Die wichtigsten Erkenntnisse
- Ransomware-Angriffe setzen heute nicht mehr auf direkte E-Mail-Bedrohungen, sondern auf indirekte Attacken, bei denen die E-Mail nur Teil der Angriffskette ist.
- Ransomware-Bedrohungsakteure nutzen cyberkriminelle Organisationen – in erster Linie Distributoren für Bank-Trojaner – zur Malware-Verteilung. Diese Zugriffsvermittler verbreiten ihre Backdoors mithilfe schädlicher Links und Anhänge per E-Mail.
- Wie die Proofpoint-Daten aus der ersten Hälfte des Jahres 2021 zeigen, waren Bank-Trojaner die häufigste per E-Mail verteilte Malware-Form und machten fast 20 % aller Malware-Varianten aus.
- Aktuell beobachtet Proofpoint mindestens 10 Bedrohungsakteure, die als Vermittler für den Erstzugriff oder als wahrscheinliche Ransomware-Partner agieren.
- Ransomware wird selten per E-Mail verteilt. In den Jahren 2020 und 2021 machte eine einzige Ransomware-Familie 95 % der Ransomware aus, die als Payload der ersten Stufe eingesetzt wurde.
- Es gibt keinen direkten Zusammenhang zwischen Malware-Loadern und Ransomware-Angriffen. Mehrere Bedrohungsakteure nutzen die gleichen Malware-Payloads für die Ransomware-Verteilung.
Überblick
Ransomware-Angriffe erfolgen immer noch per E-Mail – aber nicht so, wie Sie vielleicht glauben. Ransomware-Betreiber kaufen ihren Zugang häufig von unabhängigen cyberkriminellen Gruppen, die große Ziele infiltrieren und anschließend den Zugang für einen Anteil an der Beute an die Ransomware-Akteure verkaufen. Cybercrime-Gruppen, die bereits Bank-Malware und andere Trojaner verteilen, könnten sich ebenfalls am Ransomware-Partnernetzwerk beteiligen. Dadurch ist ein robustes und lukratives kriminelles Ökosystem entstanden, in dem sich verschiedene Personen und Organisationen immer stärker spezialisieren, um größere Profite für alle herauszuholen – auf Kosten der Opfer.
Das Blockieren von Ransomware, die per E-Mail eingeht, ist denkbar einfach: Wenn Sie den Loader blockieren, ist die Ransomware blockiert.
Üblicherweise sind die Vermittler für den Erstzugriff opportunistische Bedrohungsakteure, die ihren Partnern und anderen Cyberkriminellen ihren erlangten Zugriff anbieten und dafür beispielsweise Werbung in Untergrundforen machen. In diesem Bericht gehen wir jedoch davon aus, dass diese Vermittler als Gruppen agieren, die den Erstzugriff über Malware-Payloads der ersten Stufe erlangen und nicht immer direkt mit Ransomware-Bedrohungsakteuren zusammenarbeiten.
Bei der Erstkompromittierung kommt Malware der ersten Stufe wie The Trick, Dridex oder Buer Loader zum Einsatz. Die Vermittler verkaufen ihren Zugang anschließend an Ransomware-Betreiber, die ihn daraufhin für Datendiebstahl und Verschlüsselung nutzen. Laut Daten von Proofpoint machten Bank-Trojaner – die häufig als Ransomware-Loader eingesetzt werden – im ersten Halbjahr 2021 fast 20 % aller Malware aus, die bei identifizierten Kampagnen beobachtet wurde. In diesem Bereich ist das der am häufigsten anzutreffende Malware-Typ. Wie Proofpoint ebenfalls feststellte, wurde Ransomware per SocGholish verteilt. Dabei kamen gefälschte Updates und Website-Umleitungen zum Einsatz, mit denen Anwender infiziert wurden. Auch das legitime Datenverkehr-Verteilungssystem (Traffic Distribution System, TDS) Keitaro wurde für diesen Zweck missbraucht, wobei anschließend eingesetzte Exploit-Kits eine Aufdeckung verhinderten.
Proofpoint hat einen einzigartigen Überblick über Erstzugriff-Payloads (und die dahinter stehenden Bedrohungsakteure), die häufig von Ransomware-Betreibern eingesetzt werden. Zu beachten ist, dass Ransomware nicht das einzige Payload der zweiten Stufe ist, das mit identifizierter Malware in Zusammenhang steht. Für den Erstzugriff nutzen die Ransomware-Betreiber nicht nur E-Mail-Bedrohungsvektoren, sondern auch Software-Schwachstellen auf Netzwerkgeräten, die mit dem Internet verbunden sind, oder unsichere Fernzugriff-Services.
Übersicht über das Ransomware-Ökosystem
Aktuell beobachtet Proofpoint etwa ein Dutzend Bedrohungsakteure, die wahrscheinlich als Erstzugriff-Vermittler agieren. Viele der von Proofpoint entdeckten E-Mail-Bedrohungskampagnen, die Malware-Loader verteilen, führten zu Ransomware-Infektionen. Der Nachweis einer Zusammenarbeit zwischen Zugangsvermittlern und Ransomware-Betreibern ist schwierig, da diese viel Energie darauf verwenden, ihre Identität zu verbergen und einer Erkennung zu entgehen. Es ist jedoch durchaus möglich, dass Erstzugriffsvermittler und Malware-Backdoor-Entwickler direkt mit Ransomware-Betreibern zusammenarbeiten oder diesen Part selbst übernehmen.
Vermittler für den Erstzugriff
Die vielseitige und zerstörerische Malware Emotet war von 2018 bis 2020 einer der erfolgreichsten Malware-Verteiler, der mit hohen Kosten verbundene Ransomware-Infektionen ermöglichte. Internationale Strafverfolgungsbehörden legten die Malware im Januar 2021 still, schalteten ihre Infrastruktur ab und verhinderten weitere Infektionen.
Seit der Stilllegung von Emotet verzeichnete Proofpoint dauerhafte Aktivitäten von The Trick, Dridex, Qbot, IcedID, ZLoader, Ursnif und vielen anderen Malware-Familien, die als Malware-Payloads der ersten Stufe agieren und weitere Infektionen – darunter auch Ransomware-Angriffe – ermöglichen sollen. Proofpoint führt diese Malware-Familien in der Kategorie „Banking“. In den letzten sechs Monaten wurden mehr als 16 Millionen E-Mails mit Bank-Trojanern identifiziert. Damit stellt diese Malware-Kategorie den häufigsten Malware-Typ in unseren Daten dar.
Zudem beobachtet Proofpoint auch Downloader wie Buer Loader und BazaLoader, die häufig für den Erstzugriffsvektor bei Ransomware-Angriffen eingesetzt werden. In den letzten sechs Monaten identifizierte Proofpoint fast 300 Downloader-Kampagnen, die beinahe sechs Millionen böswillige Nachrichten verteilten.
Wie Proofpoint-Forscher beobachtet haben, wird Backdoor-Zugriff in Hacker-Foren von verschiedenen Bedrohungsakteuren angeboten. Je nach kompromittierter Organisation und ihren Umsätzen werden für den Zugang zwischen wenigen hundert und mehreren tausend US-Dollar verlangt. Bezahlt wird mit Kryptowährung, meist mit Bitcoin.
Proofpoint beobachtet eine Überschneidung zwischen verschiedenen Bedrohungsakteuren, Malware-Varianten und Ransomware-Bereitstellungen. Unsere Daten sowie externe Berichte zeigen beispielsweise, dass die Ransomware Conti mit mehreren Loadern der ersten Stufe in Zusammenhang steht, beispielsweise Buer, The Trick, ZLoader und IcedID. IcedID steht wiederum mit erfolgreichen Angriffen durch die Ransomware-Familien Sodinokibi, Maze und Egregor in Zusammenhang.
TA800 ist ein großer cyberkrimineller Akteur, den Proofpoint seit Mitte 2019 beobachtet. Dieser Bedrohungsakteur verteilt und installiert Banking-Malware oder Malware-Loader, beispielsweise The Trick, BazaLoader, Buer Loader und Ostap. Wie sich zeigte, haben die Payloads Ransomware verbreitet. Proofpoint geht davon aus, dass es sich bei TA800 um den Bedrohungsakteur handelt, der laut externen Berichten per BazaLoader die Ransomware Ryuk verteilt.
TA577
TA577 ist ein sehr aktiver cyberkrimineller Akteur, der seit Mitte 2020 von Proofpoint beobachtet wird. Er greift verschiedenste Branchen und Regionen an und verteilt dabei Payloads wie Qbot, IcedID, SystemBC, SmokeLoader, Ursnif und Cobalt Strike.
Für Proofpoint spricht viel dafür, dass TA577 in die Infektion mit der Ransomware Sodinokibi im März 2021 involviert ist. Dabei erfolgte die Erstkompromittierung der Opfer mithilfe schädlicher Microsoft Office-Anhänge, die – sofern Makros aktiv waren – IcedID herunterluden und ausführten. In den letzten sechs Monaten nahmen die Aktivitäten dieses Akteurs um 225 % zu.
TA569
TA569 ist ein Datenverkehr- und Load-Seller, der bekannt dafür ist, Content Management Server zu kompromittieren und Web-Datenverkehr zu einem Social-Engineering-Kit umzuleiten. Der Bedrohungsakteur nutzt gefälschte Updates, um Anwender zum Aktualisieren ihrer Browser sowie zum Herunterladen eines schädlichen Skripts zu verleiten. Proofpoint beobachtet TA569 seit 2018, doch der Akteur ist mindestens seit Ende 2016 aktiv.
Für Proofpoint spricht viel dafür, dass TA569 mit WastedLocker-Ransomware-Kampagnen in Verbindung steht, die 2020 das Framework SocGholish für gefälschte Updates nutzten, um Ransomware zu verbreiten. Andere Sicherheitsanbieter verbinden diese Ransomware mit der russischen Cybercrime-Gruppe Evil Corp. Proofpoint ist jedoch der Ansicht, dass es sich bei TA569 nicht um Evil Corp handelt.
TA551
TA551 ist ein Bedrohungsakteur, der seit 2016 von Proofpoint beobachtet wird. Dieser Akteur setzt häufig auf Thread Hijacking, um schädliche Office-Dokumente per E-Mail zu verteilen, und nimmt dabei verschiedenste Regionen und Branchen ins Visier. Proofpoint hat TA551 bei der Verbreitung von Ursnif, IcedID, Qbot und Emotet beobachtet.
Für Proofpoint spricht viel dafür, dass TA551 im Jahr 2020 auf IcedID-Implantate für Ransomware-Infektionen mit Maze und Egregor gesetzt hat.
TA570
TA570 ist ein großer cyberkrimineller Bedrohungsakteur, einer der aktivsten Partner der Malware Qbot und wird seit 2018 von Proofpoint beobachtet. Es wurde festgestellt, dass Qbot Ransomware wie ProLock und Egregor verteilt. Zum Hosten der Payloads setzt TA570 häufig auf kompromittierte WordPress- oder Datei-Hosting-Websites. TA570 wurde bei Thread Hijacking-Aktivitäten beobachtet, bei denen schädliche Anhänge oder URLs verteilt wurden. In den letzten sechs Monaten nahmen die Aktivitäten von TA570 um fast 12 % zu.
Abb. 1: Eine Auswahl von Bedrohungsakteuren, von ihnen verteilte Erstzugriffs-Schaddaten und die nach dem Erstzugriff verbreitete Ransomware. Die Quellen für diese Angaben finden sich oben in der Beschreibung des jeweiligen Akteurs.
TA547
TA547 ist eine aktive cyberkriminelle Gruppe, die vorrangig Bank-Trojaner wie ZLoader, The Trick und Ursnif in verschiedenen geografischen Regionen verteilt. Dieser Akteur nutzt häufig Geofencing, damit Payloads nicht für alle Anwender in allen Regionen verfügbar sind. Auch Versuche, per VPN auf die Payloads zuzugreifen, schlagen häufig fehl, da der Akteur VPN-Exit-IP-Adressen per Blacklisting sperrt. In den letzten sechs Monaten stieg die Zahl der identifizierten Kampagnen dieses Akteurs um fast 30 %.
TA544
Dieser cyberkriminelle Akteur führt umfangreiche Kampagnen durch, bei denen regelmäßig Bank-Malware und andere Payloads in verschiedenen geografischen Regionen wie Italien und Japan installiert werden. Dieser Bedrohungsakteur ist vermutlich ein Malware-Partner, der mit verschiedenen Entwicklern zusammenarbeitet. TA544 wurde bei der Verbreitung der Trojaner Ursnif und Dridex beobachtet. Dabei wurden laut Daten von Proofpoint in den letzten sechs Monaten mehr als 8 Millionen E-Mails verteilt.
TA571
Seit 2019 wird der Bedrohungsakteur TA571 von Proofpoint beobachtet, der Bank-Malware verteilt und installiert. Dieser Akteur verbreitet Ursnif, ZLoader sowie Danabot und nutzt zum Hosten der Schaddaten häufig legitime Datei-Hosting-Services oder kompromittierte bzw. gefälschte Infrastruktur. Meist verteilt TA571 mehr als 2.000 E-Mails pro Kampagne.
TA574
Wie Proofpoint-Forscher beobachten konnten, verteilte TA574 laut den Kampagnendaten in den letzten sechs Monaten mehr als eine Million Nachrichten. Dieser cyberkriminelle Akteur führt umfangreiche Kampagnen gegen verschiedene Branchen durch, um Malware wie ZLoader zu verteilen und zu installieren. Meist verbreitet diese Gruppe schädliche Office-Anhänge und nutzt verschiedene Techniken wie Geotargeting und Erkennung von Benutzeragenten, bevor die Malware installiert wird. Proofpoint-Forscher beobachten TA574 seit Juni 2020.
TA575
TA575 ist ein Dridex-Partner, der seit Ende 2020 von Proofpoint beobachtet wird. Diese Gruppe verbreitet Malware über schädliche URLs, Office-Anhänge und kennwortgeschützte Dateien. Im Durchschnitt verteilt TA575 fast 4.000 Nachrichten pro Kampagne an hunderte Unternehmen.
Ransomware der ersten Stufe
Proofpoint findet noch immer Ransomware, die direkt als Anhang oder Link verteilt wird, wenn auch in erheblich geringerem Umfang. Beispielsweise identifizierte Proofpoint in den Jahren 2020 und 2021 insgesamt 54 Ransomware-Kampagnen, die etwas mehr als eine Million Nachrichten verbreiteten.
Davon konnte Proofpoint vier Avaddon-Kampagnen identifizieren, die im Jahr 2020 etwa eine Million Nachrichten verteilten und dabei 95 % des Gesamtaufkommens ausmachten. Im Mai 2021 veröffentlichte das US-amerikanische FBI Details zur gestiegenen Avaddon-Aktivität und wies darauf hin, dass die Ransomware-Betreiber den Erstzugriff über Remote-Zugriffsprotokolle wie RDP und VPN erlangten – ein Wechsel weg vom direkten E-Mail-Zugriff. Auch die Proofpoint-Daten bestätigen diesen Wechsel bei den Avaddon-Kampagnen.
Zu den anderen Ransomware-Familien, die als Zugriffsvektor auf direkte E-Mails setzen und in den Proofpoint-Daten auftauchen, gehören Hentai OniChan, BigLock, Thanos, Demonware und Xorist.
Diversifizierung der kriminellen Aktivitäten
Das Proofpoint-Bedrohungsforscherteam analysierte Daten von 2013 bis heute, um die beobachteten Trends im Zusammenhang mit Ransomware und E-Mail als Erstzugriffsvektor besser zu verstehen. Dabei zeigte sich, dass direkt per E-Mail als Anhänge oder Links verteilte Ransomware-Kampagnen vor dem Jahr 2015 in kleinem Rahmen auftraten. Nach 2015 begannen Bedrohungsakteure jedoch damit, Ransomware in erheblich größerem Maße per E-Mail zu verteilen. Die Kriminellen sendeten in großem Umfang Nachrichten an personenspezifische E-Mail-Adressen. Diese enthielten schädliche Dateien oder URLs, die Opfer nach dem Anklicken oder Herunterladen infizierten. Beispielsweise wurde Locky im Jahr 2017 mit bis zu einer Million Nachrichten pro Tag versendet, bevor der Nachrichtenstrom abrupt stoppte.
Abb. 2: Ransomware-Umfang als Malware der ersten Stufe.
Die Proofpoint-Daten zeigten 2018 einen erheblichen Rückgang bei Ransomware-Kampagnen der ersten Stufe. Zum Wechsel weg von Ransomware als Payload der ersten Stufe haben mehrere Faktoren beigetragen: verbesserte Bedrohungserkennung, geringere Beute durch individuelle Verschlüsselungsaktivitäten sowie die Einführung von Wurm-fähigen und von Menschen gesteuerten Bedrohungen, die ein erheblich größeres Schadenspotenzial bieten.
Vorgehensweise der Hacker
Ransomware-Bedrohungsakteure konzentrieren sich aktuell auf „Big Game Hunting“, wobei sie mithilfe offen zugänglicher Quellen wertvolle Organisationen und anfällige Ziele identifizieren sowie die Bereitschaft von Unternehmen zur Zahlung von Lösegeld bestimmen. In Zusammenarbeit mit Erstzugriffsvermittlern können die Ransomware-Betreiber vorhandene Malware-Backdoors ausnutzen, um laterale Bewegungen und vollständige Domänenkompromittierungen zu ermöglichen, bevor die eigentliche Verschlüsselung beginnt.
Eine Angriffskette mit Beteiligung eines Erstzugriffsvermittlers kann so aussehen:
- Ein Bedrohungsakteur versendet E-Mails mit einem schädlichen Office-Dokument.
- Ein Anwender lädt das Dokument herunter und aktiviert Makros, sodass ein Malware-Payload ausgeführt wird.
- Der Akteur nutzt den Backdoor-Zugriff zum Exfiltrieren von Systeminformationen.
- Ab diesem Zeitpunkt kann der Erstzugriffsvermittler den Zugang einem anderen Bedrohungsakteur verkaufen.
- Der Akteur setzt Cobalt Strike über den Backdoor-Zugriff der Malware ein und ermöglicht dadurch laterale Bewegungen innerhalb des Netzwerks.
- Der Akteur erreicht die vollständige Domänenkompromittierung per Active Directory.
- Der Akteur setzt auf allen mit der Domäne verbundenen Workstations eine Ransomware ein.
Abb. 3: Beispiel für eine Angriffskette mit Einbeziehung eines Erstzugriffsvermittlers.
Ausblick
Bislang hat Proofpoint im Jahr 2021 kontinuierlich E-Mail-basierte Bedrohungen beobachtet, darunter Downloader und Banking-Trojaner mit mehrstufigen Payloads, die häufig zu Ransomware-Infektionen führen. Die Bedrohungsakteure führen umfangreiche Aufklärungen, Rechteerweiterungen sowie laterale Bewegung innerhalb der Umgebung durch, bevor sie die Ransomware-Schaddaten einsetzen. Eine wichtige Kennzahl ist die Verweildauer. In den letzten zwei Jahren zeigten zahlreiche Berichte von Incident Response-Anbietern, dass die Verweildauer von Bedrohungsakteuren in einer Umgebung vor dem Start der Verschlüsselungsaktivitäten immer weiter zurückgeht. Bei einigen Zwischenfällen wurde von zweitägigen Infektionszeiträumen zwischen dem Erstzugriff und dem Ransomware-Einsatz berichtet. Noch 2019 wurden durchschnittlich 40 Tage gemeldet.
Kurze Verweildauern, hohe Beute und die Zusammenarbeit in cyberkriminellen Ökosystemen haben ideale Bedingungen für Cyberkriminelle geschaffen, sodass Behörden auf der ganzen Welt das Problem ernst nehmen. Als Reaktion auf jüngst bekannt gewordene Ransomware-Angriffe hat die Regierung der USA neue Maßnahmen im Kampf gegen Ransomware vorgeschlagen, die ein heiß diskutiertes Thema auf der G7-Konferenz 2021 waren. Es ist möglich, dass aufgrund neuer Bedrohungsschutzmaßnahmen sowie dank wachsender Investitionen in die Cyberabwehr von Lieferketten die Häufigkeit und Wirksamkeit von Ransomware-Angriffen zurückgehen wird.