Lizenz zum Löschen: APTs nutzen Wiper und dateilose Malware für gezielte Angriffe

Im ersten Quartal 2017 identifizierten die Experten von Kaspersky Lab einem starken Anstieg bei der Raffinesse staatlich gesteuerter Cyberangriffe. Bedrohungsakteure setzen bei APTs (Advanced Persistent Threat) stärker auf Wiper, also Programme, mit deren Hilfe Dateien zerstört werden können, sowie auf Kriminalität im Finanzbereich. Diese und weitere Trends hat Kaspersky Lab jetzt erstmals in einem quartalsweise erscheinenden Report [1] veröffentlicht.

2017 waren die ersten drei Monate von folgenden APT-Entwicklungen gekennzeichnet:

• Die Akteure hinter gezielten Angriffen nutzen Wiper-Programme für Cybersabotage und zur Beseitigung von Spuren im Anschluss an die Attacken. So wurde etwa eine neue Generation von Wipern bei den Shamoon-Angriffen [2] verwendet. Die Untersuchung des Falls führte zur Entdeckung von StoneDrill und dessen Ähnlichkeiten mit dem Code der NewsBeef-Gruppe (Charming Kitten).
• Gezielte Angriffe werden zum Gelddiebstahl eingesetzt. Bei ihrer Langzeit-Beobachtung der Lazarus-Gruppe stießen die Experten von Kaspersky Lab auf BlueNoroff [3]. Dieser Akteur geht aktiv Finanzinstitutionen in verschiedenen Regionen an. Vermutlich steckt BlueNoroff auch hinter dem Bankraub in Bangladesch.
• Cyberkriminelle und besonders Akteure, die gezielte Angriffe durchführen, verwenden dateilose („fileless“) Malware, die nur schwer entdeckt und forensisch untersucht werden kann. Beispiele hierfür fanden die Experten von Kaspersky Lab bei den sogenannten Lateral Movement Tools der Shamoon-Angriffe, bei Attacken auf Banken in Osteuropa [4] und zahlreichen weiteren APT-Akteuren.

„Die Bedrohungslandschaft gezielter Attacken verändert sich laufend, und die Angreifer sind immer besser vorbereitet, um neue Lücken und Gelegenheiten aufzuspüren und auszunutzen“, erklärt Juan Andres Guerrero-Saade, Senior Security Researcher im Global Research and Analysis-Team (GReAT) bei Kaspersky Lab. „Daher ist Threat Intelligence so wichtig: Organisationen verschaffen sich so das nötige Wissen und erkennen, welche Gegenmaßnahmen ergriffen werden müssen. Die Bedrohungslandschaft des ersten Quartals 2017 zeigt einen erhöhten Bedarf an Speicherforensik und an Vorfallreaktionen gegen dateilose Malware-Attacken. Zudem sollten Sicherheitslösungen eingesetzt werden, die über alle laufenden Aktivitäten im Netzwerk hinweg Anomalien aufspüren können.“

Die Experten von Kaspersky Lab verfolgen derzeit über hundert Bedrohungsakteure und untersuchen komplexe schädliche Attacken gegen privatwirtschaftliche und staatliche Organisationen in mehr als 80 Ländern. Im ersten Quartal 2017 erstellen die Experten 33 Berichte, um die Abonnenten der Intelligence Services von Kaspersky Lab bei der forensischen Analyse und der Jagd nach Malware zu unterstützen. Die Berichte beinhalten auch Kompromittierungsindikatoren (Indicators of Compromise, IOC) und YARA-Regeln.

Der APT-Quartalsbericht ist in einer Zusammenfassung unter https://securelist.com/analysis/quarterly-malware-reports/78169/apt-trends-report-q1-2017 verfügbar oder kann über die E-Mail-Adresse intelreports@kaspersky.com angefragt werden.

_{[1] https://securelist.com/analysis/quarterly-malware-reports/78169/apt-trends-report-q1-2017 / Der neue Bericht zu Trends in der APT-Landschaft stellt die wichtigsten Entwicklungen bei gezielten Angriffen vor und informiert Unternehmen und andere Organisationen über Bedrohungen, die sofortige Aufmerksamkeit erfordern. Der Inhalt ergibt sich aus der Beobachtung der Aktivitäten von APT-Akteuren im jeweiligen Quartal durch die Experten von Kaspersky Lab.}

_{[2] https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/}

_{[3] https://securelist.com/blog/sas/77908/lazarus-under-the-hood/}

_{[4] https://securelist.com/blog/research/77403/fileless-attacks-against-enterprise-networks/}