BeyondTrust, Anbieter von Privileged-Access-Management-Lösungen, hat erstmals den Malware Thread Report 2021 veröffentlicht. Dazu untersuchte das Incident-Response-Team des Herstellers gemeinsam mit betroffenen Kunden über den Zeitraum eines Jahres reale Angriffe und glich diese mit dem MITRE ATT&CK-Framework ab.

Ein Ergebnis der Forscher ist die zunehmende Professionalisierung von Malware-Angreifern. Die neueste Generation setze noch mehr auf mehrstufige Angriffe und attackiere komplette Unternehmensumgebungen. Ein typischer Verlauf mit mehreren Akteuren, Tools und Plattformen könne wie folgt aussehen:

  • Die Angreifer mieten das Necurs-Botnet und setzen es zur Verteilung von Spam-Nachrichten ein.
  • Die Spam-Mails enthalten mit Schadcode versehene Dokumente, um eine Trickbot-Infektion auszulösen.
  • Trickbot sammelt Anmeldedaten, greift auf E-Mails zu und bewegt sich per „Network Lateral Movement“ im gesamten Netzwerk. Gestohlene Daten werden zum Verkauf angeboten oder für weitere Attacken genutzt.
  • Nach umfassender Kompromittierung eines Unternehmensnetzes verkaufen Hacker den Backdoor-Zugang zum Netzwerk an den Meistbietenden.
  • Der Käufer verteilt die Ransomware RYUK anschließend über Trickbot-Command-and-Control-Server.

Die vollständige Studie steht nach einer Registrierung zum freien Download bereit. Mehr