Kaspersky Lab veröffentlicht erstmalig APT-Bericht für das erste Quartal

Die Experten von Kaspersky Lab identifizierten im ersten Quartal 2017 einem starken Anstieg bei der Raffinesse staatlich gesteuerter Cyberangriffe. Die Angreifer setzen bei APTs (Advanced Persistent Threat) stärker auf Wiper, also Programme, mit deren Hilfe Dateien zerstört werden können, sowie auf Kriminalität im Finanzbereich. Diese und weitere Trends hat Kaspersky Lab jetzt erstmals in seinem quartalsweise erscheinenden APT-Bericht veröffentlicht. Der neue Bericht zu Trends in der APT-Landschaft stellt die wichtigsten Entwicklungen bei gezielten Angriffen vor und informiert Unternehmen und andere Organisationen über Bedrohungen, die sofortige Aufmerksamkeit erfordern. Der Inhalt ergibt sich aus der Beobachtung der Aktivitäten von APT-Akteuren im jeweiligen Quartal durch die Experten von Kaspersky Lab.

Den Sicherheitsspezialisten zufolge waren die ersten drei Monate dieses Jahres im Wesentlichen von drei APT-Entwicklungen gekennzeichnet. Demnach nutzten die Akteure hinter gezielten Angriffen Wiper-Programme für Cybersabotage und zur Beseitigung von Spuren im Anschluss an die Attacken. So wurde etwa eine neue Generation von Wipern bei den Shamoon-Angriffen verwendet. Die Untersuchung des Falls führte zur Entdeckung von StoneDrill und dessen Ähnlichkeiten mit dem Code der NewsBeef-Gruppe (Charming Kitten).

Gezielte Angriffe werden zum Gelddiebstahl eingesetzt. Bei ihrer Langzeit-Beobachtung der Lazarus-Gruppe stießen die Experten von Kaspersky Lab eigenen Aussagen zufolge auf BlueNoroff . Dieser Akteur gehe aktiv Finanzinstitutionen in verschiedenen Regionen an, so die Experten. Vermutlich stecke BlueNoroff auch hinter dem Bankraub in Bangladesch.

Cyberkriminelle und besonders Akteure, die gezielte Angriffe durchführen, verwenden dateilose („fileless“) Malware, die nur schwer entdeckt und forensisch untersucht werden kann. Beispiele hierfür fanden die Experten von Kaspersky Lab bei den sogenannten Lateral Movement Tools der Shamoon-Angriffe, bei Attacken auf Banken in Osteuropa und zahlreichen weiteren APT-Akteuren.

„Die Bedrohungslandschaft gezielter Attacken verändert sich laufend, und die Angreifer sind immer besser vorbereitet, um neue Lücken und Gelegenheiten aufzuspüren und auszunutzen“, erklärt Juan Andres Guerrero-Saade, Senior Security Researcher im Global Research and Analysis-Team (GReAT) bei Kaspersky Lab. „Daher ist Threat Intelligence so wichtig: Organisationen verschaffen sich so das nötige Wissen und erkennen, welche Gegenmaßnahmen ergriffen werden müssen. Die Bedrohungslandschaft des ersten Quartals 2017 zeigt einen erhöhten Bedarf an Speicherforensik und an Vorfallreaktionen gegen dateilose Malware-Attacken. Zudem sollten Sicherheitslösungen eingesetzt werden, die über alle laufenden Aktivitäten im Netzwerk hinweg Anomalien aufspüren können.“

Wie die Experten von Kaspersky Lab mitteilen, verfolgen sie derzeit über hundert Bedrohungsakteure und untersuchen komplexe schädliche Attacken gegen privatwirtschaftliche und staatliche Organisationen in mehr als 80 Ländern. Im ersten Quartal 2017 erstellten die Experten 33 Berichte, um die Abonnenten der Intelligence Services von Kaspersky Lab bei der forensischen Analyse und der Jagd nach Malware zu unterstützen. Die Berichte beinhalten auch Kompromittierungsindikatoren (Indicators of Compromise, IOC) und YARA-Regeln.