Verstehen cybercriminels

Kennen Sie Ihre Feinde, um ihr Verhalten zu verstehen und Ihr Unternehmen besser zu schützen.

cybercriminels sind Einzelpersonen oder Gruppen, die bösartige Aktivitäten durchführen, um Schwachstellen auszunutzen und die Sicherheit von Systemen, Netzwerken oder Daten zu gefährden. Für SOC-Analysten ist es von entscheidender Bedeutung, die Art, die Beweggründe und die Methoden von cybercriminels zu verstehen, um sich wirksam gegen Cyber-Bedrohungen zu schützen.

cybercriminels

Ransomware Gruppen APTs Hacktivisten

Techniken

Angriffs-Techniken MITRE TTPs

Verwendete Werkzeuge

Sammeln von Informationen Fernzugriff Dateiübertragung Diebstahl von Zugangsdaten Befehl und Kontrolle Sonstiges

Liste der cybercriminels

Wer hat es auf Sie abgesehen?

Ransomware Gruppen

Ransomware Gruppen sind organisierte Cyberkriminelle, die sich auf ransomware Angriffe spezialisiert haben. Während diese Gruppen in der Regel viele ähnliche ausgeklügelte Taktiken, Techniken und Verfahren anwenden, um Systeme zu kompromittieren, Daten zu verschlüsseln und Opfer zu erpressen, haben sie auch ihre eigenen spezifischen Methoden und Strategien.

8Basis

ALPHV Blackcat

Akira

Bashe

BianLian

Schwarzer Basta

Blacksuit

Brain Cipher

Zikade3301

Jäger

Lockbit

Medusa

PLAY

Pryx

RA-Gruppe

RansomHub

Rhysida

Fortgeschrittene anhaltende Bedrohungen (APTs)

Advanced Persistent Threats (APTs) sind organisierte Cyberkriminelle oder staatlich geförderte Gruppen, die sich auf langwierige und verdeckte Cyberangriffe spezialisiert haben.

Diese Gruppen setzen in der Regel ausgeklügelte Taktiken, Techniken und Verfahren ein, um in die Zielsysteme einzudringen, sich dort unbefugt Zugang zu verschaffen und sensible Daten über einen längeren Zeitraum zu exfiltrieren, verfügen aber auch über einzigartige Methoden und Strategien, die auf ihre spezifischen Ziele zugeschnitten sind.

APT29

Lazarus-Gruppe

Hacktivisten

Hacktivistische Gruppen sind organisierte Einheiten, die Hacking-Techniken einsetzen, um politische Ziele oder soziale Anliegen zu fördern. Während diese Gruppen oft ähnliche ausgefeilte Taktiken, Techniken und Verfahren anwenden, um Systeme zu kompromittieren, Websites zu verunstalten und Dienste zu stören, haben sie auch ihre eigenen spezifischen Methoden und Strategien, die auf ihre besonderen Ziele und Botschaften zugeschnitten sind.

Die Profile der Hacktivisten werden in Kürze verfügbar sein.

Angriffs-Techniken

Von Cyberkriminellen verwendete Techniken

Entführung von Konten

Brachiale Gewalt

Kryptomining

Denial of Service (DoS)

Kerberoasting

LDAP-Abfrage

Peer-to-Peer

Hafen-Scan

Rechte-Eskalation

Ransomware

Angriffe mit Remote Procedure Call (RPC)

Angriffe über das Remote-Desktop-Protokoll (RDP)

SMB-Scannen

SQL-Einschleusung

Verkehrsspiegelung

Tunnelbau

MITRE ATT&CK TTPs

Die am häufigsten verwendeten TTPs der Bedrohungsakteure

Ransomware Gruppen

Obwohl Hackergruppen in der Regel viele ähnliche ausgeklügelte Taktiken, Techniken und Verfahren einsetzen, um Systeme zu kompromittieren, Daten zu verschlüsseln und Opfer zu erpressen, haben sie auch ihre eigenen spezifischen Methoden und Strategien. Hier sind die beliebtesten Techniken und Verfahren, die von Cyberkriminellen eingesetzt werden:

TA0001: Initial Access

T1078: Valid Accounts

T1133: External Remote Services

T1190: Exploit Public-Facing Application

T1566: Phishing

TA0002: Execution

T1059: Command and Scripting Interpreter

TA0003: Persistence

T1136: Create Account

T1078: Valid Accounts

TA0004: Privilege Escalation

T1484: Domain Policy Modification

TA0005: Defense Evasion

T1070: Indicator Removal

T1112: Modify Registry

T1562: Impair Defenses

TA0006: Credential Access

T1003: OS Credential Dumping

T1552: Unsecured Credentials

TA0007: Discovery

T1018: Remote System Discovery

T1082: System Information Discovery

T1083: File and Directory Discovery

TA0008: Lateral Movement

T1021: Remote Services

TA0009: Collection

T1560: Archive Collected Data

TA0011: Command & Control

T1071: Application Layer Protocol

T1105: Ingress Tool Transfer

TA0010: Exfiltration

T1048: Exfiltration Over Alternative Protocol

T1567: Exfiltration Over Web Service

TA0040: Impact

T1486: Data Encrypted for Impact

T1490: Inhibit System Recovery

T1657: Network Denial of Service

Werkzeuge

Werkzeuge, die von cybercriminels

Emulation von Bedrohungen

Cobalt Strike

Durchführung von Red-Team-Operationen und Gegnersimulationen

Cloud Synchronisierung

MEGA Ltd MegaSync

Synchronisierung von Dateien mit dem Speicher cloud

Ausweis-Extraktion

Mimikatz

Extrahieren von Klartextpasswörtern und anderen Sicherheitsgeheimnissen aus Windows

Lokaler Server-Tunneling

Ngrok

Lokale Server sicher dem Internet aussetzen

Automatisierung und Skripterstellung

PowerShell

Automatisierung von Verwaltungsaufgaben unter Windows

Ausführung von Fernbefehlen

PsExec

Ausführen von Befehlen auf entfernten Systemen

Cloud Speicherverwaltung

Rclone

Verwalten von Dateien auf cloud Speicherdiensten

Verwaltung des Netzes

SoftPerfect

Verwaltung und Überwachung der Netzleistung

Fernzugriff auf den Desktop

Splashtop

Zugriff auf Desktops und Anwendungen aus der Ferne

SFTP- und FTP-Client

WinSCP

Sichere Dateiübertragung zwischen lokalen und entfernten Systemen

Erfassung von Active Directory-Informationen

AdFind

Sammeln von Details über AD-Umgebungen für Analysen und Sicherheitsbewertungen

Netzwerk-Scans

Erweiterter IP-Scanner

Auffinden von IP-Adressen und Netzwerkressourcen

Active Directory-Analyse

Bluthund

Auffinden potenzieller Ausbeutungspfade in AD-Umgebungen

Netzwerk-Tests

Microsoft Nltest

Testen und Beheben von Netzwerkproblemen

Systemüberwachung

PCHunter64

Überwachung und Analyse der Systemaktivitäten

Prozessüberwachung

Prozess-Hacker

Überwachung und Verwaltung von Prozessen und Diensten

Remote-Desktop-Anwendung

AnyDesk

Sichere Fernverbindungen und Unterstützung

Fernverwaltung

Flottendeck.io

Überwachung und Verwaltung verteilter Teams

Projektleitung

Level.io

Online-Zusammenarbeit und -Verwaltung von Projekten

Fernüberwachung und -verwaltung

Pulsweg

IT-Infrastruktur aus der Ferne verwalten

Fernunterstützung

Bildschirm-Verbindung

Bereitstellung von Fernhilfe und -unterstützung

Fernzugriff auf den Desktop

Splashtop

Zugriff auf Desktops und Anwendungen aus der Ferne

Fernüberwachung und -verwaltung

Taktisch.RMM

IT-Infrastruktur aus der Ferne verwalten

Fernsteuerung und Unterstützung

Teamviewer

Fernzugriff und Unterstützung

BITS-Übertragungsmanagement

BITSAdmin

Verwaltung von Aufgaben des intelligenten Übertragungsdienstes im Hintergrund

FTP-Client

FileZilla

Sichere Dateiübertragung

Cloud Synchronisierung

MEGA Ltd MegaSync

Synchronisierung von Dateien mit dem Speicher cloud

Cloud Speicherverwaltung

Rclone

Verwalten von Dateien auf cloud Speicherdiensten

Dateikomprimierung

WinRAR

Komprimieren und Dekomprimieren von Dateien

SFTP- und FTP-Client

WinSCP

Sichere Dateiübertragung zwischen lokalen und entfernten Systemen

Passwortabfrage

LaZagne

Extrahieren gespeicherter Kennwörter aus Anwendungen

Ausweis-Extraktion

Mimikatz

Extrahieren von Klartextpasswörtern und anderen Sicherheitsgeheimnissen aus Windows

Scannen von Sicherheitslücken im Internet

Nekto / PriviCMD

Scannen von Webanwendungen auf Schwachstellen

Prüfung der Ausweitung von Privilegien

WinPEAS

Auffinden möglicher lokaler Pfade zur Ausweitung von Berechtigungen unter Windows

Emulation von Bedrohungen

Cobalt Strike

Durchführung von Red-Team-Operationen und Gegnersimulationen

Manipulation des Netzwerkprotokolls

Impacket

Arbeiten mit Netzwerkprotokollen in Python

Lokaler Server-Tunneling

Ngrok

Lokale Server sicher dem Internet aussetzen

Automatisierung und Skripterstellung

PowerShell

Automatisierung von Verwaltungsaufgaben unter Windows

Ausführung von Fernbefehlen

PsExec

Ausführen von Befehlen auf entfernten Systemen

Kommandozeilen-Schnittstelle zu PuTTY

PuTTY-Verbindung (Plink)

SSH-Sitzungen automatisieren

Proxy-Werkzeug

Blinder Passagier

Erstellung und Verwaltung von Proxy-Ketten

VPN-Lösung

Heckwaage

Schaffung sicherer privater Netzwerke

Verwaltung von Paketen

Schokoladig

Verwaltung von Software-Installationen unter Windows

Rootkit-Erkennung

GMER

Identifizieren und Entfernen von Rootkits

Systemoptimierung

IOBit

Verbesserung der Systemleistung und Sicherheit

Rootkit-Entfernung

PowerTool

Erkennen und Entfernen von Rootkits

Erstellung eines Prozessabbilds

ProcDump

Erzeugen von Crash-Dumps zur Fehlersuche

Erkundung des Active Directory

Sharphound

Sammeln von Daten aus dem Active Directory für Bloodhound

Verwaltung des Netzes

SoftPerfect

Verwaltung und Überwachung der Netzleistung

Verstehen cybercriminels

Liste der cybercriminels

Wer hat es auf Sie abgesehen?

Ransomware Gruppen

8Basis

ALPHV Blackcat

Akira

Bashe

BianLian

Schwarzer Basta

Blacksuit

Brain Cipher

Zikade3301

Jäger

Lockbit

Medusa

PLAY

Pryx

RA-Gruppe

RansomHub

Rhysida

Fortgeschrittene anhaltende Bedrohungen (APTs)

APT29

Lazarus-Gruppe

Hacktivisten

Angriffs-Techniken

Von Cyberkriminellen verwendete Techniken

Entführung von Konten

Brachiale Gewalt

Kryptomining

Denial of Service (DoS)

Kerberoasting

LDAP-Abfrage

Peer-to-Peer

Hafen-Scan

Rechte-Eskalation

Ransomware

Angriffe mit Remote Procedure Call (RPC)

Angriffe über das Remote-Desktop-Protokoll (RDP)

SMB-Scannen

SQL-Einschleusung

Verkehrsspiegelung

Tunnelbau

MITRE ATT&CK TTPs

Die am häufigsten verwendeten TTPs der Bedrohungsakteure

Ransomware Gruppen

Werkzeuge

Werkzeuge, die von cybercriminels

Meist verwendet

Sammeln von Informationen

Fernzugriff

Dateiübertragung

Diebstahl von Zugangsdaten

Befehl und Kontrolle

Cobalt Strike

MEGA Ltd MegaSync

Mimikatz

Ngrok

PowerShell

PsExec

Rclone

SoftPerfect

Splashtop

WinSCP

AdFind

Erweiterter IP-Scanner

Bluthund

Microsoft Nltest

PCHunter64

Prozess-Hacker

AnyDesk

Flottendeck.io

Level.io

Pulsweg

Bildschirm-Verbindung

Splashtop

Taktisch.RMM

Teamviewer

BITSAdmin

FileZilla