Bericht über bösartige Infrastrukturen 2024

Executive Summary

Im Jahr 2024 erweiterte die Insikt Group ihre Verfolgung bösartiger Infrastrukturen erheblich, indem sie mehr Malware-Familien und -Kategorien sowie zusätzliche Infrastrukturtypen wie Staging-Server abdeckte und Datenquellen wie Recorded Future® Network Intelligence integrierte, um die Bedrohungserkennung zu verbessern, Einblicke in höherstufige Infrastrukturen zu gewinnen und die Victimology-Analyse zu ermöglichen. Während viele wichtige Trends aus dem Jahr 2023 fortbestanden – wie die Dominanz von Cobalt Strike bei den offensiven Sicherheitstools (OSTs), AsyncRAT und QuasarRAT bei den Remote-Access-Trojanern (RATs), China und die Vereinigten Staaten (USA) als führende Hosting-Standorte und die oft nur vorübergehenden Auswirkungen von Strafverfolgungsmaßnahmen – hat die Insikt Group mehrere neue Trends für 2024 identifiziert.

Bemerkenswerterweise nahm die Verbreitung von Malware-as-a-Service (MaaS)-Infostealern, angeführt von LummaC2, zu, was wahrscheinlich durch polizeiliche Maßnahmen gegen konkurrierende Infostealer und die rasche Innovation von LummaC2 begünstigt wurde. Darüber hinaus blieb Android das Hauptziel für mobile Malware, wobei Hook führend war. Während Latrodectus trotz polizeilicher Störungen im Loader-Ökosystem die Dropper und Loader dominierte, erhöhten Traffic Distribution Systems (TDSs) weiterhin die Effizienz der Cyberkriminalität, wie bei TAG-124 zu beobachten ist, und der Missbrauch von Content Delivery Networks (CDNs) wie Cloudflare nahm stark zu. In Bezug auf staatlich geförderte Gruppen hat China die Nutzung von Relay-Netzwerken wie ArcSilt deutlich ausgeweitet, während Russland seinen Missbrauch einer Vielzahl legitimer Internetdienste (LIS) fortführte.

Verteidiger sollten die Erkenntnisse dieses Berichts nutzen, um die Sicherheitskontrollen zu verstärken, indem sie den wichtigsten Malware- und Infrastrukturtechniken Priorität einräumen und dadurch die Netzwerküberwachung verbessern und relevante Erkennungsmethoden wie YARA, Sigma und Snort einsetzen. Dies sollte durch Investitionen in die Verfolgung der sich entwickelnden Dynamik bösartiger Infrastrukturen, die Durchführung von Bedrohungssimulationen zur Überprüfung der Abwehrmaßnahmen und die effektive Überwachung der umfassenderen Bedrohungslandschaft ergänzt werden. In Bezug auf LIS müssen die Verteidiger das Blockieren, Kennzeichnen oder Zulassen von Hochrisikodiensten auf der Grundlage ihrer bewerteten Kritikalität und ihres Risikoniveaus abwägen.

Da sich die bösartige Infrastruktur weiterentwickelt und die Erkennung verbessert, erwartet die Insikt Group, dass die bestehenden Trends auch im Jahr 2025 anhalten werden, angetrieben durch kontinuierliche Innovationen der Bedrohungsakteure und nicht durch drastische Veränderungen. Beispielsweise wird sich das „as-a-service“-Ökosystem wahrscheinlich ausweiten, und Bedrohungsakteure werden zunehmend auf legitime Tools, Dienste und CDNs zurückgreifen, um einer Entdeckung zu entgehen. Darüber hinaus erwartet die Insikt Group, dass mit der zunehmenden Abhängigkeit von mobilen Geräten auch die Bedrohungen durch mobile Geräte weiter ansteigen werden. Relay-Netzwerke, die bisher hauptsächlich von chinesischen staatlich geförderten Gruppen genutzt wurden, könnten bald auch von Cyberkriminellen und anderen staatlich geförderten Gruppen übernommen werden. Schließlich wird erwartet, dass die Strafverfolgungsmaßnahmen aufgrund der verstärkten internationalen Zusammenarbeit und der gesammelten Erfahrung bei der Bekämpfung von groß angelegten Cyberkriminalitätsaktionen eine größere Wirkung haben werden.

Wichtige Erkenntnisse

• MaaS-Infostealer führten 2024 bei den Infektionen, wobei LummaC2 die Command-and-Control-Server (C2) dominierte, da kontinuierliche Innovationen und Strafverfolgungsmaßnahmen gegen Konkurrenten wie RedLine Stealer das Cybercrime-Ökosystem umgestalteten.
• AsyncRAT und Quasar RAT blieben die führenden Remote-Access-Tools (RATs), während MaaS-basierte Malware wie DcRAT weiterhin weit verbreitet eingesetzt wurde.
• Die USA (Nordamerika), Brasilien (Südamerika), Angola (Afrika), Frankreich (Europa), Indien (Asien) und Australien (Ozeanien) verzeichneten laut Recorded Future Network Intelligence die höchste Anzahl an Opfern in ihren jeweiligen Regionen, wobei sich AsyncRAT in den meisten Fällen als die am weitesten verbreitete Malware erwies. Weitere bedeutende Bedrohungen waren QuasarRAT und Cobalt Strike.
• Android blieb das Hauptziel für mobile Malware, wobei sich neun der zehn führenden Familien darauf konzentrierten, zusammen mit dem Anstieg von Söldner-Spyware und potenziell unerwünschten Programmen (PUPs) wie Stalkerware.
• Cobalt Strike machte zwei Drittel der Command-and-Control (C2)-Server für offensive Sicherheitstools aus, wobei jQuery das beliebteste anpassbare Profil war und cs2modrewrite die meisten Opferländer anvisierte. Cobalt Strike wird von Metasploit gefolgt, wobei die Erkennungen von Sliver und Brute Ratel C4 signifikant gestiegen sind.
• Mozi Botnet war im Jahr 2024 gemessen an der Anzahl der identifizierten Bots das größte verfolgte Botnet. Ältere Botnets blieben aktiv und wurden hauptsächlich für Distributed-Denial-of-Service-Angriffe (DDoS), den Diebstahl von Anmeldeinformationen und lokale Angriffe verwendet, wie beim Fenix Botnet zu beobachten ist.
• Latrodectus dominierte im Jahr 2024 alle Dropper und Loader und war für 33 % der Entdeckungen verantwortlich, was wahrscheinlich durch Störungen der Strafverfolgung im Loader-Ökosystem verursacht wurde, während die meisten Top-Familien nach 2021 auftauchten, was auf eine kürzere Lebensdauer hindeutet.
• TDS spielte weiterhin eine entscheidende Rolle in der Cyberkriminalität, indem es die Effizienz, das Targeting und die Rentabilität verbesserte und gleichzeitig der Erkennung entging, wie TAG-124, das einer breiten Benutzerbasis diente, einschließlich Ransomware-Gruppen wie Rhysida.
• Die USA und China dominierten das bösartige Hosting, während bulletproof Hosting-Anbieter wie Stark Industries eine wachsende Rolle in der Cyberkriminalitätsinfrastruktur spielten.
• Chinesische staatlich gesponserte Gruppen haben 2024 ihre Nutzung von Anonymisierungsnetzwerken ausgeweitet, um weltweit Einrichtungen anzugreifen, was es ihnen ermöglicht, sich mit legitimem Datenverkehr zu vermischen und die Identifizierung der Opfer zu erschweren. RedDelta nutzte Cloudflare, um als Proxy für C2-Datenverkehr zu fungieren und virtuelle geografische Grenzen für bösartige Dateien zu setzen.
• Russische staatlich geförderte Gruppen verließen sich zunehmend auf legitime Dienste wie Ngrok, Cloudflare und Telegram, um der Entdeckung zu entgehen. BlueDelta wechselte nach Abschaltversuchen zu Ngrok, während BlueAlpha Cloudflare-Tunnel nutzte, um die GammaDrop-Malware zu inszenieren.

Einführung

Die Insikt Group identifiziert und überwacht proaktiv Infrastrukturen, die mit Hunderten von Malware-Familien, Bedrohungsakteuren und anderen Artefakten verbunden sind, einschließlich Phishing-Kits, Scannern und Relay-Netzwerken. Indem die Insikt Group täglich bösartige Infrastrukturen durch verschiedene firmeneigene Methoden automatisch validiert, bietet sie eine präzise Risikodarstellung, die es den Kunden von Recorded Future ermöglicht, ihre Erkennungs- und Abwehrfähigkeiten zu verbessern.

Aufbauend auf den jährlichen Berichten der Insikt Group über gegnerische Infrastrukturen aus 2022 und 2023 bietet der Malicious Infrastructure Report 2024 einen kompakten, datenbasierten Überblick über die im Jahr 2024 beobachtete bösartige Infrastruktur. In diesem Jahr liegt der Schwerpunkt auf der Synergie zwischen passiver Infrastrukturerkennung, übergeordneten Einblicken in die Infrastruktur, die durch Recorded Future Network Intelligence ermöglicht werden, und der Identifizierung von Opfern. Insgesamt richtet sich dieser Bericht an alle, die sich für bösartige Infrastrukturen interessieren. Er bietet einen Überblick auf hoher Ebene über den aktuellen Stand sowie Zusammenfassungen der wichtigsten Erkenntnisse, um die Entscheidungsfindung zu informieren und eine breite Perspektive in diesem äußerst dynamischen Umfeld zu bieten.

Da es schwierig ist, Malware-Typen aufgrund ihrer sich überschneidenden Funktionen in Kategorien einzuteilen, die sich gegenseitig ausschließen, werden in diesem Bericht zur Erleichterung der Analyse eine Reihe von Malware-Kategorien festgelegt (siehe Anhang A), die jeweils kurz definiert werden. Bemerkenswerterweise wurden bestimmte Malware-Kategorien, wie z. B. Crypter, absichtlich ausgeschlossen, da sie in der Regel keine Netzwerk-Artefakte aufweisen.

Die Insikt Group untersucht bösartige Infrastrukturen nicht nur anhand von Malware-Kategorien, sondern überwacht sie auch nach Typ, wobei jedem Typ eine eigene Risikobewertung innerhalb der Recorded Future Intelligence Cloud zugewiesen wird. Diese Differenzierung spiegelt unterschiedliche Schweregrade wider — beispielsweise kann der Netzwerkverkehr zu oder von einem C2-Server in einem Unternehmensnetzwerk ein höheres Risiko darstellen als ein Verwaltungspanel, da er typischerweise auf aktive böswillige Aktivitäten hindeutet. Die von der Insikt Group definierten Infrastrukturtypen sind in Anhang B detailliert beschrieben.

Einblicke in bösartige Infrastrukturen 2024 nach Zahlen

Die proaktive Identifizierung bösartiger Infrastrukturen ist eine komplexe Aufgabe, die durch verschiedene Faktoren beeinflusst wird. Zusätzlich zu den riesigen Datenmengen setzt jede Malware-Familie, Version oder Infrastruktur, die mit bestimmten Bedrohungsakteuren verbunden ist, häufig völlig einzigartige Konfigurationen ein. Die Erkennung wird noch schwieriger aufgrund von Faktoren wie dem Hosting hinter CDNs wie Cloudflare, der Nutzung hoher oder zufälliger Ports, der Abhängigkeit von legitimen Internetdiensten wie Discord oder Telegram oder der Ausnutzung kompromittierter Infrastrukturen.

Diese Setups entwickeln sich ebenfalls kontinuierlich weiter, was von der Insikt Group verlangt, ihre Tracking-Methoden ständig zu innovieren und zu verfeinern. Unter Berücksichtigung all dieser Faktoren untersucht dieser Bericht bösartige Infrastrukturen in mehreren Kategorien, darunter Infostealer, Backdoors und RATs, mobile Malware, OSTs, Botnets, Dropper und Loader, Phishing-Kits, Web-Shells und Ransomware.

Insgesamt gab es im Jahr 2024 einen signifikanten Anstieg der identifizierten bösartigen Infrastruktur, angetrieben durch eine sich entwickelnde Bedrohungslandschaft und Fortschritte bei den Erkennungsmethoden der Insikt Group. Zum Beispiel hat sich die Anzahl der einzigartigen, validierten C2-Server von 2023 bis 2024 verdoppelt, während die Anzahl der einzigartigen, validierten Management-Panels im gleichen Zeitraum um 69 % gestiegen ist.

Darüber hinaus identifizierte die Insikt Group im Jahr 2024 mithilfe von Recorded Future Network Intelligence Opfer in etwa 200 Ländern weltweit anhand der Geolokalisierung der IP-Adressen der Opfer. Die Länder in Abbildung 1 wurden basierend auf der Anzahl der erkannten einzigartigen Opfer in fünf Gruppen eingeteilt, wobei diejenigen mit hoher Exposition geografisch weltweit verstreut sind. Bemerkenswerterweise ist es eine Herausforderung, die Auswirkungen von Malware über Länder hinweg genau zu messen, da es Unterschiede in der Bevölkerungsgröße, im digitalen Fußabdruck, in analytischen Verzerrungen (z. B. die Arten der verfolgten Malware), in der Internetinfrastruktur (wie Proxys) und in den geografischen Hosting-Entscheidungen der betroffenen Organisationen gibt.

Abbildung 1: Malware impact by country based on Recorded Future Network Intelligence (Source: Recorded Future)

Abbildung 2 zeigt die Verteilung der Opfer nach Ländern auf den verschiedenen Kontinenten. In Nordamerika sind die USA das am meisten angegriffene Land, das etwa 87 % der einzigartigen Opfer in der Region ausmacht, obwohl sie nur etwa die Hälfte der Bevölkerung stellen. Die hohe Opferzahl in den USA wird wahrscheinlich durch Faktoren wie die große Bevölkerung, den umfangreichen digitalen Fußabdruck, die weit verbreitete Nutzung der englischen Sprache (das in Phishing-Kampagnen ausgenutzt wird) und die Wirtschaft beeinflusst, während auch die Rolle des Landes als globaler Infrastrukturknotenpunkt, der weltweit Hosting- und digitale Dienste für Organisationen bereitstellt, eine Rolle spielt. Die meisten Opfer sind mit AsyncRAT verbunden, gefolgt von SolarMarker RAT und QuasarRAT (siehe Tabelle 1). Im Gegensatz zu AsyncRAT und QuasarRAT wird SolarMarker RAT vermutlich von einem einzigen Bedrohungsakteur betrieben und zielte zuvor überwiegend auf die USA ab.

Figur 2: Shares of unique victim by country and continent (Source: Recorded Future)

In Südamerika verzeichnete Brasilien mit 86 % die höchste Zahl an Opfern, obwohl es nur etwa die Hälfte der Bevölkerung des Kontinents ausmacht. Brasilien, das früher als eines der anfälligsten Länder für Cyberangriffe galt, ist seit langem ein Hotspot für globale und lokale Cyberbedrohungen und steht bei der Cyberkriminalität ganz oben auf der Liste. Im Jahr 2024 waren QuasarRAT-Infektionen unter den brasilianischen Opfern am weitesten verbreitet, gefolgt von Infektionen im Zusammenhang mit AsyncRAT und SectopRAT.

In Afrika verzeichnete Angola die höchste Zahl an einzigartigen Opfern, gefolgt von Ghana, Südafrika, der Republik Kongo und der Demokratischen Republik Kongo. Bemerkenswert ist, dass in zwei der fünf am häufigsten angegriffenen afrikanischen Länder PlugX, eine Malware, die mit mehreren vom chinesischen Staat gesponserten Gruppen in Verbindung steht, zu den am weitesten verbreiteten Schadprogrammen gehörte.

In Europa hatte Frankreich die höchste Anzahl an einzigartigen Opfern, gefolgt von Deutschland, dem Vereinigten Königreich, den Niederlanden und Polen. AsyncRAT war die am weitesten verbreitete Malware in allen fünf Ländern, während Cobalt Strike in drei von ihnen den zweiten Platz belegte. Die Verteilung der Opfer in diesen fünf führenden Ländern stimmt eng mit ihrer Bevölkerungsgröße überein. Bemerkenswerterweise gehörte GobRAT — eine Backdoor, die Linux-Router mit in Go geschriebener Malware angreift — in den Niederlanden zu den drei führenden Malware-Familien.

In Asien verzeichnete Indien die höchste Anzahl einzigartiger Opfer, gefolgt von China, Indonesien, Thailand und Hongkong. Ungefähr 73 % aller Opfer in diesen Ländern wurden mit AsyncRAT, QuasarRAT und Cobalt Strike in Verbindung gebracht. Bemerkenswerterweise gehört Brute Ratel C4 zu den drei wichtigsten Malware-Programmen in Hongkong, was seine wachsende Bedeutung unterstreicht.

In Ozeanien entfielen 87 % aller eindeutigen Opfer auf Australien, obwohl es nur 60 % der Bevölkerung der Region ausmacht. AsyncRAT war die am weitesten verbreitete Malware, die mit über der Hälfte der australischen Opfer in Verbindung gebracht wurde, während in Neuseeland 67 % der Opfer mit AsyncRAT-Infektionen in Verbindung gebracht wurden.

Tabelle 1 zeigt die vollständige Liste der drei führenden Malware-Familien für jedes der fünf führenden Länder auf jedem Kontinent, basierend auf der Anzahl der einzigartigen Opfer, die von der Insikt Group in diesen Ländern beobachtet wurden.

Tabelle 1: Top three families for the top five countries of each continent (Source: Recorded Future)

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.