Cybersicherheits-Prognosen für 2017

November 30, 2016
Proofpoint Staff

2017 werden Angreifer nach wie vor andere Menschen dazu ausnutzen, Malware zu installieren, Gelder zu überweisen und Daten zu stehlen. Jedoch werden sich die Methoden und die Verhaltensweisen, die für Bedrohung von Personen über die drei Hauptvektoren (E-Mail, Social Media und mobile Apps) angewandt werden, erheblich unterscheiden.

Erweiterte Bedrohungen werden abnehmen

2016 schien jede Woche einen neuen, unerwarteten Höchststand von E-Mail-Kampagnen zu bringen, die Locky-Ransomware einsetzten. Diese Kampagnen bedrohten Hunderte von Millionen potenzieller Opfer weltweit und stellten sicher, dass selbst bei geringen Lieferraten viele Tausende von Nachrichten ihr Ziel erreichten. Doch sie erhöhten auch das Risiko, dass Sicherheitsanbieter und Forscher ihre neuen Techniken und Nutzlasten beobachteten und analysierten. Trotz dem Einsatz vieler zunehmend komplexer Filtertechniken, die dafür ausgelegt sind, die Kampagnen zu verbergen, fanden auch die Exploit-Kit-Akteure, dass die Skalierung ebenso viele Risiken wie Vorteile birgt.

Wir gehen davon aus, dass 2017 weniger mehr sein wird, während raffinierte Bedrohungsakteure zu kleineren, aber gezielteren Kampagnen übergehen, um ihre Malware-Nutzlasten zu verteilen. Volumenstarke E-Mail-Kampagnen werden zwar fortgesetzt werden, sind jedoch den „Massenware“-Nutzlasten, wie komprimierte, ausführbare Dateien (einschließlich JavaScript), vorbehalten, die serienmäßige Ransomware-Varianten liefern, während kleinere, gezieltere Kampagnen zunehmen und ausgereifter werden. Exploit-Kits setzen ihren jüngsten Trend fort, in kleinerem Umfang mit geografischem Ziel zu operieren, um sich auf Regionen zu konzentrieren, die nicht so sehr von Forschern und Anbietern beobachtet werden. 

Schadhaften Makros geht endlich der Sprit aus

Letztes Jahr haben wir vorausgesagt, dass die umfangreichen, schadhaften Makrokampagnen von 2015 bis Mitte 2016 langsam abklingen werden. Diese Vorhersage bewahrheitete sich im weitesten Sinne: Als die massenhaften Kampagnen nach dem Necurs Botnet-Ausfall im Juni begannen, hatten JavaScript und andere Kampagnen mit gezippten, ausführbaren Anhängen, die Locky verbreiteten (von Dridex-Akteuren unterstützt) größtenteils die Dokumentenanhänge mit schädlichen Makros ersetzt. Die schädlichen Makros wurden weiter in kleineren, gezielteren Kampagnen genutzt, die Bank-Trojaner wie Dridex, Ursnif, Vawtrak und gegen Ende 2016 eine erhebliche Vielfalt anderer Nutzlasten verteilten, von Keyloggers und RATs zu Downloadern und Informationsdieben. Fortlaufende Innovationen der Malware-Sandbox-Umgebung hauchten diesen Makro-Angriffen zwar neues Leben ein, doch wir erwarten, dass selbst diese Maßnahmen bis April 2017 nicht mehr ausreichen, um die Wirksamkeitsraten anzukurbeln, die für die Renditen dieser Kampagnen verantwortlich sind. Gezippte JavaScript-Angriffe (js, wsf, hta, vbs) werden zwar fortgesetzt, werden jedoch denselben niedrigen Stellenwert wie gezippte, ausführbare Dateien belegen. Gleichzeitig werden Cyberkriminelle die Automation von Spear-Phishing in größeren, persönlich zugeschnittenen Kampagnen verbessern und erweitern und mehr persönlich identifizierbare Daten hinzufügen, um die Glaubwürdigkeit ihrer Nachrichten zu fördern. Exploit-gesteuerte Dokument-Attacken werden kaum wieder an Bedeutung gewinnen (siehe nächster Abschnitt). Stattdessen werden sich die Angreifer intensiver auf das Social Engineering als Kernstück der Infektionskette konzentrieren, indem sie Benutzer dazu bringen werden, auf integrierte ausführbare Dateien in Dokumenten zu klicken und sie dazu zu verleiten, schädliche Nutzlasten hochzuladen, die als rechtmäßige Anwendungen, als Anhänge, Links zu rechtmäßigen Hosting- und File-Sharing-Diensten oder bekannte Teile des Windows-Benutzererlebnisses getarnt sind.

Exploit-Kits weichen den „Benutzer-Kits“

Wie der Name schon sagt, werden Exploit-Kits durch die Verfügbarkeit zuverlässiger, effektiver Exploits angetrieben, die auf die Computer potenzieller Opfer abzielen. Aus dieser Sicht stellt die stetige Abnahme offengelegter Schwachstellen sowie, und dies ist ein noch wichtigerer Aspekt, die Abnahme der veröffentlichten Exploits, die anschließend als Ziele für Angriffe dienen, über die letzten Jahre ein Risiko für das Geschäftsmodell dieses Toolkit-Teils der Cyber-Kriminellen dar. Da neue, ausnutzbare Schwachstellen immer knapper werden, Organisationen und Benutzer regelmäßiger Patches anwenden und Angreifer mehrere Exploits aneinanderreihen müssen, kann der Zusammenbruch der Exploit-Kit-Umgebung im Verlauf von 2016 zumindst teilweise als Zugeständnis der Bedrohungsakteure gegenüber der neuen Realität Exploit-basierter Attacken angesehen werden: Exploits haben eine verkürzte Lebensspanne und erweisen als immer unzuverlässiger, um als Mittel zur Verteilung von Malware zu dienen. Wir sahen bereits 2015 ein ähnliches Erwachen in der E-Mail-Landschaft, als die auf Social Engineering basierten Angriffe in Form von Dokumentenanhängen mit schädlichen Makros weitgehend durch PDF- und Office-Dokument-Exploit-Attacken ersetzt wurden.

2017 ist zu erwarten, dass Exploit-Kits durch die zunehmende Aneignung eines Fokusses auf Social Engineering eine ähnliche Evolution erfahren werden: Raffinierte Gruppen, u. a. jene, die EKs und Malvertising anwenden, werden sich weniger auf Exploits konzentrieren und ihre Bemühungen vielmehr darauf zentrieren, den Menschen auszutricksen. Um Exploit-Kits zu „Benutzer-Kits“ umzuwandeln, bedarf es eines umfangreichen Toolsets an Methoden. Diese bringen Benutzer dazu, ihre eigenen Geräte mit schädlichen Nutzlasten zu infizieren, wobei sie über Malvertising oder Clickbait bzw. durch überzeugend individualisierte E-Mails geködert werden. Dazu gehören auch solche, wie wir sie im Verlauf des Jahres 2016 in „personalisierten“ E-Mail-Kampagnen beobachten konnten. Exploit-Kits werden jedoch nicht ganz verschwinden. Stattdessen werden sie vermehrt in Schwerpunktbereichen eingesetzt und Kunden in Regionen bedrohen, die traditionell langsamer beim Patchen sind und wo die Überwachung durch Forscher weniger intensiv ist. Neue EK-Akteure werden in den Markt eintreten und Funktionen verwenden, mit denen sie den größten Wert aus den verfügbaren Schwachstellen ziehen können, unabhängig davon, ob diese Exploits veröffentlicht wurden oder es sich um Zero-Day-Exploits handelt.

BEC wird sich fortentwickeln und große Verluste nach sich ziehen

Seit Mitte 2015 ist BEC (Business Email Compromise) eine große Bedrohung für Organisationen und führte nach jünsten Schätzungen zu über 3 Milliarden Dollar Verlusten. Die gesamten Verluste durch BEC werden sich steigern, obwohl einzelne Vorfälle massiver BEC-Verluste aufgrund verbesserter Geschäftsprozesse und Finanzkontrollen in größeren Unternehmen nachlassen werden. In Unternehmen werden Veränderungen der Geschäftsprozesse die beeindruckenden individuellen Verluste von 2015 und 2016 fast eliminieren, da mehr Kontrollen hinsichtich der Geldüberweisungen eingesetzt werden. Leider werden diese Veränderungen nicht universell auftreten und außerhalb der Großunternehmen Nordamerikas und Europas wird es nach wie vor möglich sein, dass Einzelpersonen solche Überweisungen durchführen. Selbst in Regionen, wo verbesserte Kontrollen eingesetzt werden, bleiben kleine und mittelständische Unternehmen für solche Angriffe anfällig und ihr Anteil an den Gesamtverlusten wird zunehmen. Darüber hinaus werden wir mehr saisonbedingte Varianten von BEC-Attacken erleben, ähnlich der „W2-Anfrage“ Kampagnen, die Anfang 2016 auftragen, sie bleiben jedoch relativ selten.

Angler-Phishing wird vollständig automatisiert

Im vergangenen Jahr stieg Angler-Phishing sowohl im Umfang der Ziele als auch durch das Ausmaß der Social Engineering-Techniken, die verwendet wurden. Diese Angriffe haben jedoch noch nicht den Automationsgrad erreicht, der in Exploit- und Phishing-Toolkits üblich ist. 2016 sahen wir immer noch Fehler beim Kopieren/Einfügen, grammatikalische und Rechtschreibfehler, falsche Marken in Nachrichten und andere übliche Fehler, die auftreten, wenn Menschen von Hand arbeiten. Für 2017 sehen wir voraus, dass Angreifer die Automatisierung sowie ein gewisses Maß an NLP (Natural Language Processing) einsetzen werden, um ihre Angriffsmethoden zu verbessern. Durch die erhöhte Automatisierung sollten wir eine Ausdehnung der Angriffsziele auf mehr Marken und Opfer sehen, die in jeder Kampagne angeschrieben werden. Die Angreifer haben bereits die Fähigkeit bewiesen, sich Produkteinführungen zunutze zu machen. Sie starten ihre Kampagnen zur selben Zeit, zu der auch viel Kommunikation auf Social-Support-Kanälen zu erwarten ist. Wir gehen davon aus, dass sich dies 2017 aufgrund skalierbarer Ressourcen steigern wird.

Das Tempo der Angriffe über soziale Medien wird sich weiterhin steigern und es werden neue Dimensionen ausprobiert.

Das übermäßige Wachstum sozialer Medien ebnet den Weg für ein ähnlich schnelles Wachstum der Attacken auf sozialen Plattformen, zusammen mit einer simultanen Fortentwicklung der Angriffe, die Social Media als Mittel verwenden. Da die Angriffe über Social Media einen erheblich höheren Profit versprechen, erwarten wir, dass die Attacken 2017 ebenfalls zunehmen. Wir erwarten für 2017 speziell:

  • Einen Anstieg von Social-Media-Betrug und Phishing von mehr als 100 % über das Jahr verteilt
  • Einen Anstieg von Social-Media-Spam von mehr als 500 % gegenüber dem Vorjahr
  • Erheblicher Anstieg von Betrug und Fälschungen durch Nutzung fingierter Social Media-Konten
  • Erheblicher Zuwachs integrierter Betrugstechniken unter Verwendung von Social-Media-Konten, gefälschter mobiler Apps, betrügerischer Websites und Schwindler-E-Mails

Eine Social-Media-Plattform, die 2017 besonders im Kreuzfeuer stehen wird, ist Snapchat. Snapchat ist zu einer der beliebtesten Social-Networking- und Kommunikations-Plattform geworden, doch bisher haben Angreifer noch keine beständigen, großen Attacken über diese Plattform ausgeführt. Wir sehen voraus, dass 2017 entweder eine Anzahl großer Kampagnen erfolgreich gestartet werden oder dass sich eine erhebliche Sicherheitsschwäche in der Plattform selbst erweist, wodurch ein POC (Proof-of-Concept, Wirksamkeitsnachweis) verfügbar gemacht wird.

Zusätzlich werden 2017 wahrscheinlich auch soziale Zahlungsplattformen höher unter Beschuss geraten. Während sich die derzeitigen Social Media Plattformen immer weiter fortentwickeln, haben viele von ihnen (z. B. Facebook, Wechat, Line und andere) Zahlungsdienste ins Leben gerufen. Diese Dienste erweitern ihr Umsatzvolumen, während die Ökosysteme ihrer Plattformen immer mehr Funktionen erhalten. Diese Förderung des Ökosystems und die Zunahme der Transaktionen werden die Aufmerksamkeit von Hackern erregen und die Zahlungsplattformen für gezielte Attacken interessant erscheinen lassen, sowohl in Bezug auf Schwachstellen als auch Social Engineering.

Mobile Bedrohungen: Der Geist ist aus der Flasche

2016 stellte eine Wende in der mobilen Bedrohungsumgebung dar. Das Risiko schädlicher Klone beliebter Apps, die zunehmende Nutzung des Sideloading zur Verteilung unbefugter Apps und die Verfügbarkeit gezielter Angriffs-Tools für Mobilgeräte räumten gemeinsam jeden Zweifel aus, dass mobile Geräte – und die Personen, die sie nutzen – mindestens genauso anfällig wie PCs sind, wenn nicht sogar noch mehr, da diese Risiken weniger bekannt sind. 2017 bleiben Zero-Day-Attacken, wie z. B. das Pegasus-Angriffs-Kit für mobile Geräte und die damit in Verbindung stehende „Trident“-Schwachstelle, nicht mehr nur auf staatlich gesponserte Akteure beschränkt, die Dissidenten anzielen, sondern es wird Unternehmen und Einzelpersonen betreffen. Cyberkriminelle werden durch die Nutzung dieser und anderer Tools zunehmend SMS und iMessage-Systeme verwenden, um schädliche URLs und sogar Zero-Day-Attacken zu liefern.  Diese werden sowohl breit angelegt – wie Phishing nach Bank- und Kreditkarten-Passwörtern – als auch gezielt angewendet, u. a. Angriffe auf Angestellte und Geschäftsleiter. Zur gleichen Zeit wird sich die Kategorie bösartiger und riskanter Apps erweitern, um betrügerische Apps einzuschließen, bei denen Benutzer durch Social Engineering dazu verleitet werden, Apps zu installieren, die nicht von den Unternehmen stammen, von denen sie angeblich stammen. Diese Apps können so konzipiert sein, dass sie mobile Geräte infizieren oder einfach nur dem Profit dienen, sie können durch die Verwendung rechtmäßiger Marken dazu zu verleiten, betrügerische Kreditkartenkäufe zu machen oder auf gefälschte Anzeigen zu klicken.

Staatlich gesponserte Angriffe werden zunehmen und über Hacking und Datenschutzverletzungen hinaugehen

Die neue US-Präsidialadministration ruft vom Handel über die Verteidigung viele Ungewissheiten im Bereich der US-Politik hervor. Die kommenden Wahlen in Frankreich und anderen europäischen Ländern bergen ebenfalls Potenzial für einen ähnlichen Grad der Unsicherheit. Als Result erwarten wir für 2017 einen Aufschwung staatlich gesponserter Cyber-Angriffe und besonders raffinierter, heimlicher Einbrüche (alias APTs), die alle Bereiche der US-Regierung aus vielen verschiedenen Ländern bedrohen, u. a. erneute Handlungen der relativ stillen, staatlich gesponserten chinesischen Akteure. Wie über die am 9. November berichteten Kampagnen zeigen, bleiben E-Mails der primäre Vektor zur Bedrohung von Personen und Organisationen, die Zugang zu Daten haben könnten, die ausländischen Staaten helfen, die Politik und Pläne der neuen US- und europäischen Regierungen bei diplomatischen und Handelsgesprächen zu verstehen und vorherzusehen. Darüber hinaus wird die Art der staatlich gesponserten Cyberattacken wesentlich über den Diebstahl von Geheimnissen und Industriespionage hinaus erweitert. Durch die Effektivität von Doxing, Datendiebstahl, peinlicher Veröffentlichungen und Falschinformationen, die bereits in mehreren Ländern demonstriert wurde, werden mehr Regierungen versuchen, Cyberattacken einzusetzen, um Informationen zu stehlen sowie Social Media und Nachrichtendienste zu nutzen, um Zwietracht und Störungen in Staaten zu schaffen, die dem Vorankommen ihrer Interessen entgegenwirken. Im Bereich der Social Media wurden staatlich gesponderte Trolle verwendet, um Dissidenten und Kritiker zu verfolgen, eine Praxis, die in Mittel- und Osteuropa bereits wohl dokumentiert ist, und die sich in den Monaten vor den Wahlen auch in den USA abzeichnete. In 2017 werden diese Praktiken von verschiedenen staatlichen Akteuren weiter und aggressiver eingesetzt, um die öffentliche Diskussion und Politik zu beeinflussen.