Archiv der Kategorie: Phishing

Phishing-Technik setzt auf legitim aussehende Domänen

Originalartikel von Paul Miguel Babon

Die E-Mail-Bedrohungen nehmen weiterhin zu, und zugleich steigt auch die Zahl der Phishing URLs. Damit haben sich leider die Warnungen von Trend Micro zur Jahresmitte 2020 auch für die zweite Hälfte bestätigt. Kürzlich entdeckten die Sicherheitsforscher eine Phishing-Technik, die eine Kombination aus Phishing-Mail und betrügerischen Seiten nutzt. Die Kombination beinhaltet eine genaue URL, nämlich die Phishing-Seite, und deren Domäne, eine Scam-Website.

Der Prozess startet mit einer Phishing-Mail:

Bild 1. Die eingesetzte Phishing E-Mail

Ein Klick auf „Release All/Block All“ führt den Nutzer auf eine völlig andere Website, die in keiner Beziehung zur E-Mail steht und ein gefälschtes Login-Fenster für ein Mail-System zeigt. Dies ist zwar eine übliche Taktik bei Phishing, doch den Unterschied macht aus, dass die Domäne selbst zugänglich ist und eine Unternehmensseite darstellt.

Bild 2. Die wiseinvestors[.]pro-Unternehmensseite

Mithilfe folgender Faktoren konnten die Sicherheitsforscher erkennen, dass es sich um eine gefälschte Firma handelt:

  • Domänenname. Der Domänenname „WiseInvestors“ unterscheidet sich von dem Markennamen der Firma auf dem Bildschirm, der „Pearl“ lautet. Der Grund: Pearl ist ein WordPress Theme und kein legitimer Service.
  • Ungewöhnliche TLD (Top Level Domain). Die Verwendung von .pro ist unüblich für eine TLD. Anders als .com, .net oder .ph sind nicht übliche TLDs normalerweise billig zu haben, und daher für Cyberkriminelle attraktiv.
  • Template-Text. Reste von Template-Text, ähnlich dem „Lorem Ipsum“-Wortblock, sind auf der Website noch vorhanden (siehe Bild 3).
  • Domänenregistrierung. Laut „whois“ ist die Domäne weniger als ein Jahr alt, was dem Alter der meisten bösartigen Domänen entspricht.

Bild 3. Der Text der Website wirkt unfertig

Bild 4. Whois-Daten zu wiseinvestors[.]pro

Cyberkriminelle können mit dieser Phishing-Technik eine Erkennung in Echtzeit vermeiden, da die Domain weiter untersucht werden muss, was Anti-Spam und Funktionen gängiger Sicherheitssoftware zum Blockieren bösartiger URLs übersehen können. Selbst wenn die Phishing-Mail vereitelt wird, bleibt die Phishing-Domain unentdeckt, sodass Cyberkriminelle weitere Phishing-URLs erstellen können, die auf dieser Domain gehostet werden. Es gab in den vergangenen Monaten auch weitere Beispiele dieser kombinierten Phishing-/Scam-Technik, so etwa folgende:

Bild 5. Gefälschte Benachrichtigung über das E-Mail-Konto-Passwort dient als Phishing-Mail. Wenn das Opfer auf „Passwort behalten“ klickt, wird es auf eine andere Seite umgeleitet.

Empfehlungen

Nutzer können solche Angriffe vermeiden, indem sie ein paar Best Practices befolgen, bevor sie auf einen Link in einer E-Mail klicken:

  • Überprüfen Sie den Inhalt der E-Mail genau. Untersuchen Sie, ob die Informationen, wie z. B. die E-Mail-Adresse, der Nachrichtentext oder die Links, wirklich konsistent sind.
  • Wenn Sie auf den Link aus einer E-Mail klicken, prüfen Sie die Website. Auch wenn sie scheinbar nicht bösartige Inhalte auf ihrer Startseite anzeigt, bedeutet das nicht, dass die Website nicht bösartig ist. Verräterische Zeichen sind Template-Texte innerhalb der Website.
  • Wenn Sie etwas auf Ihrem Arbeitscomputer finden, alarmieren Sie sofort Ihre Sicherheits- und IT-Abteilung, damit diese weitere Untersuchungen vornehmen kann.

Befolgen Unternehmen die folgenden Security Best Practices können sie ähnliche erfolgreiche Phishing-Kampagnen verhindern:

Ein mehrschichtiger Security-Ansatz empfiehlt sich zum Schutz aller möglicher Bedrohungseintrittspunkte. Lösungen wie Trend Micro™ Email Security, die fortschrittliches Machine Learning und dynamische Sandbox-Analysen verwenden, können dazu beitragen, E-Mail-Bedrohungen zu stoppen.

Pawn Storm: Einfachheit als Strategie

Originalbeitrag von Feike Hacquebord, Lord Alfred Remorin

Bei der Entdeckung eines einfachen Remote Access-Trojaner (RAT) im Netzwerk, denkt man nicht gleich einen Advanced Persistent Threat (APT)-Akteur als Angreifer. Brute-Force-Angriffe auf Services wie E-Mail, Microsoft Autodiscover, SMB, LDAP und SQL im Internet sind zudem mittlerweile so häufig, dass sie Hintergrundrauschen durchgehen, das man ignorieren kann. 2020 setzte die berüchtigte APT-Gruppe Pawn Storm genau diese nicht sehr komplizierten Angriffsmethoden so häufig ein, dass ihre Attacken im allgemeinen Rauschen untergehen konnten.

2020 verbreitete Pawn Storm einfache Google Drive- und IMAP-RATs, um ihre üblichen Ziele anzugreifen, so etwa Aussenministerien, Botschaften, die Verteidigungsindustrie und Militäreinrichtungen. Die RATs wurden auch an ein breite Ziele verschiedener Branchen auf der ganzen Welt geschickt. Die Gruppe führte darüber hinaus ausgedehnte Brute-Force-Angriffe durch, um Anmeldeinformationen zu stehlen, z. B. die von E-Mail-Konten von Unternehmen. Dies belegen die Netzwerkproben, die Trend Micro Pawn Storm zuschreibt, und auch die Art und Weise, in der die Akteure kompromittierte E-Mail-Konten für das Versenden von Spear Phishing-Mails missbrauchten. Pawn Storm hat sogar kompromittierte militärische und regierungsnahe E-Mail-Adressen in seiner IMAP-RAT-Malware fest codiert, um mit den Computern der Opfer zu kommunizieren. Kürzlich erklärten norwegische Behörden, Pawn Storm habe das norwegische Parlament gehackt.

Inkrementelle Verbesserungen bei nachfolgenden Versionen der Malware deuten auf eine Lernkurve des Malware-Autors hin, die eher für einen unerfahrenen Akteur als für einen erfahrenen Täter typisch ist. Anfänglich waren die RATs so einfach, dass sie nicht einmal internationale Tastaturen berücksichtigten. Das bedeutet, dass es für den Angreifer schwierig gewesen sein dürfte, die Festplatten der Opfer mit Dateien und Ordnern zu erfassen, die internationale Zeichen enthalten. Dieser Fehler wurde schnell korrigiert, zeigt aber die relative Unerfahrenheit dieses speziellen Pawn Storm-Betreibers. Spätere Versionen der RAT-Malware begannen Verschlüsselung zu verwenden. Die einzige Neben-Payload, die die Forscher fanden, war ein einfacher Keylogger, der gestohlene Informationen lokal auf den Rechnern der Opfer speichert.

Es wäre schwierig, diese Malware Sample Pawn Storm zuzuschreiben. Und ein typischer Netzwerkadmin hätte den Ursprung dieser Art von Malware bei keinem APT-Akteur vermutet. Dennoch konnten die Sicherheitsforscher aufgrund des Langzeit-Monitorings diese Samples sicher Pawn Storm Aktivitäten zuordnen.

Kürzliche Pawn Storm-Aktivitäten

Kompromittierung von Nutzerkonten im Mittleren Osten

Trend Micro hat die Aktivitäten von Pawn Storm genau und konsequent überwacht und im März 2020 die neuesten Forschungsergebnisse zu der Gruppe veröffentlicht. Das Paper zeigt auf, dass Pawn Storm kompromittierte Konten – vor allem im Mittleren Osten – massiv missbraucht, um Spear Phishing-Mails zu versenden. Anfang Dezember nutzte die Gruppe beispielsweise einen VPN-Dienst, um sich mit einem kompromittierten Cloud-Server zu verbinden, und verwendete dann den Server für die Verbindung mit einem kommerziellen E-Mail-Provider für Unternehmen. Die Gruppe meldete sich dann bei einem kompromittierten E-Mail-Konto einer Hühnerfarm im Oman an und verschickte anschließend Credential Phishing-Spam an hochrangige Ziele auf der ganzen Welt. Dies zeigt, dass Pawn Storm sorgfältig darauf bedacht ist, seine Spuren über mehrere Ebenen hinweg zu verwischen.

Seit August 2020 verwenden sie diese Mail-Adressen nicht nur für das Verschicken von Spear Phishing-Mails sondern auch als Kommunikationsweg mit kompromittierten Systemen in IMAP RATs.

Brute Force-Angriffe

Die Sicherheitsforscher gehen davon aus, dass Pawn Storm viele Mailkonten über Brute Force-Angriffe auf Services wie E-Mail, Microsoft Autodiscover, SMB, LDAP und SQL im Internet kompromittiert. So scannte Pawn Storm im Mai 2020 weltweit IP-Adressen, darunter auch solche aus der Verteidigungsindustrie in Europa, auf den TCP-Ports 445 und 1433, wahrscheinlich um angreifbare SMB- und SQL-Server zu finden oder Anmeldeinformationen mit Brute-Force zu sammeln. Im August 2020 schickte Pawn Storm ausserdem UDP-Tests an LDAP-Server auf der ganzen Welt von einer ihrer dedizierten IP-Adressen.

Pawn Storm versucht häufig, diese Brute-Force-Versuche zu verschleiern, indem sie den Angriffsverkehr über Tor- und VPN-Server leiten. Dies reicht jedoch nicht immer aus, um die Aktivitäten zu verbergen. In einem Microsoft-Artikel über das Brute-Forcing von Office365-Anmeldeinformationen über Tor schrieb Microsoft die Aktivitäten Strontium zu, ein anderer Name für Pawn Storm. Trend Micro schrieb Anfang 2020 über ähnliche Angriffe, die 2019 begannen und eindeutig Pawn Storm zuzuordnen waren, weil die Sicherheitsforscher das umfangreiche Sondieren von Microsoft Autodiscover-Servern auf der ganzen Welt mit hochgradig zuverlässigen Indikatoren für die traditionelleren Angriffsmethoden der Gruppe (Spear-Phishing und Credential-Phishing) in Beziehung setzen konnten.

An technischen Einzelheiten Interessierte finden im Originalbeitrag die Analyse anhand eines Beispielfalls.

Trend Micro-Lösungen

Für das extensive Monitoring empfiehlt sich Trend MicroTM XDR, auch weil die Überwachung über alle vernetzten Ebenen von E-Mail, Endpoints, Cloud Workload und Netzwerke hinweg durchgeführt wird. Die Lösung wird von fortschrittlicher KI und Sicherheitsanalysen für die Datenkorrelation unterstützt. Somit ermöglicht XDR die Entdeckung und Reaktion auf einen Angriff bereits zu einem frühen Zeitpunkt.

Mit Trend Micro Managed XDR erhalten Kunden einen 24/7-Service, der die Fähigkeiten erfahrener Managed Detection and Response-Analysten für die fachkundige Überwachung, Korrelation und Analyse von Bedrohungen nutzt.

Indicators of Compromise sowie die relevanten IP-Adressen listet ebenfalls der Originalbeitrag auf.

Sicherheit beim Einsatz der Cloud-Collaboration-Software Slack

Originalartikel von Erin Johnson, Threat Researcher

Mitarbeiter der derzeitigen dezentralen Belegschaft haben neue Bedürfnisse, um ihre Arbeit effektiv zu erledigen. Dazu gehört auch eine Möglichkeit, in einem Konferenzraum zusammenzuarbeiten oder über die Kabinenwand hinweg zu kommunizieren. Die von Salesforce kürzlich übernommene Cloud-Collaboration-Software Slack ist für viele Teams zum integralen Bestandteil ihrer täglichen Interaktion und Arbeit geworden. Dem Unternehmen zufolge hat der Dienst mehr als 12 Millionen aktive Nutzer täglich und wird von 65 der Fortune 100-Firmen eingesetzt. Nach dem Abschluss der Übernahme und der vollständigen Integration durch Salesforce dürfte sich in Slack noch einiges ändern, aber das wird wohl noch eine ganze Weile dauern. Doch gibt es eine Menge Unternehmensdaten und potenziell vertrauliche Informationen, die über die Plattform ausgetauscht werden, und um deren Sicherheit sich Anwender auf jeden Fall Gedanken machen müssen.

Slack hat bereits wichtige Schritte unternommen, um die allgemeine Sicherheit der Plattform zu verbessern. Dazu gehören Updates, die einige der Ursachen für vergangene Sicherheitsverletzungen und Lecks behoben haben. Zwei grosse Änderungen, die die allgemeine Sicherheit der Plattform verbessern, sind:

  • Identitäts- und Gerätemanagement
  • Verschlüsselung für Daten „At Rest“ und „In Transit“

Administratoren können nun Zugriffs-Logs verwenden, um sicherzustellen, dass sich keine böswilligen Benutzer in ihrem Arbeitsbereich aufhalten. Dies eignet sich auch, um das normale Benutzerverhalten für einen Arbeitsbereich zu überprüfen. Die Single-Sign-On-Integration wiederum hilft zu gewährleisten, dass nur Personen mit bewilligten Geräten auf den Arbeitsbereich zugreifen können. SSO verhindert auch, dass ehemalige Mitarbeiter auf Daten zugreifen, nachdem sie das Unternehmen verlassen haben.

Verschlüsselung, in letzter Zeit ein heisses Thema bei allen Kommunikationsplattformen, ist ebenfalls hinzugekommen, und zwar für alle Daten im Ruhezustand (At Rest) und bei der Übertragung (In Transit). Zudem existiert eine Option, um die Verschlüsselung mit Slack Enterprise Key Management (EKM) zu verschärfen. EKM nutzt das AWS Key Management System (KMS), um Administratoren die volle Kontrolle über den Datenzugriff innerhalb eines Arbeitsbereichs zu geben. Sie können den Zugriff auf verschlüsselte Nachrichten, Dateien und sogar den Suchverlauf auf granularer Ebene mit eigenen Schlüsseln gewähren oder entziehen, ohne Auswirkungen auf die Benutzerfreundlichkeit oder Ausfallzeiten.

Derzeit gibt es Slack für Windows und Mac in der Version 4.11.1, und alle Anwender sollten zumindest die Version 4.4.0 aus dem März 2020 einsetzen. Eine Auflistung der wichtigsten Sicherheits-Updates und der Daten ihrer Einführung enthält der Originalbeitrag. Nahezu jede monatliche Aktualisierung beinhaltete ein sicherheitsrelevantes Update.

Fragen zur Sicherheit und dem Schutz von Slack-Arbeitsbereichen

Die Fragen enthalten die Hauptanliegen, die ein Unternehmen bezüglich der Sicherheit beim Einsatz von Slack lösen müssen.

  • Was wird mit dem Arbeitsbereich verbunden?

Ein Hauptanliegen bezieht sich auf Apps. Die Konnektivität in Slack ist ein zweischneidiges Schwert, denn auf der Plattform kann jede Ressource über eine App integriert werden, und jeder kann eine App für das App-Verzeichnis oder seinen eigenen Arbeitsbereich schreiben. Doch unterzieht Slack die Apps einem Sicherheitsüberprüfungsprozess, bevor sie öffentlich zugänglich gemacht werden. Dennoch wird es immer Fehler geben, und unsichere Apps werden unweigerlich durch den Prüfprozess schlüpfen.

Positiv zu werten ist, dass Slack-Apps und Bots nun ähnlich funktionieren und die Kontrolle durch Admins einschliessen. Damit haben Admins eine grössere Einflussmöglichkeit darauf, was zu einem Arbeitsbereich hinzugefügt werden kann, und sie können auch das Hinzufügen von Benutzern einschränken. Damit haben sie auch die Kontrolle darüber, auf welche Apps zugegriffen werden kann — früher ein Sicherheitsproblem.

Um das Risiko zu mindern, sollten jedoch Anwender wie bei jeder mobilen App prüfen, wer die App im Verzeichnis veröffentlicht hat. Soll Slack um eine O365-Integration erweitert werden, und es findet sich eine App, die nicht von Microsoft erstellt wurde, ist es möglicherweise nicht die geeignete App. Unabhängig vom Entwickler sollte auch geprüft werden, welche Berechtigungen die App fordert. Die Analyse durch Trend Micro zeigte, dass Slack-Apps mit sehr weit gefassten Berechtigungen arbeiten — das geht sogar so weit, dass ein universeller Lese- und Schreibzugriff gewährt wird, der als Benutzer fungiert. Anwender müssen deshalb entscheiden, ob dies ein akzeptables Risiko für ihr Unternehmen darstellt.

  • Wie greifen Nutzer auf die Arbeitsbereiche zu, und wie interagieren sie dort?

Phishing kann bei Slack viele Formen annehmen. Ein Angreifer kann Anmeldedaten „phishen“, um direkten Zugriff auf einen Slack-Arbeitsbereich zu erhalten. Mit etwas Open-Source-Intelligence(OSINT) im Vorfeld könnte ein Bedrohungsakteur herausfinden, wer der Administrator für einen Arbeitsbereich oder für ein Enterprise Grid-Konto ist, und damit bei einem Phishing-Versuch den höchsten Zugriff erlangen.

Die einfachste Methode, um die Plattform zu missbrauchen, besteht darin, Zugang zu Nutzer-Anmeldeinformationen zu erhalten. Credentials können auch gekauft oder wiederverwendet werden, doch verspricht Phishing den grössten Erfolg.

Erfolgreiche Phishing-Angriffe können sich auch indirekt auf Slack-Benutzer auswirken. Wird beispielsweise eine mit Malware infizierte Datei versehentlich auf Slack hochgeladen, so kann sie jeden infizieren, der die Datei herunterlädt und öffnet. Das Gleiche gilt für eine bösartige URL oder einen Benutzer, der ein Gewinnspiel oder ein Formular zum Ausfüllen weitergibt, ohne zu wissen, dass es sich um einen Betrug handelt. Social Engineering ist eine sehr effiziente Technik, um sich bei allen möglichen Angriffen einen Systemzugang zu verschaffen. Daher hilft die Schulung von Mitarbeitern, das Verständnis der Technik von Phishing-Versuchen zu verbessern. Multifaktor-Authentifizierung (MFA) und Single-Sign-On-Integration können ebenfalls die Wirksamkeit von Phishing-Versuchen einschränken.

  • Welche Informationen werden ausgetauscht?

Werden kritische oder geheime Geschäftsinformationen (Kundendaten, Entwickler, die Code teilen, Mitarbeiterdaten usw.) über Slack geteilt? Wenn ein Angreifer Zugriff auf einen Arbeitsbereich erhält, sind diese Daten gefährdet. Mit Admin-Zugangsdaten könnte ein Angreifer alle Nachrichten und Dateien in einem Arbeitsbereich einsehen – je nach Admin-Einstellungen sogar in privaten Channels.

Eine weitere Frage ist, ob Slack-Informationen nach aussen weitergegeben werden. Dies geschieht vor allem in Form von Webhooks und API-Schlüsseln, die sich in Hülle und Fülle auf GitHub finden. AT&T Alien Labs hat einen Proof of Concept veröffentlicht, der zeigt, wie ein Angreifer Webhooks missbrauchen könnte.

Entwickler müssen sich über die Risiken bei der Veröffentlichung von Passwörtern, Schlüsseln und Webhooks in ihrem Code bewusst sein. Unternehmen sollten auch nach diesen Geheimnissen scannen, falls sie versehentlich in einem öffentlichen Code-Repository geleakt wurden. Dies ist ein gutes Beispiel dafür, wie Slack EKM nützlich sein kann. Eine tiefere, granulare Kontrolle über den Zugriff auf sensible Informationen ermöglicht es Admins dafür zu sorgen, dass sensible Inhalte, die in Slack geteilt werden, vertraulich und geschützt sind.

Wie bei jedem AWS-Service wurde auch bei KMS auf Sicherheit geachtet, aber es können Einstellungen und Konfigurationen geändert werden, die die Sicherheit gefährden. Die Sicherheitsforscher haben auch Tausende von KMS-Schlüsseln gefunden, die in GitHub und sogar in Shodan veröffentlicht wurden.

Trend Micro Cloud One – Conformity stellt sicher, dass AWS Services sicher aufgesetzt und verwaltet werden. Die Lösung umfasst 11 Checks für AWS KMS, um eine Warnung auszugeben, sollte es ein Problem mit dem Setup oder eine falsche Verwendung eines Schlüssels geben.

Wege zu mehr Visibilität in der Cloud Security

von Trend Micro

Die Cloud bedeutet zweifelsohne für Unternehmen einen wichtigen technologischen Fortschritt, aber auch mehr Komplexität, und sie erfordert gründliche Sicherheitserwägungen. Angesichts der beträchtlichen Anzahl von Menschen, die remote arbeiten und aus verschiedenen Teilen der Welt auf die Cloud zugreifen, spielt Transparenz und Visibilität über die meist hybriden Cloud-Umgebungen eine zentrale Rolle für die Security-Strategie eines Unternehmens. Im ersten Teil des Beitrags wurden die vorhandenen Bedrohungen beschrieben, und nun stellt der aktuelle Beitrag Möglichkeiten vor, um mehr Visibilität und Sicherheit in die Umgebungen zu bringen.

Um die Vorteile der Cloud möglichst auszuschöpfen, sollten Unternehmen einige Sicherheitsempfehlungen befolgen, um die Transparenz über Systeme und Umgebungen hinweg aufrechterhalten und Schutz vor einem breiten Spektrum aufkommender Bedrohungen und Fehlkonfigurationen zu gewährleisten.

  • Anwenden des Prinzips der Mindestprivilegien. Benutzer sollten lediglich über die für ihre Aufgaben erforderlichen Zugriffsrechte oder Berechtigungen verfügen. Nicht alle Benutzer müssen Admin-Zugriffs- oder Root-Rechte haben und sollten diese daher nicht erhalten.
  • Modell der geteilten Verantwortung beachten. Die Ansicht, dass in der Cloud gehostete Daten automatisch vor Bedrohungen und Risiken geschützt sind, ist trügerisch. Die grossen Cloud Service Provider (CSPs) wie Amazon Web Services (AWS), Google Cloud Platform (GCP) und Microsoft Azure unterstreichen die Bedeutung der geteilten Verantwortung. Das AWS-Shared Responsibility Model benennt klar die Verantwortungsbereiche für den CSP und den Anwender bezüglich der Nutzung der Cloud. AWS ist für die „Sicherheit der Cloud“ bzw. der gesamten Cloud-Infrastruktur, in der die Dienste gehostet werden, verantwortlich. Anwender wiederum verantworten die „Sicherheit in der Cloud“, die von der Art des genutzten Service bestimmt wird, also IaaS, PaaS und SaaS. Google Cloud Platform (GCP) folgt dem Payment Card Industry Data Security Standard (PCI DSS) und führt die geteilten Verantwortungsbereiche für beide Partner auf. Ähnlich hält es Microsoft Azure und teilt sich einige Verantwortungsbereiche mit den Kunden, abhängig von der Art des Stack-Betriebs des Kunden. Abgesehen davon, liefert Microsoft Anleitungen zu einigen Bereichen, für die immer der Kunde zuständig ist, so etwa für die Daten, Endpoints, Accounts und Zugangsmanagement.
  • Verbesserung der Sicherheit von E-Mail, Gateways, Server und Netzwerken. Schwachstellen in Anwendungen, Betriebssystemen und Plattformen können über unsichere Netzwerke ausgenutzt werden.  Virtual Patching dient der Verteidigung von Netzwerken, Workloads, Server und Container gegen Zero-Day-Angriffe, Datendiebstähle und Ransomware.
  • Sichern von Endpoints, Internet of Things (IoT)-Geräten und privaten Netzwerken. Für die Arbeit im Home Office ist es wichtig, dass Unternehmen sicherstellen, dass die dafür eingesetzten Geräte und Netzwerke auch sicher sind. Anleitungen und Überlegungen zur Sicherheit gibt der Beitrag: „Umfassend geschützt im Home Office“.
  • Aufsetzen eines permanenten Monitoring-Programms. Unternehmen müssen eine Sicherheitsmethodologie wählen, die den Anforderungen der jeweiligen Online-Architektur am besten entspricht. Nur so können sie ihren Sicherheitsbedarf für Systeme und Infrastrukturen systematisch analysieren.
  • Definieren von personalisierten Weiterbildungs-Policies für Mitarbeiter. Unternehmen müssen die häufigsten Mitarbeiterrollen und das damit zusammenhängende Sicherheitsverhalten in diese Richtlinien und Schulungen mit einbeziehen. Mitarbeiter müssen mit der Sicherheit unterschiedlich umgehen, so dass ein differenzierter Schulungsansatz für die Unternehmenssicherheit effizienter ist.
  • Anwenden des Zero-Trust-Modells. Dieses Sicherheitskonzept verhindert im Grund genommen, dass Unternehmen automatisch Nutzern vertrauen und Zugang zu Perimeter-basierten Systemen gewähren. Dabei spielt es keine Rolle, ob sich ein Benutzer innerhalb des Netzwerkperimeters der Organisation befindet oder nicht – alle Benutzer müssen überprüft werden, bevor sie Zugriff auf bestimmte Teile des Systems erhalten.

Trend Micros Cloud-Sicherheitslösungen

Cloud-spezifische Sicherheitslösungen wie Trend Micro™ Hybrid Cloud Security können zum Schutz von Cloud-nativen Systemen und ihren verschiedenen Schichten beitragen.  Unterstützt wird sie von Trend Micro Cloud One™ , einer Sicherheitsdienste-Plattform für Cloud-Entwickler. Sie bietet automatisierten Schutz für die CI/CD-Pipeline und Anwendungen.  Sie trägt auch dazu bei, Sicherheitsprobleme früher zu erkennen und zu lösen und die Lieferzeit für die DevOps-Teams zu verkürzen. Die Plattform umfasst:

Cloud App Security verbessert die Sicherheit von Microsoft 365 und weiterer Cloud-Services. Die Lösung nutzt Sandbox-Analysen als Schutz vor Ransomware, Business Email Compromise (BEC) und andere Bedrohungen. Auch kann sie Cloud-Dateifreigaben vor Bedrohungen und Datenverlust schützen.

Ransomware-Angriffe setzen auf das Weihnachtsgeschäft

Originalartikel von Trend Micro Research

Cyberkriminelle haben in letzter Zeit ihre Ransomware-Angriffe vor allem auf den Einzelhandel konzentriert, wissend wie schlimm es für diese Unternehmen sein kann, wenn sie die Geschäftstätigkeit während der für sie wichtigen Vorweihnachtszeit und dem Black Friday stören. Eine Ransomware-Attacke könnte für den Händler den Verlust von tausenden Verkaufschancen bedeuten, wenn das Geschäft keine zufriedenstellende Dienstleistung bietet. Ein Überblick über die aktiven Ransomware-Familien und Handlungsempfehlungen.

Daten aus der Sicherheitsinfrastruktur Trend Micro Smart Protection Network™ zeigten eine Reihe von Ransomware-Familien, die bei Angriffen gegen Einzelhandelsunternehmen eingesetzt wurden. Sekhmet, eine relativ neue Familie mit umfangreichen Verschleierungs-Fähigkeiten, wies die zweithöchste Anzahl von erkannten Ransomware-Dateien auf. Es ist nicht viel bekannt über Sekhmet, doch hat sie Berichten zufolge bereits Schlagzeilen gemacht. Die Schadsoftware verschlüsselt nicht nur Dateien, die Hintermänner drohen auch damit, gestohlene Daten zu veröffentlichen, sollte das Opfer das Lösegeld nicht bezahlen. Für Einzelhändler bedeutet dies, es könnten Kundendaten an die Öffentlichkeit geraten, was auch rechtliche Konsequenzen hätte.

Einige Varianten werden auch als Ransomware-as-a-Service (RaaS) angeboten, sodass deren Einsatz nicht auf die Malware-Autoren beschränkt ist, was vermutlich einen Anstieg der Angriffe mit Sekhmet und Co. bewirken wird.

Traditionelle Ransomware aktiv

Auch Angriffe mit weiteren Ransomware-Veteranen wie Cerber und Crysis zeigen die Daten. Diese beiden Familien gibt es seit Jahren, und sie gelten als „traditonelle“ Schädlinge, die sich vor allem über Social Engineering-Techniken und E-Mails verbreiten. Dennoch wurden sie durch neuere Erpressungssoftware nicht verdrängt und durchliefen mehrere Updates, die neue Fähigkeiten hinzufügten, vor allem bezüglich ihrer Aktivitäten im Verborgenen und der Verhinderung der Entdeckung.

Die Crysis-Familie zielte auf Unternehmen weltweit. Sie wird auch als RaaS angeboten, sodass auch technisch nicht versierte Akteure damit angreifen können. Die Ransomware-Familie verbreitet sich über Remote Desktop Protocol (RDP)-Angriffe. Deshalb sollten Unternehmen die Aktualisierung und Verbesserung der RDP-Anmeldeinformationen priorisieren, Zweifaktor-Authentifizierung einführen und den RDP-Port auf einen Nicht-Standard Port (oder den RDP-Zugang ganz schliessen) setzen.

Cerber, vor allem in den USA aktiv, bietet Partnern RaaS-Dienste. Der Betrieb von Cerber ist hocheffizient und bietet Automatisierung für kriminelle Akteure, die die Plattform nutzen, oder auch für Zahloptionen. Damit ist die Schadsoftware für Cyberkriminelle sehr attraktiv, die nicht über das nötige Wissen oder die Ressourcen verfügen.

Die Trend Micro-Daten zeigen allgemein, dass Ransomware-Familien, die als RaaS angeboten werden, sehr beliebt sind. Es ist sehr wahrscheinlich, dass nicht nur die grossen Gruppen hier aktiv sind, sondern auch kleinere, die möglicherweise versuchen, die lukrative Shopping-Zeit zu nutzen.

Die Forscher fanden auch viele WannaCry-bezogene Dateien. Die Schadsoftware erlangte 2017 traurige Berühmtheit, nachdem ihre erste Kampagne hunderttausende Computer weltweit infiziert hatte. Seitdem ist sie Grundbestandteil der Cyber-Kriminalität geblieben, selbst mit dem Auftauchen neuerer Ransomware-Familien wie Ryuk.

Weitere Bedrohungen für Einzelhändler

Ransomware ist nicht die einzige Bedrohung für den Einzelhandel. Eine der prominentesten Gangs, die Online Shopping-Systeme angreift, ist Magecart. Sie setzt auf Skimming-Angriffe, um online Kreditkarteninfos abzugreifen, und zielt auf jede Art von Online-Opfer – von Shops bis zu Hotel-Buchungssites und sogar auf lokale US-Regierungsbehörden. Häufig griffen die die Hintermänner die Supply Chain an und kompromittierten Drittanbieter-Software von Systemintegratoren (wie etwa E-Commerce Service Provider), indem sie bösartige Skripts einschleusten.

Verteidigung gegen Ransomware

Obwohl Ransomware in verschiedenen Formen und mit unterschiedlichen Fähigkeiten daherkommt, bleiben die Methoden, mit denen der Zugriff auf einen Zielcomputer erfolgt, relativ gleich. Ransomware-Betreiber verwenden oft Social Engineering-E-Mails, um im System Fuss zu fassen, eine einfache Taktik, die leicht vereitelt werden kann. Unternehmen sollten ihre Mitarbeiter über Social-Engineering-Techniken wie Spam und Spear-Phishing aufklären und den Nutzer dazu anhalten, nicht auf E-Mail-Anhänge und Links aus verdächtigen oder nicht verifizierten Quellen zu klicken, da diese zu den häufigsten Infektionsvektoren für Ransomware gehören.

Darüber hinaus müssen Unternehmen Systemsoftware patchen und aktualisieren, um alle Schwachstellen zu beheben, die böswillige Akteure zur Infektion von Systemen nutzen können. Ransomware kann auch Schwachstellen für laterale Bewegung ausnutzen, nachdem sie in das Netzwerk eingedrungen ist, so dass ein böswilliger Akteur einen einzelnen Rechner als Einstiegspunkt benutzen und von dort aus zu anderen Systemen und Geräten wechseln kann. Das Patchen von Bugs ist besonders wichtig für Einzelhandelsunternehmen, da WannaCry, die am weitesten verbreitete Ransomware-Familie in der Branche, Schwachstellen als Teil ihrer Routine ausnutzt.

E-Commerce-Geschäfte sollten ihre Sites und Anwendungen einem Audit unterziehen, um sicherzustellen, dass sie so sicher wie möglich sind. Sie sollten regelmässig Backups von Store- und Kundendaten erstellen, vorzugsweise unter Anwendung der 3-2-1-Regel (drei Kopien in zwei verschiedenen Formaten mit mindestens einer Kopie ausserhalb des Standorts). Eine weitere Option ist der Einsatz von Intrusion-Prevention-Software, die Netzwerkangriffe erkennen und verhindern sowie anfällige Systeme virtuell patchen kann.

Die Bedeutung von Visibilität für die Cloud Security

von Trend Micro

85% der Unternehmen weltweit nutzen die Cloud, um dort Riesenmengen an Informationen vorzuhalten, und das Modell hat seine Vorteile gerade in diesem Jahr der Pandemie bewiesen. 87% IT-Entscheidungsträger weltweit führten den raschen Wechsel in die Cloud auf die unvorhergesehene globale Gesundheitskrise zurück, ein Schritt, der sich als hilfreich für die wirtschaftliche Widerstandsfähigkeit erweist. Dank der Cloud sind Unternehmen und Organisationen in der Lage, den Grossteil ihrer Mitarbeiter von zu Hause aus arbeiten zu lassen, und es ist davon auszugehen, dass auch nach der Pandemie die Zahl der im Home Office verbleibenden Mitarbeiter (die sich im Vergleich zu vor der Pandemie bereits vervierfacht hat) weiterhin höher ist als in den vergangenen Jahren. Bereits heute rüsten sich die Organisationen für eine „Cloud-first“-Welt. Banken und Finanzinstitutionen streben nun sogar an, bis 2025 vollständig Cloud-basiert zu werden.

Angesichts der beträchtlichen Anzahl von Menschen, die remote arbeiten und aus verschiedenen Teilen der Welt auf die Cloud zugreifen, ist das Problem der Transparenz in der Cybersicherheit von Unternehmen jedoch offensichtlicher geworden. Wie können Unternehmen der Visibilität in einer „Cloud-first“-Welt Priorität einräumen?

Bedrohungen und Sicherheitsrisiken nach der Migration in die Cloud

Neben den Vorteilen der besseren Konnektivität, Produktivität und Effizienz bietet die Cloud weitere Möglichkeiten wie die Datenspeicherung, die Analyse grosser Datenmengen, die Entwicklung von Anwendungen und Software sowie Video- und Audio-Streaming-Funktionalitäten – die alle gesichert werden müssen. Unternehmen sollten sich beim Cloud-Betrieb über die Herausforderungen und Risiken bezüglich der Sichtbarkeit/Transparenz im KIaren sein.

Eine dieser Herausforderungen, die sich auf die Sichtbarkeit auswirkt, ist die Vielfalt der eingesetzten Rechenressourcen — unterschiedliche Cloud-Anbieter, Konten und Dienste zusätzlich zu den lokalen Rechenzentren. Tatsächlich haben vier von fünf Unternehmen zwei oder mehr Infrastructure-as-a-Service (IaaS)- oder Platform-as-a-Service (PaaS)-Provider.

In einer Umfrage 2019 gaben mehr als 51% der Befragten zu, separate Identity and Access Management (IAM)-Schnittstellen für ihre Cloud- und On-Premise-Umgebungen einzusetzen. Eine Übersicht ist hier unmöglich, sodass sich nicht autorisierte Personen Zugang zu kritischen oder sensiblen Informationen verschaffen können.

Zuviele Cloud-Provider im Einsatz

86% der Unternehmen nutzen mehr als 11 verschiedene SaaS-Provider, einschliesslich Cloud-basierter Apps wie Gmail oder Microsoft 365. Dies mag zwar Vorteile für die Produktivität und Effizienz bedeuten, doch entsteht auch ein komplexes Geflecht von Cloud-getriebenen Services, das die Übersicht darüber erschwert. Hinzu kommt, dass laut Netskope-Daten aus dem Jahr 2018 nahezu 93% der in Unternehmen eingesetzten Cloud-Anwendungen nicht dafür geeignet sind, also den Standards (mit Parametern für Datensicherheit, Zugangskontrolle und Vertraulichkeit) in der Cloud Security Alliance Cloud Controls Matrix nicht entsprechen.

Das Vorhandensein vieler ungesicherter Dienste (Schatten-IT) ist ein weiteres Sicherheitsrisiko, das die Übersicht beeinträchtigt. 2019 nutzten laut einem Bericht des Softwareunternehmens Igloo 50% der Mitarbeiter für ihre arbeitsbezogenen Aufgaben vom Arbeitgeber nicht genehmigte Apps und Infrastrukturen.

Bild. Potenzielle Risiken in Cloud-Umgebungen

Entwickler können neue Server bereitstellen, ohne sich um die Probleme kümmern zu müssen, die normalerweise mit der Bereitstellung in einer Vor-Ort-Umgebung verbunden sind, wie z.B. Provisioning und Budgetierung. Auf der anderen Seite wissen die Sicherheitsteams möglicherweise auch nicht um alle entstandenen virtuellen Umgebungen und wenden somit auch nicht alle erforderlichen Schutzmassnahmen darauf an. Um möglichst schnell sicherzustellen, dass die Dienste nahtlos miteinander kommunizieren, könnten diese schnell einsetzbaren Virtual Private Clouds (VPCs), virtuellen Netzwerke und Container mit nur geringen oder gar keinen Sicherheitsvorkehrungen konfiguriert worden sein.

Open Source als Risiko

Aufgrund der sicherheitstechnisch laxen Konfigurationen und schlechten Coding-Praktiken, könnten APIs, die kritische Daten beinhalten, böswilligen Akteuren zugänglich werden. Diese sind dann in der Lage, aus der Ferne Code auszuführen und Distributed Denial of Service (DDoS)-Angriffe zu starten. Exponierte Container lassen Krypto-Mining zu – so wie kürzlich die Angriffe mit Malware für sowohl Linux-Systeme und exponierte Docker-Umgebungen gezeigt haben.

Die Entwicklung von Cloud-nativen Anwendungen könnte auch zu einer Zunahme der Nutzung und infolgedessen Abhängigkeit von Bibliotheken Dritter führen. Entwickler greifen auch häufig auf quelloffenen Code, Bibliotheken, Komponenten und Software zurück. Leider haben diese häufig Schwachstellen. Untersuchungen von Snyk ergaben, dass Schwachstellen in Open-Source-Komponenten in den letzten drei Jahren zugenommen haben. Die Ausnutzung dieser Sicherheitslücken könnte zu Compliance- und Sicherheitsproblemen führen.

Der zweite Teil des Beitrags zeigt, wie in einer „Cloud-first“-Welt die Visibilität über die Cloud-Ressourcen zu bewerkstelligen ist.

Die Bedeutung von Visibilität für die Cloud Security

von Trend Micro

85% der Unternehmen weltweit nutzen die Cloud, um dort Riesenmengen an Informationen vorzuhalten, und das Modell hat seine Vorteile gerade in diesem Jahr der Pandemie bewiesen. 87% IT-Entscheidungsträger weltweit führten den raschen Wechsel in die Cloud auf die unvorhergesehene globale Gesundheitskrise zurück, ein Schritt, der sich als hilfreich für die wirtschaftliche Widerstandsfähigkeit erweist. Dank der Cloud sind Unternehmen und Organisationen in der Lage, den Grossteil ihrer Mitarbeiter von zu Hause aus arbeiten zu lassen, und es ist davon auszugehen, dass auch nach der Pandemie die Zahl der im Home Office verbleibenden Mitarbeiter (die sich im Vergleich zu vor der Pandemie bereits vervierfacht hat) weiterhin höher ist als in den vergangenen Jahren. Bereits heute rüsten sich die Organisationen für eine „Cloud-first“-Welt. Banken und Finanzinstitutionen streben nun sogar an, bis 2025 vollständig Cloud-basiert zu werden.

Angesichts der beträchtlichen Anzahl von Menschen, die remote arbeiten und aus verschiedenen Teilen der Welt auf die Cloud zugreifen, ist das Problem der Transparenz in der Cybersicherheit von Unternehmen jedoch offensichtlicher geworden. Wie können Unternehmen der Visibilität in einer „Cloud-first“-Welt Priorität einräumen?

Bedrohungen und Sicherheitsrisiken nach der Migration in die Cloud

Neben den Vorteilen der besseren Konnektivität, Produktivität und Effizienz bietet die Cloud weitere Möglichkeiten wie die Datenspeicherung, die Analyse grosser Datenmengen, die Entwicklung von Anwendungen und Software sowie Video- und Audio-Streaming-Funktionalitäten – die alle gesichert werden müssen. Unternehmen sollten sich beim Cloud-Betrieb über die Herausforderungen und Risiken bezüglich der Sichtbarkeit/Transparenz im KIaren sein.

Eine dieser Herausforderungen, die sich auf die Sichtbarkeit auswirkt, ist die Vielfalt der eingesetzten Rechenressourcen — unterschiedliche Cloud-Anbieter, Konten und Dienste zusätzlich zu den lokalen Rechenzentren. Tatsächlich haben vier von fünf Unternehmen zwei oder mehr Infrastructure-as-a-Service (IaaS)- oder Platform-as-a-Service (PaaS)-Provider.

In einer Umfrage 2019 gaben mehr als 51% der Befragten zu, separate Identity and Access Management (IAM)-Schnittstellen für ihre Cloud- und On-Premise-Umgebungen einzusetzen. Eine Übersicht ist hier unmöglich, sodass sich nicht autorisierte Personen Zugang zu kritischen oder sensiblen Informationen verschaffen können.

Zuviele Cloud-Provider im Einsatz

86% der Unternehmen nutzen mehr als 11 verschiedene SaaS-Provider, einschliesslich Cloud-basierter Apps wie Gmail oder Microsoft 365. Dies mag zwar Vorteile für die Produktivität und Effizienz bedeuten, doch entsteht auch ein komplexes Geflecht von Cloud-getriebenen Services, das die Übersicht darüber erschwert. Hinzu kommt, dass laut Netskope-Daten aus dem Jahr 2018 nahezu 93% der in Unternehmen eingesetzten Cloud-Anwendungen nicht dafür geeignet sind, also den Standards (mit Parametern für Datensicherheit, Zugangskontrolle und Vertraulichkeit) in der Cloud Security Alliance Cloud Controls Matrix nicht entsprechen.

Das Vorhandensein vieler ungesicherter Dienste (Schatten-IT) ist ein weiteres Sicherheitsrisiko, das die Übersicht beeinträchtigt. 2019 nutzten laut einem Bericht des Softwareunternehmens Igloo 50% der Mitarbeiter für ihre arbeitsbezogenen Aufgaben vom Arbeitgeber nicht genehmigte Apps und Infrastrukturen.

Bild. Potenzielle Risiken in Cloud-Umgebungen

Entwickler können neue Server bereitstellen, ohne sich um die Probleme kümmern zu müssen, die normalerweise mit der Bereitstellung in einer Vor-Ort-Umgebung verbunden sind, wie z.B. Provisioning und Budgetierung. Auf der anderen Seite wissen die Sicherheitsteams möglicherweise auch nicht um alle entstandenen virtuellen Umgebungen und wenden somit auch nicht alle erforderlichen Schutzmassnahmen darauf an. Um möglichst schnell sicherzustellen, dass die Dienste nahtlos miteinander kommunizieren, könnten diese schnell einsetzbaren Virtual Private Clouds (VPCs), virtuellen Netzwerke und Container mit nur geringen oder gar keinen Sicherheitsvorkehrungen konfiguriert worden sein.

Open Source als Risiko

Aufgrund der sicherheitstechnisch laxen Konfigurationen und schlechten Coding-Praktiken, könnten APIs, die kritische Daten beinhalten, böswilligen Akteuren zugänglich werden. Diese sind dann in der Lage, aus der Ferne Code auszuführen und Distributed Denial of Service (DDoS)-Angriffe zu starten. Exponierte Container lassen Krypto-Mining zu – so wie kürzlich die Angriffe mit Malware für sowohl Linux-Systeme und exponierte Docker-Umgebungen gezeigt haben.

Die Entwicklung von Cloud-nativen Anwendungen könnte auch zu einer Zunahme der Nutzung und infolgedessen Abhängigkeit von Bibliotheken Dritter führen. Entwickler greifen auch häufig auf quelloffenen Code, Bibliotheken, Komponenten und Software zurück. Leider haben diese häufig Schwachstellen. Untersuchungen von Snyk ergaben, dass Schwachstellen in Open-Source-Komponenten in den letzten drei Jahren zugenommen haben. Die Ausnutzung dieser Sicherheitslücken könnte zu Compliance- und Sicherheitsproblemen führen.

Der zweite Teil des Beitrags zeigt, wie in einer „Cloud-first“-Welt die Visibilität über die Cloud-Ressourcen zu bewerkstelligen ist.

Cloud of Logs: Kriminelle nutzen die Cloud für ihre Prozesse

Originalartikel von Robert McArdle, Director Threat Research

Es wird viel Wirbel um die Cloud gemacht, und dies ist auch gerechtfertigt. Schliesslich lassen sich mithilfe des Konzepts Ressourcen optimieren, Zeit sparen, die Automatisierung erhöhen und einen Teil der Sicherheitsverantwortung abgeben. Aber auch Cyberkriminelle nutzen die Cloud: Gestohlene Zugangsinformationen und Infos über Nutzer werden in der Cloud vorgehalten und auf Abonnement- oder Einmalbasis vermietet. Trend Micro hat diesen Trend ausführlich untersucht. In einem Sample-Datenset von 1.000 Logs konnten die Sicherheitsforscher 67.712 URLs für kompromittierte Konten identifizieren. Der Zugang zu diesen so genannten „Cloud of Logs“ lässt sich über eine monatliche Gebühr von 350 – 1000 $ erwerben. Die Logs umfassen unter Umständen Millionen E-Mails und Passwörter für beliebte Sites wie Google, Amazon, Twitter, Facebook und PayPal.

Gestohlene Zugangsdaten führen zu kompromittierten Unternehmen, und die Cloud macht diesen Prozess effektiver denn je. Es geht nicht um Kriminelle, die die Cloud-Infrastruktur von Firmen angreifen, sondern darum, dass sie die Cloud-Technologie dafür verwenden, ihre Abläufe zu verbessern und zu erweitern.

Die Wiederverwendung von Zugangsdaten ist ein weit verbreitetes Problem in vielen Unternehmen. Deshalb ist es wichtig, die persönlichen Daten der Mitarbeiter bei einer Risikobewertung des Unternehmens ebenfalls zu berücksichtigen.

Neuer Markt für Cyberkriminalität entsteht

Der Diebstahl von Anmeldedaten hat in den letzten Jahren zugenommen, da Angreifer massenhaft Anmeldedaten und damit verbundene E-Mail-Adressen oder Domänennamen erbeuten. Dies ist eine der grundlegendsten und seit langem bestehenden Bedrohungen für Unternehmen weltweit.

Doch nutzt eine grosse Mehrheit der heutigen Angriffe immer noch die grundlegendsten Sicherheitsschwächen aus: die Wiederverwendung von Passwörtern als eine der häufigsten. So könnte zum Beispiel ein Mitarbeiter ein Passwort für sein persönliches Konto auch als Passwort für seine Unternehmensdomäne wiederverwenden. Und die Anmeldedaten für dieses persönliche Account können in diesen Cloud-basierten Logs landen, um von anderen Kriminellen für einen neuen Cyberangriff wiederverwendet zu werden. Allein in sechs der identifizierten Cloud-Logs fanden die Forscher insgesamt 5 TB Logs, also Millionen kompromittierter persönlicher Nutzerdaten.

Im Allgemeinen sieht ein „traditioneller“ Verlauf von Cyberverbrechen über den Diebstahl von Zugangsdaten folgendermassen aus:

  • Eine kriminelle Gruppe kompromittiert ihre Opfer mit verschiedenen Mitteln und setzt Malware zum Informationsdiebstahl ein, um an die Account-Daten der Opfer (Verbraucher und Unternehmen) zu gelangen. Aufgrund der Wiederverwendung von Passwörtern kann jedes kompromittierte persönliche Konto das Unternehmen in Gefahr bringen.
  • Die Kriminellen lagern diese Accounts an einen zentralen Ort aus, einen Server, den sie kontrollieren.
  • Angesichts des Datenvolumens ist eine manuelle Verarbeitung unmöglich – daher starten sie einige einfache Suchläufe über die Daten, um die erfolgversprechenden Konten und Daten (Kreditkarten, E-Mail, Netflix usw.) zu finden. Für jede dieser zielgerichteten Suchen sieht die Gruppe die Listen manuell durch, um herauszufinden, welche dieser Accounts einen effektiveren Zugriff auf ein hochwertiges Ziel ermöglicht. Das ist zeitaufwändig, wenn man Zehntausende Logs und ein Team von vielleicht einem halben Dutzend Personen zur Verfügung hat, die auch noch andere Rollen in der Gruppe haben – der Prozess kann also Tage bis Wochen dauern.
  • Die nicht genutzten Konten werden gebündelt und auf Untergrundmarktplätzen zum Verkauf angeboten. Dies sind die „Filetstücke“, die sich immer gut verkaufen und die leicht zu verarbeiten sind – aber es lässt sich viel mehr daraus machen. Die Zeit, bis zum Verkauf beträgt nicht mehr als ein paar Wochen, da die Daten mit der Zeit „abgestanden“ sind.
  • Der Rest der Daten wird weitgehend verworfen – obwohl sie für den passenden Käufer von Wert sein könnten.
  • Dann erfolgen die Einbrüche bei neuen Opfern, und der Zyklus geht weiter.

Der neue Ablauf beginnt wie der erste, doch gibt es einige Verbesserungen und Zusätze:

  • Die Gruppe transferiert die Logs nun kurz auf einen zentralen Server und nimmt Kürzungen vor, lädt den Rest dann aber sofort in eine „Cloud of Logs“ hoch. Die Rentabilität der „Cloud of Logs“ und das planbare monatliche Gebührenmodell (das für Streaming-Dienste so gut funktioniert) bedeuten, dass es in ihrem Interesse ist, dies als Haupteinnahmequelle zu betrachten. Dadurch verkürzt sich die Zeit von der ersten Kompromittierung bis zum Verkauf von ein paar Wochen auf Tage oder Stunden.
  • Statt einer Gruppe wird es so viele Gruppen geben, die die Daten durchsuchen, wie die Cloud of Logs-Plattform es erlaubt.
  • Als Ergebnis werden nicht nur mehr Accounts als früher zu Geld gemacht, sondern auch die Zeitspanne vom ursprünglichen Datendiebstahl bis zur Wiederverwendung gegen Unternehmen verkürzt sich von ein paar Wochen auf Tage oder gar Stunden.
  • Da die meisten Verstösse nicht sofort entdeckt werden, hat zum Zeitpunkt der Erkennung häufig bereits eine andere Gruppe von Angreifern den ersten Einbruch für den Zugang zum Netzwerk genutzt, um sich dort auf einem Unternehmensserver einzunisten, oder um Ziele für einen Angriff über Social Engineering, BEC-Betrug oder Ransomware zu finden.

Unabhängig vom Endziel nutzen Kriminelle Cloud-Ressourcen, um schneller zu werden und ihre Angriffe weiter zu streuen.

Neue Rollen in cyberkriminellen Gangs

Kriminelle Unternehmen werden Data-Mining-Spezialisten benötigen, um den grösstmöglichen Ertrag aus jedem Terabyte gestohlener Daten zu erzielen. Diese Rolle in der cyberkriminellen Organisation wird nicht darin bestehen, Zugangsdaten zu stehlen oder zu vermarkten, sondern diese Person wird die Daten nach ihrer Bedeutung trennen. Ein idealer Kandidat in diesem neuen Cloud-gesteuerten Geschäftsmodell wird maschinelles Lernen nutzen, um effizient jeden Datentyp zu identifizieren und den für verschiedene Käufer attraktiven zu bündeln. Datenanalysten und Experten für maschinelles Lernen sowie Cloud-Architekten sind in der Geschäftswelt sehr gefragt, und Cyberkriminelle schätzen deren Wissen genauso.

Folgen für die Verteidigungsstrategie von Unternehmen

Das kriminelle Potenzial der gestohlenen Daten wird in vollem Umfang genutzt, da die Informationen unter verschiedenen Cyberkriminellen verteilt werden, die auf verschiedene Verbrechen spezialisiert sind. Zudem nutzen sie Cloud-Technologien genau wie Unternehmen, um agiler zu agieren.

Für die Verteidigungsstrategie eines Unternehmens ist die Zeitspanne vom Diebstahl einer Information bis zu ihrer Verwendung in einem Angriff viel kürzer. Das bedeutet, Organisationen haben jetzt viel weniger Zeit, um den Vorfall des Diebstahls von Anmeldeinformationen zu erkennen und darauf zu reagieren.

Organisationen müssen die Grundlage ihrer Sicherheitshaltung stärken, um Verstösse schnell zu erkennen. Auch die Schulung von Mitarbeitern bezüglich der Basis der Cybersicherheit und wie ihre Sorgfalt zum Schutz des Unternehmens beitragen kann ist wichtig. .

Den vollständigen Bericht über diesen neuen Markt finden Interessierte hier.

COVID-19, immer noch ein begehrter Köder

Originalbeitrag von Trend Micro

Covid-19 füllte auch im dritten Quartal 2020 die Schlagzeilen, und das Monitoring von Trend Micro zeigte, dass die Cyber-Bedrohungen, die den Virus als Köder benutzen, im September exponentiell anstiegen. Diese Zunahme der böswilligen Aktivitäten fiel mit einer Veränderung der Social-Engineering-Taktiken zusammen – anstatt die Informationen von Covid-19 zu nutzen, um die Benutzer auszutricksen, setzten die Kriminellen auf Coronavirus-bezogene Schul-Updates und Jobangebote.

Ende Oktober fand die Sicherheitsfirma MalwareBytes Lab in einer gefälschten Gesundheitsumfrage unter den Mitarbeitern der University of British Columbia (UBC) versteckte Ransomware. Auch die in Phishing-Mails verwendeten Kopfzeilen haben sich geändert. Anstatt Covid-19 als Betreff zu verwenden, nutzen böswillige Akteure Jobtitel in Verbindung mit Stellenangeboten, um Benutzer zum Öffnen von Spam-Mails zu verleiten.

Die Bedrohungsakteure wissen, worauf die Benutzer klicken, und verwenden den offensichtlichsten Köder, um ihre Pläne effektiver zu gestalten. Weitere Einzelheiten bietet der Originalbeitrag.

Die folgende Grafik zeigt die Zahlen zu Coronavirus-bezogenen Bedrohungen im dritten Quartal 2020:

Kommentar von Trend Micro zum Cyberangriff auf Twitter

Von Richard Werner, Business Consultant bei Trend Micro

Mit einem hörbaren Paukenschlag gab Twitter gestern bekannt, dass Profile verschiedener Prominente gehackt wurden. Einen Tag danach und nachdem nun auch die Hintergründe der Tat deutlicher werden ist es an der Zeit, die Geschehnisse einzuordnen. Passend zu den Cyber-Halunken, die hier offensichtlich am Werk waren, orientieren wir uns dabei am Titel eines bekannten Spaghetti-Western: 

The Good: Unter den Prominenten deren Accounts übernommen wurden, sind einige hochrangige Politiker zu finden – unter anderem der gegenwärtige US-Präsidentschaftskandidat Joe Biden. Es ist unschwer zu erkennen, welch hoher politischer Zündstoff bis hin zu internationalen Spannungen ein Angriff auf solche „hochkarätigen“ Accounts haben könnte. Hätten die Angreifer politische Motive gehabt, könnte der Schaden ungleich grösser sein. Es ist deshalb fast schon als „gut“ zu bezeichnen, dass es sich hier lediglich um „gewöhnliche Cyberkriminelle“ handelte, die letztlich auf monetäre Gewinne aus waren.

The Bad: Die hier angewandte Methodik, Menschen auszutricksen ist nicht neu und auch nicht besonders originell. Immer wieder gibt es Versprechen, überwiesene Geldbeträge zu vervielfachen oder anderweitig riesige Gewinne zu erwirtschaften, wenn nur zunächst ein kleiner Betrag investiert würde. Sogenannte „Get Rich Quick“-Schemata helfen in der Regel jedoch nur den Erfindern. Alle anderen verlieren ihr Geld, weil es sich schlicht und ergreifend um Betrug handelt. Das Schlechte ist, dass dieser Vorfall eindringlich zeigt, wie einfach es Cyberkriminellen fallen kann, Gewinne zu machen. Dieser Scam war nur kurze Zeit aktiv und dennoch gelang es Berichten zu folge, mindestens 100 Personen zu finden, die bedenkenlos die nicht unbeträchtliche geforderte Summe von 1.000 US-Dollar „investierten“. Dadurch wird es Nachahmungstäter geben. Welche Wege diese nutzen werden, bleibt abzuwarten. Deshalb der wichtige Hinweis: Glauben Sie es grundsätzlich nicht, wenn Ihnen jemand über Online Medien verspricht Ihr Geld zu verdoppeln!

The Ugly: Bei der Rekonstruktion des Angriffs zeigt sich, dass auch dieser einem Schema folgt. Es handelt sich um einen sogenannten Supply-Chain-Angriff. Hierbei wird die Infrastruktur eines initialen Opfers (in diesem Fall Twitter) angegangen und soweit möglich übernommen. Das eigentliche Ziel der Hacker ist es in solchen Fällen jedoch, die Kunden des initialen Opfers zu erreichen. Besonders hinterhältig ist dabei: Für diese Kunden ist der Angriff oft kaum abzuwehren, weil er aus einer eigentlich vertrauenswürdigen Quelle stammt und oft technisch erst einmal gar nicht als Angriff identifiziert werden kann. Die Täter nehmen dafür einen relativ hohen Aufwand ein Kauf, um das erste Opfer zu infiltrieren. Laut Twitter schloss dies hier sogar einen Insider mit ein.

Dafür kann der Angriff auf die finalen Opfer dann weitestgehend automatisiert werden, um so auf eine Weise zu skalieren, die in den meisten anderen Angriffsmethoden nicht funktioniert. Im vorliegenden Fall konnten die Täter so innerhalb weniger Stunden bis zum Auffliegen der Tat Millionen Menschen mit Ihrer Botschaft erreichen – die Schadenssumme hätte also sogar noch um ein Vielfaches höher sein können. Auch für dieses Schema wird es weitere Nachahmer geben. Wie Trend Micro in seinen Sicherheitsvorhersagen für 2020 prophezeit hat, befinden sich Supply-Chain-Angriffe derzeit auf dem Vormarsch. Unternehmen tun gut daran, sich dieses Risiko bewusst zu machen. Bei Twitter ging es um bösartige Tweets und das „Get Rich Quick“-Schema. In anderen Fällen geht es um Ransomware und Sabotage. Seien Sie sich stets darüber im Klaren, dass solch medienwirksame Taten immer Nachahmer provozieren!   Richard Werner steht Ihnen zu diesem Thema auch jederzeit gerne für ein Gespräch zur Verfügung. Sprechen Sie uns dafür gerne an.