Das BeyondTrust Incident Response Team hat für seinen Malware Threat Report 2021 Angriffe auf Kunden untersucht und dabei 150 Angriffsketten dokumentiert.
BeyondTrust, Anbieter von Privileged-Access-Management-Lösungen, hat erstmals den Malware Thread Report 2021 veröffentlicht. Dazu untersuchte das Incident-Response-Team des Herstellers gemeinsam mit betroffenen Kunden über den Zeitraum eines Jahres reale Angriffe und glich diese mit dem MITRE ATT&CK-Framework ab. Zwischen dem jeweils ersten Quartal 2020 und 2021 konnten die Sicherheitsexperten so 150 dort aufgeführte Angriffsketten ausmachen. Dabei ging mehr als die Hälfte der Vorfälle auf das Konto von Emotetund Trickbot/RYUK, ein weiteres Drittel auf das von Loki, AgentTesla und NJRat.
Die häufigsten Malware-Stämme, die BeyondTrust Labs von Q1 2020 bis Q2 2021 identifiziert hat.
(Bild: BeyonTrust)
Quelle: heise
BeyondTrust, Anbieter von Privileged-Access-Management-Lösungen, hat erstmals den Malware Thread Report 2021 veröffentlicht. Dazu untersuchte das Incident-Response-Team des Herstellers gemeinsam mit betroffenen Kunden über den Zeitraum eines Jahres reale Angriffe und glich diese mit dem MITRE ATT&CK-Framework ab. Zwischen dem jeweils ersten Quartal 2020 und 2021 konnten die Sicherheitsexperten so 150 dort aufgeführte Angriffsketten ausmachen. Dabei ging mehr als die Hälfte der Vorfälle auf das Konto von Emotetund Trickbot/RYUK, ein weiteres Drittel auf das von Loki, AgentTesla und NJRat.
Du musst angemeldet sein, um Bilder zu sehen.
Die häufigsten Malware-Stämme, die BeyondTrust Labs von Q1 2020 bis Q2 2021 identifiziert hat.
(Bild: BeyonTrust)
Mehr Professionalität der Angreifenden
Ein Ergebnis der Forscher ist die zunehmende Professionalisierung von Malware-Angreifern. Die neueste Generation setze noch mehr auf mehrstufige Angriffe und attackiere komplette Unternehmensumgebungen. Ein typischer Verlauf mit mehreren Akteuren, Tools und Plattformen könne wie folgt aussehen:- Die Angreifer mieten das Necurs-Botnet und setzen es zur Verteilung von Spam-Nachrichten ein.
- Die Spam-Mails enthalten mit Schadcode versehene Dokumente, um eine Trickbot-Infektion auszulösen.
- Trickbot sammelt Anmeldedaten, greift auf E-Mails zu und bewegt sich per „Network Lateral Movement“ im gesamten Netzwerk. Gestohlene Daten werden zum Verkauf angeboten oder für weitere Attacken genutzt.
- Nach umfassender Kompromittierung eines Unternehmensnetzes verkaufen Hacker den Backdoor-Zugang zum Netzwerk an den Meistbietenden.
- Der Käufer verteilt die Ransomware RYUK anschließend über Trickbot-Command-and-Control-Server.
Quelle: heise
