Cyberkriminelle nutzen Tiktok-Trend zur Verbreitung von Malware
"Water Bucket Challenge", "Milk Crate Challenge", "Cinnamon Challenge": In den sozialen Netzwerken machen immer wieder Challenges - zu Deutsch Herausforderungen - die Runde. Aktuell machen sich Cyberkriminelle auf der Videoplattform Tiktok eine solche zu Nutze, um die Malware "WASP" zu verbreiten, wie berichtet. Die sogenannte "Invisible Challenge" fordert User dazu auf, nackt zu posieren, während ein Filter den Körper der Person unsichtbar macht.
Die Tiktok-User @learncyber und @kodibtc veröffentlichten Videos auf der Plattform, in denen sie eine Software anpreisen, die diesen Filter entfernen könne, wie weiter schreibt. In der Videobeschreibung finde sich zudem ein Link zu einem Discord-Server, der wiederum auf ein GitHub-Projekt verweise. Versteckt in einem Text-File befinde sich ein Bat-Script, welches beim Ausführen ein bösartiges Python-Paket mit WASP-Malware installiere.
Im Zuge eines erfolgreichen Angriffs können Cyberkriminelle durch WASP Zugriff auf Account-Daten, Passwörter, Crypto Wallets, Kreditkarteninformationen und sämtliche Dateien auf dem Zielgerät erhalten.
Nachdem Github-Nutzende die Machenschaften der Cyberkriminellen meldeten und die bösartigen Pakete entfernt wurden, entbrannte ein noch immer andauerndes Katz-und-Maus-Spiel zwischen den Github-Admins und den Betrügern, wie schreibt. Die Autoren des Repository laden demnach immer neue Versionen des Codes hoch und verstecken das bösartige Python-Paket unter verschiedenen Namen an immer wechselnden Orten. Zum Zeitpunkt der Veröffentlichung wurde das Repository vor 19 Stunden zuletzt aktualisiert.
Übrigens: Im kommenden Jahr sollen Blockchain-basierte Cybergefahren stark zunehmen. Das prognostiziert zumindest Kaspersky. Welche Trends das Cybersecurity-Unternehmen für 2023 sonst noch erwartet, erfahren Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Die 5 gefährlichsten Hacker-Trends in 2023
Im vergangenen Jahr hatten sich einige neue Angriffsstrategien unter Cyberkriminellen abgezeichnet. Nun rechnen Experten mit einer Verschärfung
Die gute Nachricht vorweg: So übel, wie viele mit Beginn des Ukraine-Krieges befürchtet haben, ist es nicht gekommen. Die große Welle von Cyberangriffen, mit der westeuropäische Unternehmen und Behörden gerechnet haben, ist ausgeblieben. Aber dennoch nehmen Hackerangriffe stetig zu. Zum einen solche mit Ransomware, also Verschlüsselungsprogrammen, die die Netzgangster erst wieder entfernen, wenn das Opfer zahlt. Und zum anderen DDoS-Angriffe, die Rechnersysteme mittels Zugriffe zusammenbrechen lassen.
IT-Bedrohungen von dieser Sorte werden leider zunehmen, wie eine Umfrage unter Experten in der Wirtschaftswoche ergeben hat. Sie machen folgende Trends unter den Cyberkriminellen aus:
Der Einsatz von KI erhöht die Angriffsdichte
Weil Hacker zunehmend in der Lage sind, hochbezahlte KI-Experten aus der Wirtschaft zu ködern, verfügen sie vermehrt über Know-how, das ihnen automatisierte Angriffe ermöglicht. Ransomware-Attacken und Erpressungssoftware könne so viel effizienter angepasst werden. Folglich werden die Abstände von Einsätzen modifizierter Programme von einigen Tagen auf wenige Minuten sinken, wie Mikko Hypponen vom finnischen IT-Sicherheitsdienstleisters Withsecure erklärt.
Attacken über Zoom, Teams & Co.
Videokonferenzen sind mit Beginn der Homeoffice-Ära ein fixer Bestandteil der Arbeitswelt geworden. Damit ist ein neues Einfallstor für Hacker entstanden. Sie schleichen sich in mehr oder weniger gut geschützte Onlinekonferenzen, um sensible Firmeninformationen zu erbeuten. Besonders betroffen sind Firmen aus dem Mittelstand, die sich keine großen IT-Abteilungen leisten können
Behörden als Angriffsziel
Im Vorjahr waren Attacken auf Städte (Berlin, Witten, Wesel) oder Landkreise (Anhalt-Bitterfeld) noch die Ausnahme. Tommy Grosche, Deutschlandchef des IT-Anbieters Fortinet, befürchtet, dass sich das ändern wird. Hacker hätten das Erlöspotenzial bei der Erpressung öffentlicher Verwaltungen als Geschäftsmodell entdeckt. Außerdem mehrten sich auch die Angriffe politisch motivierter Akteure, die auf eine Lahmlegung der Systeme abzielen.
Supply-Chain-Angriffe: Augenmerk auf die Lieferkette
Attacken über die Lieferkette haben in den vergangenen Monaten stark zugenommen. Dabei nehmen Hacker den Umweg über die IT-Lieferkette, indem sie einen IT-Dienstleister kompromittieren auf diesem Weg in die Systeme von deren Kunden eindringen. Daher der Rat der Experten: Cybersicherheit müsse auch die Sicherung von Wertschöpfungs- und Lieferketten beinhalten. Auch auf Lieferanten, die bisher grundsätzlich als vertrauenswürdig eingestuft würden, sollte ein Auge geworfen werden.
Schlecht abgesicherte Homeoffices und Fernzugriffsprogramme
Viele private IT-Komponenten im Home-Office, aber auch Zugriffsprogramme sind nach wie vor Schwachstellen und potenzielle Einfallstore für Cybergangster. Die vernetzte Technik in privaten Netzwerken ist nicht selten schlecht geschützt, Hacker haben dadurch entsprechend leichtes Spiel.
Cyberkriminalität in Zeiten von COVID19: Das sind die 4 wichtigsten Trends
Cyberkriminalität in Zeiten von COVID19: Das sind die 4 wichtigsten Trends
Mit der COVID19-Pandemie hat die Anzahl der Cyberattacken signifikant zugenommen. Dabei haben die Analysten von Securonix vier Methoden analysiert, die die Angreifer besonders häufig nutzen. Was diese Methoden konkret ausmacht und wie sich Unternehmen dagegen wehren können, präsentiert CANCOM.info in der Übersicht.
Eine Studie des Marktforschungsinstituts Dimensional Research lässt keine Zweifel: Gerade in Zeiten der Coronakrise ist das Thema IT-Security wichtiger denn je. So geben 71 Prozent der befragten Firmen in der Studie an, dass die Anzahl der Cyberattacken und -bedrohungen gestiegen ist (CANCOM.info berichtete).
Welche Cyberattacken konkret ausgeführt wurden, hat kürzlich das Unternehmen Securonix ermittelt. Demzufolge haben sich bei den Attacken 4 Trends herauskristalliert – die alle zwei Punkte gemeinsam hätten: Sie würden auf bekannte Muster setzen und vergleichsweise wenig Aufwand verursachen, wenn es um die Durchführung geht. Für die Analyse, deren Ergebnisse unter anderem die Fachzeitschrift eGovernment Computing veröffentlicht hat, haben die Sicherheitsforscher von Securonix in den vergangenen Wochen neue Trends und Szenarien beobachtet.
1. Malware Domains
Den Analysten zufolge tauchten in den letzten Wochen vermehrt böswillige Domains auf, die Begriffe wie „corona“ oder „covid19“ verwendeten. Die Angreifer hätten damit versucht, auf Registry-Einstellungen von Anwendungen zuzugreifen und so Anmeldedaten oder andere Userinformationen zu stehlen.
Weiterhin seien Malware Domains als Ausgangspunkt genutzt worden, um Ransomware-Angriffe auf das Gesundheitswesen zu starten. Dies sei zum Beispiel bei der Domain „coronavirusapp[.]site” der Fall gewesen: Laut den Sicherheitsforschern verbreitet diese Domain einen falschen COVID19-Tracker, der die Daten der Opfer verschlüsselt und die Informationen zur Entschlüsselung angeblich innerhalb von 48 Stunden herausrückt – vorausgesetzt, die Opfer bezahlen 100 Dollar in Bitcoin.
Als Maßnahme gegen solche Domains empfehlen die Analysten insbesondere, Firewall-Regeln auf Proxy-Geräten zu deaktivieren. Auf diese Weise könnte die Kommunikation zwischen schädlichen Domains unterbunden werden.
2. Phishing
Gerade während des Lockouts nutzten viele Cyberkriminelle die Situation für sich aus und verbreiteten E-Mails von scheinbar offiziellen Einrichtungen – so die Analysten. Neben Updates und Verhaltensregeln hätten diese E-Mails nicht selten Schadsoftware enthalten.
Um solche Phishing-Angriffe zu verhindern, müssten Firmen vor allem überwachen, ob der Datenverkehr zu neu registrierten oder seltenen Domains ansteigt. Zudem sei es ratsam, auf sogenannte Command-and-Control bzw. C2-Aktivitäten zu achten. Damit könnte Phishing frühzeitig erkannt werden.
Bei C2-Aktivitäten infiziert der Hacker zunächst einen Computer – etwa über eine Phishing-E-Mail. Sobald der Computer kompromittiert ist, nimmt er Kontakt zum Server des Angreifers auf. Nun hat der Angreifer die vollständige Kontrolle über den infizierten Computer und kann darüber weitere Attacken starten. Dies kann so weit führen, dass der Hacker ein Botnetz, also ein Netzwerk aus infizierten Computern, aufbaut, um so das Unternehmensnetzwerk vollständig zu kapern.
3. Unerlaubte Remote-Zugriffe
Wie die Analysten beschreiben, ist der Anteil derjenigen Mitarbeiter, die VPNs und andere Remote-Authentifizierungsmethoden nutzen, angesichts der COVID19-Pandemie um 50 bis 100 Prozent gestiegen. Hacker würden diese Situation ausnutzen: Eine häufige Methode sei, eine Flut an technischen Support-Anfragen zu verschicken, um so an Einmal-Passwörter zu gelangen. Damit die Anfragen möglichst glaubwürdig erscheinen, nutzten die Angreifer öffentlich zugängliche Informationen aus Business-Netzwerken wie LinkedIn.
Zur Unterbindung solcher Methoden müssten Firmen unter anderem VPN-Anomalien im Blick haben und sämtliche Aktivitäten überprüfen, die nach der Authentifizierung durchgeführt werden.
4. Missbrauch von Benutzerkonten
Wenn ein Benutzerkonto für einen Zugriff autorisiert ist, bedeutet das nicht automatisch, dass tatsächlich der Nutzer dahintersteckt, wenn der Zugriff über dieses Konto erfolgt. Das geht aus der Untersuchung von Securonix hervor. Als Beispiel nennen die Analysten einen User, der augenscheinlich versuchte, sich aus 26 Ländern innerhalb von 14 Tagen über ein Firmen-VPN einzuloggen – was allerdings nie stattgefunden habe. Denn in Wahrheit sei das Benutzerkonto kompromittiert gewesen. Dies hätte sich etwa darin gezeigt, dass manche Länder für das Unternehmen eher untypisch gewesen seien.
Als Gegenmaßnahme empfehlen die Sicherheitsforscher unter anderem, User-basierte Überwachung einzusetzen, um verdächtige Login-Versuche anhand von Standortinformationen oder der Anzahl an Anmeldeversuchen zu erkennen. Außerdem müssten Unternehmen Richtlinien kommunizieren, die den richtigen Gebrauch sowie den potenziellen Missbrauch von Passwörtern thematisieren.
Fazit
Die Analyse von Securonix zeigt vier klare Trends auf, wie Cyberkriminelle in den vergangenen Wochen vorgegangen sind, um Attacken durchzuführen. Dabei seien die Angriffe weder innovativ noch neu gewesen – sondern hätten auf bewährte Muster gesetzt. Egal ob es sich um Malware Domains, Phishing, der Kompromittierung von Remote-Zugriffen oder dem Missbrauch von Benutzerkonten handelt.
Wie die Analysten betonen, ist vor allem der Stellenwert der VPN-Sicherheit enorm gestiegen. Dies liege daran, dass seit der Coronakrise deutlich mehr Mitarbeiter wie zuvor im Home Office arbeiten. Zur Gewährleistung dieser Sicherheit müssten Unternehmen beispielsweise dedizierte VPN-Ports wie OpenVPN (1194) oder SSL VPN (z.B. TCP/UDP 443) überwachen.
Weitere Informationen zum Thema IT-Sicherheit im Home Office erfahren Sie hier.
Quelle Titelbild: ©