Ein Anbieter von KI für Cybersicherheit hat seinen End of Year Threat Report für die zweite Hälfte des Jahres 2023 veröffentlicht. Der Report basiert auf Daten aus der gesamten Kundenbasis und deckt wichtige Entwicklungen in den Bereichen multi-funktionale Malware, Loader, ViperSoftX und Phishing-Mails auf.
Laut der Analyse von Darktrace war in der zweiten Hälfte des Jahres 2023 der am häufigsten beobachtete Bedrohungstyp Malware-as-a-Service (MaaS), die zusammen mit Ransomware-as-a-Service (RaaS) die Mehrheit der bei Cyberangriffen verwendeten bösartigen Tools ausmachte. Aufgrund hoher Nachfrage und der wiederholten abonnementbasierten Einnahmen erwartet Darktrace, dass die MaaS- und RaaS-Ökosysteme weiter wachsen und auch im Jahr 2024 die größten Bedrohungen darstellen. Alle Ergebnisse der Analyse basieren auf Erkenntnissen, die von der selbstlernenden KI von Darktrace gesammelt wurden.
Eine Malware für alles
Malware ist nicht mehr nur auf eine bestimmte Aktion oder Aufgabe zugeschnitten. Sie wurde weiterentwickelt und kann mehrere Aktivitäten ausführen – wie ein Schweizer Taschenmesser. Die Entwicklung multi-funktionaler Malware wird sich fortsetzen und aufgrund ihrer Anpassungsfähigkeit und Vielseitigkeit eine zunehmende Bedrohung für Sicherheitsteams darstellen. Denn damit können Cyberkriminelle eine Reihe bösartiger Aktivitäten effizienter durchführen und die nötige Verweildauer in den betroffenen Netzwerken verkürzen. Dies reduziert auch die Wahrscheinlichkeit ihrer Entdeckung. So wird für Unternehmen die Erkennung von Anomalien zu einem entscheidenden Faktor, um den sich ständig weiterentwickelnden Bedrohungen einen Schritt voraus zu sein.
Ein aktuelles Beispiel für multi-funktionale Malware ist CyberCartel. Diese lateinamerikanische Hacker-Gruppe ist seit 2012 aktiv und dafür bekannt, MaaS-Angebote von anderen Malware-Stämmen wie dem Fenix-Botnet zu nutzen. Das Darktrace Threat Research Team entdeckte rund 40 Netzwerke, die potenziell von CyberCartel betroffen waren. Durch die Kombination von Funktionen verschiedener Stämme und den Einsatz einer gemeinsamen C2-Infrastruktur kann CyberCartel seine Malware effektiv verteilen und Informationen stehlen. Dabei ist eine genaue Zuordnung sehr schwierig, welches Unternehmen von welcher Malware-Funktion betroffen ist.
Die Türöffner
Loader öffnen häufig die Tür in Unternehmensnetzwerke und stellen die am häufigsten beobachtete Bedrohungskategorie innerhalb von MaaS und RaaS dar, die Darktrace in der zweiten Jahreshälfte 2023 analysiert hat. Sie waren an 77 Prozent der untersuchten Angriffe beteiligt, gefolgt von Cryptominern (52 %), Botnetzen (39 %), Malware zum Informationsdiebstahl (36 %) und Proxy-Botnetzen (15 %). Die Prozentsätze ergeben sich aus Mehrfachnennungen, da die betroffenen Kunden auf Basis der Infektionen bei jeder Kategorie in mehr als einen Bedrohungstyp eingeteilt wurden.
Malware für den Erstzugang wie Loader und Information Stealer werden weiterhin zu den größten Gefahren für Unternehmen gehören. Es handelt sich oft um interoperable, flexible MaaS-Tools. Darktrace beobachtet häufig, dass sie für den Erstzugang Daten und Anmeldeinformationen sammeln, ohne Dateien zu übertragen. Die Daten werden dann oft verkauft. Angesichts des steigenden Werts von Daten auf dem modernen Markt für Cyber-Bedrohungen bleiben MaaS-Tools für den Erstzugang ein wichtiges Thema für Sicherheitsteams. Zudem ermöglichen Loader nachfolgende Infektionen der zweiten und dritten Stufe für bösartige Angriffe und Ransomware.
Passwortdieb vermeidet Entdeckung
ViperSoftX ist ein Beispiel für die weite Verbreitung von Malware für den Erstzugang. Der Information Stealer und Remote Access Trojaner (RAT) sammelt sensible Informationen wie Wallet-Adressen von Kryptowährungen und in Browsern oder Passwortmanagern gespeicherte Passwortinformationen, um nachfolgende Angriffe zu erleichtern. Er wird in der Regel über den Download geknackter Software von verdächtigen Domains, Torrent-Downloads und Schlüsselgeneratoren von Drittanbieterseiten verbreitet.
Die Malware wurde erstmals im Jahr 2020 in freier Wildbahn beobachtet. Doch 2022 und 2023 tauchten neue Stämme auf, die ausgefeiltere Techniken zur Umgehung der Erkennung verwenden. Dazu gehören fortschrittliche Verschlüsselungsmethoden sowie monatliche Änderungen an Command-and-Control-Servern (C2). Die aktuellen Versionen nutzen auch DLL (Dynamic-Link Library) Sideloading für Ausführungstechniken. Sie installieren eine bösartige Browsererweiterung mit dem Namen VenomSoftX, die als unabhängiger Information Stealer arbeitet.
Phishing-Mails weiterhin gefährlich
Die Lösung Darktrace/Email entdeckte 10,4 Millionen Phishing-E-Mails zwischen dem 1. September und 31. Dezember 2023. Davon bestanden 65 Prozent erfolgreich die Authentifizierung über DMARC (Domain-based Message Authentication). Das Umgehen dieser Verifizierungsprüfung deutet darauf hin, dass Cyberkriminelle ihre Tarnungs- und Ausweichtaktiken zunehmend verbessern. Auch dass nur 42 Prozent der Phishing-Mails von großen E-Mail-Anbietern wie Microsoft und Google erkannt wurden, zeigt Lücken und Schwachstellen in den herkömmlichen Sicherheitsmaßnahmen.
Neuartige Social-Engineering-Techniken wie der Einsatz von QR-Codes sollen die Empfänger zur Preisgabe sensibler Informationen wie Anmeldedaten und Bankinformationen oder zum Herunterladen bösartiger Dateien verleiten. Da mehr als ein Viertel der beobachteten Phishing-Mails eine größere Textmenge enthielt, verstärken Cyberkriminelle ihre Bemühungen für ausgefeilte Phishing-Kampagnen. Möglicherweise setzen sie dabei auch generative KI-Tools zur Automatisierung von Social-Engineering-Aktivitäten ein.
Mehr bei Darktrace.com
Über Darktrace Darktrace, ein weltweit führendes Unternehmen im Bereich der künstlichen Intelligenz für Cybersicherheit, schützt Unternehmen und Organisationen mit KI-Technologie vor Cyberangriffen. Die Technologie von Darktrace registriert untypische Muster im Datenverkehr, die auf mögliche Bedrohungen hindeuten. Dabei erkennt sie selbst neuartige und bislang unbekannte Angriffsmethoden, die von anderen Sicherheitssystemen übersehen werden.
Passende Artikel zum Thema