{"id":267097,"date":"2022-06-13T10:09:00","date_gmt":"2022-06-13T08:09:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=267097"},"modified":"2022-06-13T10:51:44","modified_gmt":"2022-06-13T08:51:44","slug":"cyber-trends-eset-thread-report-2022-usb-sicherheitsstick-und-palo-alto-ransomware-hitliste","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/06\/13\/cyber-trends-eset-thread-report-2022-usb-sicherheitsstick-und-palo-alto-ransomware-hitliste\/","title":{"rendered":"Cyber-Trends: ESET Thread-Report 2022, USB-Sicherheitsstick und Palo Alto Ransomware-Hitliste"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/06\/13\/cyber-trends-eset-thread-report-2022-usb-sicherheitsstick-und-palo-alto-ransomware-hitliste\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Zum Wochenstart noch ein kleiner \u00dcberblick \u00fcber die Trends in Sachen Ransomware und Cyberangriffe. ESET hat seinen Thread-Report 2022 mit diversen Statistiken vorgelegt und erkl\u00e4rt z.B. den drastischen Einbruch an RDP-Angriffen Anfang 2022. Von Palo Alto Networks gibt es eine \u00dcbersicht, welche Ransomware-Gruppen welchen Anteil an Infektionen haben. LockBit scheint aktuell die mit Abstand am erfolgreichste Gruppe zu sein. Im \"Flop der Woche\" geht es um einen USB-Sicherheitsstick von Verbatim, der leicht hackbar ist. Zudem gibt es ein Fr\u00fchwarnsystem f\u00fcr Killnet-DDoS-Angriffe.<\/p>\n<p><!--more--><\/p>\n<h2>ESET Thread-Report 2022<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/3229ee0cd5b847ee99385e4175f12e78\" alt=\"\" width=\"1\" height=\"1\" \/>Sicherheitsanbieter ESET hat seinen 54 Seiten starken <a href=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2022\/06\/eset_threat_report_t12022.pdf\" target=\"_blank\" rel=\"noopener\">Thread Report T1 2022<\/a> ver\u00f6ffentlicht, der Statistiken enth\u00e4lt, was in 2021 bis zum 1. Quartal 2022 so los war in Bezug auf Malware und Cyberangriffe. So ist ESET in den aktuellen Ukraine-Konflikt involviert, indem Cyberangriffe im Zusammenhang mit dem laufenden Krieg analysiert und ggf. entsch\u00e4rft werden. Dabei wurde festgestellt, dass die ber\u00fcchtigte Industroyer-Malware, die Hochspannungsschaltanlagen angreift, wieder zur\u00fcck ist. <img decoding=\"async\" title=\"RDP attacks 2021 - 2022\" src=\"https:\/\/i.imgur.com\/fXyOY7z.png\" alt=\"RDP attacks 2021 - 2022\" \/><\/p>\n<p>Kurz vor der russischen Invasion verzeichnete die ESET-Telemetrie einen von zwei starken R\u00fcckg\u00e4ngen bei RDP-Angriffen (siehe obiger <a href=\"https:\/\/twitter.com\/ESETresearch\/status\/1534507851837743104\">Tweet<\/a>). Mehr als zwei Jahre lang hatten die Angriffe auf RDP zum Ausprobieren von Passw\u00f6rtern st\u00e4ndig zugenommen. Dies \u00e4nderte sich radikal, da die Brute-Force-Versuche gegen RDP am 10. Januar um 41 % zur\u00fcckgingen und die Zahl der einzelnen Clients zwischen T3 2021 und T1 2022 um 40 % sank. Die Erkl\u00e4rung\u00a0 der ESET-Forscher f\u00fcr den R\u00fcckgang der RDP-Angriffe sind:<\/p>\n<ol>\n<li>Ende der Pandemie, also weniger Arbeit von zu Hause aus;<\/li>\n<li>erh\u00f6htes Bewusstsein der IT-Abteilungen f\u00fcr diese Art der Bedrohungen und verbesserte Sicherheit der Unternehmensumgebungen;<\/li>\n<li>und diese Entwicklung\u00a0 k\u00f6nnte mit dem Krieg in der Ukraine zusammenh\u00e4ngen.<\/li>\n<\/ol>\n<p>Aber selbst mit diesem R\u00fcckgang durch 3. erfolgen fast 60 % der eingehenden RDP-Angriffe, die in T1 2022 beobachtet wurden, aus Russland. Hier die Statistik der Quellen der RDP-Angriffe:<\/p>\n<ul>\n<li>Fast 60 % der gemeldeten 121 Milliarden RDP-Angriffsversuche kamen aus Russland,<\/li>\n<li>gefolgt von Deutschland (16 %) und den USA (5 %).<\/li>\n<li>Die L\u00e4nder, in denen die meisten RDP-Passw\u00f6rter (per Brute-Force) erraten wurden, waren Frankreich (16%), Spanien (14%) und Deutschland 8%).<\/li>\n<\/ul>\n<p>Ein weiterer Nebeneffekt des Krieges: W\u00e4hrend in der Vergangenheit Ransomware-Bedrohungen in der Vergangenheit Ziele in Russland eher gemieden haben, war in diesem Zeitraum laut unserer Telemetrie Russland das am h\u00e4ufigsten angegriffene Land. Es wurden sogar Lockscreen-Varianten entdeckt, die den ukrainischen Nationalgru\u00df\u00a0 \"Slava Ukraini\" (Ruhm f\u00fcr die Ukraine) enthielten. Es ist f\u00fcr die Forscher wenig \u00fcberraschend,<br \/>\nEs \u00fcberrascht nicht, dass der Krieg auch durch Spam- und Phishing-Bedrohungen ausgenutzt wurde. Und wie schaut es um die \"Hitliste\" der am\u00a0 h\u00e4ufigsten ausgenutzten Sicherheitsl\u00fccke aus?<\/p>\n<p><a href=\"https:\/\/twitter.com\/ESETresearch\/status\/1534507860155158530\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Vulnearability abuse 2022\" src=\"https:\/\/i.imgur.com\/EOWtbEF.png\" alt=\"Vulnearability abuse 2022\" \/><\/a><\/p>\n<p>Im Dezember 2021 wurde die Schwachstelle Log4J mit 13 % der Angriffe explosionsartig zum zweith\u00e4ufigst missbrauchten externen Angriffsvektor f\u00fcr Netzwerke und stahl ProxyLogon (1 %) den Ruhm. Weitere Details lassen sich dem Thread Report 2022 entnehmen.<\/p>\n<h2>Angriffsstatistik der Ransomware-Gruppen<\/h2>\n<p>Interessant fand ich auch die Statistik zur Verteilung der Ransomware-F\u00e4lle \u00fcber verschiedene Akteure, die von Palo Alto Network in <a href=\"https:\/\/unit42.paloaltonetworks.com\/lockbit-2-ransomware\/\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a> ver\u00f6ffentlicht wurde. Gem\u00e4\u00df der \u00dcbersicht in folgendem <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1535498562838048769\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> ist LockBit am erfolgreichsten, gefolgt von der Conti-Gruppe.<\/p>\n<p><a href=\"https:\/\/twitter.com\/campuscodi\/status\/1535498562838048769\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Succes of ransomware groups\" src=\"https:\/\/i.imgur.com\/CVq5ZSR.png\" alt=\"Succes of ransomware groups\" \/><\/a><\/p>\n<p>Seit seiner Einf\u00fchrung hat die LockBit 2.0 RaaS-Gruppe Partner \u00fcber Rekrutierungskampagnen in Untergrundforen angeworben und sich so im dritten Quartal des Kalenderjahres 2021 besonders stark verbreitet. Die Betreiber von LockBit 2.0 gaben an, im Juni 2021 \u00fcber die schnellste Verschl\u00fcsselungssoftware aller aktiven Ransomware-St\u00e4mme zu verf\u00fcgen. Die Gruppe behauptet dementsprechend, dass dies zu ihrer Effektivit\u00e4t in diesem Bereich beitrug.<\/p>\n<p>Das Team von Palo Alto beobachtet kontinuierlich Netzwerkangriffe und sucht nach Erkenntnissen, die Verteidigern helfen k\u00f6nnen. In einem aktuellen Bericht <a href=\"https:\/\/unit42.paloaltonetworks.com\/network-security-trends-cross-site-scripting\/\" target=\"_blank\" rel=\"noopener\">Network Security Trends: November 2021 to January 2022<\/a> hat Unit 42 die wichtigsten Trends in der Netzwerksicherheit zusammengefasst. So ist Cross-Site Scripting nach wie vor eine h\u00e4ufig verwendete Technik. Unter den rund 6.443 neu ver\u00f6ffentlichten Schwachstellen fanden die Forscher heraus, dass ein gro\u00dfer Teil (fast 10,6 Prozent) immer noch diese Technik beinhaltet.<\/p>\n<p>Auch nahm die Zahl der schwerwiegenden Netzwerkangriffe im letzten analysierten Quartal (2021) zu. Zum ersten Mal machten Angriffe mit hohem Schweregrad mehr als die H\u00e4lfte der beobachteten Angriffe aus. Ab der Woche vom 6. Dezember waren gro\u00dfe Mengen an Datenverkehr zu kritischen Schwachstellen im Zusammenhang mit der <a href=\"https:\/\/unit42.paloaltonetworks.com\/apache-log4j-vulnerability-cve-2021-44228\/\" target=\"_blank\" rel=\"noopener\">Apache log4j-Schwachstelle f\u00fcr Remotecodeausf\u00fchrung<\/a> zu beobachten. Im vergangenen Quartal stellten Versuche, k\u00fcrzlich bekannt gewordene und schwerwiegende Schwachstellen auszunutzen, weiterhin die Mehrheit der beobachteten Bedrohungen dar.<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h2>Hackbarer USB-Sicherheitsstick<\/h2>\n<p>Kommen wir noch zum Flop der Woche: Von Verbatim gibt es einen USB-Sicherheitsstick (Keypad Secure), zum Speichern von Daten mit AES-Verschl\u00fcsselung. Der USB-Stick verf\u00fcgt sogar \u00fcber eine eigene Tastatur zum Eingeben eines PIN-Codes. Ein <a href=\"https:\/\/blog.syss.com\/posts\/hacking-usb-flash-drives-part-1\/\" target=\"_blank\" rel=\"noopener\">Sicherheitsforscher hat aber festgestellt<\/a>, dass dieser USB-Stick Schwachstellen aufwies, \u00fcber die man die Sicherheitsmechanismen aushebeln und an die verschl\u00fcsselten Daten gelangen konnte.<\/p>\n<p><a href=\"https:\/\/twitter.com\/golem\/status\/1535253054454484992\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/w9JNsCa.png\" \/><\/a><\/p>\n<p>Der Flash-Speicher war nicht verl\u00f6tet, sondern als SSD mit M.2-Anschluss ausgef\u00fchrt. Also hat er die SSD an einen Rechner geh\u00e4ngt und konnte den Passcode binnen Sekunden knacken &#8211; auch weil der USB-Stick die Daten nach 20 Fehleingaben nicht l\u00f6schte. Deutschsprachige Beitr\u00e4ge finden sich bei <a href=\"https:\/\/www.golem.de\/news\/verbatim-keypad-secure-der-unsichere-sicherheits-usb-stick-2206-166027.html\" target=\"_blank\" rel=\"noopener\">Golem<\/a> und <a href=\"https:\/\/www.heise.de\/news\/Verschluesselnder-USB-Stick-von-Verbatim-unsicher-Experte-zeigt-Schwachstellen-7134990.html\" target=\"_blank\" rel=\"noopener\">heise<\/a>.<\/p>\n<blockquote><p>Abschlie\u00dfend noch ein kurzer Hinweis zu <a href=\"https:\/\/en.wikipedia.org\/wiki\/Killnet\" target=\"_blank\" rel=\"nofollow noopener\">Killnet<\/a>. Das ist eine pro-russische Hackergruppe, die f\u00fcr ihre DoS- (Denial of Service) und DDoS- (Distributed Denial of Service) Angriffe auf verschiedene Regierungseinrichtungen in mehreren L\u00e4ndern w\u00e4hrend der russischen Invasion in der Ukraine 2022 bekannt geworden ist. Der Verfassungsschutz warnte im Mai vor dieser Hackergruppe (siehe <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/18\/killnet-verfassungsschutz-warnt-vor-prorussischen-hackern\/\">KILLNET: Verfassungsschutz warnt vor prorussischen Hackern und Anwerbeversuchen<\/a>), die auch deutsche Firmen im Visier haben und sich \u00fcber Telegram-Gruppen sowie Internetforen, Chat-Gruppen etc. \u00fcber DDoS-Ziele abstimmen. Geheimdienste verwenden Tools, um Ziele im Vorfeld zu identifizieren. Das Medium t3n hat <a href=\"https:\/\/t3n.de\/news\/killnet-russische-hacker-ddos-attacken-detektion-1477239\/\" target=\"_blank\" rel=\"noopener\">hier einen Bericht<\/a> dazu und stellt ein interessantes Online-Tool zur Fr\u00fcherkennung solcher Ziele vor, welches von einer deutschen Sicherheitsfirma entwickelt wurde und kostenlos nutzbar ist. Das Tool \u00fcberwacht diverse Kommunikationskan\u00e4le und Foren und erm\u00f6glicht die Angriffspl\u00e4ne der Gruppen \u00fcber ein Web-Interface zu erkennen.<\/p><\/blockquote>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/21\/hydra-effekt-conti-ransomware-gang-stellt-aktivitten-ein-akteure-agieren-weiter\/\">Hydra-Effekt: Conti-Ransomware-Gang stellt Aktivit\u00e4ten ein \u2013 Akteure agieren weiter<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/02\/28\/mehr-als-60-000-chats-der-conti-ransomware-gang-geleakt\/\">Mehr als 60.000 Chats der Conti-Ransomware-Gang geleakt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/06\/08\/mandiant-von-lockbit-gehackt-oder-doch-nicht\/\">Mandiant: Von LockBit gehackt, oder doch nicht?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/01\/25\/analyse-linux-und-esxi-varianten-der-lockbit-ransomware\/\">Analyse: Linux- und ESXi-Varianten der LockBit-Ransomware<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/18\/killnet-verfassungsschutz-warnt-vor-prorussischen-hackern\/\">KILLNET: Verfassungsschutz warnt vor prorussischen Hackern und Anwerbeversuchen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Zum Wochenstart noch ein kleiner \u00dcberblick \u00fcber die Trends in Sachen Ransomware und Cyberangriffe. ESET hat seinen Thread-Report 2022 mit diversen Statistiken vorgelegt und erkl\u00e4rt z.B. den drastischen Einbruch an RDP-Angriffen Anfang 2022. Von Palo Alto Networks gibt es eine &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/06\/13\/cyber-trends-eset-thread-report-2022-usb-sicherheitsstick-und-palo-alto-ransomware-hitliste\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-267097","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/267097","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=267097"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/267097\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=267097"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=267097"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=267097"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}