Jedes zehnte Netzwerk ist mit Malware infiziert

Laut einem Bericht des Technikunternehmens Akamai hatten in jedem Quartal des vergangenen Jahres zwischen 10 und 16 Prozent der Unternehmen DNS-Verkehr, der von ihren Netzwerken zu Command-and-Control-Servern (C2) ging. Diese stehen mit bekannten Botnets und verschiedenen anderen Malware-Bedrohungen in Verbindung.

"Bei der Analyse des bösartigen DNS-Verkehrs sowohl von Unternehmen als auch von Privatanwendern konnten wir mehrere Ausbrüche und Kampagnen feststellen, wie zum Beispiel die Verbreitung von FluBot, einer Android-basierten Malware, die sich weltweit von Land zu Land bewegt, sowie die Prävalenz verschiedener cyberkrimineller Gruppen, die auf Unternehmen abzielen", heißt es im Bericht.

Die Forscher weisen vor allem auf die signifikante Präsenz von C2-Verkehr im Zusammenhang mit Initial Access Broker (IABs) hin: Mehr als ein Viertel des analysierten Datenverkehrs ging an IAB-Server - also an Angreifer, die anderen Cyberkriminellen Zugang zu Unternehmensnetzwerken verkaufen.

Akamai betreibt eine große DNS-Infrastruktur für sein globales Content Delivery Network (CDN) und andere Cloud- und Sicherheitsdienste. Das Unternehmen ist nach eigenen Angaben in der Lage, bis zu sieben Billionen DNS-Anfragen pro Tag zu beobachten. Da DNS-Anfragen versuchen, die IP-Adresse eines Domain-Namens aufzulösen, können Anfragen, die von Unternehmensnetzwerken oder Privatanwendern stammen, bekannten bösartigen Domains zugeordnet werden. Dazu zählen Domains, die Phishing-Seiten hosten, Malware bereitstellen oder für C2 verwendet werden.

Lesetipp: 5 DNS-Attacken, die Sie kennen sollten

Anfrage nach einer C2-Domäne deutet auf Malware-Infektion hin

Den Daten zufolge versuchten zwischen neun Prozent und 13 Prozent aller von Akamai beobachteten Geräte, die pro Quartal DNS-Anfragen stellten, eine Malware-Domäne zu erreichen. Zwischen vier Prozent und sechs Prozent der Anfragen führten auf bekannte Phishing-Domains, und zwischen 0,7 Prozent und 1 Prozent versuchten, C2-Domains aufzurufen.

Der Prozentsatz für C2-Domains mag auf den ersten Blick im Vergleich zu Malware-Domains gering erscheinen. Allerdings geht es hier um einen sehr großen Pool von Geräten, die sieben Billionen DNS-Anfragen pro Tag generieren können. Eine Anfrage an eine Malware-Hosting-Domäne bedeutet nicht unbedingt eine erfolgreiche Kompromittierung, da die Malware möglicherweise erkannt und blockiert wird, bevor sie auf dem Gerät ausgeführt wird. Eine Anfrage nach einer C2-Domäne deutet jedoch auf eine aktive Malware-Infektion hin.

Unternehmen können Tausende oder Zehntausende von Geräten in ihren Netzwerken haben. Doch ein einziges kompromittiertes Gerät kann, wie in den meisten Fällen von Ransomware, zu einer vollständigen Übernahme des Netzwerks führen. Die Angreifer setzen dazu laterale Bewegungstechniken ein, um zwischen internen Systemen zu springen. Betrachtet man die C2-DNS-Daten von Akamai pro Organisation, so wurde im vergangenen Jahr mehr als eine von zehn Organisationen aktiv kompromittiert.

"Basierend auf unseren DNS-Daten haben wir festgestellt, dass mehr als 30 Prozent der analysierten Unternehmen mit bösartigem C2-Datenverkehr aus dem Fertigungssektor stammen", so die Akamai-Forscher. "Darüber hinaus waren Unternehmen aus den Bereichen Business Services (15 Prozent), Hightech (14 Prozent) und Handel (12 Prozent) betroffen. Die beiden wichtigsten Branchen in unseren DNS-Daten (Fertigung und Unternehmensdienstleistungen) stimmen auch mit den wichtigsten Branchen überein, die von Conti-Ransomware betroffen sind."

Botnets machen 44 Prozent des bösartigen Datenverkehrs aus

Akamai hat den C2-Verkehr weiter in verschiedene Kategorien unterteilt: Botnets, Initial Access Brokers (IABs), Infostealer, Ransomware, Remote Access Trojaner (RATs) und andere. Botnets waren mit 44 Prozent des bösartigen C2-Verkehrs die wichtigste Kategorie, wobei einige prominente Botnets wie Emotet oder Qakbot, deren Betreiber den Zugang zu Systemen verkaufen, nicht berücksichtigt sind und daher zur Kategorie IAB gezählt wurden. Die meisten Botnets können jedoch technisch dazu verwendet werden, zusätzliche Malware-Payloads zu liefern. Selbst wenn ihre Besitzer diesen Dienst nicht öffentlich verkaufen, haben einige von ihnen private Geschäfte gemacht. So unterhielt beispielsweise das TrickBot-Botnet eine private Arbeitsbeziehung zu den Cyberkriminellen, die hinter der Ryuk-Ransomware stecken.

Lesetipp: Emotet kehrt zurück

Das größte Botnet, das Akamai beim C2-Verkehr aus Unternehmensumgebungen beobachtet hat, ist QSnatch. Dieses stützt sich auf eine Malware, die speziell die Firmware veralteter QNAP-NAS-Geräte (Network-Attached Storage) infiziert. QSnatch tauchte erstmals im Jahr 2014 auf und ist bis heute aktiv. Laut einem CISA-Bericht gab es Mitte 2020 weltweit über 62.000 infizierte Geräte. QSnatch blockiert Sicherheitsupdates und wird für das Auslesen von Anmeldeinformationen, die Protokollierung von Passwörtern, den Fernzugriff und die Datenexfiltration verwendet.

IABs waren die zweitgrößte Kategorie im C2-DNS-Verkehr - die größten Bedrohungen in dieser Gruppe waren Emotet mit 22 Prozent aller infizierten Geräte und Qakbot mit 4 Prozent. Emotet ist eines der größten und am längsten bestehenden Botnets, das von mehreren cyberkriminellen Gruppen für den Erstzugang zu Unternehmensnetzwerken genutzt wird. Darüber hinaus wurde Emotet im Laufe der Jahre auch für die Verbreitung anderer Botnetze wie TrickBot und Qakbot genutzt.

Malware mit Verbindungen zu bekannten Ransomware-Gruppen

Im Jahr 2021 gelang es Strafverfolgungsbehörden aus mehreren Ländern, darunter die USA, das Vereinigte Königreich, Kanada, Deutschland und die Niederlande, die Befehls- und Kontrollinfrastruktur des Botnets zu übernehmen. Die Zerschlagung war jedoch nur von kurzer Dauer, und das Botnet ist jetzt in einer neuen Version wieder aktiv. Emotet begann als Online-Banking-Trojaner, hat sich jedoch zu einer Plattform für die Verbreitung von Malware mit mehreren Modulen entwickelt. Diese ermöglichen den Betreibern, E-Mails zu stehlen, DDoS-Angriffe zu starten und vieles mehr. Emotet unterhielt auch bekannte Beziehungen zu Ransomware-Banden, vor allem zu Conti.

Wie Emotet ist auch Qakbot ein weiteres Botnet, das zur Bereitstellung zusätzlicher Nutzdaten verwendet wird und mit Ransomware-Gangs wie Black Basta zusammenarbeitet. Es ist auch bekannt, dass die Malware das Penetrationstest-Tool Cobalt Strike nutzt, um zusätzliche Funktionen und Ausdauer zu erhalten, und dass sie in der Lage ist, Informationen zu stehlen.

Obwohl Botnets bekannt dafür sind, Ransomware zu verbreiten, haben solche Programme, sobald sie eingesetzt werden, ihre eigenen C2s, die auch in den DNS-Daten von Akamai vertreten sind. Über 9 Prozent der Geräte, die C2-Verkehr generierten, taten dies zu Domainnamen, die mit bekannten Ransomware-Bedrohungen in Verbindung stehen. Von diesen waren REvil und LockBit die häufigsten.

"Unsere jüngste Analyse der Methodik moderner Ransomware-Gruppen wie der Conti-Gruppe hat gezeigt, dass ausgeklügelte Angreifer oft Operatoren beauftragen, die mit der Tastatur arbeiten, um einen Angriff schnell und effizient voranzutreiben", so die Forscher von Akamai. "Die Fähigkeit, C2-Verkehr einzusehen und zu blockieren, kann entscheidend sein, um einen laufenden Angriff zu stoppen."

Infostealer waren mit 16 Prozent der von Akamai beobachteten Geräte die drittbeliebteste Kategorie beim C2-Datenverkehr. Wie der Name schon sagt, werden diese Malware-Programme eingesetzt, um Informationen zu stehlen, die für Angreifer wertvoll sein können und weitere Angriffe ermöglichen. Dazu zählen etwa Benutzernamen und Passwörter für verschiedene Dienste, in Browsern gespeicherte Authentifizierungs-Cookies und andere lokal in anderen Anwendungen gespeicherte Anmeldeinformationen. Ramnit, ein modularer Infostealer, der auch zur Verbreitung zusätzlicher Malware verwendet werden kann, war die größte Bedrohung in dieser Kategorie. Weitere bemerkenswerte Bedrohungen, die im C2-Verkehr beobachtet wurden, waren Cobalt Strike, der Agent Tesla RAT, der Pykspa-Wurm und der polymorphe Virus Virut. (jm)