ISPIN Security Radar #25/19

/Security Radar

Erhalten Sie einen kurzen Überblick über Security-Themen wie z.B. GandCrab, LooCipher, Sodinokibi, TA505 und FlawedAmmyy, welche die Sicherheitsexperten im Moment beschäftigen.

In Zusammenarbeit zwischen Europol, FBI und Bitdefender wurde ein neuer Decryptor für die GandCrab-Ransomware veröffentlicht, der es den Opfern der GandCrab-Versionen 5.0 bis 5.2 ermöglicht, ihre Dateien wiederherzustellen. Wie immer sind die Cyberkriminellen aber damit beschäftigt die Security-Experten mit neuer Ransomware wie Sodinokibi und LooCipher auf Trab zu halten.

LooCipher ist eine neue Ransomware und wird vermutlich mittels Spam-Kampagnen verbreitet, die ein bösartiges Word-Dokument namens Info_BSV_2019.docm liefern. Durch das Aktivieren von Makros im Dokument wird eine Verbindung zu einem Tor-Server hergestellt und eine ausführbare Datei heruntergeladen, die die LooCipher-Ransomware herunterlädt und installiert. Dadurch werden alle Dateien auf dem Computer verschlüsselt, indem sie mit der Erweiterung .lcphr versehen werden. Um die Dateien zu entschlüsseln, verlangen die Hacker innerhalb von 5 Tagen rund 300 EUR.

Sodinokibi ist schon seit ein paar Monaten aktiv und wir können bereits eine Entwicklung der Verbreitungsart feststellen. Die Ransomware entstand durch die Ausnutzung einer Schwachstelle in Oracle Weblogic-Servern, die nun geschlossen ist. Forscher haben festgestellt, dass Sodinokibi jetzt über Managed Service Provider (MSP)-Hacks, durch Spam-Kampagnen wie Booking.com, wo die E-Mail vorgibt, eine neue Buchung auf Booking.com zu sein, sowie durch das Hacken der WinRar-Verteiler-Website verbreitet wird.

Die Cyberkriminelle Gruppe TA505 ist bekannt für ihre Angriffe, mit Spam-Kampagnen und verschiedener Malware, auf mehrere Finanzinstitute und Einzelhandelsunternehmen. Seit letztem Dezember ist TA505 sehr aktiv und verwendet RATs (Remote Access Trojaner) wie FlawedAmmyy, FlawedGrace und Remote Manipulator System (RMS).

FlawedAmmyy ermöglicht der Angreifern vollständigen Zugriff auf den Computer eines Opfers und bietet auch die für die seitliche Bewegung im Netzwerk erforderlichen Funktionen. Der Trojaner kann ein breites Spektrum von Daten, wie zB Anmeldeinformationen, aus den infizierten Systemen stehlen, Screenshots sammeln und den Angreifern den Zugriff auf die Kamera und das Mikrofon des Computers ermöglichen. Die jüngsten Angriffe beginnen mit schädlichen E-Mails die. xls-Anhänge mit Inhalten auf Koreanisch enthalten. Sobald die .xls-Datei ausgeführt wurde, führt diese automatisch eine Makrofunktion aus, um das legitime Tool msiexec.exe auszuführen (das Programm, das Pakete interpretiert und Produkte auf Windows-Maschinen installiert), das wiederum ein MSI-Archiv herunterlädt. Innerhalb des MSI-Archivs versteckten die Angreifer eine digital signierte ausführbare Datei, die dazu bestimmt ist, eine andere ausführbare Datei im Speicher zu entschlüsseln und auszuführen, sobald sie geöffnet wurde.

 

Die drei nachfolgenden Grafiken geben Ihnen einen Überblick über die aktivsten Bedrohungsgruppen und die am meisten diskutierten Sicherheitsthemen.

Aktivste Bedrohungsgruppen der letzten 7 Tage

Erklärung: Die Auswertung zeigt eine Übersicht auf die Threat Actors, welche in den letzten 7 Tagen Aktivitäten aufzeigten. Die Aktivität wird anhand von gefundenen IOC’s oder Publikationen gemessen. Die gefundenen Indikatoren können aber auch das Resultat eines Entwicklungsschritts von Technologien sein und es werden Threats erkannt oder erklärt, welche schon länger im Umlauf sind. Die Daten basieren auf Malpedia – Fraunhofer FKIE und werden weiter über OSINT Sourcen angereichert.
Source: Malpedia – Fraunhofer FKIE, ISPIN Threat Database
 

Die am häufigsten diskutierten Themen der letzten 7 Tage (ungefiltert)

Erklärung: Für diese Auswertung werden 250 Twitter Accounts von Firmen und Individuen aus dem ICT Sicherheitsumfeld verwendet. Es werden zwischen 1000 und 2000 Tweets am Tag ausgewertet. Alle Hashtags fliessen in diese erste Übersicht ein und diese werden ungefiltert verwendet. Wir erhalten dadurch eine Sicht aus erster Hand, welche Sicherheitsthemen die Experten und Firmen in der letzten Woche beschäftigt haben.
Source: Twitter

Die am häufigsten diskutierten Themen der letzten 7 Tage (gefiltert)

Erklärung: Diese Auswertung basiert auf den vorhergehenden, ungefilterten Daten. Aus diesen Daten wurden allgemeine Begriffe, Firmennamen, Events und Produkte rausgefiltert, um eine genauere Sicht auf die diskutierten Sicherheitsthemen zu erhalten. Hiermit soll aufgezeigt werden können, dass eine spezifische Malware oder eine spezifische Angriffstechnik sich herauskristallisiert. Ein einzelner Kommentar kann hier interessant sein und mit Hilfe von «Crowd Amplification» werden diese einzelnen Findings verstärkt und gelangen so auf unseren Radar.
Source: Twitter