skript, das in einem komprimierten Archiv versteckt angehängt ist. Das Skript startet letzendlich die PowerShell und stellt über einen Remote-Server eine Verbindung zum böswilligen Kontrollzentrum her welcher die eigentliche Malware «Ursnif» auf das Zielsystem lädt. Danach durchsucht «Ursnif» das System nach Bankdaten, Anmeldedaten usw.. Um sich vor einer Entdeckung von Sandboxen zu schützen, ruft die Malware die Positionen des Mauszeigers ab, um so zu erkennen, ob sie in einer Sandbox ausgeführt wird (innerhalb einer Sandbox wird der Mauszeiger nicht bewegt).

Wenn man berücksichtigt, wie viele Mitarbeiter Phising-Mails öffnen, empfehlen wir zusätzlich Awarness-Trainings mit den Mitarbeitern durchzuführen. Mehr Infos dazu finden Sie hier.

Mehr Details zu den aktivsten Bedrohungsgruppen und den am meisten diskutierten Sicherheitsthemen finden Sie in den drei nachfolgenden Grafiken.

Aktivste Bedrohungsgruppen der letzten 7 Tage

Erklärung: Die Auswertung zeigt eine Übersicht auf die Threat Actors, welche in den letzten 7 Tagen Aktivitäten aufzeigten. Die Aktivität wird anhand von gefundenen IOC’s oder Publikationen gemessen. Die gefundenen Indikatoren können aber auch das Resultat eines Entwicklungsschritts von Technologien sein und es werden Threats erkannt oder erklärt, welche schon länger im Umlauf sind. Die Daten basieren auf Malpedia – Fraunhofer FKIE und werden weiter über OSINT Sourcen angereichert.
Source: Malpedia – Fraunhofer FKIE, ISPIN Threat Database
 

Die am häufigsten diskutierten Themen der letzten 7 Tage (ungefiltert)

Erklärung: Für diese Auswertung werden 250 Twitter Accounts von Firmen und Individuen aus dem ICT Sicherheitsumfeld verwendet. Es werden zwischen 1000 und 2000 Tweets am Tag ausgewertet. Alle Hashtags fliessen in diese erste Übersicht ein und diese werden ungefiltert verwendet. Wir erhalten dadurch eine Sicht aus erster Hand, welche Sicherheitsthemen die Experten und Firmen in der letzten Woche beschäftigt haben.
Source: Twitter

Die am häufigsten diskutierten Themen der letzten 7 Tage (gefiltert)

Erklärung: Diese Auswertung basiert auf den vorhergehenden, ungefilterten Daten. Aus diesen Daten wurden allgemeine Begriffe, Firmennamen, Events und Produkte rausgefiltert, um eine genauere Sicht auf die diskutierten Sicherheitsthemen zu erhalten. Hiermit soll aufgezeigt werden können, dass eine spezifische Malware oder eine spezifische Angriffstechnik sich herauskristallisiert. Ein einzelner Kommentar kann hier interessant sein und mit Hilfe von «Crowd Amplification» werden diese einzelnen Findings verstärkt und gelangen so auf unseren Radar.
Source: Twitter