Domain Plot Threats, Hiding in Plain Sight

Bedrohungsbericht zum 4. Quartal 2020: Eine Quartalsanalyse der Trends, Taktiken und Themen der Cybersicherheit

In der heutigen Bedrohungslandschaft sind Menschen der neue Perimeter. Ganz gleich, ob es um Malware, E-Mail-Betrug, Cloud-Konten-Übernahme oder Anmeldedaten-Phishing geht: Cyberkriminelle konzentrieren sich bei ihren Angriffen nicht mehr auf das Aushebeln von Netzwerkkontrollen und Ausnutzen technischer Schwachstellen, sondern greifen gezielt die Anwender an und nutzen menschliche Schwächen aus.

In unserer Cybersicherheitsmission steht daher der Mensch im Mittelpunkt. Aus dem gleichen Grund konzentrieren wir uns auch in diesem Bericht auf die von Anwendern ausgelösten Angriffe. Wie in den meisten Bedrohungsberichten beleuchten wir hier die Trends, Kampagnen und Themen zu Angriffen des vergangenen Quartals. Allerdings gehen wir dieses Mal einen Schritt weiter und untersuchen, wie Angriffe auf Menschen ablaufen und was Sie dagegen tun können.

Dieser Bericht soll zwei Ziele erfüllen: Zunächst einmal möchten wir dazu beitragen, Cybersicherheit zu entmystifizieren, indem wir deutlich machen, wie sehr die heutigen Bedrohungen auf den Menschen ausgerichtet sind. Außerdem möchten wir zeigen, wie Unternehmen mithilfe dieser Erkenntnisse ihre wertvollste Ressource und den gleichzeitig aktuell größten Risikofaktor besser schützen können: ihre Mitarbeiter.

Der Bericht enthält einen kleinen Ausschnitt der Erkenntnisse, die unseren Kunden über den Proofpoint Nexus Threat Graph zur Verfügung stehen. Wir analysieren täglich Milliarden von E-Mails, URLs und Anhängen, mehrere Millionen Cloud-Konten und mehr – insgesamt Billionen Datenpunkte aus allen wichtigen digitalen Kanälen. Unsere globale Präsenz und der absolute Fokus auf anwenderbezogene Cyberrisiken geben uns einen einzigartigen Einblick in die größten Cyberbedrohungen von heute.

Sofern nicht anders angegeben, geht es in diesem Bericht um Bedrohungen, die direkt von unserem weltweiten Netzwerk von Bedrohungsforschern beobachtet wurden.

Die wichtigsten Angriffstechniken

E-Mail ist der mit Abstand wichtigste Kanal für Cyberangriffe. Im vierten Quartal beobachteten wir eine große Bandbreite an E-Mail-Angriffstechniken, die jedoch fast alle irgendeine Social-Engineering-Komponente enthielten.

Unter dem Begriff Social Engineering werden die unterschiedlichsten psychologischen Manipulationstechniken zusammengefasst, die Menschen zu einer vom Angreifer gewünschten Aktion verleiten sollen, zum Beispiel einen Anhang zu öffnen, auf eine riskante URL zu klicken, Anmeldedaten oder vertrauliche Informationen zu verschicken oder Geld an den Angreifer zu überweisen.

Abb. 1 zeigt Angriffe, bei denen Social Engineering zusammen mit einem technischen Exploit oder Verfahren genutzt wurden. In vielen Fällen dient Social Engineering dazu, Anwender zu einer bestimmten Aktion zu verleiten – ganz ohne Malware. Würden wir Social Engineering als gesonderte Technik aufführen, stünde sie ganz oben auf der Liste, weil sie bei 99 % aller Angriffe eine Rolle spielt.

In Verbindung mit einem technischen Exploit besteht Social Engineering manchmal aus so etwas Einfachem wie einer verlockenden Betreffzeile und einer gefälschten E-Mail-Adresse. In anderen Fällen werden vertraute Kollegen nachgeahmt, um neue Opfer anzulocken.

Top Attack Techniques

Abb. 1 

Im Folgenden haben wir die Funktionsweise dieser Techniken zusammengefasst:

  • Office-Makros: Angreifer nutzen Schwachstellen einer Mini-Programmiersprache aus, die zur Automatisierung und Erweiterung der Microsoft Office-Funktionen dient. Schädliche Makros werden in Dokumente eingebettet, um Anwendergeräte beim Öffnen zu infizieren. Zudem werden die Anwender nicht nur dazu gebracht, das Dokument zu öffnen, sondern auch Makros zu aktivieren. Viele aktuelle Angriffe nutzen eine neue Variante einer jahrzehntealten Excel-Funktion und werden oft als Excel 4.0 (XL4)-Angriffe klassifiziert.
  • Sandbox-Umgehung: Moderne Tools zur Bedrohungserkennung führen unbekannte Dateien in einer sicheren virtuellen Maschine aus, um festzustellen, wie sie sich beim Öffnen verhalten. Sandbox-Umgehungstechniken können die Ausführung der Malware in virtuellen Umgebungen verhindern oder verräterische Verhaltensweisen einschränken, um der Erkennung zu entgehen. Bei einer der häufigsten Umgehungstechniken, die wir im vierten Quartal beobachtet haben, wurde das Regsvr32-Befehlszeilentool von Windows so eingesetzt, dass es in den meisten Sandboxen nicht erkannt wurde. (Regsrv32 soll PC-Administratoren unterstützen, kann aber von Angreifern auch für die Umgehung des Windows-Sicherheitstools AppLocker missbraucht werden.)
  • PowerShell: Das in Windows integrierte Administrationstool wird zum Infizieren der betroffenen PCs genutzt. Angriffe dieser Art beginnen üblicherweise mit einer Phishing-E-Mail, die eine URL zu einer Seite mit eingebettetem Code enthält. Mithilfe der PowerShell-Funktion wird dann der Rechner des Opfers übernommen. Diese Angriffe sind schwer zu erkennen, da hier legitime Windows-Funktionen genutzt werden und keine vollständige Malware-Datei vorliegt. Die Funktion kann auch zum Herunterladen und Ausführen anderer schädlicher Dateien aus dem Internet verwendet werden.
  • HTML: In Webseiten kann jegliche Art von Code enthalten sein, der Schwachstellen in beliebten Browsern und in seltenen Fällen in Betriebssystemen ausnutzt. Der schädliche Code befindet sich auf legitimen aber kompromittierten Webseiten und in webbasierter Werbung. Meistens werden die Opfer bei dieser Technik dazu gebracht, auf eine unsichere URL zu klicken, doch können Angreifer HTML-Seiten auch direkt über E-Mail versenden.
  • Thread-Hijacking: Nachdem Angreifer E-Mail-Konten übernommen haben, antworten sie mit schädlichen E-Mails auf vergangene und laufende E-Mail-Threads von Kontakten der kompromittierten Anwender.
  • Kennwortschutz: Mit dem Hinzufügen eines Kennworts kann die Erkennung einer schädlichen Datei durch entsprechende Tools umgangen werden. Die Angreifer geben den Opfern das Kennwort mit und bringen sie dazu, die Datei zu öffnen und zu entsperren.
  • Geofencing: Das Malware-Verhalten wird hierbei mithilfe des Geräte-GPS und anderen Standortbestimmungsfunktionen auf bestimmte Regionen beschränkt. Diese Technik dient dazu, Angriffe gezielt auszuführen oder Erkennungstools zu umgehen.

Die wichtigsten Bedrohungsakteure:

Von den schädlichen E-Mails, die wir bekannten Bedrohungsakteuren zuordnen konnten, stammte mehr als 60 % des von uns beobachteten Gesamtaufkommens im vierten Quartal von nur zwei Angreifern. Wir bezeichnen sie als TA544 und TA542 (auch bekannt als Emotet). Beide Angreifer gehörten schon im dritten Quartal zu den aktivsten Bedrohungsakteuren.

Hinweis: Diese Grafik stellt die E-Mail-Angriffe dar, die wir bekannten Bedrohungsakteuren eindeutig zuordnen konnten. Es lässt sich nicht immer feststellen, wer für einen Angriff verantwortlich ist, da das Ökosystem der Cyberkriminellen unüberschaubar und stark fragmentiert ist. Um die größten Bedrohungen analysieren und vergleichen zu können, wurden die nicht zugeordneten Angriffe in dieser Grafik nicht berücksichtigt.
Message Volume

Abb. 2

Was sind eigentlich Bedrohungsakteure?

„Bedrohungsakteur“ ist ein von Bedrohungsforschern verwendeter Begriff, der einen Angreifer oder eine Gruppe von Angreifern bezeichnet. Dazu gehören unter anderem Folgende:

  • Staatlich unterstützte Angreifer: Die auch als hochentwickelte andauernde Bedrohungen (Advanced Persistent Threats, APTs) bekannten Attacken dienen meist der Spionage im Auftrag von Regierungen. Bei den Angriffen kann es aber auch um den Diebstahl von geistigem Eigentum, das Plündern von Konten und die Schädigung von Daten und Systemen gehen. Unabhängig von der Vorgehensweise dienen die Angriffe der Erfüllung eines militärischen oder diplomatischen Ziels.
  • Organisierte Cyberkriminelle: Diese organisierten kriminellen Gruppen sind hauptsächlich auf die Erbeutung von Geld aus. In vielen Fällen funktionieren sie wie Multilevel-Marketing-Franchises. Fortgeschrittene Bedrohungsakteure entwickeln die Malware-„Produkte“ und stellen sie dann über eine passende Infrastruktur als leicht zu bedienende Pakete oder Services zur Verfügung. Interessierte Cyberkriminelle können diesen Service dann für ihre Angriffe mieten. Sie bezahlen für einen bestimmten Zeitraum oder bekommen für jede erfolgreiche Kompromittierung einen Anteil an der Beute. In anderen Fällen handeln sie als Verteiler, die die Malware über E-Mails versenden und mit einer Provision für jede erfolgreiche Infizierung vergütet werden. Einige Forscher ordnen die raffiniertesten cyberkriminellen Gruppen den APTs zu.
  • Hacktivisten: Das Kofferwort aus „Hacking“ und „Aktivismus“ bezeichnet Angriffe, mit denen politische Statements abgegeben oder Änderungen in der Politik erwirkt werden sollen. Diese selten vorkommenden Angriffe dienen meist dazu, geheime Informationen aufzudecken, wahrgenommenes Fehlverhalten zu unterbinden oder Gegner bloßzustellen. Obwohl die Angreifer unterschiedliche Ziele verfolgen, nutzen sie doch viele der gleichen Tools und Techniken wie andere Cyberkriminelle und können damit genauso viel Schaden anrichten.

Das Wissen um die Verantwortlichen und deren Beweggründe kann eine entscheidende Rolle bei der Abwehr dieser Angriffe spielen.

TA542 und der Untergang von Emotet

TA542 ist in den letzten Jahren aufgrund zahlreicher Kampagnen mit der Malware-Variante Emotet zu einem der aktivsten Bedrohungsakteure geworden. Die Gruppe attackierte mehrere Branchen weltweit und verschickte dabei täglich Hunderttausende oder sogar Millionen von Nachrichten.

Emotet gilt als „die weltweit gefährlichste Malware“1 und ist vielseitig einsetzbar sowie äußerst anpassungsfähig. Sie tauchte 2014 zum ersten Mal auf und wurde als einfacher Bank-Trojaner für den Diebstahl von Kontoanmeldedaten eingesetzt. Seitdem hat sie sich zu einer äußerst anpassungsfähigen Malware-Variante entwickelt, die für alle möglichen Zwecke verwendet wird – vom Datendiebstahl über die Erfassung von E-Mails bis zu Ransomware. Angriffe mit Emotet waren weltweit gegen wichtige Branchen gerichtet, z. B. Finanzdienstleister, E‑Commerce-Unternehmen, Gesundheitsdienstleister, Forschungseinrichtungen, Behörden und Technologieunternehmen.2

Emotet kompromittiert infizierte Systeme nicht nur, sondern startet von dort aus neue Angriffe. Zudem integriert die Malware die Systeme in ein zombieartiges Netzwerk aus mehr als einer Million gleichermaßen infizierten Rechnern, bekannt als Botnet. Noch bis vor wenigen Wochen konnten andere Cyberkriminelle die Gruppe TA542 für die Nutzung verschiedenster Angriffe bezahlen.

Die Stilllegung

Ende Januar gaben die Behörden bekannt, dass sie die Infrastruktur von Emotet im Zuge eines koordinierten Einsatzes in neun Ländern in Nordamerika und Europa abgeschaltet haben.3 Die Strafverfolgungsbehörden haben anscheinend alle drei der von Emotet betriebenen Botnet-Netzwerke übernommen. Laut den Plänen der Behörden sollen die Botnets so umprogrammiert werden, dass sie ihre eigene Malware von infizierten Systemen entfernen.4

Wie geht es weiter?

Gegenwärtig können noch keine Aussagen über die langfristigen Folgen der Stilllegung von Emotet gemacht werden. TA542 war in den Tagen unmittelbar vor der Abschaltung noch aktiv. Zudem war die Zerschlagung großer Botnets in der Vergangenheit eher von wechselndem Erfolg geprägt. Es ist nicht bekannt, wie groß das Emotet-Team war und ob sich alle Mitglieder in der Ukraine aufhielten, wo mindestens zwei der Betreiber verhaftet wurden.5

Falls Teile des Botnets und seine Betreiber unentdeckt bleiben, könnte der Quellcode von Emotet mit einer neuen Infrastruktur und unter einem anderen Namen zu neuem Leben erweckt werden. Bedrohungsakteure bauen oft redundante Infrastrukturen und die Verantwortlichen sitzen oft in Ländern, die außerhalb der Reichweite des Gesetzes liegen.

TA544 bedient sich im großen Stil an Finanzen

Die erstmals 2017 dokumentierte Gruppe TA544 ist Teil einer kriminellen Vereinigung, die Finanzverbrechen gegen eine Reihe von Branchen in Japan und mehreren europäischen Ländern begangen haben und sich dabei hauptsächlich auf Fertigungs- und Technologieunternehmen konzentrieren. Sie ist ein Affiliate, der mehrere Malware-Varianten wie Panda Banker und andere verbreitet.

Bei einem Großteil ihrer Angriffe setzen sie einen Trojaner namens Ursnif ein, doch ist unklar, ob die Gruppe Ursnif kontrolliert oder ihn nur für ihre Zwecke nutzt. Die Malware stammt von geleaktem Quellcode und wird auch von vielen anderen Bedrohungsakteuren verwendet.

Kennzeichnend für TA544 ist der Einsatz von Steganographie, mit der schädlicher Code in scheinbar harmlosen Bildern versteckt wird.

TA573: ein wichtiger Verteiler mit Verbindungen zu Evil Corp

Wie andere Schwarzmärkte besteht auch der Markt für Cyberkriminalität aus einem unzusammenhängenden, mehrschichtigen Ökosystem, das aus Lieferanten, Verteilern, Geldwäschern und anderen Spezialisten besteht. TA573 ist ein Malware- „Affiliate“ und verschickt Malware, die andere Kriminelle entwickelt haben.

Affiliates sind quasi die letzte Meile der Malware-Lieferkette. Sie sind weder für die Entwicklung der Malware noch für den Betrieb der für die Angriffe verwendeten Infrastruktur verantwortlich, sondern agieren als Malware-Verteiler. Sie suchen Ziele aus und erstellen E-Mails, mit denen Empfänger manipuliert werden. Cyberkriminelle haben unterschiedliche Geschäftsmodelle, doch bekommen Affiliates meistens eine Provision für jedes infizierte Opfer.

TA573 ist ein Affiliate-Verteiler von Dridex, einer Malware-Variante, die 2020 nach einer größeren Ruhepause im Jahr zuvor erneut auftauchte. Die eigentliche Malware wurde von einer russischen cyberkriminellen Gruppe entwickelt, die sich selbst Evil Corp nennt.6  Sie ist seit vielen Jahren aktiv und entwickelt seit Kurzem Ransomware.7 Im Juni boten US-Behörden 5 Millionen US-Dollar für Informationen, die zur Festnahme der Evil Corp-Betreiber führen – die größte Belohnung, die jemals für Cyberkriminelle ausgestellt wurde.

TA800 nimmt medizinische Daten in Geiselhaft

Dieser Angreifer ist ein Affiliate-Verteiler von The Trick, auch bekannt als Trickbot und BazaLoader. (In der Beschreibung zu TA573 erfahren Sie mehr darüber, wie Affiliates funktionieren.)

TA800 hat zahlreiche Branchen in Nordamerika angegriffen und die Opfer mit Bank-Trojanern und Malware-Loadern (Malware, die andere Malware auf ein kompromittiertes Gerät herunterlädt) infiziert. Die von der Gruppe versendeten schädlichen E-Mails enthielten oft die Namen, Titel und Arbeitgeber der Empfänger. Außerdem wurden die Phishing-Seiten denen des betroffenen Unternehmens nachempfunden. Als Köder dienten unwiderstehliche Themen wie Gehalt, Meetings, Kündigung, Prämien und Beschwerden in der Betreffzeile oder im E-Mail-Text.

Im vierten Quartal war die Gruppe für eine Welle von Angriffen gegen das Gesundheitswesen mit einem Loader namens BazaLoader verantwortlich. Der von einem separaten Bedrohungsakteur gesteuerte BazaLoader installierte anschließend eine Ransomware-Variante namens Ryuk. (Einige Forscher gehen davon aus, dass BazaLoader vom selben Malware-Team wie The Trick entwickelt wurde – unter anderem weil beide Malware-Varianten die Opfer mit Ryuk infizierten.)

Ransomware verschlüsselt Daten auf infizierten Geräten und hindert die Opfer, auf ihre eigenen Daten und Systeme zuzugreifen. Als Abhilfe wird die Entschlüsselung nach Zahlung einer Geldforderung an die Angreifer in Aussicht gestellt.

Gesundheitsdienstleister stellen mittlerweile ein verlockendes Ziel für Ransomware-Angriffe dar. Sie sind häufig schlechter geschützt als Unternehmen anderer Branchen. Da es zudem um Leben oder Tod geht, können sie sich kaum Ausfallzeiten erlauben.

Im Oktober warnten drei US-Behörden die Krankenhäuser vor einer „gestiegenen und unmittelbar bevorstehenden“ Cyberbedrohung, unter anderem durch Ransomware-Angriffe.8

TA574: ein Neuzugang bedient sich alter Malware

Die relativ neue Gruppe TA574 ist anscheinend ein weiterer Affiliate, der sich auf Malware-Verteilung konzentriert. (In der Beschreibung zu TA573 erfahren Sie mehr darüber, wie Affiliates funktionieren.)

TA574 richtete die Angriffe gegen eine ganze Reihe von Branchen und verschickte dabei eine aktualisierte Version eines 15 Jahre alten Bank-Trojaners namens Zloader. Zloader ist ein Ableger des berühmt-berüchtigten Bank-Trojaners Zeus, mit dem Millionen US-Dollar von Bankkonten gestohlen wurden.

Die Gruppe nutzt zudem Ostap, einen Malware-Downloader, der sich mittels JavaScript vor Sicherheitstools zur Sandbox-Analyse versteckt. (Im Abschnitt „Die wichtigsten Angriffstechniken“ erfahren Sie mehr über die Umgehung von Sandboxen.)

Attribution: die bekannten Unbekannten

Attribution ist die Zuordnung von Angriffen zu einem bestimmten Akteur. Wie schon erwähnt, sind in Abb. 1 nur die Angriffe dargestellt, die einem bekannten Bedrohungsakteur zugeordnet werden konnten. Dieser Fokus ist hilfreich, kann jedoch auch den Eindruck erwecken, dass die Angreifer stärker konzentriert sind, als es tatsächlich der Fall ist.

Wie Abb. 2 zeigt, konnten beinahe 90 % des kampagnenbezogenen E-Mail-Aufkommens, das wir im vierten Quartal beobachtet haben, keinen bekannten Angreifern zugeordnet werden. (Für E-Mails, die nicht zu einer Kampagne gehören, ist diese Zahl sogar noch höher.)

Attacks

           Abb. 3

Der Grund dafür liegt auf der Hand: Der Einstieg wird Möchtegern-Hackern mit geringen technischen Kenntnissen leicht gemacht, da sie problemlos auf die Malware und Infrastruktur zugreifen können, die sie für erfolgreiche Kampagnen benötigen. Und wie bereits im letzten Abschnitt beschrieben, sind diese Tools für viele Angriffe gar nicht nötig – sie erfordern lediglich ein gewisses Verständnis für die menschliche Natur und ein Talent zur Überredungskunst.

Dies ist ein Beleg für die große Bandbreite der heutigen Bedrohungslandschaft und gleichzeitig eine Mahnung an Unternehmen, beim Schutz ihrer Daten, Anwender und Systeme auf alles vorbereitet zu sein.

Schlussfolgerung und Empfehlungen

Heutige Angriffe richten sich nicht gegen Infrastruktur, sondern gegen Menschen. Sie müssen deshalb einen personenzentrierten Sicherheitsansatz wählen, der einen Überblick über Anfälligkeit, Angriffe und Berechtigungen auf Anwenderebene sowie maßgeschneiderte Kontrollen umfasst, die das individuelle Anwenderrisiko berücksichtigen.

Wir empfehlen folgende Ansatzpunkte:

  • Schulen Sie Ihre Anwender darin, schädliche E-Mails zu erkennen und zu melden. Mit regelmäßigen Schulungen und simulierten Angriffen lassen sich viele Angriffe stoppen und die Menschen identifizieren, die besonders gefährdet sind. Die besten Simulationen imitieren reale Angriffstechniken. Wählen Sie daher eine Lösung, die hierfür aktuelle Angriffstrends und neueste Bedrohungsdaten einbezieht.
  • Gehen Sie davon aus, dass Anwender früher oder später auf eine Bedrohung klicken werden. Angreifer finden immer neue Möglichkeiten, den Faktor Mensch auszunutzen. Suchen Sie nach einer Lösung, die bei Ihren Mitarbeitern eingehende E-Mail-Bedrohungen erkennt und blockiert – bevor sie den Posteingang erreichen. Investieren Sie in eine Lösung, die das gesamte Spektrum von E-Mail-Bedrohungen und nicht nur Malware-basierte Bedrohungen abwehren kann. Einige Bedrohungen – einschließlich Business Email Compromise (BEC) und andere Formen von E-Mail-Betrug – lassen sich mit herkömmlichen Sicherheitstools mitunter nur schwer erkennen. Ihre Lösung sollte externe ebenso wie interne E-Mails analysieren, da Angreifer möglicherweise kompromittierte Konten missbrauchen, um Anwender in Ihrem Unternehmen zu täuschen. Eine solche Web-Isolierungstechnologie ist ein wichtiger Schutz vor unbekannten und riskanten URLs.
  • Verwalten Sie den Zugriff auf vertrauliche Daten und Insider-Bedrohungen. Dank unseres Cloud Access Security Brokers können Sie Ihre Cloud-Konten schützen und Ihren Anwendern und Drittanbieter-Add-on-Anwendungen die Zugangsberechtigungen zuweisen, die den für Sie relevanten Risikofaktoren entsprechen. Mit Plattformen zur Verwaltung von Insiderrisiken können Sie sich vor Insider-Bedrohungen schützen, zum Beispiel wenn Anwender durch externe Angriffe kompromittiert wurden.
  • Arbeiten Sie mit einem Anbieter für Bedrohungsdaten zusammen. Für kleinere, gezielte Angriffe benötigen Sie erweiterte Bedrohungsinformationen. Implementieren Sie eine Lösung, die mithilfe von statischen und dynamischen Techniken Angriffs-Tools, -Taktiken und -Ziele im großen Maßstab aufdeckt und daraus Erkenntnisse zieht.

 

 

 

Europol: „World’s Most Dangerous Malware Emotet Disrupted Through Global Action“ (Weltweit gefährlichste Malware Emotet durch globale Aktion gesprengt), Januar 2021.

US-Justizministerium: „Emotet Botnet Disrupted in International Cyber Operation“ (Emotet-Botnet durch internationale Cyberoperation gesprengt), Januar 2021.

Danny Palmer (ZDNet): „Emotet: The world‘s most dangerous malware botnet was just disrupted by a major police operation“ (Emotet: Das weltweit gefährlichste Malware-Botnet wurde durch großangelegte Polizeiaktion gesprengt), Januar 2021.

Catalin Cimpanu (ZDNet): „Authorities plan to mass-uninstall Emotet from infected hosts on April 25, 2021“ (Behörden planen die Massen-Deinstallation von Emotet von infizierten Hosts am 25. April 2021), Januar 2021.

Andy Greenberg (Wired): „Cops Disrupt Emotet, the Internet‘s ‘Most Dangerous Malware“ (Emotet, die weltweite gefährlichste Internet-Malware, wurde durch Polizei gesprengt), Januar 2021.

Krebs on Security: „Inside ‘Evil Corp,’ a $100M Cybercrime Menace“ (Details zu Evil Corp, einer 100 Mio. US-Cybercrime-Bedrohung), Dezember 2019.

BBC: „Russian hacker group Evil Corp targets US workers at home“ (Russische Hackergruppe Evil Corp greift US-Angestellte zu Hause an), Juni 2020.

Nationals Cyber Awareness System: „Alert (AA20-302A): Ransomware Activity Targeting the Healthcare and Public Health Sector“ (Warnung (AA20-302A): Ransomware-Aktivitäten richten sich gegen Gesundheitssektor), Oktober 2020.

Subscribe to the Proofpoint Blog