Archiv der Kategorie: Datenverlust

Node.js-Trojaner verbreitet sich mithilfe von Covid-19-Köder

Die Sicherheitsforscher von Trend Micro stiessen kürzlich auf einen von MalwareHunterTeam entdeckten Java Downloader, der offenbar in einer Phishing-Kampagne im Zusammenhang mit COVID-19 verbreitet wurde. Bei Ausführung der Datei wird eine neue, unbekannte Malware heruntergeladen, die in Node.js verfasst ist. Der Trojaner wurde „QNodeService“ benannt. Der Einsatz der Plattform Node.js ist ungewöhnlich für Autoren von Commodity-Schädlingen, denn sie ist in erster Linie für die Entwicklung von Webservern gedacht und somit potenziellen Opfermaschinen nicht vorinstalliert. Doch könnte gerade die Wahl dieser ungewöhnlichen Plattform dazu beigetragen haben, dass die Malware von Antivirus-Software nicht erkannt wurde.

Die Malware beinhaltet Funktionen für den Download/Upload sowie die Ausführung von Dateien, den Diebstahl von Login-Informationen aus Chrome sowie Firefox Browsern. Sie ist in der Lage, unter anderem Dateimanagement durchzuführen und zielt auf Windows-Systeme, wobei bestimmte Code-Teile darauf schließen lassen, dass sie künftig auch plattformübergreifend agieren wird. Die technischen Einzelheiten zum Angriffsablauf, dem Verhalten der Malware sowie Indicators of Compromise bietet der Originaleintrag.

Empfehlungen

Bedrohungsakteure entwickeln ständig neuartige Methoden, um dafür zu sorgen, dass ihre Malware so lange wie möglich viele Systeme betrifft, z. B. durch die Verwendung von Umgebungen, die weniger für die Erstellung von Malware genutzt werden, durch die Aufrechterhaltung der Persistenz und durch plattformübergreifende Kompatibilität. Um sich gegen solche Malware zu schützen, können Benutzer etwa mit folgenden Sicherheitslösungen verhindern, dass sie durch mögliche Eintrittspunkte wie Email, Endpunkte und Netzwerk angegriffen werden:

  • Für Email bietet Trend Micro™ Email Security KI-gestützte Erkennung und Sandboxing-Fähigkeiten, um sowohl Malware als auch bösartige URLs zu blocken.
  • Für Endpunkte liefert Trend Micro Apex One Möglichkeiten zur automatisierten Bedrohungserkennung mit Hilfe von ML sowohl vor als auch während der Ausführung.
  • Für Netzwerke unterstützt Trend Micro TippingPoint Threat Protection System die Sicherheit durch die Inspektion und das Blocken von Netzwerkverkehr in Echtzeit, um das Eindringen von Bedrohungen zu verhindern.

Sicherheit bei Smart Manufacturing

In Zeiten von Industrie 4.0 setzen Unternehmen zunehmend auf intelligente Fertigungstechnologien (Smart Manufacturing). Dies bringt zahlreiche Vorteile mit sich, wie z.B. eine höhere Produktivität bei geringeren Kosten, aber damit gehen auch neue Angriffsvektoren einher, über die Bedrohungsakteure in intelligenten Fertigungsanlagen Fuss fassen oder sich lateral bewegen können. Im aktuellen Bericht „Attacks on Smart Manufacturing Systems: A Forward-looking Security Analysis“ analysiert das Trend Micro Forward-Looking Threat Research Team in Zusammenarbeit mit dem Politecnico di Milano (POLIMI) die Angriffsoberflächen für Industrie 4.0 sowie die Vielfalt spezifischer Angriffe auf heutige Roboter und die möglichen Folgen der Angriffe.

Smart Manufacturing beruht auf einer engen Integration zwischen IT- und Operational Technology (OT)-Systemen. Enterprise Resource Planning (ERP)-Software hat sich in Richtung Supply Chain Management (SCM) weiterentwickelt, das über Unternehmens- und Ländergrenzen hinweg alle Arten von Input sammelt und Endprodukte, Zahlungen und Funktionalität auf globaler Ebene liefert.

Supply Chain und Softwareentwicklung in Industrie 4.0

Jede Synergie erfüllt ein Geschäftsziel: Optimierung knapper Ressourcen über verschiedene Quellen hinweg; Minimierung der Herstellungs-, Liefer- und Lagerhaltungskosten über Regionen hinweg, Kontinuität des Betriebs durch Diversifizierung der Lieferanten oder Maximierung des Verkaufs über mehrere Lieferkanäle. Die Supply Chain beinhaltet nicht nur Rohmaterialien für die Fertigung, sondern auch Zulieferer von Komponenten, externe Mitarbeiter für nicht zum Kerngeschäft gehörende Funktionen, Open-Source-Software zur Optimierung der Entwicklungskosten und Subunternehmer für die Ausführung spezieller Konstruktions-, Montage-, Test- und Vertriebsaufgaben. Jedes Element der Supply Chain stellt eine Angriffsfläche dar.

Softwareentwicklung ist seit langem eine Teamleistung. Nicht nur die Designs müssen im gesamten Team klar sein, auch das Testen erfordert eine enge Zusammenarbeit zwischen Architekten, Designern, Entwicklern und der Produktion. Teams identifizieren Geschäftsanforderungen und stellen dann eine Lösung aus Komponenten zusammen, die aus öffentlich zugänglichen Bibliotheken stammen. Diese Bibliotheken können weitere Abhängigkeiten von Fremdcode unbekannter Herkunft enthalten. Vereinfachtes Testen hängt von der Qualität der gemeinsam genutzten Bibliotheken ab, aber gemeinsam genutzte Bibliotheksroutinen können nicht entdeckte (oder absichtlich versteckte) Fehler aufweisen, die erst in einer anfälligen Produktionsumgebung zum Vorschein kommen. Wer testet GitHub? Das Ausmass dieser Schwachstellen ist gewaltig.

Industrieroboter als Gefahr

Innerhalb des Herstellungsbetriebs legt die Verschmelzung von IT und OT zusätzliche Angriffsflächen frei. Industrieroboter liefern ein deutliches Beispiel. Diese Präzisionsmaschinen sind darauf programmiert, anspruchsvolle Aufgaben schnell und fehlerfrei auszuführen. Programmierbare Roboter können verschiedene Materialkonfigurationen ohne Unterbrechungen produzieren. Sie werden überall in der Fertigung, im Lager, in Distributionszentren, in der Landwirtschaft, im Bergbau und bald auch in Lieferfahrzeugen eingesetzt. Die Supply Chain ist automatisiert worden.

Die Protokolle, von denen Industrieroboter abhängen, gehen von der Annahme aus, dass die Umgebung isoliert ist, und ein Controller die Maschinen an einem Standort steuert. Da die Verbindung zwischen dem Controller und den gesteuerten Robotern fest verdrahtet war, war eine Identifizierung des Operators oder eine Überprüfung der Nachricht nicht erforderlich. Jedes Gerät ging davon aus, dass alle seine Verbindungen extern verifiziert wurden. Die Protokolle enthielten keine Sicherheits- oder Datenschutzkontrollen. Dann übernahm Industrie 4.0 die drahtlose Kommunikation.

Die Angriffe

Zu den möglichen Eintrittspunkten für einen Angriff auf ein Smart Manufacturing-System zählen Engineering Workstations (ein von Domänen-Usern gemeinsam genutztes System, das mit der Produktionshalle verbunden ist), kundenspezifische industrielle Internet-of-things (IIoT)-Geräte mit besserer Automatisierungsflexibilität als klassische Automatisierungshardware wie PLCs oder auch Manufacturing Execution System (MES)-Datenbanken mit kritischen Daten (die DB ist implizit für den Rest des Systems vertrauenswürdig).

Dieser Wechsel zur drahtlosen Kommunikation, der die Kosten für die Kabelverlegung in der Fabrik einsparte, öffnete die Netzwerke für alle Arten von Angriffen. Die Bedrohungsakteure fälschen Befehle, modifizieren Spezifikationen, ändern oder unterdrücken Fehleralarme, modifizieren Ausgabestatistiken und schreiben Logs neu. Die Folgen können gewaltig und doch nahezu unbemerkt sein.

Sicherheitsempfehlungen

Unternehmen müssen konkrete Schritte unternehmen, um ihre Systeme zu schützen:

  • Auf Netzwerkebene sollte Deep Packet Inspection eingesetzt werden, die die wichtigen, relevanten OT-Protokolle unterstützt, um verdächtige Payloads zu entdecken.
  • Auf den Endpunkten sollten regelmässige Integritätsüberprüfungen stattfinden, um bei jeder modifizierten Softwarekomponente Alerts zu erhalten.
  • Für IIoT-Geräte sind Code-Signaturen erforderlich. Sie sollten sich jedoch nicht nur auf die endgültige Firmware beschränken, sondern auch alle anderen Abhängigkeiten einschliessen, um sie vor Bibliotheken Dritter zu schützen, die bösartige Funktionen verbergen könnten.
  • Die Risikoanalyse für Automatisierungssoftware sollte je nach Bedarf massgeschneidert werden. In Systemen, in denen z.B. kollaborative Roboter Seite an Seite mit Menschen arbeiten, sollte die Sicherheit auf der Firmware-Ebene implementiert werden.

Darüber hinaus ist es empfehlenswert, dass Unternehmen sich nicht nur vor aktuellen, sondern auch vor möglichen künftigen Bedrohungen schützen, indem sie das gleiche Level für die Sicherheitsvorkehrungen wählen, wie auch bei den sicheren Coding-Praktiken und Abwehrmassnahmen für Nicht-OT-Software wie mobile Anwendungen, Webanwendungen und Cloud-Umgebungen.

Massive Credential Phishing-Angriffe auf Home User

Der Wert eines Passworts liegt darin, einem User Zugang zu wichtigen Informationen und jeder Menge IT Diensten zu eröffnen. Jeder weiss das und natürlich auch Cyberkriminelle. Somit ist es wenig verwunderlich, dass der Diebstahl von Login-Daten, also „Credentials“, eines der Hauptthemen ist, mit denen sich die Akteure beschäftigen. Jetzt aber, wo die Zahl derer, die im Home Office arbeiten, sprunghaft gestiegen ist, haben die „Credential Phisher“ Hochkonjunktur. Nutzer können sich am besten dagegen wehren, wenn sie verstehen, wie ein solcher Angriff abläuft.

Bild 1. Top 10 Länder, in denen User mit Credential Phishing Angriffen mit Bezug auf Outlook oder Office 365 angegriffen wurden (Quelle Trend Micro)

Vorgehensweise

Der Erfolg eines Credential Phishing-Angriffs steht und fällt mit der Fertigkeit des Angreifers, sein Opfer davon zu überzeugen, ihm sein Passwort freiwillig zu übergeben, und – das ist wichtig – das Opfer darf nicht misstrauisch werden. Denn ein Passwort ist im Zweifel binnen Sekunden geändert. Ein Täter benötigt etwas, eine Seite oder ein Formular, wo User Passwörter eingeben können und ein Mittel, das keinen Argwohn weckt, wenn dies nicht sofort klappt.

Ein beliebtes Ziel sind deshalb vor allem Mail-Clients. Während der Mitarbeiter im Büro einfach nur Outlook öffnet, greift er speziell im Home Office auch mit Vorliebe auf die Webvarianten über den Browser zu und muss sich, um auf seinen Account zu kommen, entsprechend authentifizieren. Damit aber ist die erste Notwendigkeit erfüllt. Der Angreifer muss seinem Opfer lediglich eine Fake Web Client-Seite vorgeben – eine klassische Phishing Aufgabe.

Bild 2. Fake Microsoft Login-Seite

Die Sache hat allerdings einen Haken: Die „klassische“ Angriffs-Mail erhält ein Opfer nur bei aktivem Mail Client. Wie erreicht ein Angreifer also sein Opfer, denn niemand würde den wichtigen Link anklicken, um dann erneut seinen Mail Client aufzumachen …

Hier bedient sich der Angreifer eines „Workarounds“. Die Mail bewirbt offiziell die neueste und/oder interessanteste Nachricht eines News-Dienstes. Klickt der User den Link an, wird er auf genau diese Seite weitergeleitet und erhält dort auch die erwartete Information. Gleichzeitig wird allerdings eine zweite Seite geöffnet, die eigentliche Phishing-Seite mit einem Mail Client-Login und dem Hinweis, dass die aktuelle/letzte Session abgelaufen ist. Geht das Opfer nach einer Weile – die Nachricht zu lesen hat vermutlich Zeit gekostet – auf seinen Mail Client und gibt sein Passwort erneut ein, so erscheint die Nachricht, dass entweder Username oder Passwort falsch waren. Es erfolgt eine Umleitung zurück auf die Original Web Client-Seite. Nach erneuter Eingabe des Passworts erhält er auch seinen gewohnten Zugriff auf seine Mails. Die Episode ist bald vergessen. Timeouts von Webseiten sind jedem vertraut und jeder hat sich schon einmal bei der Passworteingabe vertippt.

Aktualität

Das genannte Beispiel gibt es in zahlreichen Facetten. Natürlich ist Office365 dabei aber auch andere Applikationen speziell Online Meeting Plattformen wie Zoom oder Webex stehen im Fokus. Die Methode selbst wurde ursprünglich von der politisch motivierten Gruppe Pawnstorm (APT28, Fancy Bear) genutzt, um Angriffe auf höchste politische Kreise zu launchen. So steht Pawnstorm für die Angriffe auf die Demokratische Partei (2016), den Bundestag (2015/17) sowie eine Reihe weiterer politischer Angriffe.

Wie dateilose Angriffe funktionieren und Persistenz in Systemen herstellen

Um mit den besseren Sicherheitsmassnahmen Schritt zu halten, entwickeln cyberkriminelle Akteure immer bessere Techniken, mit deren Hilfe sie der Entdeckung entgehen können. Eine der erfolgreichsten Umgehungstechniken sind dateilose Angriffe, die keine bösartige Software erfordern, um in ein System einzudringen. Anstatt sich auf ausführbare Dateien zu verlassen, missbrauchen diese Bedrohungen Tools, die sich bereits im System befinden, um die Angriffe zu initiieren.

Im Sicherheitsbericht für 2019 stellt Trend Micro fest, dass dateilose Bedrohungen immer häufiger werden. Durch die Nachverfolgung nicht dateibasierter Indikatoren und mittels Technologien wie Endpoint Detection-and-Response hat der Anbieter im vergangenen Jahr mehr als 1,4 Millionen dateilose Sicherheitsvorkommnisse blockiert. Dieser Trend war zu erwarten angesichts der Möglichkeiten der Verschleierung und Persistenz, die dateilose Bedrohungen einem Angreifer bieten.

Funktionsweise von dateilosen Angriffen

Der Begriff „dateilos“ legt nahe, dass die Bedrohung oder Technik keine Datei im Hauptspeicher einer Maschine benötigt. Dateilose Funktionalität kann an der Ausführung, am Informationsdiebstahl oder an der Persistenz beteiligt sein. Ein Angriffsablauf muss nicht zwangsläufig wirklich “ dateilos“ erfolgen, es können auch lediglich einige Teile in irgendeiner Form dateilose Techniken benötigen.

Dateilose Bedrohungen hinterlassen nach ihrer Ausführung keine Spuren, so dass es schwierig ist, sie zu erkennen und zu entfernen. Diese Techniken ermöglichen es Angreifern, auf das System zuzugreifen, um dann dort bösartige Aktivitäten auszuführen. Durch die Manipulation von Exploits, legitimen Tools, Makros und Skripts können Angreifer Systeme kompromittieren, Privilegien erhöhen oder sich lateral im Netzwerk bewegen.

Dateilose Angriffe vermeiden sehr effizient ihre Entdeckung durch herkömmliche Sicherheitssoftware, denn die sucht nach Dateien auf der Festplatte eines Rechners, um dann zu beurteilen, ob sie bösartig sind. Diese Art der Bedrohungen sind nicht sichtbar, da sie im Hauptspeicher eines Systems ausgeführt werden können, sich in der Registry befinden oder häufig in Whitelists aufgeführte Tools wie PowerShell, Windows Management Instrumentation (WMI) und PsExec missbrauchen können.

Viele dateilose Bedrohungen missbrauchen das Task-Automatisierungs- und Konfigurationsmanagement-Framework PowerShell, das in vielen Windows-Betriebssystemen integriert ist. Das Microsoft-Framework greift auf Anwendungsprogrammierschnittstellen (APIs) zu, die wichtige System- und Anwendungsfunktionen ausführen. Für Angreifer ist es attraktiv, weil es ihnen ermöglicht, Payloads zu verteilen und bösartige Befehle dateilos auszuführen.

WMI ist eine weitere bekannte Windows-Anwendung, die zur Ausführung von Systemaufgaben für Endpunkte verwendet wird, und ist deshalb ideal geeignet für die Durchführung von Angriffen. Die Hintermänner missbrauchen WMI für die Ausführung von Code, laterale Bewegung und Persistenz; WMI-Repositorys können auch dazu verwendet werden, bösartige Skripts zu speichern, die in regelmäßigen Intervallen aufgerufen werden können. Unternehmensnetzwerke nutzen PowerShell und WMI in der Regel für die Automatisierung von Systemverwaltungsaufgaben. Angreifer machen sich diese Tools häufig zunutze, da sie zur Umgehung signaturbasierter Erkennungssysteme, zur Aufrechterhaltung der Persistenz, zur Exfiltrierung von Daten und für weitere böswillige Zwecke eingesetzt werden können.

Dateilose Angriffe sind nicht neu, doch gehören sie immer häufiger zum Arsenal vieler Angreifer. Eine Zusammenfassung zum Thema bietet die Infografik:

Schutz vor dateilosen Bedrohungen

Die Vielfalt der dateilosen Techniken ermöglicht persistente Angriffe, die die Integrität der Geschäftsinfrastruktur eines Unternehmens beeinträchtigen können. Trotz des Fehlens einer eigenständigen binären oder ausführbaren Datei können Anwender dateilose Bedrohungen verhindern.

Die Bekämpfung dateiloser Angriffe erfordert einen vielschichtigen und tiefgreifenden Schutzansatz, der nicht von traditionellen, dateibasierten Gegenmassnahmen zur Eindämmung von Bedrohungen abhängig ist.

  • Unternehmen sollten Systeme sichern, ungenutzte oder unwichtige Anwendungen deinstallieren und den Netzwerkverkehr überwachen.
  • Durch den Einsatz von Mechanismen zur Verhaltensüberwachung können ungewöhnliche Änderungen an Software und Anwendungen wie PowerShell und WMI nachverfolgt werden.
  • Benutzerdefinierte Sandbox- und Intrusion Detection und Prevention-Systeme können auch dazu beitragen, verdächtigen Datenverkehr wie C&C-Kommunikation oder Datenexfiltrierung zu verhindern.

Darüber hinaus bietet die Trend Micro XDR-Lösung Layer-übergreifende Detection and Response über Emails, Endpunkte, Server, Cloud Workloads und Netzwerke hinweg. Sie nutzt starke KI-Fähigkeiten und Sicherheits-Analytics, um eine breite Vielfalt von Bedrohungen wie dateilose Angriffe zu erkennen, zu untersuchen und darauf zu reagieren.

Trend Micro™ Apex One™ nutzt eine Vielzahl an Fähigkeiten der Bedrohungserkennung wie etwa Verhaltensanalyse, die vor bösartigen Skripts, Einschleusen, Ransomware und Memory- sowie Browser-Angriffen mit Bezug zu dateilosen Bedrohungen schützen. Apex One Endpoint Sensor bietet kontextbezogene Endpunkterecherche und Response (EDR), die Vorfälle überwacht und schnell untersucht, welche Prozesse und Events bösartige Aktivitäten anstoßen.

Trend Micro Deep Discovery beinhaltet einen Layer für Email-Inspektion, der Unternehmen schützen kann, indem er bösartige Anhänge und URLs erkennt. Deep Discovery kann Remote Skripts auch dann entdecken, wenn sie nicht auf einen physischen Endpunkt heruntergeladen werden.

Symptome erkennen: Schutz für Geräte Netzwerke im Home Office

von Trend Micro

Manche Unternehmen hat der plötzliche Wechsel der Mitarbeiter zur Arbeit im Home Office unvorbereitet getroffen. Und die Folge davon sind nicht gesicherte Systeme, die im Unternehmen laufen, oder angreifbare Hardware in den Umgebungen der Mitarbeiter zu Hause. Cyberkriminelle versuchen, aus dieser Situation Profit zu schlagen. Doch Anwender und Unternehmen können sich dagegen schützen, wenn sie die Symptome eines Angriffs erkennen und Best Practices beachten.

Trend Micro stellt im Vergleich zu Dezember 2019 einen signifikanten Anstieg bei Angriffen auf Remote-Systeme und vernetzte Geräte fest.

Bild 1. Eingehende Infektionen und Angriffsversuche auf Geräte von Dezember 2019 bis März 2020, Daten aus dem  Smart Home Network (SHN) von Trend Micro

Cyberkriminelle bedienten sich bekannter Techniken und griffen über die üblichen Eintrittspunkte an, um in die Heimnetzwerke und Geräte der Benutzer einzudringen. Die Akteure weiteten ihre Aktivitäten mit den bekannten Taktiken und Methoden merklich aus, vom Ausnutzen der häufig noch vorhandenen Standardpasswörter, bis zum wiederholten Missbrauch ungepatchter Schwachstellen und den Scans nach offenen Ports und Diensten sowie der Installation von Backdoors.

Bild 2. Vergleich der wichtigsten Methoden für das Eindringen in Systeme, Dezember 2019 bis März 2020

Mit Fortschreiten der Pandemie und der steigenden Zahl von Mitarbeitern, die Home-Netzwerke für ihre Arbeit nutzten, nahmen auch die bösartigen Routinen zu, die auf Nutzer abzielten, und diese mit Coronavirus-bezogenen Nachrichten köderten. Und auch wenn nicht alle Einbrüche, bösartigen Routinen und Angriffe erkennbare Anzeichen aufweisen, gibt es verräterische Symptome, die von nicht-technischen Mitarbeitern überprüft werden können, um festzustellen, ob ihre Geräte gehackt oder mit Malware infiziert wurden. Einige bösartige Routinen weisen keine offensichtlichen Anzeichen einer Infektion oder eines Eindringens auf, und einige Symptome werden erst nach bestimmten Benutzeraktionen sichtbar.

Details, wie Sie Ihre Geräte schützen können, finden Sie in unserer Infografik. Bitte klicken zum Vergrößern

Wie können Geräte kompromittiert werden?

Cyberkriminelle ändern oder verbessern ständig ihre Techniken, um eine steigende Zahl von mobilen und intelligenten Geräten infizieren und angreifen zu können. Deshalb sollten Nutzer die folgenden Taktiken kennen und bestimmte Aktionen vermeiden:

  • Herunterladen von Apps, Software und/oder Medien aus Drittanbieter-Marktplätzen oder -Websites. Diese Apps könnten bösartige Komponenten enthalten, sich als bekannte Apps ausgeben oder Funktionen beinhalten, die nichts mit ihrem angeblichen Zweck zu tun haben.
  • Internetverbindungen über öffentliche WLAN-Netzwerke. Bedrohungsakteure können sich in diese Netzwerke dazuschalten und Informationen daraus stehlen. Auch könnten die verfügbaren Verbindungen gefälschte Hotspots sein, die Daten von den damit verbundenen Geräten kapern.
  • Anklicken von Phishing- und/oder SMShing-Links. Bedrohungsakteure verwenden in Emails oder Textnachrichten eingebettete bösartige URLs, um Gerätezugriff zu erlangen, Bank- oder persönliche Daten zu stehlen oder Malware zu verbreiten.
  • Zugriff auf bösartige und/oder infizierte Websites oder Apps. Bösartige Websites können dazu verwendet werden, Geräte zu infizieren, die absichtlich oder unabsichtlich auf diese Seiten zugreifen. Cyberkriminelle können Malware und weitere bösartige Befehle einschleusen oder eine Schicht über die legitime Seite legen, die sich als legitime Seiten ausgibt, um Besucher umzuleiten oder zu infizieren.
  • Jailbreaking. Dieses Vorgehen beinhaltet die absichtliche Aufhebung von Software- und Telekommunikationsbeschränkungen, um die eingebetteten exklusiven Funktionen des Geräts außer Kraft zu setzen, und bietet somit Ansatzpunkte, die böswillige Akteure ausnutzen können, wenn der Benutzer ins Internet geht.
  • Ungepatchte System- und/oder Medienschwachstellen. Sicherheitslücken im Betriebssystem, in der Hardware und in Anwendungen können Türen öffnen, die von Cyberkriminellen missbraucht werden.
  • Einsetzen von standardmäßigen Zugangsdaten. Standard-Benutzernamen und -Passwörter in Routern und Geräten, die von Herstellern und Netzwerk Service Providern vergeben werden, sind in der Regel für alle ihre Abonnenten ähnlich oder gleich. Cyberkriminelle können auf eine gemeinsame Liste zurückgreifen, um bei Angriffen auf diese Geräte zuzugreifen.
  • Gezielte Angriffe. Hochrangige Personen in bestimmten Branchen sind begehrte Ziele. Ihre jeweiligen Geräte können dazu verwendet werden, ihre Bewegungen zu verfolgen und an hochwertige Kontakte sowie vertrauliche Informationen heranzukommen.

Die praktisch über Nacht eingerichteten Remote-Arbeitsumgebungen könnten die derzeitige Infrastruktur überfordern, aber jedes Unternehmen sollte sie als die neue Norm betrachten. Diese neuen Business-Continuity-Verfahren haben zu einer verstärkten Nutzung von persönlichen Arbeitsgeräten geführt, die mit Heimnetzwerken verbunden sind, und dies führt unter Umständen zu Problemen mit den möglicherweise geringeren Sicherheitsmaßnahmen zu Hause im Vergleich zum Arbeitsplatz. Daher müssen vorläufige Lösungen, die sich auf die Leistungserbringung konzentrieren, in langfristige und nachhaltige Geschäftslösungen geändert werden. Mehr denn je müssen die Benutzer den Datenzugriff zwischen ihrem Zuhause und dem Büro sichern.

Trend Micro überwacht auch weiterhin alle Angriffe und bösartigen Routinen bezüglich COVID-19, die Unternehmen oder Geräte kompromittieren können. Empfehlenswert ist auch ein vielschichtiger Schutz für alle Fronten, der Nutzer zudem daran hindert auf bösartige Domänen zuzugreifen. Die Endpoint-Lösungen von Trend Micro wie Smart Protection Suites und Worry-Free™ Business Security können Malware und bösartige Domänen erkennen und blocken.

Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der Schutz wird ständig aktualisiert, um das System sowohl vor alten als auch neuen Angriffen schützen zu können. Trend Micro™ InterScan™ Messaging Security bietet umfassenden Schutz, der ankommende Bedrohungen und nach außen gehende Daten stoppt, sowie Spam und andere Email-Bedrohungen blockiert.

Nutzer können auch den umfassenden Schutz von Lösungen wie Trend Micro™ Security und Trend Micro™ Internet Security nutzen. Diese Systeme bieten einen effizienten Schutz vor Bedrohungen für IoT-Geräte, indem sie Malware an den Endpunkten erkennen. Schließlich lassen sich vernetzte Geräte über Sicherheitssoftware schützen wie Trend Micro™ Home Network Security und Trend Micro Smart Home Network™ (SHN), die den Internetverkehr zwischen dem Router und allen damit verbundenen Geräten prüfen. Die Trend Micro™ Deep Discovery™ Inspector Netzwerk-Appliance kann alle Ports und Netzwerkprotokolle überwachen und Unternehmen vor gezielten Angriffen schützen.

Weitere Informationen und Empfehlungen zum Corona-bedingten Arbeiten von zu Hause finden Sie hier.

Prinzipien für die Cloud Migration – das „Was“ bei der Sicherheit

Originalbeitrag von Jason Dablow

Analysten gehen davon aus, dass mehr als 75 Prozent der mittleren und großen Unternehmen bis 2021 eine Workload in die Cloud auslagern werden. Der Erfolg einer solchen Migration hängt von vielen Faktoren ab — nicht zuletzt von den umgesetzten Sicherheitskonzepten für diese „neue“ Welt: Nach der Verteilung der Verantwortlichkeiten für Cloud-Security stellt der Blogeintrag die prinzipiellen Bereiche dar, die zur Sicherheit gehören und bereits vor der Inbetriebnahme von Workloads abgedeckt werden müssen.

Als Grundlage für die Ausführungen dient der Grundpfeiler „Security“ des Well-Architected Framework von AWS Amazon. Hier werden die Sicherheitskonzepte für ein Cloud-Design dargestellt.

Bild. Die fünf Grundpfeiler des Well-Architected Framework von AWS

Das Sicherheits-Framework umfasst sieben Prinzipien:

  • Eine starke Identitätsgrundlage aufbauen
  • Nachvollziehbarkeit ermöglichen
  • Sicherheit in allen Schichten anwenden
  • Automatisieren von Best Practices für die Sicherheit
  • Schutz für Daten In-Transit und At-Rest
  • Personen von Daten fernhalten
  • Auf Sicherheitsvorfälle vorbereitet sein

Eine Reihe dieser Prinzipien lässt sich mit Hilfe nativer Cloud-Services umsetzen, die auch am einfachsten zu implementieren sind. Das Framework liefert aber keine Anregungen dazu, wie diese Services aufzusetzen oder zu konfigurieren sind. So mag das Framework Multifaktor-Authentifizierung als erforderlichen Schritt für die Identity und Access Management-Policy nennen, doch ist dies nicht standardmäßig aktiviert. Das Gleiche gilt für Dateiobjekt-Verschlüsselung. Sie kann eingesetzt werden, ist aber nicht unbedingt bereits aktiviert.

Hilfe bietet hier eine Trend Micro-eigene Wissensdatenbank mit Hunderten von Cloud-Regeln, die auf das Well-Architected Framework (und andere) abgestimmt sind. Zur Multifaktor-Authentifizierung etwa gibt es dort einen Artikel, der die vier „R“ beschreibt: Risiko, Reason (umfasst das Was der Regel), Rationale (umfasst das Warum) und Referenzen dazu, warum Multifaktor-Authentifizierung (MFA) eine Sicherheits-Best Practices ist. Weitere Details zu diesem Beispiel enthält der Originalbeitrag.

Aktuell: Coronavirus-Ransomware überschreibt MBR

Von Trend Micro

Cyberkriminelle nutzen die Coronakrise in verschiedenen bösartigen Kampagnen. Das Virus wird als Köder in Email Spam, für BEC, Malware, Ransomware und in bösartigen Domänen eingesetzt. Und je weiter die Zahl der vom Virus Betroffenen weltweit steigt, desto mehr solcher Malware-Kampagnen entdecken die Sicherheitsforscher, die ständig weltweit Samples zu solchen Corona-bezogenen Aktivitäten sammeln. Der Beitrag beschreibt Angriffskampagnen, zeigt Schutzmaßnahmen auf und wird immer wieder aktualisiert! Im Rahmen einer neuen Ransomware-Kampagne wird der Master Boot Record (MBR) des Systems des Opfers überschrieben.

Update 24. April

Die Sicherheitsforscher von Trend Micro Research analysierten kürzlich eine Coronavirus-bezogene Malware, die den Master Boot Record (MBR) des Systems des Opfers überschreibt und damit das Hochfahren des Computers verhindert. Eine tschechische Cybersicherheitsagentur NUKIB hatte die Schadsoftware in einem öffentlichen Report beschrieben. Die Malware-Datei enthält „Coronavirus Installer“ in der Beschreibung.

Bild 1. Bildschirmsperre der Malware

Wird die Schadsoftware ausgeführt, so fährt sie automatisch die Maschine wieder hoch und zeigt dann das im Bild dargestellte Fenster, das nicht geschlossen werden kann. Klickt der Nutzer auf „Help“, so erscheint die Nachricht, der Task Manager startet nicht. Auch der Button „Remove Virus“ lässt sich nicht bedienen. Schließlich erzeugt der Schädling ein verstecktes Verzeichnis namens „COVID-19“, das einige weitere Module umfasst. Wird das System per Hand neu gestartet, so wird eine weitere Binärdatei ausgeführt, und es erscheint der folgende Bildschirm.

Bild 2. Grauer Bildschirm nach einem manuellen Neustart

Die Malware sichert den ursprünglichen MBR und zeigt den Text „Created by Angel Castillo. Your Computer Has Been Trashed“ an. Auch hinterlässt der Angreifer Kontaktinformationen für den Instant Messaging-Dienst Discord und suggeriert damit, dass das Opfer mit dem Hacker kommunizieren muss, um eine Lösung zu finden. Üblicherweise liefert Ransomware Opfern die erforderlichen Informationen für die Überweisung des Lösegelds, einschließlich Betrag und Kryptowährungs-Wallet. Doch in letzter Zeit nutzen viele Malware-Akteure Discord für die Anleitungen für das Opfer.

Viele Angreifer löschen einfach den MBR zu Beginn des Prozesses, auch wenn dies eine ziemlich komplizierte Methode ist. Die Datei „Update.vbs“, die das sekundäre Modul ablegt, gibt einen Hinweis darauf, warum sein Verfasser den Prozess auf diese Weise gestaltet hat. Diese VBS-Datei zeigt ein Nachrichtenfeld an, das darauf hinweist, dass der Benutzer eine Internetverbindung benötigt (wird wahrscheinlich zwei Minuten nach Erscheinen des grauen Bildschirms angezeigt).

Wahrscheinlich wurden weitere Schritte hinzugefügt, um den Benutzer dazu zu bringen, sich mit dem Internet zu verbinden, möglicherweise weil das Opfer online sein muss, damit der MBR überschrieben werden kann. Der MBR wurde beim manuellen Neustart nicht überschrieben, als er in einer geschlossenen Offline-Umgebung getestet wurde.

Trend Micro Research analysierte auch eine Coronavirus-bezogene bösartige HTA-Datei, die möglicherweise von der SideWinder APT-Gruppe stammt. Einzelheiten dazu umfasst der Originalbeitrag.

Malware-Arten, die COVID-19 missbrauchen

COVID-19 im kriminellen Untergrund

Schutz vor diesen Bedrohungen

Zusätzliche Informationen und Hilfsangebote von Trend Micro in der Corona-Krise finden Sie hier.

Prinzipien für die Cloud Migration – Zuständigkeiten in der Sicherheit

Originalartikel von Jason Dablow und Mark Nunnikhoven, Vice President, Cloud Research

Analysten gehen davon aus, dass mehr als 75 Prozent der mittleren und großen Unternehmen bis 2021 eine Workload in die Cloud auslagern werden. Der Erfolg einer solchen Migration hängt von vielen Faktoren ab — nicht nur IT-Teams, Betrieb und Sicherheit sind involviert sondern auch Fach-, Finanz- und andere Abteilungen der Unternehmens. Best Practices, Fallbeispiele und Überlegungen rund um eine erfolgreiche Cloud-Migration sollen Unternehmen bei einem Cloud-Projekt helfen. Dazu gehören selbstverständlich auch die Sicherheitskonzepte für diese „neue“ Welt und damit auch die Zuteilung von Verantwortlichkeiten für Security.

Im Rahmen der Untersuchung „Untangling the Web of Cloud Security Threats“ bestätigt Trend Micro erneut, dass Fehlkonfigurationen die Hauptursache für Sicherheitsrisiken in der Cloud sind. Trotz des klaren Betriebsmodells der Cloud machen die Teams weiterhin einfache Fehler oder übersehen, die von ihnen genutzten Dienste in der Cloud richtig zu konfigurieren.

Eine der Ursachen für Fehlkonfigurationen liegt im Missverständnis darüber, wer (Provider oder Unternehmen) wofür zuständig ist. In einem solchen Szenario erwarten Sicherheitsteams, zuständig für die Cloud im Unternehmen, von ihrem Provider, dass er Kontrollmechanismen zur Verfügung stellt und Monitoring für bestimmte Aspekte durchführt, obwohl diese Bereiche eigentlich in die Verantwortung des Teams fallen.

Ein leider häufig anzutreffendes Beispiel hierfür ist, wenn Teams virtuelle Maschinen oder Instanzen in der Cloud mit einem vorkonfigurierten Bereitstellungsdienst verwenden. In diesen Fällen hat der Cloud-Anbieter die Schritte vereinfacht, die erforderlich sind, um gängige Konfigurationen in der Cloud zum Laufen zu bringen. Doch sobald die Konfiguration läuft, liegt es in der Verantwortung des Teams im Unternehmen, die Lösung zu patchen, zu härten und zu warten.

Sicherheit in der Cloud funktioniert gemäß dem Shared Responsibility Model, das festlegt, wer für eine jede operative Aufgabe in der Cloud verantwortlich ist. Dabei ist Sicherheit nur eine Teilmenge dieser Aufgaben.

Das Modell an sich ist recht einfach:

Es gibt sechs Bereiche, in denen eine tagtägliche Arbeit erforderlich ist — angefangen von der physischen Sicherheit (Gebäude, in dem die Systeme sicher untergebracht sind, bezahlt werden usw.) bis hin zur Infrastruktur, Virtualisierung, Betriebssystemen, Anwendungen und Daten.

In einer traditionellen On-Premise-Umgebung ist das Unternehmen für alle sechs Bereiche verantwortlich. Diese Arbeit wird normalerweise auf mehrere Teams aufgeteilt, aber letztendlich unterstehen sie alle einer Person innerhalb der Organisation, in der Regel dem CIO. Bei einer Migration in die Cloud, wird mindestens die Hälfte der Verantwortlichkeiten an den Cloud-Provider übergeben.

Bei Services auf Infrastrukturebene (IaaS), wie etwa die Instanzen oder virtuellen Maschinen, übernehmen Unternehmen die Verantwortung auf der Ebene des Betriebssystems. Die Konfiguration und Wartung des Betriebssystems liegt vollständig bei dem Team des Unternehmens.

Je mehr es um abstraktere oder SaaS-artige Dienste geht, desto weniger Verantwortlichkeiten tragen die Firmen selbst.  Das bedeutet, dass sie sich auf weniger Bereiche konzentrieren können, um die Sicherheit zu gewährleisten.

Vertrauen und Prüfen

Natürlich sollte sich kein Sicherheitsprofi lediglich auf die Zusage des Cloud-Service Providers verlassen, ohne zu verifizieren, ob er die Verantwortung gemäß des Modells wahrnimmt. Dafür gibt es Compliance-Attestierungen, etwa PCI-DSSSOC1 oder ISO 27001. Auch kann ein Unternehmen jederzeit eine Kopie der Audit-Ergebnisse für ein bestimmtes Compliance-Framework von seinem Provider anfordern.

Eine weitere Ursache für Fehlkonfigurationen liegt in einfachen Fehlern. Die Cloud ist ein Verstärker, denn mit einem einzigen API-Call lässt sich das Äquivalent eines ganzen Rechenzentrums starten. Die Kehrseite der Medaille ist, dass kleinere Teams für eine größere Vielfalt an technischen Stacks und Diensten verantwortlich sind. Einfache Fehler, die zu unnötigen Risiken führen, sind da unvermeidlich. Hier gilt es, soweit wie möglich zu automatisieren. Dadurch werden Fehler insgesamt reduziert, und die Fehler, die dennoch vorkommen, sind konsistent und leichter zu beheben.

Cloud-Sicherheitsverantwortliche im Unternehmen

  • InfoSec – Die Abteilung muss wohl an erster Stelle genannt werden, ist sie doch für die gesamte Informationssicherheit innerhalb einer Organisation zuständig. Und da es auch im Rahmen der Cloud-Migration um den Umgang mit „Informationen“ geht, muss InfoSec involviert sein, wenn es um den Zugang zum Monitoring der mit einer Organisation verbundenen Sicherheit und Risiken geht.
  • Cloud Architekt – Diese Position ist wichtig, um nicht den Fehler zu begehen, einfach die alten Prinzipien des On-Premise-Betriebs in die Cloud zu übertragen. Eine agile Plattform, die für die Automatisierung jedes Vorgangs, einschließlich der Sicherheit, gebaut wurde, sollte im Mittelpunkt stehen.
  • IT / Cloud Ops – Dabei kann es sich um dieselben oder verschiedene Teams handeln. Wenn mehr und mehr Ressourcen in die Cloud verlagert werden, wird ein IT-Team weniger Verantwortung für die physische Infrastruktur haben, da diese nun ein Cloud-Anbieter betreibt. Sie werden selbst eine „Migration“ durchlaufen müssen, um neue Fähigkeiten für den Betrieb und die Sicherung einer hybriden Umgebung zu erlernen.

Untersuchung: Fehlkonfigurationen als größtes Risiko für den sicheren Cloud-Betrieb

Originalbeitrag von Morton Swimmer, Fyodor Yarochkin, Joey Costoya, Roel Reyes, Trend Micro Research

Bis 2021 werden über 75 Prozent der mittleren und großen Unternehmen eine Multi-Cloud- oder Hybrid-IT-Strategie einführen, so die Prognose der Marktforscher von Gartner. Mit zunehmender Verbreitung von Cloud-Plattformen aber sehen sich IT- und DevOps-Teams auch mit zusätzlichen Risiken und Unsicherheiten in Bezug auf die Sicherung ihrer Cloud-Instanzen konfrontiert. Es gibt viele Faktoren, die zur Gefährdung von Workloads und Anwendungen führen können, einschließlich von Fehlkonfigurationen, unsachgemäßem Einsatz von Technologie, mangelnder Erfahrung im Betrieb und in der Sicherung von Cloud-Systemen oder auch nur ein bloßes Versehen seitens der Entwickler oder Cloud-Ingenieure. Außerdem sind die Komponenten von Cloud-Systemen auf vielfältige Weise miteinander verbunden, so dass potenzielle Angriffsvektoren schwer nachzuvollziehen sind.

Im Rahmen der Untersuchung „Untangling the Web of Cloud Security Threats“ fand Trend Micro Bedrohungen und Sicherheitslücken in mehreren Schlüsselbereichen des Cloud-Computings. Der Bericht bestätigt erneut, dass Fehlkonfigurationen die Hauptursache für Sicherheitsrisiken in der Cloud sind. So identifiziert die Sicherheitsplattform Trend Micro Cloud One – Conformity durchschnittlich 230 Millionen Fehlkonfigurationen pro Tag. Die Zahl verdeutlicht, wie weit verbreitet dieses Problem ist.

„World-Write“ für Amazon S3 Buckets

Amazon Web Services (AWS) hat sich zu einem der wichtigsten Anbieter für Cloud-Infrastruktur entwickelt. Dabei ist Amazon Simple Storage Service (Amazon S3) wahrscheinlich das am weitesten verbreitete Produkt.

Die Untersuchung hat ergeben, dass eines der häufigsten Risiken darin besteht, dass Anwender Amazon S3 Buckets mit dem Recht „World-Write“ konfigurieren – ein Fehler, der nicht autorisierten Nutzern Schreibprivilegien für das Bucket zugesteht. Telemetriedaten aus dem Trend MicroTM Smart Protection NetworkTM zeigten auch, dass während des gesamten Jahres 2019 Angriffe auf Websites mit „World-Write“-Rechten für die Buckets erfolgten –einige mit dem Einschleusen bösartigen Codes und Datendiebstahl aus Website-Formularen.

Des Weiteren stießen die Forscher auf als bösartig eingestufte Dateien, die in Amazon S3-Buckets gehostet wurden. Viele von ihnen verwenden das alte Adressierungsschema, dem zufolge der Bucket einen generischen Amazon S3-Hostnamen verwendet, im Gegensatz zum virtuell gehosteten Schema, bei dem der Name des Buckets im Hostnamen enthalten ist. Dies stellt Sicherheitsfilter vor Probleme, denn das Blockieren des Hostnamens einer bösartigen Website mit altem Adressierungsschema führt unweigerlich dazu, dass auch andere nicht bösartige Websites blockiert werden.

Containertechnologie ist ein weiterer sehr erfolgreicher Bereich im Cloud-Computing der letzten Jahre. Software wie Docker, Kubernetes und AWS Lambda haben die Containertechnologie vorangebracht, denn sie bieten leichtgewichtige und effiziente Cloud-Bereitstellungsmöglichkeiten. Doch auch hier kommt es häufig zu Ausfällen oder Fehlern bei der Konfiguration, so dass Systeme der Gefahr von Angriffen ausgesetzt sind, die sich diese Fehlkonfigurationen zunutze machen. Einzelheiten zu den Risiken der jeweiligen Container beschreibt der Originalbeitrag.

Unsachgemäßes Credential-Management

Die Verwendung von Credentials ist einer der wichtigsten Aspekte des Cloud Computing, wenn auch oft vernachlässigt. Da sich ein Cloud-System nicht wie ein Rechenzentrum physisch absichern lässt, ist der Bedarf an starker Credential-Sicherheit noch deutlicher. Eine Herausforderung bei der Sicherung von Credentials besteht darin, dass viele Prozesse auf Daten und andere Ressourcen zugreifen müssen, die eine Authentifizierung erfordern. Dies bedeutet, dass Benutzer sowohl die Daten als auch die Credentials vor unbefugtem Zugriff schützen müssen.

Programmierer machen häufig den Fehler, ihre Zugangsinformationen unbeabsichtigt in öffentlichen Repositories wie GitHub zu publizieren. Vertrauliche Daten wie API-Schlüssel sind manchmal in Codeteilen online zu finden und können dann von einem Angreifer dazu verwendet werden, um das Account, zu dem die Credentials gehören, zu übernehmen. Er kann dann wiederum den kompromittierten Account für eine Reihe bösartiger Zwecke einsetzen, so etwa den Diebstahl von Kundendaten, die er schließlich im Untergrund verkauft.

Ein weiteres Problem ist, dass viele unerfahrene Programmierer oft irreführende Cloud-Tutorials befolgen, die die harte Kodierung von Anmeldedaten im Code selbst propagieren. Dies aber wird zu einem Risiko, sobald der Code in einem Repository veröffentlicht wird, wo er für jedermann zugänglich ist.

Empfehlungen

IT-Mitarbeiter können die Vorteile von Cloud-nativen Tools nutzen, um diese Risiken zu minimieren. Sie sollten sich laut des Berichts aber nicht ausschließlich auf diese Werkzeuge verlassen.

Trend Micro empfiehlt verschiedene Best Practices, um Cloud-Instanzen abzusichern:

  • Umsetzung des „Least-Privilege-Prinzips“: Beschränkung des Zugangs auf diejenigen, die ihn benötigen.
  • Das Modell der geteilten Verantwortung verstehen: Obwohl Cloud-Anbieter über eigene Sicherheitsmaßnahmen verfügen, sind Kunden für die Sicherung ihrer Daten selbst verantwortlich.
  • Prüfen von falsch konfigurierten und ungeschützten Systemen: Tools wie Conformity können schnell und einfach Fehlkonfigurationen in Cloud-Umgebungen erkennen.
  • Integration von Sicherheitsmaßnahmen in die DevOps-Kultur: Das Thema Sicherheit sollte von Anfang an in den DevOps-Prozess integriert werden.

Fazit

Mit zunehmender Verbreitung der Cloud-Services ist es von entscheidender Bedeutung, dass sich Organisationen umfassend über die Bedrohungen, denen sie ausgesetzt sind, informiert und angemessen auf die Sicherung ihrer Cloud-Systeme vorbereitet sind. Die Bedrohungen, die Trend Micro im Rahmen dieser Untersuchung analysiert hat, decken nicht alle Risiken in der Cloud ab, aber  einige der wichtigsten. Dies ist besonders wichtig für IT- und Sicherheitspersonal, das sowohl die Struktur der Cloud als auch die zu ihrer Absicherung erforderlichen Strategien verstehen muss.

Untersuchung eines Ransomware-Angriffs mit möglicher Datenexfiltration

Originalartikel von Joelson Soares, Erika Mendoza und Jay Yaneza

Die Managed XDR (MxDR) and Incident Response (IR) Teams von Trend Micro untersuchten kürzlich einen Sicherheitsvorfall bei einem Unternehmen, das Opfer der Nefilim Ransomware geworden war. Die im März dieses Jahres entdeckte Ransomware ist besonders gefährlich, weil die Hintermänner damit drohen, die von dem betroffenen Unternehmen gestohlenen Daten online zu veröffentlichen – eine doppelte Belastung für das Opfer. Denn selbst wenn die Organisation das Lösegeld zahlt und ihre Daten wiederherstellt, haben die Bedrohungsakteure weiterhin Zugang zu den Daten. Diese Masche ist nicht neu, sie wurde auch von anderer Ransomware wie Sodinokibi und DoppelPaymer bereits eingesetzt.

Abfolge des Angriffs

Mithilfe von Trend Micro Deep Discovery Inspector (DDI) konnten Sicherheitsteams die Vorfälle eines Tages Mitte März 2020 nachvollziehen: als erstes gab es den Versuch, eine bösartige Datei (Trojan.Win64.NEFILIM.A) herunterzuladen, die dann für den Download einers RAR-Archivs von einem VPS-gehosteten Server benutzt wird. Ein paar Stunden später erfolgte der Versuch, ein RAR-Archiv mit mehreren Dateien herunterzuladen (technische Einzelheiten im Originalbeitrag).

Trend Micro Deep Security™ (DS) stellte zudem verdächtige Aktivitäten im System fest, wie etwa Beenden von Aktionen oder Remote Code Execution, bis schließlich Nefilim entdeckt wurde.

Auf der Zeitachse lässt sich die Abfolge der Infektion anhand der DDI-Protokolle ablesen – beginnend mit Trojan.Win64.NEFILIM.A, der eine RAR-Datei heruntergeladen hatte, die durch die Verwendung von Batch-Dateien zu einer lateralen Bewegung innerhalb des Systems führte. Der Zielrechner ist in diesem Fall ein Citrix-Server mit Fernzugriff. Es ist unklar, ob der Angreifer Zugriff auf den Server hatte, oder ob der ursprüngliche Downloader durch andere Mittel (d.h. Phishing, Schwachstellen) eingesetzt wurde.

Darüber hinaus legt der Inhalt des RAR-Pakets nahe, dass der Angreifer die Umgebung des Opfers kannte. Interne IP-Adressen, Administrator-Benutzernamen und -Passwörter, Dienste und Prozesse wurden alle in den Batch-Dateien aufgeführt. Darüber hinaus zeigten die Daten des Trend Micro Smart Protection Network (SPN) nur zwei Treffer — einen, der diesem Vorfall entsprach, und einen weiteren in den Vereinigten Staaten –, was darauf hindeutet, dass es sich um einen sehr gezielten Angriff handelte.

Obwohl die erste Beschreibung der Funktionsweise der Nefilim-Ransomware von exponierten Remote Desktop Protocol (RDP)-Ports als Eintrittspunkte ins System ausging, könnten die Bedrohungsakteure in diesem Fall andere Eintrittspunkte benutzt haben, höchstwahrscheinlich irgendeine Form des Fernzugriffs direkt auf die Umgebung.

Kombination von Datendiebstahl und Ransomware

Bei diesem Angriff fällt auf, dass die Hintermänner nicht nur auf Nefilim setzten. Möglicherweise hatten sie die Daten bereits exfiltriert, noch bevor sie einen vollständigen Ransomware-Angriff starteten.

Der Fall zeigt, dass es nicht ausreicht, sich nur auf das Erkennen von Anzeichen eines Angriffs zu konzentrieren, sondern dass es wichtig ist, auch Hinweise auf laterale Bewegungen und Datenexfiltration innerhalb der Umgebung entdecken zu können. Der Eintrittspunkt eines Angriffs liegt möglicherweise nicht dort, wo sich die wichtigen Daten befinden. Daher sind Bedrohungsakteure auch daran interessiert, sich innerhalb der Umgebung bewegen zu können (Host-zu-Host), um in die Teile des Systems zu gelangen, in denen die interessanteren Daten gespeichert sind. Ebenso wichtig ist die Fähigkeit, ungewöhnliche Muster des ausgehenden Datenverkehrs für Hosts (Host-to-external) zu erkennen, da dies eine potenzielle Datenexfiltration darstellt.

Unterstützung durch Sicherheits-Services wie Trend Micro™ Managed XDR

Die von den Angreifern in diesem Fall angewandten Methoden wurden immer wieder beobachtet, selbst bei Bedrohungsakteuren, die andere Ransomware wie RYUK einsetzen.

Heutzutage, wo Home Office an Bedeutung gewinnt, ist eine effiziente Umsetzung der Sicherheitspolitik wichtiger denn je. Während große Organisationen in der Lage sind, Sicherheitsteams aufzubauen, die die Arbeitsumgebung sowohl im Büro als auch zu Hause im Auge behalten können, verfügen kleinere Unternehmen möglicherweise nicht über die dafür erforderlichen Ressourcen.

In solchen Fällen können Sicherheits-Services wie die von Trend Micro™ Managed XDR dazu beitragen, die Sicherheit einer Organisation zu verbessern. Sie bieten Übersichtlichkeit und ein breites Spektrum an fachkundiger Sicherheitsanalyse, die Detection-and-Response-Funktionen über Netzwerke, Endpunkte, E-Mails, Server und Cloud-Workloads hinweg integrieren.

Durch den Einsatz fortschrittlicher Analyse- und KI-Techniken (Künstliche Intelligenz) überwacht das Managed XDR-Team die IT-Infrastruktur der Organisation rund um die Uhr und ermöglicht so die Korrelation und Priorisierung von Warnmeldungen je nach Schweregrad. Organisationen können auf erfahrene Cybersicherheitsexperten zurückgreifen, die fachkundig eine Ursachenanalyse durchführen, um zu verstehen, wie Angriffe initiiert werden, wie weit sich Bedrohungen im Netzwerk ausgebreitet haben und welche Abhilfemaßnahmen ergriffen werden müssen.