Malware-Trends im 4. Quartal: Ein von Ransomware und Datendiebstählen geprägtes Jahr endet mit einem ausgeklügelten SolarWinds-Angriff

Anmerkung des Herausgebers: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, um den Bericht als PDF herunterzuladen.

Mit diesem Bericht setzen wir unsere vierteljährliche Reihe zur Analyse von Trends bei der Verwendung, Verbreitung und Entwicklung von Malware im Jahr 2020 fort. Die Insikt Group nutzte die Plattform Recorded Future ® vom 1. Oktober bis 31. Dezember 2020, um Mainstream-Nachrichten, Berichte von Sicherheitsanbietern, technische Berichte zu Malware, Schwachstellen, Sicherheitsverletzungen sowie Darknet- und Untergrundforen zu untersuchen und so die wichtigsten Trends bei der Beeinflussung von Desktop-Systemen und Mobilgeräten durch Malware zu untersuchen. Die unten beschriebenen Trends veranschaulichen die Taktiken, Techniken und Verfahren (TTPs), die einen großen Einfluss auf die Technologie hatten. Dieser Bericht unterstützt Bedrohungsjäger und Teams von Security Operations Centern (SOC) bei der Stärkung ihrer Sicherheitslage, indem er auf der Grundlage dieser Forschungsergebnisse und Daten Suchtechniken und Erkennungsmethoden priorisiert.

Executive Summary

Im vierten Quartal 2020 verfolgten Ransomware-Betreiber bei der Durchführung ihrer Kampagnen weiterhin eine opportunistische Denkweise und legten stärkeren Wert auf die Erpressung durch Datendiebstahl, um ihre Gewinnchancen zu erhöhen. Im Laufe des Quartals kam es zu einer Zunahme der Egregor-Aktivitäten, was wahrscheinlich auf die Schließung der Maze-Ransomware-Betreiber zurückzuführen ist. Auch bei der Conti-Ransomware kam es zu einem Anstieg, da die Nutzung von Ryuk, einer das ganze Jahr über hartnäckigen Ransomware-Familie, stagnierte.

In diesem Zeitraum wurde der wohl bedeutendste Malware-Angriff des Jahres 2020 der Öffentlichkeit bekannt: der Angriff auf die Lieferkette von SolarWinds. Dieser Angriff war aufgrund seiner Raffinesse und der Anzahl der betroffenen namhaften Organisationen bedeutsam. Zu diesen zählten US-Regierungsbehörden sowie mehrere namhafte Technologieunternehmen und Cybersicherheitsorganisationen. Da dieser Angriff noch untersucht wird, ist es wahrscheinlich, dass in Zukunft weitere Einzelheiten zu den gezielten Opfern und der verwendeten Infrastruktur veröffentlicht werden.

Trickbot, eine Malware-Familie, die das ganze Jahr über hartnäckig und prominent war, erfuhr im vierten Quartal 2020 bemerkenswerte Veränderungen, da mehrere Organisationen zusammenarbeiteten, um die Infrastruktur der Malware vor den US-Präsidentschaftswahlen im November 2020 lahmzulegen. Diese Maßnahmen reduzierten zwar die Trickbot-Aktivität vorübergehend, doch die Nutzung von QakBot, einer diskreten Loader-Malware, nahm zu, wahrscheinlich weil die Bedrohungsakteure sich von Trickbot abwandten.

Und schließlich dominierte Android-Malware auch in diesem Quartal die Landschaft der mobilen Malware, wobei zwei neue Varianten mobiler Malware aufgetaucht sind. Während die Aktivität mobiler Malware mit COVID-19-Bezug im dritten Quartal nach einem Höchststand in der ersten Jahreshälfte zurückging, beobachtete die Insikt Group im vierten Quartal eine Wiederbelebung der Aktivität. Dies galt insbesondere, als die Zahl der Virusfälle zunahm und digitale Assets (Websites, mobile Anwendungen usw.) im Zusammenhang mit dem COVID-19-Impfstoff veröffentlicht wurden.

Anmerkung des Herausgebers: Dieser Beitrag war ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, um den Bericht als PDF herunterzuladen.