Password Manager
Wie bewahrt man Passwörter sicher auf? Natürlich in einem Passwort-Manager. – In unserem heutigen Fall gab es jedoch unerwünschte Nebeneffekte: Angreifer konnten in Unternehmensnetzwerke eindringen. Zu diesem unerwarteten Ergebnis kam eine aktuelle Studie, die sich mit einem Ransomware-Angriff beschäftigte. Das Ganze begann mit dem Download des beliebten Passwort-Managers „KeePass“. Allerdings stammte das Programm von einer gefälschten Website. KeePass ist ein Open-Source-Projekt. Darum konnten die Angreifer das Programm problemlos kopieren, verändern und schädliche Funktionen hinzufügen. Anschließend wurde das Programm erneut kompiliert und über gefälschte Websites verbreitet. Zur Werbung dienten legitime Online-Werbesysteme.
Was hatte der gefälschte KeePass vor?
Die bösartige Kampagne dauerte mindestens acht Monate und begann Mitte 2024. Die Angreifer richteten gefälschte Websites ein und ahmten die offizielle KeePass-Website nach. Zudem verwendeten sie Malvertising (bösartige Werbung): Nutzer, die nach KeePass suchten, wurden auf Domänen mit ähnlichen Namen umgeleitet, z. B. keeppaswrd, keebass und KeePass-download.
Wenn das Opfer KeePass von einer gefälschten Website herunterlud, funktionierte der Passwort-Manager wie erwartet. Allerdings speicherte er alle Passwörter aus der geöffneten Datenbank in einer unverschlüsselten Textdatei und installierte das Zählpixel „Cobalt Strike“ auf dem System. Mit diesem Tool kann die Unternehmenssicherheit bewertet werden, es ermöglicht aber auch echte Cyberangriffe.
Mit Cobalt Strike konnten die Angreifer nicht nur exportierte Passwörter stehlen, sondern auch andere Systeme kompromittieren und sogar unternehmenseigene ESXi-Server verschlüsseln.
Bei der Suche nach den Spuren dieses Angriffs fanden die Forscher im Internet fünf verschiedene KeePass-Modifikationen mit Trojanern. Einige waren relativ simpel: Sie luden gestohlene Passwörter sofort auf den Server der Angreifer hoch.
Beinahe unsichtbare Malware
Es ist nichts Neues, dass einem Opfer zusammen mit legitimen Programmen auch Malware untergeschoben wird. Wenn die schädlichen Dateien dem Installationspaket einfach hinzugefügt wurden, können Sicherheitslösungen (sofern vorhanden) auf dem Computer die Malware leicht erkennen. Der KeePass-Angriff war jedoch sehr gründlich geplant und bestens vor Sicherheitstools verborgen.
Alle gefälschten KeePass-Installationspakete hatten eine gültige digitale Signatur und lösten deshalb keine Windows-Warnungen aus. Die fünf entdeckten Distributionen verfügten über Zertifikate, die von vier verschiedenen Softwareunternehmen ausgestellt waren. Das legitime KeePass-Programm ist mit einem anderen Zertifikat signiert. Aber wer macht sich schon die Mühe, in der Zeile Hersteller in Windows-Warnungen nachzusehen?
Die Trojaner-Funktionen waren in der Kernlogik des Programms verborgen und wurden erst aktiv, wenn der Nutzer eine Passwort-Datenbank öffnete. Das Programm startete also zunächst wie gewohnt, forderte den Nutzer auf, eine Datenbank auszuwählen und das Master-Passwort einzugeben. Erst dann wurden Aktionen ausgeführt, die den Sicherheitsmechanismen verdächtig vorkommen könnten. Dies erschwert es einer Sandbox und anderen Analyse-Tools, ungewöhnliches Programmverhalten und den Angriff zu erkennen.
Nicht nur KeePass
Bei der Untersuchung bösartiger Websites, die trojanisierte KeePass-Versionen verbreiten, stießen die Forscher auf verwandte Websites, die auf derselben Domäne gehostet wurden. Die Websites machten Werbung für andere legale Programme, darunter den sicheren Dateimanager „WinSCP“ und mehrere Tools für Kryptowährungen. Diese waren nicht so stark modifiziert und installierten einfach die bekannte Malware „Nitrogen Loader“ auf den angegriffenen Systemen.
Dies deutet darauf hin, dass das mit einem Trojaner versehene KeePass-Programm von Initial Access Brokern erstellt wurde. Diese Kriminellen stehlen Passwörter und andere vertrauliche Informationen, um sich Zugang zu Computernetzwerken von Unternehmen zu verschaffen. Dann verkaufen sie den Zugang an andere bösartige Akteure, oft an Ransomware-Banden.
Eine Bedrohung für alle
Vertreiber von Malware, die Passwörter stehlen kann, nehmen wahllos jeden arglosen Nutzer ins Visier. Die Kriminellen analysieren gestohlene Passwörter, Finanzdaten oder andere wertvolle Informationen, sortieren die Daten nach Kategorien und verkaufen alles an andere Cyberkriminelle, die sie für illegale Operationen benötigen. Ransomware-Gruppen kaufen Anmeldedaten für Unternehmensnetzwerke, Betrüger kaufen persönliche Daten und Bankkartennummern, Spammer freuen sich über Zugangsdaten für soziale Medien oder Gaming-Accounts.
Darum sieht das Geschäftsmodell von Stealer-Distributoren so aus: Sie schnappen sich einfach alles, was ihnen in die Finger kommt, und sie verwenden alle möglichen Köder, um ihre Malware weiterzuverbreiten. Trojaner können in jeder Art von Software versteckt sein – in Spielen, Passwort-Managern und in speziellen Programmen für Buchhalter oder Architekten.
So schützt du deinen privaten Computer
Lade Programme nur von der offiziellen Website des jeweiligen Anbieters oder aus gängigen App-Shops herunter!
Achte auf digitale Signaturen! Wenn du ein Programm startest, das du zum ersten Mal heruntergeladen hast, zeigt Windows eine Warnung an. Dort steht im Feld Herausgeber der Name des Besitzers der digitalen Signatur. Überprüfe, ob diese Angaben mit den Informationen des echten Entwicklers übereinstimmen. Im Zweifelsfall kannst du auf der offiziellen Website nachsehen.
Vorsicht bei Anzeigen aus Suchergebnissen! Wenn du nach dem Namen eines Programms suchst, schau dir die ersten vier oder fünf Suchergebnisse ganz genau an. Anzeigen solltest du dabei ignorieren. Normalerweise gehört die offizielle Website des Entwicklers zu diesen Ergebnissen. Wenn du dir nicht sicher bist, welches Suchergebnis auf die offizielle Website führt, überprüfe die Adresse am besten zusätzlich in den großen App-Shops oder auch auf Wikipedia.
Verwende auf allen Computern und Smartphones zuverlässige Sicherheitssoftware, z. B. Kaspersky Premium! Dies schützt vor einer Infektion durch die meisten Arten von Malware und verhindert den Besuch gefährlicher Websites.
Keine Angst vor Passwort-Managern! Obwohl bei diesem ausgeklügelten Angriff ein beliebter Passwort-Manager im Spiel war, ist es wichtiger denn je, sensible Daten sicher und in verschlüsselter Form aufzubewahren. Die Abonnements für Kaspersky Plus und Kaspersky Premium umfassen Kaspersky Password Manager, mit dem du deine Anmeldedaten sicher speichern kannst.
So schützt du dein Unternehmen vor Informationsdieben und Initial Access Brokern
Angriffe unter Verwendung legitimer Anmeldedaten sind bei Cyberkriminellen sehr beliebt. Um den Diebstahl und die illegale Nutzung von Unternehmenskonten zu erschweren, solltest du die Ratschläge zur Bekämpfung von Datendiebstahl befolgen.
Zur Abwehr von Trojanern, mit denen Angreifer direkt auf dein Netzwerk zugreifen können, empfehlen wir außerdem die folgenden Maßnahmen:
- Allow-Listen für Programme, um den Download und die Ausführung nicht vertrauenswürdiger Software zu beschränken. Geeignete Kriterien für Positivlisten sind beispielsweise „Programme eines bestimmten Herstellers“ und Programme, die mit einem bestimmten Zertifikat signiert sind. Im Fall von KeePass hätte letztere Option geholfen: Ein bekanntes Programm mit einem nicht autorisierten Zertifikat wäre blockiert worden.
- Implementierung eines zentralisierten Ansatzes für Monitoring und Response. Dazu gehören die Installation von EDR-Sensoren (Endpoint Detection and Response) auf allen Workstations und Servern sowie die Analyse der erfassten Telemetriedaten mit SIEM oder XDR-Lösungen. Kaspersky Next XDR Expert bietet eine umfassende Lösung für diese Herausforderung.
- Ausbau der Mitarbeiterschulung. Es ist gut, wenn dein Team richtig auf Phishing-Angriffe reagieren kann. Ebenso wichtig ist jedoch, dass die Mitarbeiter gefälschte Software, bösartige Werbung und andere Social-Engineering-Techniken erkennen können – und das will gelernt sein. Dabei kann die Kaspersky Automated Security Awareness Platform helfen.
Tipps