Threat Report für zweite Jahreshälfte 2023

Threat Report für zweite Jahreshälfte 2023

Beitrag teilen

Ein Anbieter von KI für Cybersicherheit hat seinen End of Year Threat Report für die zweite Hälfte des Jahres 2023 veröffentlicht. Der Report basiert auf Daten aus der gesamten Kundenbasis und deckt wichtige Entwicklungen in den Bereichen multi-funktionale Malware, Loader, ViperSoftX und Phishing-Mails auf.

Laut der Analyse von Darktrace war in der zweiten Hälfte des Jahres 2023 der am häufigsten beobachtete Bedrohungstyp Malware-as-a-Service (MaaS), die zusammen mit Ransomware-as-a-Service (RaaS) die Mehrheit der bei Cyberangriffen verwendeten bösartigen Tools ausmachte. Aufgrund hoher Nachfrage und der wiederholten abonnementbasierten Einnahmen erwartet Darktrace, dass die MaaS- und RaaS-Ökosysteme weiter wachsen und auch im Jahr 2024 die größten Bedrohungen darstellen. Alle Ergebnisse der Analyse basieren auf Erkenntnissen, die von der selbstlernenden KI von Darktrace gesammelt wurden.

Anzeige

Eine Malware für alles

Malware ist nicht mehr nur auf eine bestimmte Aktion oder Aufgabe zugeschnitten. Sie wurde weiterentwickelt und kann mehrere Aktivitäten ausführen – wie ein Schweizer Taschenmesser. Die Entwicklung multi-funktionaler Malware wird sich fortsetzen und aufgrund ihrer Anpassungsfähigkeit und Vielseitigkeit eine zunehmende Bedrohung für Sicherheitsteams darstellen. Denn damit können Cyberkriminelle eine Reihe bösartiger Aktivitäten effizienter durchführen und die nötige Verweildauer in den betroffenen Netzwerken verkürzen. Dies reduziert auch die Wahrscheinlichkeit ihrer Entdeckung. So wird für Unternehmen die Erkennung von Anomalien zu einem entscheidenden Faktor, um den sich ständig weiterentwickelnden Bedrohungen einen Schritt voraus zu sein.

Ein aktuelles Beispiel für multi-funktionale Malware ist CyberCartel. Diese lateinamerikanische Hacker-Gruppe ist seit 2012 aktiv und dafür bekannt, MaaS-Angebote von anderen Malware-Stämmen wie dem Fenix-Botnet zu nutzen. Das Darktrace Threat Research Team entdeckte rund 40 Netzwerke, die potenziell von CyberCartel betroffen waren. Durch die Kombination von Funktionen verschiedener Stämme und den Einsatz einer gemeinsamen C2-Infrastruktur kann CyberCartel seine Malware effektiv verteilen und Informationen stehlen. Dabei ist eine genaue Zuordnung sehr schwierig, welches Unternehmen von welcher Malware-Funktion betroffen ist.

Die Türöffner

Loader öffnen häufig die Tür in Unternehmensnetzwerke und stellen die am häufigsten beobachtete Bedrohungskategorie innerhalb von MaaS und RaaS dar, die Darktrace in der zweiten Jahreshälfte 2023 analysiert hat. Sie waren an 77 Prozent der untersuchten Angriffe beteiligt, gefolgt von Cryptominern (52 %), Botnetzen (39 %), Malware zum Informationsdiebstahl (36 %) und Proxy-Botnetzen (15 %). Die Prozentsätze ergeben sich aus Mehrfachnennungen, da die betroffenen Kunden auf Basis der Infektionen bei jeder Kategorie in mehr als einen Bedrohungstyp eingeteilt wurden.

Malware für den Erstzugang wie Loader und Information Stealer werden weiterhin zu den größten Gefahren für Unternehmen gehören. Es handelt sich oft um interoperable, flexible MaaS-Tools. Darktrace beobachtet häufig, dass sie für den Erstzugang Daten und Anmeldeinformationen sammeln, ohne Dateien zu übertragen. Die Daten werden dann oft verkauft. Angesichts des steigenden Werts von Daten auf dem modernen Markt für Cyber-Bedrohungen bleiben MaaS-Tools für den Erstzugang ein wichtiges Thema für Sicherheitsteams. Zudem ermöglichen Loader nachfolgende Infektionen der zweiten und dritten Stufe für bösartige Angriffe und Ransomware.

Passwortdieb vermeidet Entdeckung

ViperSoftX ist ein Beispiel für die weite Verbreitung von Malware für den Erstzugang. Der Information Stealer und Remote Access Trojaner (RAT) sammelt sensible Informationen wie Wallet-Adressen von Kryptowährungen und in Browsern oder Passwortmanagern gespeicherte Passwortinformationen, um nachfolgende Angriffe zu erleichtern. Er wird in der Regel über den Download geknackter Software von verdächtigen Domains, Torrent-Downloads und Schlüsselgeneratoren von Drittanbieterseiten verbreitet.

Die Malware wurde erstmals im Jahr 2020 in freier Wildbahn beobachtet. Doch 2022 und 2023 tauchten neue Stämme auf, die ausgefeiltere Techniken zur Umgehung der Erkennung verwenden. Dazu gehören fortschrittliche Verschlüsselungsmethoden sowie monatliche Änderungen an Command-and-Control-Servern (C2). Die aktuellen Versionen nutzen auch DLL (Dynamic-Link Library) Sideloading für Ausführungstechniken. Sie installieren eine bösartige Browsererweiterung mit dem Namen VenomSoftX, die als unabhängiger Information Stealer arbeitet.

Phishing-Mails weiterhin gefährlich

Die Lösung Darktrace/Email entdeckte 10,4 Millionen Phishing-E-Mails zwischen dem 1. September und 31. Dezember 2023. Davon bestanden 65 Prozent erfolgreich die Authentifizierung über DMARC (Domain-based Message Authentication). Das Umgehen dieser Verifizierungsprüfung deutet darauf hin, dass Cyberkriminelle ihre Tarnungs- und Ausweichtaktiken zunehmend verbessern. Auch dass nur 42 Prozent der Phishing-Mails von großen E-Mail-Anbietern wie Microsoft und Google erkannt wurden, zeigt Lücken und Schwachstellen in den herkömmlichen Sicherheitsmaßnahmen.

Neuartige Social-Engineering-Techniken wie der Einsatz von QR-Codes sollen die Empfänger zur Preisgabe sensibler Informationen wie Anmeldedaten und Bankinformationen oder zum Herunterladen bösartiger Dateien verleiten. Da mehr als ein Viertel der beobachteten Phishing-Mails eine größere Textmenge enthielt, verstärken Cyberkriminelle ihre Bemühungen für ausgefeilte Phishing-Kampagnen. Möglicherweise setzen sie dabei auch generative KI-Tools zur Automatisierung von Social-Engineering-Aktivitäten ein.

Mehr bei Darktrace.com

 


Über Darktrace

Darktrace, ein weltweit führendes Unternehmen im Bereich der künstlichen Intelligenz für Cybersicherheit, schützt Unternehmen und Organisationen mit KI-Technologie vor Cyberangriffen. Die Technologie von Darktrace registriert untypische Muster im Datenverkehr, die auf mögliche Bedrohungen hindeuten. Dabei erkennt sie selbst neuartige und bislang unbekannte Angriffsmethoden, die von anderen Sicherheitssystemen übersehen werden.


 

Passende Artikel zum Thema

Security Report deckt Missbrauch von Blockchains für Malware auf

Der neue Internet Security Report von WatchGuard deckt unter anderem die Instrumentalisierung von Blockchains als Hosts für schädliche Inhalte auf. ➡ Weiterlesen

PKI-Zertifikate sicher verwalten

Mit der Zunahme von Hard- und Software nimmt die Anzahl von Zertifikaten für diese Geräte zu. Ein Cybersicherheitsunternehmen hat jetzt ➡ Weiterlesen

Cloud-Sicherheitsstrategien: eBook gibt Tipps

Cloud-Computing nimmt immer weiter zu. Das ebook erklärt effektive Cloud-Sicherheitsstrategien, inklusive Identitätsmodernisierung, KI-Herausforderungen und Secure-by-Design-Strategien, und bietet Unternehmen umsetzbare Erkenntnisse ➡ Weiterlesen

Mit KI-Technologie Geschäftsanwendungen sicher verwalten

Ein  Anbieter von Cybersicherheitslösungen, launcht die neueste Version seiner Sicherheitsmanagement-Plattform. Mithilfe von moderner KI-Technologie lassen sich Geschäftsanwendungen schnell und präzise ➡ Weiterlesen

Open-Source-Tool zur Analyse von Linux-Malware

Mit dem neuen Open-Source-Tool können SOC-Teams und Entwickler die Sicherheit überwachen und Bedrohungen untersuchen. Traceeshark kombiniert die dynamische Analyse von ➡ Weiterlesen

Cyberkriminalität: Aktuelle Bedrohungen und Taktiken

Ein Anbieter im Bereich Connectivity Cloud stellt seine Forschungsdaten zur weltweiten Cyberkriminalität der Allgemeinheit zur Verfügung. Sie haben Angreifer aufgespürt, ➡ Weiterlesen

NIS2: Veraltete Software ist ein Risiko

NIS2 betrifft Unternehmen, die zur kritischen Infrastruktur gehören. Sie alle müssen prüfen, ob die Software ihrer Geräte auf dem neuesten ➡ Weiterlesen

Quishing: Phishing mit QR-Codes

In Anlehnung an Albert Einstein ließe sich wohl sagen, dass der kriminelle Einfallsreichtum der Menschen unendlich ist. Der neueste Trend ➡ Weiterlesen