Thought Leadership
HP stellt die neuen Ergebnisse seines vierteljährlichen HP Wolf Security Threat Insights Report vor. Dieser zeigt, dass Angreifer auf offene Weiterleitungen, überfällige Rechnungen und „Living-off-the-Land“-Techniken (LotL) setzen, um Schutzmaßnahmen zu umgehen.
Der Bericht analysiert Angriffe und hilft Unternehmen, sich mit den neuesten Techniken vertraut zu machen, die Cyberkriminelle einsetzen, um sich der Entdeckung zu entziehen und in der sich schnell verändernden Cybercrime-Landschaft in PCs einzudringen.
Basierend auf den Daten von Millionen Endgeräten, auf denen HP Wolf Security läuft, konnten HP Threat Researcher folgende Kampagnen identifizieren:
Angreifer nutzen offene Weiterleitungen, um Anwender zu täuschen
In einer raffinierten WikiLoader-Kampagne nutzten die Angreifer sogenannte offenen Weiterleitungen, Schwachstellen auf Websites, aus, um nicht entdeckt zu werden. So wurden Benutzer oft durch offene Weiterleitungsschwachstellen in Werbeeinbettungen auf vertrauenswürdige Websites umgeleitet. Anschließend wurden sie direkt auf bösartige Websites weitergeleitet, so dass es fast unmöglich war, den Wechsel zu erkennen.
BITS
Mehrere Kampagnen missbrauchten den Windows Background Intelligent Transfer Service (BITS) – einen legitimen Mechanismus, den Programmierer und Systemadministratoren zum Herunter- oder Hochladen von Dateien auf Webserver und File Shares verwenden. Diese LotL-Technik half den Angreifern, unentdeckt zu bleiben, indem sie BITS zum Herunterladen der bösartigen Dateien nutzten.
Gefälschte Rechnungen dienen als Grundlage für HTML-Schmuggelangriffe:
HP identifizierte Bedrohungsakteure, die Malware in HTML-Dateien, getarnt als Lieferrechnungen, versteckten. Diese lösten bei Öffnung in einem Webbrowser eine Ereigniskette aus, bei der die Open-Source-Malware AsyncRAT eingesetzt wurde. Interessanterweise schenkten die Angreifer dem Design des Köders wenig Aufmerksamkeit, was darauf hindeutet, dass der Angriff nur mit geringem Zeit- und Ressourcenaufwand durchgeführt wurde.
„Das Ködern mit Rechnungen ist einer der ältesten Tricks überhaupt, aber er ist nach wie vor sehr effektiv und daher lukrativ. Mitarbeiter in Finanzabteilungen sind daran gewöhnt, Rechnungen per E-Mail zu erhalten, so dass sie diese mit größerer Wahrscheinlichkeit öffnen. Im Erfolgsfall lässt sich der Datenzugriff schnell monetarisieren, indem sie die Informationen verkaufen oder Ransomware einsetzen“, so Patrick Schläpfer, Principal Threat Researcher im HP Wolf Security Threat Research Team.
Durch die Isolierung – aber sicheren Ausführung – von Bedrohungen, die sich den Erkennungstools entziehen, gewinnt HP Wolf Security einen spezifischen Einblick in die neuesten Techniken von Cyberkriminellen. Bis heute haben HP Wolf Security Kunden über 40 Milliarden E-Mail-Anhänge, Webseiten und heruntergeladene Dateien angeklickt, ohne dass eine Sicherheitsverletzung gemeldet wurde.
Der Bericht zeigt, wie Cyberkriminelle ihre Angriffsmethoden immer weiter diversifizieren, um Sicherheitsrichtlinien und Erkennungstools zu umgehen. Weitere Ergebnisse:
- Mindestens zwölf Prozent der von HP Sure Click identifizierten E-Mail-Bedrohungen umgingen einen oder mehrere E-Mail-Gateway-Scanner.
- Die wichtigsten Bedrohungsvektoren im ersten Quartal waren E-Mail-Anhänge (53 Prozent), Downloads von Browsern (25 Prozent) und andere Infektionsvektoren wie Wechseldatenträger, zum Beispiel USB-Sticks, sowie File Shares (22 Prozent).
- In diesem Quartal basierten mindestens 65 Prozent der Dokumentenbedrohungen auf einem Exploit zur Ausführung von Code und nicht auf Makros.
Dr. Ian Pratt, Global Head of Security for Personal Systems bei HP Inc.: „Die ‚Living-off-the-Land‘-Techniken zeigen die fundamentalen Schwachstellen auf, wenn man sich nur auf die Erkennung verlässt. Da die Angreifer legitime Tools verwenden, ist es schwierig, Bedrohungen zu erkennen, ohne eine Vielzahl störender Fehlalarme zu verursachen. Die Angriffsisolation bietet selbst dann Schutz, wenn eine Bedrohung nicht erkannt wird. Sie verhindert, dass Malware Benutzerdaten oder Anmeldeinformationen exfiltriert oder löscht, und dass Angreifer weiterhin aktiv bleiben. Aus diesem Grund sollten Unternehmen bei der Sicherheit einen Defense-in-Depth-Ansatz verfolgen und risikoreiche Aktivitäten isolieren und eindämmen, um so die Angriffsfläche zu verringern.“
HP Wolf Security führt risikoreiche Aufgaben in isolierten, hardwareverstärkten virtuellen Maschinen auf dem Endgerät aus. Damit sind Anwender geschützt, ohne ihre Produktivität zu beeinträchtigen. Außerdem werden detaillierte Spuren von Infektionsversuchen aufgezeichnet. Die HP-Technologie zur Anwendungsisolierung entschärft außerdem Bedrohungen, die anderen Sicherheitstools entgehen. HP Wolf Security bietet darüber hinaus Einblicke in Eindringungstechniken und das Verhalten von Bedrohungsakteuren.
Über die Daten
Die Daten wurden zwischen Januar und März 2024 bei HP Wolf Security Kunden gesammelt, die dazu ihre Zustimmung gegeben hatten.
(pd/ HP)
