Sie haben Post! - eine Bestandsaufnahme aktueller Phishing/Ransomware-Kampagnen

Intro

Im Oktober haben wir auf Kundenanfrage ein nicht-öffentliches Whitepaper zum Thema Phishing, Speaphising und Ransomware in Bezug auf die vermehrt auftauchenden Leaks aus Webseitenhacks erstellt.

Dieses Whitepaper stellen wir Interessierten auf Anfrage zur Verfügung.

Aufgrund der aktuellen Kampagnen gegen Privatpersonen und Unternehmen veröffentlichen wir einen Auszug, um die einzelnen Angriffsvektoren zu erläutern und eine Verbindung zu den laufenden Aktionen herzustellen.

Wir sehen Email-basierten Malware-Kampagnen, die gezielt Daten aus dem Darknet benutzen, seit Anfang 2018 vermehrt und wollen deswegen die Aufmerksamkeit für diesen immernoch unterbewerteten Angriffsvektor erhöhen.

Email ist und bleibt Einfallstor Nr 1.

Angriffsvektoren

Seit 2018 ist eine Kombination verschiedener Vektoren zu beobachten:

  1. mit Credential Stuffing werden Zugangsdaten zu Online-Email-Postfächern erbeutet
  2. mit den Zugangsdaten werden Kommunikationsverläufe ausgespäht und die Inhalte/Namen benutzt, um Vertrauensstellungen auszunutzen (Spearphishing)
  3. im letzten Schritt wird dann eine Ransomware installiert

Wir selber beobachten diese Vernetzung von Angriffsmethoden seit Mitte 2018, sehen diese aber zurückgehend bis 2017

Referenzen:

Spearphishing/Phishing:

Direkter Angriff auf einzelne Personen mit dem Ziel, entweder einen Exploit auszuführen, um Zugriff auf die Daten oder das Unternehmensnetz zu erhalten, oder Zugangsdaten zu weiteren Diensten zu erhalten, um diese dann zu mißbrauchen. Die in den Leaks enthaltenen Daten können wertvolle Informationen für eine gezielte Kampagne enthalten.

Der Unterschied zwischen Spearphishing und Phishing besteht in der Auswahl und Ansprache der Ziele: während es sich beim Spearphishing um gezielte Angriffe gegen einzelne Personen handelt, denen oftmals eine Aufklärung für eine genaue Ansprache vorausgeht und damit von den Zielpersonen schwierig zu erkennen ist, wird beim Phishing eher auf Masse gesetzt und Millionen von Emails versandt.

  • Beispiel 1: erfolgreiche Phishingkampagne gegen Prominente in den USA zum Zweck des Eindringens in deren Apple-iCloud-Accounts; private Bilder wurden im Internet veröffentlicht. Die Beteiligten wurden mittlerweile verurteilt

  • Beispiel 2: der Bundestags-Hack aus dem Jahr 2015 wurde durch eine emailgestützte Spearphishing-Kampagne vorbereitet, bei der dann Trojaner in das Netz des Bundestages eingeschleust wurden.

Ransomware-Kampagne (Verschlüsselungstrojaner)

Im Jahr 2017 wurde eine neue Erpressungsmethode durch die Wannacry-Angriffe populär, die schon länger über Email-Kampagnen erfolgreich war: sogenannte Ransomware-Angriffe3, bei denen die Festplatten der Betroffenen verschlüsselt werden und erst nach Zahlung einer Summe (Ransom, Lösegeld) wieder entschlüsselt werden können. Im Unternehmenskontext kann ein erfolgreicher Angriff schwerwiegende Auswirkungen haben. Diese Kampagnen werden häufig durch das Versenden von Emails durchgeführt, wie aktuelle Berichte zeigen, bei denen ein „ besserer Datensatz mit einem größeren Teil tatsächlich aktiver Mailadressen zum Einsatz kommt.

  • Beispiel 1: die aktuelle Ransomware-Kampagne unter dem Namen "Emotet" nutzt Daten aus dem Darknet für die Empfängeremails. Die Novemberwelle richtet sich gezielt gegen europäische Unternehmen.

  • Beispiel 2: Im Sommer 2018 gab es die erste gab es eine erste Ransomware-Welle, die sich gezielt gegen Perosnalabteilungen von Unternehmen richtete. weiterer Link

Erpressung

Wenn Daten von Datingportalen veröffentlicht werden, so bietet dies immer das Potential, einzelne Mitglieder, die z.B. den vollen Namen in einer Email angegeben haben, damit zu erpressen. Diese Erpressungen werden seit Mitte 2018 mit weiteren Methoden, u.a. Datensammlungen aus dem Darknet, z.B. Collection#1-5, kombiniert, um die Unwissenheit der Anwender auszunutzen, mit offensichtlichem Erfolg.

  • Beispiel 1 : Cyber-Erpressung auf Management-Ebene
  • Beispiel 2: Die Verbraucherzentralen warnen im September 2018 von breit angelegten Erpressungskampagnen via Mail; dazu wir wissen wir aus eigenen Quellen, dass Daten von Datingportalen zur gezielten Erpressungen benutzt werden.
  • Beispiel 3: "Ich kenne Dein Passwort" - Erpressung

Credential Stuffing

Beim Credential-Stuffing machen sich die Kriminellen die Bequemlichkeit der User zunutze, die gleichen Zugangsdaten und Passwörter auf verschiedenen Plattformen zu nutzen; es werden also Zugangsdaten von Plattform A auf Plattform B probiert. Dass dies von Erfolg gekrönt ist zeigen Tools wie SentryMBA/Sentry 2.08, die genau seit mehreren Jahren im Umlauf und genau für diese Arten von Angriffen geschaffen sind. Unbedarfte User, deren Daten in Leaks auftauchen, sind damit sehr schnell von Accountübernahme und Identitätsdiebstahl betroffen; aber nicht nur das: die neue Generation der Tools wie Credover9 gehen mehrere Wege, um einerseits Daten zu einem geleakten Account via HaveIBeenPwnd-API10 zu verifizieren, um dann die geleakten Passwörter dazu über einen Webservice wie GhostProject11 abzufragen. Wir konnten uns mehrfach davon überzeugen, dass dies funktioniert, u.a. mit dem unten dargestellten Tool „CREDOVER“, das nicht nur Passwörter zu zugehörigen Emails finden konnte, sondern auch gleich die gängigsten Accounts (Google, Facebook, Twitter etc) durchprobierte. 2FA kann hier ein gutes Schutzverfahren sein.

  • Beispiel 1: : Massendoxing von Politikern, Journalisten und Youtubern Anfang 2019
  • Beispiel 2: Inside a Spam-Operation: Each email looked like it came from someone the recipient knew: the spammer took stolen email addresses and passwords, quietly logged into their email account, scraped their recently sent emails and pushed out personalized emails to the recipient of that sent email with a link to a fake site pushing a weight loss pill or a bitcoin scam.

Mittlerweile gibt es Tools und Frameworks, die einem die ganze Arbeit erleichtern und Zugangsdaten durchprobieren:





Fragen? Kontakt: info@zero.bs