Bedrohungen 2019
Die meisten Probleme der IT-Sicherheit sind gut bekannt, nur selten werden von Grund auf neue Angriffe entwickelt. Dennoch gibt es in den meisten Jahren einzelne Vorgehensweisen oder Schadsoftware-Arten, die besonders intensiv eingesetzt werden.
2019 war dies aus der Sicht von CERT.at auf der Firmenseite die Malware-Trias Emotet, Trickbot und Ryuk, die Schlagzeilen mit der Verschlüsselung und Erpressung zahlreicher Unternehmen und in manchen Staaten auch öffentlicher Einrichtungen machte.
Privatpersonen hingegen wurden stärker als bisher von sog. “Sextortion-Scams" heimgesucht. Dabei wurden vorwiegend E-Mails verschickt, die behaupteten, das Opfer beim Besuchen von Pornoseiten über eine Webcam gefilmt zu haben und damit drohten, diese Aufnahme zu veröffentlichen.
Emotet, Trickbot und Ryuk
2019 war das Jahr der professionalisierten Erpressungsversuche. Obwohl “Ransomware", also Schadsoftware, die Dateien auf infizierten Systemen verschlüsselt und für die Entschlüsselung Geld verlangt, als solches nichts Neues ist, kam es dieses Jahr vermehrt zu gezielten Angriffen gegen Firmen. Während sich die Kriminellen zuvor meist auf Privatpersonen konzentriert und (verhältnismäßig) kleine Summen zur Wiederherstellung der Dateien verlangt hatten, verbrachten sie jetzt einige Zeit in den internen Netzwerken von Firmen, um die wichtigsten Server und deren Backups zu identifizieren und die finanzielle Situation der Opfer einschätzen zu können. Sofern Backups vorhanden waren, vernichteten sie diese, bevor die eigentliche Verschlüsselungs-Malware zum Einsatz kam.
Es ist unklar, ob diese Angriffe von denselben oder ähnlichen Gruppen durchgeführt wurden, die davor jene auf Einzelpersonen zu verantworten hatten.
Die Kriminellen bedienten sich bei diesen Attacken vielfach der Malware-Trias Emotet, Trickbot und Ryuk.
Emotet, ursprünglich ein Banking-Trojaner, wird eingesetzt um initialen Zugang in ein Netzwerk zu erhalten. Das geschieht primär über das Verschicken von Spam E-Mails, die URLs zu Malware-Servern oder Attachements mit Schadsoftware enthalten. Die neueren Versionen (seit April 2019) haben außerdem noch ein Ass im Ärmel: Sobald ein Rechner infiziert wird, stiehlt die Schadsoftware das Adressbuch sowie einen Teil der E-Mails des Opfers und lädt sie auf einen Command-and-Control (C2) Server hoch. Mithilfe dieser Daten kann Emotet dann Malspam verschicken, der in eine legitime E-Mail-Konversation eingebettet wird, d.h. Personen bekommen Antworten auf E-Mails die sie tatsächlich verschickt haben und die auch vorgeben, von der ursprünglichen Zielperson zu stammen. Dieser Umstand erhöht die Wirksamkeit massiv, da auch vorsichtigere NutzerInnen hier leicht zum Opfer werden konnten.
Die gestohlenen E-Mails und Kontaktdaten auf den C2-Servern haben für die Kriminellen noch einen weiteren großen Vorteil: Selbst wenn die ursprünglich betroffene Firma/Person, ihr Netzwerk vollständig von Emotet bereinigt, schützt sie das nicht davor, dass weiterhin in ihrem Namen und in echten E-Mail-Verläufen Malspam verschickt wird. Aus diesem Grund können Reputationsschäden auch bei schneller Reaktion vielfach nicht verhindert werden.
Ist der initiale Zugriff auf das Opfernetzwerk gesichert, wird in vielen Fällen Trickbot nachgeladen. Dabei handelt es sich um einen wurmfähigen Trojaner, der diverse Daten stiehlt. Neben Zugangsdaten zu Bankkonten, Cryptowallets und E-Mails gehören auch Passwörter der NutzerInnen der infizierten Maschine dazu, die mithilfe des Tools Mimikatz ausgelesen werden. Auf diesem Weg können die Kriminellen in vielen Fällen Zugriff auf Passwörter von AdministratorInnen bekommen und sich so im Netzwerk ausbreiten. Finales Ziel ist dabei die Erlangung des Passworts eines AD (Active Directory) Administrationsaccounts, mit dem das gesamte Netzwerk übernommen werden kann.
Ist auch dieser Schritt erfolgreich und konnten sich die Kriminellen ungestört einen Überblick über das Netzwerk und die Finanzen der betroffenen Firma machen, beginnen sie damit, die Backups zu löschen. Wenn das erledigt ist, wird gezielt Ransomware auf wichtigen Computern installiert. Dabei kommen oft Ryuk oder auch das durch den Angriff auf die norwegische Firma Norsk Hydro bekannt gewordene Lockergoga zum Einsatz.
Es ist nicht klar, ob all diese Schritte jeweils von einer Gruppe durchgeführt werden, oder ob eine erste Gruppe die initiale Infektion verursacht, die Zugänge dann an andere verkauft, die sich einen Überblick über das Netzwerk verschaffen und wichtige Accounts übernehmen, und diese dann wiederum weiterverkauft. Auch andere Aufteilungen sind denkbar.
Weiterführende Informationen finden Sie beispielsweise unter https://heise.de/-4573848 oder in den Artikeln des Virus Bulletin zu Emotet und Ryuk.
Sextortion Scams
Bei einem Sextortion-Scam verschicken Kriminelle E-Mails, in denen sie behaupten, den Computer der Opfer gehackt und dann mithilfe der Webcam Aufnahmen davon gemacht hätten, wie das Opfer Pornoseiten besucht habe. Diese Masche ist zwar keineswegs neu, das Ausmaß der Betrugsversuche erreichte 2019 allerdings ungeahnte Höhen. Auch wir haben zahlreiche dieser E-Mails erhalten, hier ein Beispiel, das an <reports@cert.at> ging:
ZUM: reports@cert.at
Ich schreibe Ihnen, weil Ich malware auf die Porno-Website
gesetzt habe, die Sie besucht haben.
Mein Virus hat all Ihre persönlichen Daten gesammelt,
und hat Ihre Kamera während Ihrer masturbation eingeschaltet.
Ich muss zugeben, Sie sind sehr pervers.....
Zudem hat die Software Ihre Kontakte kopiert.
Ich werde das Videо löschen, wenn Sie mir 2.000 EUR in Bitcoin zαhlen.
2.000 EUR = 0.2710196 BTC
Dies ist Adresse für die Zahlung :
3C9GAaz[redacted]
Wenn Sie die Zahlung nicht innerhalb von 48 Ştunden abschicken,
werde ich dieses VΙdeo an alle Ihre Freunde und Bekannten schicken.
Ich weiß, wo Sie wohnen.
Ich gebe Ihnen 48 Ştunden für die Zahlung.
Es ist nicht notwendig, mir zu sagen,
dass Sie mir das Geld geschickt haben.
Diese Adresse ist mit Ihnen verknüpft, mein System wird alle Daten
nach der Übertragung automatisch löschen.
***********************************************
Seɳden Sie sofort 2.000 EUR = 0.2710196 BTC an diese Adresse:
0.2710196 BTC
an diese Adresse:
3C9GAaz[redacted]
(Kopieren & Einfügen)
***********************************************
1 BTC = 7.415 EUR also seɳden Sie 0.2710196 BTC
an die oben genannte Adresse..
Wenn Sie nicht wissen, wie man Bitcoin seɳdet, googeln Sie es.
Sie können die Polizei einschalten, aber niemand wird Ihnen helfen können.
Wenn Sie versuchen, mich zu verarschen, werde ich das bemerken!
Ich lebe nicht in deinem Land. Also wird man mich auch
nach 9 Monaten nicht finden können.
Bis bald. Denken Sie an die Schande und dass Sie ruiniert werden können.
Anonymer Hacker
P.S. Wenn Sie mehr Zeit zum Kaufen und Seɳden von BTC benötigen,
öffnen Sie Ihren Notizblock und schreiben Sie - 48H ++ -, und sparen Sie.
Auf diese Weise können Sie mich kontaktieren.
Ich werde mir überlegen, Íhnen noch 48 Ştunden zu geben,
bevor ich das Vίdeo an Ihre Kontakte schicke, aber nur,
wenn Sie sehen, dass Sie wirklich versuchen, Bitcoin zu kaufen.
Das “bemerkenswerte" an dieser Art von Scam ist, dass sie für die Kriminellen extrem billig ist: Sie müssen selbst keinerlei Infrastruktur betreiben, wie es z.B. bei gefälschten Web-Shops der Fall ist. Außerdem versuchen sie in den meisten Fällen nicht einmal, ihre Behauptungen zu belegen, wenn man vom Fälschen von “To"-Headern in den E-Mails absieht. In einigen Fällen waren auch angebliche Passwörter der Opfer enthalten, die jedoch mit größter Wahrscheinlichkeit einfach aus alten Leaks entnommen waren und in vielen Fällen dementsprechend nicht mehr stimmten. CERT.at ist bis heute kein Fall bekannt, in dem Kriminelle ihre Drohung der Veröffentlichung wahr machten bzw. wahr machen konnten. Wir haben dazu auch einen Blogpost auf Englisch veröffentlicht.