Auch für Cyberkriminelle fiel der Urlaub heuer aus

Die Aktivitäten von Cyberkriminellen folgen ähnlich wie herkömmliche Arbeitsverhältnisse einem Jahresrhythmus, der normalerweise von Ferien- und Freizeiten unterbrochen wird. Im Januar dieses Jahres wich das Aktivitätsniveau der Cyberkriminalität von dem üblichen zyklischen Muster ab. Rund um das russisch-orthodoxe Weihnachtsfest am 7. Januar verringert sich das Level an Malwareaktivität normalerweise deutlich, um erst gegen Mitte bis Ende Januar wieder auf ein normales Niveau zu klettern. Die Sicherheitsforscher des ThreatLabZ-Teams konnten heuer kein Abflauen beobachten, was auf die COVID-19-Reisebeschränkungen zurückzuführen sein könnte, die ein Verreisen unmöglich machten.

Im Detail wurden die Aktivitäten der Emotet-, Trickbot-, Dridex-, Qakbot- und ZLoader-Schadsoftware in den Blick genommen.

Emotet

Vor der Zerschlagung der Infrastruktur von Emotet durch Europol und andere Strafverfolgungsbehörden zum Ende Januar konnten die Sicherheitsforscher um die Weihnachtsfeiertage deutliche Aktivitäten feststellen. Um die Weihnachtszeit auszunutzen, hat Emotet (blaue Spitzen in der Grafik) seine Aktivität zwischen dem 21. und 30. Dezember 2020 kurzzeitig erhöht. Während dieser verstärkten Aktivität nutzte die gefürchtete Schadsoftware hauptsächlich eine Reply-Chain-Spam-E-Mail (auch bekannt als E-Mail-Thread-Hijacking) als Köder. Bei einem Reply-Chain-Angriff kapern Bedrohungsakteure echte E-Mail-Threads und verwenden legitime E-Mail-Nachrichten, die aus den E-Mail-Anwendungen der Opfer gestohlen wurden. Die Kriminellen fälschen dann eine legitime E-Mail und geben sich als Antwort auf die gestohlene E-Mail aus. Diese E-Mail-Antwort ist wiederum an Adressen aus der ursprünglichen E-Mail gerichtet, wodurch sie das Vertrauen der Zielpersonen weiter gewinnen können.

Zu Beginn des Jahres 2021 lief Emotet zu Höchstform auf, wartete allerdings mit einem neuen Angriffsmuster auf, bei dem eine Passwortgeschützte ZIP-Datei als Köder verschickt wurde und das Passwort in Form eines eingebetteten Bildes angehängt wurde, um Sicherheitsmechanismen zu unterlaufen.

Seit der Zerschlagung der Emotet-Infrastruktur Ende Januar wurden keine Aktivitäten mehr beobachtet, was Rückschlüsse auf die erfolgreiche Aktion der internationalen Strafverfolgungsbehörden zulässt. Wie nicht anders zu erwarten war, versuchen nun andere kriminelle Organisationen das entstandene Vakuum zu ihren Gunsten zu nutzen. Erste neue Varianten sind bereits im Umlauf, um das Botnet unter Verwendung einer neuen C&C-Infrastruktur wiederzubeleben.

Trickbot

Eine meistens durch Emotet nachgelagert in Umlauf gebrachte Malware namens Trickbot nahm seine Aktivität zu einem ähnlichen Zeitpunkt im Januar wieder auf. Trickbot wird von derselben Gruppierung betrieben, die auch die Ransomware Conti und Ryuk einsetzt. Daher wurden diese Ransomware-Operationen wahrscheinlich auch zur gleichen Zeit wieder aufgenommen. Trickbot wurde nach Weihnachten unter anderem von einer Spam-Kampagne mit dem Gruppen-Tag rob35 in Umlauf gebracht. Diese spezielle Kampagne wurde über SpamEx in Form einer bösartigen JavaScript-Datei, eingebettet in eine ZIP-Datei, verteilt. Beim Öffnen wurde das JavaScript dazu verwendet, die Powershell aufzurufen, um Trickbot von Phishing-Seitennachzuladen und auszuführen. Die Trickbot-Kampagnen mit den Gruppen-Tags tot6 und lib6 wurden ebenfalls seit der Feiertagspause beobachtet.

Dridex

Am 11. Januar wurde Dridex mit einer Cutwail-Spam-Kampagne besonders aktiv (siehe graue Spitze). Die Gruppe nutzte Rechnungen, um den Dridex-Loader zu verbreiten. Der Cutwail-Spam verteilte Payloads für die Dridex-Sub-Botnets 10444 und 10555 als Microsoft Excel-Anhänge. Dridex verwendet weiterhin DLL-Dateien für den Loader anstelle von ausführbaren Windows-Dateien – eine Technik, die in letzter Zeit auch von den Bedrohungsgruppen Emotet und Qakbot eingesetzt wurde. Einen Tag später wurde eine weitere Dridex-Kampagne mit Botnet 111 beobachtet, die das RIG-Exploit-Kit (EK) verwendete. Das gleiche RIG-EK-Gate wurde bereits vor den Weihnachtsferien eingesetzt.

Qakbot

Am 19. Januar 2021 meldete sich Qakbot mit einer neuen Spam-Kampagne zurück, die eine Qakbot-Payload mit der Kampagnen-ID abc118 versendete. Ähnlich wie Emotet verwendet Qakbot Antwortketten für Spam-E-Mail-Angriffe. Qakbot wurde auch mit dem Thema einer „Beschwerdekopie“ beobachtet. Qakbot-Spam-Kampagnen verbreiten schädliche Excel-Dateien, die in einen ZIP-Anhang eingebettet sind. Wie Emotet, Dridex und ZLoader verwendet auch Qakbot eine DLL-Datei für den Loader anstelle von ausführbaren Windows-Dateien. Diese Technik ist mittlerweile bei Cyberkriminellen weit verbreitet und kann offenbar Sicherheits- und Sandbox-Lösungen umgehen.

ZLoader

Diese Schadsoftware wurde am 11. Januar 2021 beobachtet. Danach wurde es still um das Botnet, bis es am 19. Januar mit einer weiteren Spam-Kampagne wieder aktiv wurde. Bislang wurden im Jahr 2021 vier verschiedene ZLoader-Kampagnen beobachtet, die hauptsächlich auf Banken und Finanzinstitute in den USA und der EU abzielten.

Fazit

Die Häufigkeit der Kampagnen ist bei jeder Malware-Familie unterschiedlich. Einige haben regelmäßigere Zyklen von Montag bis Donnerstag, während andere, wie Emotet und Qakbot, unvorhersehbar sind (bzw. waren). Normalerweise ist die Inaktivität von Cyberkriminellen oder das Fehlen eines Malware-Stammes ein Zeichen für bevorstehende Veränderungen. Malware-Autoren passen ihre Techniken ständig an und ändern ihren Code, um die Verbreitung, Persistenz, Umgehung und den Gesamterfolg zu verbessern. Weitere Details sind im vollständigen Blog nachzulesen: https://www.zscaler.com/blogs/security-research/did-covid-cancel-christmas-cybercriminals

#Zscaler