Eine interessante Studie für Menschen, die Verantwortung für die Sicherheit von Systemen tragen, ist gerade für jedermann frei verfügbar veröffentlicht worden: Der Anbieter von Priviledged-Access-Management-Lösungen BeyondTrust, hat erstmals den Malware Thread Report 2021 herausgegeben.

Darin untersuchte das Incident-Response-Team des Unternehmens gemeinsam mit betroffenen Kunden über einen Zeitraum von einem Jahr reale gelaufene Angriffe und glich diese mit dem MITRE ATT&CK-Framework ab.

Zwischen dem jeweils ersten Quartal 2020 und 2021 konnten die Sicherheitsexperten auf diese Weise 150 dort aufgeführte Angriffsketten ausmachen. Mehr als die Hälfte der Vorfälle ging auf das Konto von Emotet und Trickbot/RYUK, und ein Drittel auf das von Loki, AgentTesla und NJRat.

Die Angreifer werden immer professioneller

Ein Ergebnis der Studie zeigt die zunehmende Professionalisierung der Malware-Angreifer. Die neueste Generation setze immer mehr auf mehrstufige Angriffe und greife auch komplette Unternehmensumgebungen an. Der Ablauf mit mehreren Akteuren, Werkzeugen und Plattformen könne beispielsweise so aussehen:

  • Die Angreifer mieten das Necurs-Botnet und nutzen es zur Verteilung von Spam-Nachrichten.
  • Die Spam-Mails enthalten mit Schadcode versehene Dokumente, die eine Trickbot-Infektion auslösen können.
  • Trickbot sammelt Anmeldedaten, greift auf Emails zu und bewegt sich per „Network Lateral Movement“ im kompletten Netzwerk. Dabei erbeutete Daten werden zum Verkauf angeboten oder für nachfolgende Attacken genutzt.
  • Nach umfassender Kompromittierung eines Unternehmensnetzes verkaufen die Hacker den Backdoor-Zugang zum Netzwerk des Opfers an den Meistbietenden.
  • Der Käufer verteilt die Ransomware RYUK dann über die Trickbot-Command-and-Control-Server.

Der Abgleich mit dem MITRE ATT&ACK-Framework habe sich als gut geeignete Methode zum Erkennen und zur Abwehr vieler Malware-Stämme gezeigt.

Zwei Drittel der dort empfohlenen Technologien setzen auf ein ausgefeiltes Rechtemanagement zur Minimierung der Risiken. Die Zurückstufung von Adminrechten und der Einsatz von Applikationskontrollen verhinderten die zurzeit häufigsten Cyber-Risiken und -Bedrohungen durch Schadsoftware, liest man im Ergebnisüberblick der Studie.

Die komplette Studie steht nach einer Registrierung für jedermann zum kostenlosen Download zur Verfügung.