Archiv der Kategorie: Ransomware

Fehlkonfigurationen: Das grösste Sorgenkind der Cloud-Sicherheit 2021

Originalartikel von Mark Nunnikhoven, VP Cloud Research

Die Cloud steckt voller neuer Möglichkeiten. So können Anwender etwa mit einem einzigen Befehl das Pendant eines ganzen Datacenters starten. Die Skalierung, um die Anforderungen von Millionen von Kunden zu erfüllen, kann vollständig automatisiert erfolgen. Erweiterte Machine Learning-Analysen sind so einfach wie ein API-Aufruf. Damit sind Teams in der Lage, Innovationen zu beschleunigen und sich fast ausschliesslich darauf zu konzentrieren, Geschäftswert zu generieren. Doch so einfach, wie es scheint, ist es nicht.

Es war zu erwarten, dass neben diesem Steigerungspotenzial auch die Sicherheitsherausforderungen zunehmen, die es bei On-Premises gibt, und Teams mit Zero-Days, Schwachstellenketten und Schatten-IT zu kämpfen haben würden. Doch stellt sich heraus, dass diese Probleme nicht ganz oben auf der Sorgenliste stehen.

Den grössten Kummer bereiten Fehler in Form von Service-Fehlkonfigurationen.

Geteilte Verantwortung

Viele Unternehmen denken, hinsichtlich der Cloud-Sicherheit sind die Cloud Service Provider selbst ein grosses Risiko. Doch gibt es keine Zahlen, die diese Annahme bestätigen. Alle vier grossen Service Provider Alibaba Cloud, AWS, Google Cloud und Microsoft Azure hatten in den letzten fünf Jahren zwei Sicherheitsverletzungen bei ihren Diensten … alle zusammen.

Dennoch sollte nicht vergessen werden, dass jeder dieser Service Provider im Laufe der Jahre mit einer Vielzahl an Sicherheitsschwachstellen fertig zu werden hatte. Die beiden oben erwähnten Sicherheitsvorfälle hatten eine Fehlkonfiguration als Ursache. Der erste stammt von März 2020 und betraf Google Cloud, der zweite passierte im Januar 2020 und traf Microsoft Azure. Weitere Einzelheiten dazu beinhaltet der Originalbeitrag.

Viele Cloud-Dienste sind einfach verwaltete Service-Angebote von gängigen kommerziellen oder Open-Source-Projekten. Diese Projekte hatten verschiedene Sicherheitsprobleme, mit denen sich die Anbieter auseinandersetzen mussten.

Der Vorteil der Cloud für Benutzer oder Builder liegt darin, dass alle operativen Arbeiten – und Sicherheit ist operative Arbeit – in jeder Cloud dem Shared Responsibility Model folgt. Darin gibt es sechs Bereiche, in denen betriebliche Arbeiten erforderlich sind. Abhängig von der genutzten Art des Service wechseln die Verantwortlichkeiten. Nutzt ein Unternehmen Instanzen oder virtuelle Maschinen, so ist es für das Betriebssystem, die darauf laufenden Anwendungen und die Daten verantwortlich. Im Fall eines vollständig gemanagten Service ist das Unternehmen für die Sicherheit der Daten, die in dem Service verarbeitet und vorgehalten werden, zuständig. Für alle Arten von Cloud-Services liegt die Verantwortung für die Dienstkonfiguration beim Unternehmen.

Trotz klarer Zuständigkeiten bieten die Provider eine Reihe von Funktionen, die Unternehmen bei der Erfüllung ihrer Aufgaben unterstützen und die Dienste an ihre Bedürfnisse anpassen.

Es gibt zahlreiche Belege dafür, dass Fehlkonfigurationen das grösste Problem bei der Cloud-Sicherheit sind. Sicherheitsforscher, -anbieter oder Branchenorganisationen stimmen in den Ergebnissen überein:

65% — 70%  aller Sicherheitsprobleme in der Cloud starten mit einer Fehlkonfiguration. 45% der Organisationen glauben, dass Vertraulichkeits- und Sicherheitsherausforderungen ein Hindernis für die Migration in die Cloud darstellen. Das ist schade, denn wird das Shared Responsibility Model richtig verstanden, so ist es einfacher, eine robuste Sicherheitsposition aufrechtzuerhalten. Organisationen sollten darauf drängen, schneller in die Cloud zu wechseln, um ihre Sicherheit zu verbessern.

Tempo des Wandels

Fehlkonfigurationen sind nichts anderes als Fehler. Manchmal sind diese Fehler ein Versehen, ein anderes Mal eine falsche Wahl, die aus mangelndem Sicherheitsbewusstsein getroffen wurde. Alles hängt mit den Fähigkeiten zusammen, die die Cloud zugänglich macht und zu einer entsprechenden Steigerung des Innovationstempos geführt hat.

Mit der Zeit werden die Teams schneller und können Innovationen mit einer geringen Fehlerquote erreichen. Tatsächlich sind 43 % der Teams, die eine DevOps-Philosophie eingeführt haben, in der Lage, mindestens einmal pro Woche Code bereitzustellen und dabei eine Fehlerquote von unter 15 % beizubehalten.

Und wenn doch einmal ein Fehler auftritt, können sie ihn innerhalb eines Tages beheben. Noch beeindruckender ist, dass 46 % dieser Teams in der Lage sind, die Probleme innerhalb einer Stunde zu beheben. Leider ist auch bekannt, dass Cyberkriminelle weniger als einen Tag brauchen, und jede Lücke kann ausreichen, damit sie in den Unternehmenssystemen Fuss fassen und einen Vorfall verursachen.

Die anderen 57 % der Teams, von denen die meisten grosse Unternehmen sind, haben oft das Gefühl, dass ihr mangelndes Tempo Schutz bietet. Ein vorsichtiges Vorgehen in der Cloud ermöglicht ihnen eine massvollere Herangehensweise und reduziert ihre Fehlerquote. Das mag zwar stimmen, aber um sie herum findet dennoch ein Wandel statt. Die Cloud-Service-Provider selbst bewegen sich in einem rasanten Tempo.

Im Jahr 2020 haben die vier grossen Hyperscale-Anbieter über 5.000 neue Funktionen für ihre Dienste veröffentlicht.

https://www.trendmicro.com/content/dam/trendmicro/global/en/research/21/a/the-top-worry-in-cloud-security-for-2021/04-the-worry-in-cloud-security-for-2021.jpg

Für Single-Cloud-Anwender bedeutet das fast zwei neue Funktionen pro Tag … Minimum. Für die wachsende Zahl von Multi-Cloud-Benutzern nimmt das Tempo der Veränderungen noch zu.

Selbst wenn sich Ihr Team also langsam bewegt, verschiebt sich der Boden unter ihm schnell.

Ziel der Cybersicherheit

Das Ziel der Cybersicherheit ist eigentlich ziemlich einfach: Sicherstellen, dass das, was gebaut wurde, wie angedacht funktioniert und nur so.

In einer traditionellen On-Premises-Umgebung besteht dieser Standardansatz aus einem starken Perimeter und einer weitreichenden Sichtbarkeit über das gesamte Unternehmen hinweg. In der Cloud funktioniert das nicht. Das Tempo der Veränderungen ist zu schnell, sowohl intern als auch beim Provider. Kleinere Teams bauen mehr und mehr auf. Oft agieren diese Teams von vornherein ausserhalb der zentralen CIO-Infrastruktur.

Dies macht es erforderlich, dass die Sicherheit wie ein weiterer Aspekt eines guten Gebäudes behandelt wird. Sie kann nicht wie eine eigenständige Aktivität gehandhabt werden. Das klingt nach einer monumentalen Aufgabe, ist es aber nicht. Hier erweisen sich Sicherheitskontrollmechanismen als sehr wertvoll.

Geht es um Sicherheitskontrollmechanismen, so spricht man meistens darüber, was sie stoppen. Die Verwendung eines Intrusion Prevention Systems kann Würmer und andere Arten von Netzwerkangriffen stoppen. Anti-Malware-Schutzmassnahmen können Ransomware, Cryptominers und andere bösartige Verhaltensweisen stoppen, usw. Das ist hervorragend und funktioniert gut mit den Sicherheitsteams.

Builder jedoch haben eine andere Perspektive. Im richtigen Kontext ist es einfach zu zeigen, wie Sicherheitskontrollmechanismen ihnen helfen können, besser zu bauen. Das Posture Management stellt sicher, dass die Einstellungen erhalten bleiben, unabhängig davon, wie oft ein Team im Laufe der Woche Deployments durchführt. Netzwerkkontrollen stellen sicher, dass nur gültiger Datenverkehr den Code erreicht. Die Container-Zugangskontrolle stellt sicher, dass der richtige Container zur richtigen Zeit bereitgestellt wird.

Sicherheitskontrollmechanismen tun so viel mehr, als nur zu verhindern, dass etwas passiert. Sie geben Antworten auf kritische Fragen, die sich Entwickler immer öfter stellen. Zwei Kernfragen sind es:

  1. Was kann dieser Code sonst noch tun? (Sehr wenig dank der Sicherheitskontrollmechanismen)
  2. Bist Du Dir sicher? (Ja, ich setze die Mechanismen  ein, um sicherzugehen)

Wenn sie gut entwickelt und intelligent eingesetzt werden, helfen Sicherheitskontrollmechanismen den Teams, Lösungen zu liefern, die zuverlässiger, einfacher zu beobachten und verlässlicher sind.

Sicherheit hilft, besser zu bauen.

Gefahr durch die DoppelPaymer Ransomware

Originalbeitrag von Trend Micro Research

Im Dezember 2020 gab das FBI eine Warnung bezüglich DoppelPaymer heraus. Es handelt sich um eine Ransomware-Familie, die 2019 zum ersten Mal mit Angriffen auf Unternehmen in kritischen Branchen auffiel. Ihre Aktivitäten setzten sich auch 2020 fort, einschliesslich einer Reihe von Vorfällen in der zweiten Jahreshälfte, die die Geschäftsabläufe der Opfer empfindlich störten. Was macht diese Ransomware aus?

Dem FBI zufolge greift DoppelPaymer in erster Linie Unternehmen im Gesundheitswesen, Rettungsdienste und im Bildungswesen an. Die Ransomware war besonders aktiv im September und legte beispielweise die Kommunikation und den allgemeinen Betrieb in der Uniklinik Düsseldorf lahm.

Es wird angenommen, dass DoppelPaymer auf der BitPaymer Ransomware (die 2017 zuerst gesichtet wurde) beruht, weil es Ähnlichkeiten im Code, bei den Lösegeldforderungen und Zahlungsportalen gibt. Neben einigen anderen Unterschieden fällt auch auf, dass die Verschlüsselungsgeschwindigkeit von DoppelPaymer durch den Einsatz von Threaded Dateiverschlüsselung verbessert wurde.

DoppelPaymer benötigt korrekte Befehlszeilenparameter, bevor die Schadsoftware ihre bösartigen Routinen ausführt. Die Samples zeigen unterschiedliche Parameter. Diese Technik wird möglicherweise von den Angreifern verwendet, um eine Entdeckung durch Sandbox-Analysen zu vermeiden und um Sicherheitsforscher daran zu hindern, die Samples zu untersuchen. Der vielleicht außergewöhnlichste Aspekt der Schadsoftware ist die Verwendung eines Tools namens ProcessHacker, mit dem die Ransomware Dienste und Prozesse beendet, um Zugriffsverletzungen während der Verschlüsselung zu verhindern.

Wie bei vielen modernen Ransomware-Familien sind die Lösegeldforderungen von DoppelPaymer für die Entschlüsselung von Dateien mit 25.000 Dollar bis 1,2 Millionen Dollar beträchtlich. Darüber hinaus betreiben die Hintermänner seit Februar 2020 eine Data Leak-Seite und drohen den Opfern  mit der Veröffentlichung ihrer gestohlenen Dateien als Teil der Erpressung.

Die Routine der Ransomware

Bild. DoppelPaymers Infektionsroutine

DoppelPaymer nutzt eine ziemlich ausgefeilte Routine, die mit einer Infiltrierung des Netzwerks über bösartige Spam Mails startet. Sie beinhaltet Spear Phishing Links oder Anhänge, über die die Opfer geködert werden sollen, bösartigen Code auszuführen. Der wiederum lädt weitere Malware mit fortgeschrittenen Fähigkeiten (etwa Emotet) ins betroffene System. Emotet kommuniziert anschliessend mit seinem Command-and-Control (C&C)-Server, installiert verschiedene Module und lädt weitere Malware herunter, die er ausführt.

Bei der DoppelPaymer-Kampagne wurde der C&C-Server zum Herunterladen und Ausführen der Dridex-Malware-Familie verwendet, die wiederum entweder DoppelPaymer direkt oder Tools wie PowerShell Empire, Cobalt Strike, PsExec und Mimikatz herunterlädt. Jedes dieser Tools wird für verschiedene Aktivitäten verwendet, z. B. zum Stehlen von Anmeldeinformationen, zur lateralen Bewegung innerhalb des Netzwerks und zum Ausführen verschiedener Befehle, wie Deaktivieren von Sicherheitssoftware.

Wenn Dridex in das System eindringt, führen die Angreifer die Ransomware nicht sofort aus, sondern die Schadsoftware versucht, sich lateral im Netzwerk des betroffenen Systems zu bewegen, um ein wertvolles Ziel zu finden, von dem sie wichtige Informationen stehlen kann. Erst wenn dieses Ziel gefunden ist, führt Dridex seine endgültige Payload, DoppelPaymer, aus. Diese verschlüsselt die im Netzwerk gefundenen Dateien, sowie feste und Wechsellaufwerke im betroffenen System.

Schliesslich ändert die Ransomware die Benutzerkennwörter, bevor sie einen Systemneustart in den abgesicherten Modus erzwingt, um zu verhindern, dass der Benutzer das System verlässt. Dann ändert sie den Hinweistext, der erscheint, bevor Windows zum Anmeldebildschirm übergeht. Der neue Hinweistext enthält nun die Lösegeldforderung, die Benutzer davor warnt, das System zurückzusetzen oder herunterzufahren sowie die verschlüsselten Dateien zu löschen, umzubenennen oder zu verschieben. Der Hinweis enthält auch die Drohung, die sensiblen Daten der Öffentlichkeit zugänglich zu machen, sollte das geforderte Lösegeld nicht bezahlt werden.

Empfehlungen zum Schutz vor DoppelPaymer

Unternehmen können sich vor Ransomware wie DoppelPaymer schützen, wenn sie die Security Best Practices befolgen:

  • Nicht Öffnen von ungeprüften E-Mails und kein Anklicken von in der Mail eingebetteten Links oder Anhänge
  • Regelmässiges Backup wichtiger Dateien nach der 3-2-1-Regel: Drei Kopien in zwei unterschiedlichen Dateiformaten, Ablage eines der Backups an einem separaten physischen Standort.
  • Sowohl Software als auch Anwendungen mit den neuesten Patches aktualisieren, und das so schnell wie möglich.
  • Sicherstellen, dass Backups geschützt und abgekoppelt vom Netzwerk sind.
  • Auditieren der Nutzerkonten in regelmässigen Abständen – vor allem diejenigen Konten, die öffentlich zugänglich sind, wie etwa Remote Monitoring und Management.
  • Monitoring des ankommenden und abgehenden Netzwerkverkehrs, mit Alerts bei Datenexfiltrierung.
  • Implementieren von Zweifaktor-Authentifizierung.
  • Einsetzen des Prinzips der geringsten Privilegien für Dateien, Verzeichnisse und Netzwerkfreigaben.

Der Originalbeitrag enthält auch die Indicators of Compromise (IOCs).

Banking-Trojaner Gootkit unter der Lupe

Originalbeitrag von Marc Lanzendorfer, Threat Analyst

Seit Oktober2020 beobachteten die Bedrohungsforscher von Trend Micro im deutschsprachigen Raum mehr Angriffe des Banking-Trojaners Gootkit. Nutzer infizieren sich durch „Zufall“, indem sie über Google-Suchergebnisse eine kompromittierte Webseite aufrufen, eine Datei herunterladen und ausführen. Dieser traditionelle Banking-Trojaner schneidet Zugriffe auf Webseiten mit und ermöglicht es somit Angreifern Nutzerdaten zu stehlen. War dies früher auf Banking-Webseiten beschränkt, so kann Gootkit nunmehr Nutzerdaten von anderen Webseiten – z.B. Mailkonten, Webportale etc. – abgreifen. Er läuft häufig im Hintergrund ohne das Wissen des Nutzers, und dadurch besteht die Gefahr, dass diese Daten über sehr lange Zeit unbemerkt gestohlen werden. In den letzten Monaten wurde Gootkit jedoch auch in Zusammenhang mit Ransomware identifiziert, die neben Verschlüsselung auch Daten exfiltriert. Kommt das Opfer der Lösegeldforderung nicht nach, können interne, geheime oder private Daten veröffentlicht werden. Die Forscher von Trend Micro haben diese Entwicklung untersucht und herausgefunden, dass der Gootkit Loader mittlerweile zu raffinierten Verhaltensweisen fähig ist, etwa sich heimlich auf ein betroffenes System zu laden und die Analyse und Entdeckung zu erschweren.

Diese Fähigkeit wurde aktuell genutzt, um eine DLL-Datei einzusetzen. Gootkit wurde in der Vergangenheit sowohl mit Cobalt Strike als auch mit anderen Ransomware-Angriffen in Verbindung gebracht. Einige der aktuellen Betroffenen wurden später Opfer von SunCrypt-Ransomware-Angriffen. Es ist jedoch unklar, ob dies auf den Gootkit-Bedrohungsakteur zurückzuführen ist, oder ob der Zugang an andere Bedrohungsakteure verkauft wurde.

Infektionsvektor: bösartige Suchergebnisse

Wie bereits erwähnt, geschieht die Infektion mit Gootkit in einem bestimmten Prozess: Der Anwender sucht über Google nach Software oder gar Dokumentenvorlagen. Der Nutzer vertraut in der Regel den Google-Suchergebnissen, bösartige Links werden als solche nicht immer erkannt.

Bild 1. Bösartige Ergebnisse der Suchmaschine

Folgt nun ein Nutzer einem solchen Link zu einer kompromittierten Webseite, etwa einem Forum, die genau die Software oder Dokumentenvorlage als Link anbietet, die er sucht, so lädt er die gesuchte Datei herunter, entpackt sie und führt die Schadsoftware aus.

Bild 2. Bösartige Webseite

Die bösartige Seite soll wie ein legitimes Forum aussehen mit einem Link zu einer für die Suchmaschinenanfrage relevanten Datei. Dieser spezielle Link ist jedoch raffinierter, als er aussieht. Der Versuch, dieselbe Datei von derselben URL vom selben Host/Maschine erneut herunterzuladen, schlägt fehl. Dies gelingt jedoch von einem anderen Host, aber die heruntergeladene Datei hat einen anderen Hash als die Originaldatei. Dies deutet darauf hin, dass der Server diese Datei bei Bedarf generiert, und zwar für jeden Download-Versuch einmalig.

Die heruntergeladenen Dateien tragen immer den Namen der Google Suche – z.B. aldi_postident_coupon.zip., wenn beispielsweise ein Nutzer nach Aldi Postident Coupon sucht. Damit soll der Eindruck erweckt werden, dass es sich wirklich um ein Dokument handelt, nach dem der Nutzer sucht. Die „Installation“ der Schadsoftware ist für den Nutzer nicht sichtbar und passiert im Hintergrund. Eine ausführliche tiefgehende technische Analyse der Angriffe und einer heruntergeladenen Datei beinhaltet der Originalbeitrag.

Überblick über Gootkit

Der Trojaner Gootkit ist seit mindestens 2014 bekannt und ist in der Lage, Web-Browsing zu überwachen und aufzunehmen. Er tut dies über Keylogger, Bildschirmfotos und gar Videos. Diese Daten werden dann auf die C&C Server der Angreifer extrahiert. Der Schädling nimmt jedoch nicht alles auf, sondern nur bestimmte Webseiten (Bank, Portale, Mail) werden hier überwacht. Auch kann er weitere Module über C&C-Befehle nachladen, welche eine weitgehendere Kompromittierung des kompletten Netzwerk erlauben. Somit ist es nunmehr auch möglich, Ransomware (z.B. rEvil) direkt über den Gootkit-Loader (der initiale Infektionsvektor) herunterzuladen.

Schutz vor der Bedrohung

Der beste Schutz vor dieser Art der Bedrohung ist das vorsichtige Browsing-Verhalten. Nutzer sollten nicht jedem Link bei Google-Suchen blind vertrauen, denn viele dieser Webseiten haben nichts mit den gesuchten Begriffen zu tun. So sollten z.B. Teppichreinigungsfirmen in der Regel keine Druckertreiber anbieten. Folgt der Anwender einem Link, so sollte er unbedingt die Webseite (URL) prüfen, so etwa vor Software-Downloads immer die Herstellerseite aufrufen.

Auch muss sichergestellt sein, dass eine angemessene Schutzlösung vor Schadsoftware auf dem Rechner installiert ist, und diese sollte wichtige Fähigkeiten mitbringen wie Verhaltensüberwachung, vorausschauende KI und Schutz vor bösartigen Webseiten. Ein aktiver Schutz vor Ransomware ist ebenfalls zu empfehlen. Falls möglich, kann die Registry des Windows-PC überwacht werden, um frühzeitig über Veränderungen informiert zu werden. Sollte ein Rechner mit Gootkit infiziert sein, ist es dringend anzuraten, sämtliche Passwörter (Windows, Domäne sowie alle Online-Nutzerkonten) zu ändern. Online-Nutzerkonten sollten des Weiteren auf unberechtigten Zugriff überwacht werden.

Trend Micro-Lösungen

Mit der geeigneten Lösung sind Anwender vor dieser und ähnlichen anderen Bedrohungen geschützt. Deep Discovery Analyzer kann mithilfe der Sandbox-Technologie die Schadsoftware erkennen und auch alle aktiven Verbindungen von Gootkit als „Malicious SSL Connections“ klassifizieren. Apex One bietet Schutz vor Schadsoftware während deren erster Ausführung mit Hilfe der Kombination aus Verhaltensüberwachung, XGen (künstliche Intelligenz) und der Echtzeitsuche.

Sicherheit 2021: Im Zeichen der gewandelten Arbeitsabläufe

Originalartikel von Trend Micro Research

Das Jahresende rückt näher und Unternehmen müssen ihren Fokus für 2021 auf Strategien in den wichtigen Bereichen legen. Als Reaktion auf die Covid-19-Pandemie waren Organisationen genötigt, ihre Betriebs- und Sicherheitsprozesse zu überdenken — von Geschäftsfunktionen und Cloud-Migrationen bis hin zur Unterstützung der Telearbeit. Diese aktuellen Gefahren zusammen mit den konstanten Sicherheitsrisiken, haben die Firmen im Jahr 2020 nicht nur vor Herausforderungen gestellt, sondern auch Fragen hinsichtlich ihrer Störungsanfälligkeit aufgeworfen. Trend Micro hat die Trends und Vorhersagen für 2021 aufgestellt, die Sicherheitsfachleute und Entscheidungsträger bei ihren Überlegungen im Auge behalten sollten.

Home Offices als kriminelles Drehkreuz

Im Zuge der zur Normalität gewordenen Arbeit im Home Office werden die Häuser auf absehbare Zeit zu Büros umfunktioniert. Immer mehr Mitarbeiter nutzen Geräte (einige sogar persönliche), um auf vertrauliche Daten in Heim- und Firmennetzwerken zuzugreifen. Das stellt für jede Organisation ein erhebliches Risiko dar, denn ohne einen gesicherten Zugang und robuste Sicherheitswerkzeuge, die die verteilte Angriffsfläche schützen, können sich Bedrohungsakteure leicht in Netzwerke einhacken und von einem Rechner zum anderen springen, bis sie ein geeignetes Ziel finden.

2020 wurde durch den Wechsel zu verteilter Arbeit auch der Einsatz von Geräten und Software neu gewichtet. Cyberkriminelle folgen den Nutzern und machen sich bei ihren Angriffen die Situation der User und ihr Verhalten zunutze. Sie sind immer auf der Suche nach Sicherheitslücken und nutzen die Schwachstellen, mangelnde Vorbereitung oder die mangelhafte Unterstützung der Sicherheit von Remote-Mitarbeitern gnadenlos aus.

Router werden Hauptziele der Remote-Angriffe sein. Cyberkriminelle können gehackte Router als neuen Service anbieten und damit Zugriff auf lukrative Netzwerke verkaufen. Die Sicherheitsforscher gehen davon aus, dass es auch möglich ist, dieselben Methoden auf konvergierte IT/OT-Netzwerke anzuwenden.

Der Umgang mit wertvollen Unternehmensbeständen wird 2021 ebenfalls eine Herausforderung darstellen, da die Organisationen Einbruchsversuche und Malware-Infektionen abwehren und alle sensiblen Informationen sichern müssen. Virtuelle private Netzwerke (VPNs) lassen sichere Verbindungen mit Arbeitsplätzen zu, doch wenn sie veraltet sind (oder ungepatchte Schwachstellen aufweisen, die Remote-Angriffe auslösen könnten), erweisen sie sich als ineffizient und für viele Unternehmen als schwaches Glied. Ohne detaillierte Sicherheitsrichtlinien und Incident Response-Pläne für die Reaktion auf Vorfälle können Angreifer Remote-Mitarbeiter als ideale Einstiegspunkte in die Ökosysteme von Unternehmen ins Visier nehmen.

Covid-19 als Köder für bösartige Kampagnen

Cyberkriminelle haben die durch die Pandemie verursachten Probleme schnell für ihre Angriffe genutzt, unter anderem für Phishing und Ransomware. Sie setzen dabei auf Social Engineering-Taktiken, um Spam, Business Email Compromise (BEC), Malware und bösartige Domänen zu verbreiten.

Bedrohungen werden auch weiterhin versuchen, in den Zielsystemen Fuss zu fassen. Und es gibt keinen Mangel an Bedrohungen, die Cyberkriminelle in Verbindung mit Covid-19 dafür einsetzen können. Sie werden ihr Augenmerk auch auf Tests, Behandlungen und Impfstoffe richten und die mit dem Corona-Virus verbundenen Ängste durch Fehlinformationen ausnutzen. Organisationen des Gesundheitswesens und auch Pharmaunternehmen, die Impfstoffe entwickeln, werden ebenfalls weiter unter Druck gesetzt werden. Bedrohungsakteure können Patientendaten gefährden, Malware-Angriffe starten oder medizinische Spionage erleichtern.

Digitale Transformation kann zum zweischneidigen Schwert werden

Die durch die Pandemie verursachten Geschäftsstörungen haben viele Unternehmen dazu angespornt, ihre Programme zur digitalen Transformation zu beschleunigen. Aus technologischer Sicht kommt dies der Lösung derzeitiger Bedürfnisse, welche cloudbasierte Software erfüllen kann, entgegen. Viele haben die Konnektivität unter den Mitarbeitern vorangebracht, setzen auf KI-fähige Anwendungen für die Unternehmensproduktivität und eine verstärkte Nutzung der Cloud, um agiler zu werden und besser skalieren zu können.

Doch diejenigen, die hastig von On-Premise-Umgebungen abgekommen sind, ohne entsprechende Sicherheitslösungen für die neuen Umgebungen zu haben, werden in Schwierigkeiten geraten. Der verstärkte Trend in Cloud-Umgebungen und -Tools für die Zusammenarbeit wird für Angreifer sehr attraktiv. Und Forscher aber auch Bedrohungsakteure werden sich auf Schwachstellen hinsichtlich der Technologien für das Remote-Arbeiten konzentrieren. Die „Cloud of Logs“, die Unternehmen anlegen und speichern, wird auch eine zentrale Rolle für professionelle Cyberkriminelle spielen. Sie werden dort wertvolle Daten suchen und nutzen, um erste Zugangspunkte zu Netzwerken zu finden.

Die sich abzeichnenden Wechsel in der Bedrohungslandschaft sollten Organisationen nicht davon abhalten, neue Technologien zu implementieren und sich der aktuellen Realität zu stellen. Bedrohungsakteure werden versuchen, die Situation auszunutzen, unabhängig von der aktuellen Landschaft. Mit geeigneten Sicherheitsstrategien und -lösungen können Organisationen alle Vorteile der digitalen Transformation nutzen, ohne sich selbst einem erheblichen Risiko auszusetzen.

Den ganzen Bericht mit den Prognosen zu den wichtigsten Sicherheitstrends finden Interessierte hier: „Turning the Tide: Trend Micro Security Predictions for 2021

Schäden in Fertigungsnetzwerken durch moderne Ransomware

Originalbeitrag von Ryan Flores

Ransomware-Bedrohungen haben die Fertigungsindustrie im Jahr 2020 erheblich beeinträchtigt. Diese Angriffe führten zu hohen Produktionsverlusten und unterbrachen Betriebsabläufe. Im dritten Quartal schienen die Angreifer bei ihren Ransomware-Attacken Unternehmen der Fertigungsindustrie besonders häufig ins Visier zu nehmen.

Die Daten aus Trend Micro™ Smart Protection Network™ zeigen, wie sich die Ransomware-Bedrohung auf verschiedene Branchen ausgewirkt hat.

Bild 1. Von Ransomware betroffene Branchen im 3. Quartal 2020 (Daten aus dem Smart Protection Network)

Fertigungsanlagen verwenden grosse Maschinen — Fliessbänder, Öfen, Motoren und dergleichen –, und der Technologiefortschritt sowie der Trend zu Industry 4.0 haben auch die Einführung von Computern in die Produktions- und Betriebsanlagen begünstigt. Die Industriemaschinen werden von Computern gesteuert oder überwacht, und diese sind ihrerseits mit anderen Computern und Netzwerken verbunden, um Daten weiterzuleiten.

Bild 2. Architektur eines Industrial Control Systems (ICS)

Auf Ebene 0 befinden sich die grossen Teile der Hardware. Um diese Maschinen zu steuern und zu überwachen, sind die Computer auf Ebene 2 notwendig. Die Computer für die Mensch-Maschine-Schnittstelle (HMI) und für die übergeordnete Steuerung und Datenerfassung (SCADA) ermöglichen den Bedienern die Übersicht und Kontrolle über die Industriemaschinen, während die Engineering-Arbeitsstation die Entwürfe, Konstruktionsunterlagen, Robotercodes, Programme und Konfigurationen enthält, die für die Erstellung des Endprodukts erforderlich sind.

Auf Ebene 3 gibt es häufig einen zentraler Dateiserver mit den Konstruktionsdateien und Produktdokumenten für den gemeinsamen Zugriff zwischen Engineering-Arbeitsplätzen sowie eine historische Datenbank, die Geräte, Leistungskennzahlen und Produktqualität vorhält. Was passiert aber, wenn ein Ransomware-Angriff in der Lage ist, in die Computer der Ebenen 2 und 3 einzudringen?

Verlust der Einsicht und Kontrolle

Moderne Ransomware ist nicht darauf ausgelegt, infizierte Computer herunterzufahren oder lahm zu legen. Die letzte Ransomware, die infizierte Computer effektiv stilllegte, war die 2017 und 2018 aktive Petya. Die Ransomware-Familien, die danach kamen, waren vorsichtiger bei der Dateiverschlüsselung  und schlossen Systemdateien und ausführbare Dateien gezielt aus, da diese vom Computer zum Booten und Betrieb benötigt werden. Alles andere ist verschlüsselt. Das bedeutet, dass es keine abrupte Abschaltung in der Fabrikhalle gäbe, wenn die Ransomware auf einen der Steuer- und Überwachungscomputer im Operational Technology (OT)-Netzwerk trifft.

Bild 3. Beispiel eines HMI

Als grafische Schnittstelle sind HMIs extrem abhängig von Bilddateien. Jeder in der HMI dargestellte Knopf, jeder Wert, jedes Logo, jede Leitung und jedes Ausrüstungsteil haben eine entsprechende Bilddatei irgendwo im Verzeichnis der HMI-Software. Darüber hinaus werden Konfigurationen, die Werte, Zuordnungen, Logik, Schwellenwerte und Lexika enthalten, in Textdateien zusammen mit den Bilddateien gespeichert. Bei einem Ransomware-Angriff auf eine HMI stellten die Sicherheitsforscher fest, dass 88% der verschlüsselten Dateien JPEG-, BMP- oder GIF-Dateien waren — die Bilder, die von der HMI zum Rendern der Schnittstelle verwendet wurden. Wären all diese Dateien verschlüsselt, würde die Wiederherstellung der betroffenen Systeme nicht nur eine Neuinstallation der ICS-Software erforderlich machen, zusätzlich müsste auch die benutzerdefinierte HMI- oder SCADA-Schnittstelle wiederhergestellt werden.

Ransomware muss nicht direkt auf die Prozesse der ICS-Software abzielen, um das ICS außer Gefecht zu setzen. Durch die Verschlüsselung der Dateien, von denen die HMI, SCADA oder Engineering Workstation (EWS) abhängt, kann Schadsoftware das System unbrauchbar machen. Die Folge wäre der Einsichts- und Kontrollverlust für den Bediener und letztlich ein Produktivitäts- und Umsatzverlust für die Fabrik.

Diebstahl von Betriebsinformationen

Netzwerk-Dateifreigaben (Network File Sharing, NFS) sind in Fertigungsumgebungen praktisch eine Notwendigkeit. Auf der betrieblichen Seite nutzen Ingenieure und Konstrukteure sie nicht nur als Mittel zum Austausch von Konstruktions- und Entwicklungsdokumenten, an denen sie arbeiten, sondern auch als Repository für Referenzdateien, Richtlinien, Stücklisten, Werkzeuge und Arbeitsabläufe.

Auf der geschäftlichen Seite setzen Manager und Mitarbeiter auf Netzwerkfreigaben, um Informationen über Verkäufer, Lieferanten, Bestellungen, Rechnungen und Ähnliches zu speichern. Ein dediziertes Lieferketten-Management (SCM)- und/oder Produktlebenszyklus-Management (PLM)-System und die damit verbundenen Datenbanken sind sogar auf Ebene 4 oder 5 zu finden.

Obwohl ein Ransomware-Angriff, der diese Dateispeicher und Datenbanken betrifft, nicht notwendigerweise die Produktionslinie unterbrechen würde, beeinträchtigt dennoch den Geschäftsbetrieb, das Lieferkettenmanagement sowie die Produktentwicklung und das Produktdesign. Dies sind jedoch nur die kurzfristigen Folgen. Moderne Ransomware-Operationen beinhalten auch Datendiebstahl, der dauerhafte Schäden hinterlässt.

Seit der Maze-Ransomware ist es fast schon Standardpraktik der Hintermänner, mithilfe handelsüblicher Dateisicherungswerkzeuge Daten von ihren Opfern zu stehlen. Ursprünglich sollte damit der Druck auf das Opfer erhöht werden, da das Datenleck eine zusätzliche Erpressungsdrohung ermöglicht. Es werden jedoch auch Daten von Ransomware-Opfern im Untergrund verkauft. Dies ist besonders unerfreulich für Unternehmen, da Design- und Konstruktionsdokumente häufig geistiges Eigentum enthalten. Darüber hinaus könnten Informationen über Lieferanten und Zulieferer vertrauliche Lieferkettendaten wie Preis- und Bestellinformationen umfassen.

Fertigungsunternehmen sollten diese Möglichkeiten in Betracht ziehen, falls sie mit einem Ransomware-Vorfall konfrontiert werden. Sobald der Produktions- und Geschäftsbetrieb wiederhergestellt ist, muss eine Bewertung der gestohlenen Daten vorgenommen werden. Danach sollten sie sich die schmerzhafte Frage stellen: Wenn die Daten bekannt oder verkauft werden, welche Auswirkungen hätte dies auf die Produktion, die Geschäftsbeziehungen und die Kunden? Die Antworten darauf müssen die nachfolgenden Aktionen bestimmen und so eine effektivere Reaktionsstrategie ermöglichen.

Post-Intrusion Ransomware

Im Laufe der Jahre gab es einen erheblichen Rückgang von Ransomware-Zwischenfällen, die als E-Mail-Anhänge kamen oder über bösartige Websites installiert wurden. Glaubt man den Schlagzeilen, so sieht es aus, als hätte die Verbreitung von Ransomware überhaupt nicht abgenommen.

Bild 4. Von Trend Micro als Mail-Anhang oder bösartige Website entdeckte Ransomware

Dieser Eindruck liegt daran, dass die Ransomware-Akteure in den letzten Jahren bei  der Wahl ihrer Ziele selektiver geworden sind. Sie kommen von den en masse verbreiteten Spam-Kampagnen mit Ransomware ab und wählen einen restriktiveren Ansatz, der als „Grosswildjagd“ bezeichnet werden kann. Es geht ihnen nicht mehr um Haushalts-Desktops („Kleinwild“), sondern eher um mittlere bis grosse Unternehmen („Grosswild“). Der Grund für diese Interessensverschiebung liegt darin, dass sie hier höhere Profite pro Ansteckung erwarten.

Die Grosswildjagd ist komplizierter und erfordert mehr Zeit zum Beobachten, Aufspüren und Anpirschen an die Beute. Aus diesem Grund werden die meisten Ransomware-Familien, die grosse Industriezweige (wie die verarbeitende Industrie) angreifen, als „Post-Intrusion Ransomware“ bezeichnet. Die Angreifer verschaffen sich bereits vor der Installation der Ransomware auf anderem Wege Zugang zum Netzwerk.

Bild 5. Verbreitung verschiedener Ransomware-Familien in Fertigungsnetzwerken im 3. Quartal 2020

Die meisten verschiedenen Ransomware-Familien, die im 3. Quartal 2020 die Fertigungsindustrie anvisierten, gehören zur Post-Intrusion-Ransomware. Sodinokibi, die Ransomware, die für die meisten Produktionsnetzwerke im 3. Quartal verantwortlich war, wird installiert, nachdem Angreifer Zugang zu anfälligen Oracle WebLogic-Servern erlangt haben. Gandcrab wird normalerweise installiert, nachdem Angreifer anfällige öffentlich zugängliche MySQL-Server ausgenutzt haben. Die Ryuk-Ransomware wird installiert, nachdem Emotet-Malware bereits in Netzwerken Fuss gefasst hat. Angreifer, die Sodinokibi, Medusalocker, Crysis und eine Reihe anderer Ransomware installieren, sind dafür bekannt, dass sie schwache RDP-Zugangsdaten missbrauchen.

Ein Ransomware-Vorfall ist kein einzelnes Ereignis. Er legt mehrere Sicherheitsprobleme offen, die es den Angreifern ermöglichen, Zugang zu einem Netzwerk zu erlangen, sich lateral zu bewegen und die Schlüssel-Assets für ihre Lösegeldforderung zu identifizieren.

Sowohl die jüngsten Daten zur Fertigungsindustrie als auch das Muster der Ransomware in ICS-Systemen deuten darauf hin, dass es möglicherweise Löcher in der entmilitarisierten Zone (DMZ) und der Netzwerksegmentierung gibt und eine Kompromittierung aus dem IT-Netz in das OT-Netz gelangen kann. Ein weiteres mögliches Problem besteht darin, dass es Fernzugriffsverbindungen direkt in das OT-Netzwerk gibt, die schwach oder bei den Schutzmassnahmen nicht berücksichtigt sind. Eine echte Wiederherstellung darum erst, wenn die Sicherheitsschwachstellen, die die Ransomware-Infektion überhaupt erst ermöglicht haben, behoben sind.

Sicherheit für Fertigungsnetzwerke

Während der letzten paar Jahre hat sich gezeigt, dass Fertigungsnetzwerke genauso einfach zu kompromittieren sind wie jedes andere Netzwerk einer anderen Branche. Selbst mit der spezialisierten Ausrüstung, Software sowie Protokoll- und Netzwerksegmentierung gelingt es Angreifern routinemässig ICS-Systeme zu erpressen.

Bewährte Standard-Sicherheitspraktiken und -lösungen funktionieren, aber sie müssen in einer Weise eingesetzt werden, die genau auf die Produktionsumgebung abgestimmt ist. Abgesehen von den Standardfähigkeiten von Sicherheitslösungen sind die folgenden zusätzlichen Anforderungen vorhanden, die Sicherheitsbeauftragte in der Fertigungsindustrie bei der Bewertung von Sicherheitslösungen beachten müssen:

  • Niedrige Latenzzeit. Die Lösungen sollten zeitempfindliche Produktionsprozesse nicht beeinträchtigen.
  • Protokolle, die mit OT-Protokollen im Feld vertraut sind. Sicherheitsprodukte sollten den Verkehr von und zu ICS-Systemen einwandfrei identifizieren und überwachen.
  • Integrierte Überwachung und Erkennung in IT- und OT-Netzwerken. Sicherheitsstrategien brauchen Produkte, die zusammenarbeiten und Daten zwischen Netzwerksegmenten austauschen können, um so die Benutzerfreundlichkeit zu erhöhen und die Überwachung und Reaktion zu vereinfachen.

Weitere Sicherheitslösungen für die Fertigungsindustrie bietet Trend Micro.

Ransomware-Angriffe setzen auf das Weihnachtsgeschäft

Originalartikel von Trend Micro Research

Cyberkriminelle haben in letzter Zeit ihre Ransomware-Angriffe vor allem auf den Einzelhandel konzentriert, wissend wie schlimm es für diese Unternehmen sein kann, wenn sie die Geschäftstätigkeit während der für sie wichtigen Vorweihnachtszeit und dem Black Friday stören. Eine Ransomware-Attacke könnte für den Händler den Verlust von tausenden Verkaufschancen bedeuten, wenn das Geschäft keine zufriedenstellende Dienstleistung bietet. Ein Überblick über die aktiven Ransomware-Familien und Handlungsempfehlungen.

Daten aus der Sicherheitsinfrastruktur Trend Micro Smart Protection Network™ zeigten eine Reihe von Ransomware-Familien, die bei Angriffen gegen Einzelhandelsunternehmen eingesetzt wurden. Sekhmet, eine relativ neue Familie mit umfangreichen Verschleierungs-Fähigkeiten, wies die zweithöchste Anzahl von erkannten Ransomware-Dateien auf. Es ist nicht viel bekannt über Sekhmet, doch hat sie Berichten zufolge bereits Schlagzeilen gemacht. Die Schadsoftware verschlüsselt nicht nur Dateien, die Hintermänner drohen auch damit, gestohlene Daten zu veröffentlichen, sollte das Opfer das Lösegeld nicht bezahlen. Für Einzelhändler bedeutet dies, es könnten Kundendaten an die Öffentlichkeit geraten, was auch rechtliche Konsequenzen hätte.

Einige Varianten werden auch als Ransomware-as-a-Service (RaaS) angeboten, sodass deren Einsatz nicht auf die Malware-Autoren beschränkt ist, was vermutlich einen Anstieg der Angriffe mit Sekhmet und Co. bewirken wird.

Traditionelle Ransomware aktiv

Auch Angriffe mit weiteren Ransomware-Veteranen wie Cerber und Crysis zeigen die Daten. Diese beiden Familien gibt es seit Jahren, und sie gelten als „traditonelle“ Schädlinge, die sich vor allem über Social Engineering-Techniken und E-Mails verbreiten. Dennoch wurden sie durch neuere Erpressungssoftware nicht verdrängt und durchliefen mehrere Updates, die neue Fähigkeiten hinzufügten, vor allem bezüglich ihrer Aktivitäten im Verborgenen und der Verhinderung der Entdeckung.

Die Crysis-Familie zielte auf Unternehmen weltweit. Sie wird auch als RaaS angeboten, sodass auch technisch nicht versierte Akteure damit angreifen können. Die Ransomware-Familie verbreitet sich über Remote Desktop Protocol (RDP)-Angriffe. Deshalb sollten Unternehmen die Aktualisierung und Verbesserung der RDP-Anmeldeinformationen priorisieren, Zweifaktor-Authentifizierung einführen und den RDP-Port auf einen Nicht-Standard Port (oder den RDP-Zugang ganz schliessen) setzen.

Cerber, vor allem in den USA aktiv, bietet Partnern RaaS-Dienste. Der Betrieb von Cerber ist hocheffizient und bietet Automatisierung für kriminelle Akteure, die die Plattform nutzen, oder auch für Zahloptionen. Damit ist die Schadsoftware für Cyberkriminelle sehr attraktiv, die nicht über das nötige Wissen oder die Ressourcen verfügen.

Die Trend Micro-Daten zeigen allgemein, dass Ransomware-Familien, die als RaaS angeboten werden, sehr beliebt sind. Es ist sehr wahrscheinlich, dass nicht nur die grossen Gruppen hier aktiv sind, sondern auch kleinere, die möglicherweise versuchen, die lukrative Shopping-Zeit zu nutzen.

Die Forscher fanden auch viele WannaCry-bezogene Dateien. Die Schadsoftware erlangte 2017 traurige Berühmtheit, nachdem ihre erste Kampagne hunderttausende Computer weltweit infiziert hatte. Seitdem ist sie Grundbestandteil der Cyber-Kriminalität geblieben, selbst mit dem Auftauchen neuerer Ransomware-Familien wie Ryuk.

Weitere Bedrohungen für Einzelhändler

Ransomware ist nicht die einzige Bedrohung für den Einzelhandel. Eine der prominentesten Gangs, die Online Shopping-Systeme angreift, ist Magecart. Sie setzt auf Skimming-Angriffe, um online Kreditkarteninfos abzugreifen, und zielt auf jede Art von Online-Opfer – von Shops bis zu Hotel-Buchungssites und sogar auf lokale US-Regierungsbehörden. Häufig griffen die die Hintermänner die Supply Chain an und kompromittierten Drittanbieter-Software von Systemintegratoren (wie etwa E-Commerce Service Provider), indem sie bösartige Skripts einschleusten.

Verteidigung gegen Ransomware

Obwohl Ransomware in verschiedenen Formen und mit unterschiedlichen Fähigkeiten daherkommt, bleiben die Methoden, mit denen der Zugriff auf einen Zielcomputer erfolgt, relativ gleich. Ransomware-Betreiber verwenden oft Social Engineering-E-Mails, um im System Fuss zu fassen, eine einfache Taktik, die leicht vereitelt werden kann. Unternehmen sollten ihre Mitarbeiter über Social-Engineering-Techniken wie Spam und Spear-Phishing aufklären und den Nutzer dazu anhalten, nicht auf E-Mail-Anhänge und Links aus verdächtigen oder nicht verifizierten Quellen zu klicken, da diese zu den häufigsten Infektionsvektoren für Ransomware gehören.

Darüber hinaus müssen Unternehmen Systemsoftware patchen und aktualisieren, um alle Schwachstellen zu beheben, die böswillige Akteure zur Infektion von Systemen nutzen können. Ransomware kann auch Schwachstellen für laterale Bewegung ausnutzen, nachdem sie in das Netzwerk eingedrungen ist, so dass ein böswilliger Akteur einen einzelnen Rechner als Einstiegspunkt benutzen und von dort aus zu anderen Systemen und Geräten wechseln kann. Das Patchen von Bugs ist besonders wichtig für Einzelhandelsunternehmen, da WannaCry, die am weitesten verbreitete Ransomware-Familie in der Branche, Schwachstellen als Teil ihrer Routine ausnutzt.

E-Commerce-Geschäfte sollten ihre Sites und Anwendungen einem Audit unterziehen, um sicherzustellen, dass sie so sicher wie möglich sind. Sie sollten regelmässig Backups von Store- und Kundendaten erstellen, vorzugsweise unter Anwendung der 3-2-1-Regel (drei Kopien in zwei verschiedenen Formaten mit mindestens einer Kopie ausserhalb des Standorts). Eine weitere Option ist der Einsatz von Intrusion-Prevention-Software, die Netzwerkangriffe erkennen und verhindern sowie anfällige Systeme virtuell patchen kann.

Detection & Response gegen Viren in Einrichtungen des Gesundheitswesens

Von Richard Werner, Business Consultant bei Trend Micro

Kürzlich schreckte wieder eine Meldung zu einer Reihe möglicherweise koordinierter Ransomware-Angriffe auf Hunderte von Krankenhäusern, medizinischen Einrichtungen und Kliniken in den USA die Öffentlichkeit auf. Immer wieder gibt es dergleichen Erpressungsangriffe, auch in Europa und Deutschland. Berichte zum aktuellen Fall legen nahe, dass der Angriff mit der Ryuk Ransomware erfolgte, die auch TrickBot oder Emotet Trojaner nutzt und diese über Phishing-Mails verbreitet, um dann im Netzwerk Fuss fassen zu können. Trend Micro hat TrickBot in diesem Jahr bereits einige Male in medizinischen Einrichtungen erkannt und geblockt. Es gibt auch Anleitungen zu weiteren konkreten Schritten als Verteidigung gegen die Ransomware. Darüber hinaus jedoch müssen Krankenhäuser und medizinische Einrichtungen eine generelle Sicherheitsstrategie definieren, um Angriffe zu verhindern, aber auch um entsprechend schnell und effizient darauf reagieren zu können.

Einrichtungen im Gesundheitswesen setzen zunehmend auf Digitalisierung und Vernetzung, um ihre Abläufe zu optimieren und die Versorgung der Patienten zu verbessern. Im Rahmen eines Symposium des BSI und der Uniklinik Bonn warnte Arne Schönbohm, Präsident des BSI: „Digitalisierung geht nicht ohne Informationssicherheit. Corona und der damit verbundene Digitalisierungsschub haben uns vor Augen geführt, wie wichtig eine funktionierende und sichere IT ist.“ Wie angespannt die Gefährdungslage für Krankenhäuser ist, haben die erfolgreichen Cyber-Angriffe der letzten Monate eindrucksvoll gezeigt, so der Präsident weiter. Die Kliniken tragen deshalb eine besondere Verantwortung für ihre IT-Netzwerke.“

Die Bedrohung

Die Sicherheitsforscher von Trend Micro untersuchten die Bedrohungen für Krankenhäuser und machten drei Bereiche aus, in denen das Risiko, von Cyberkriminellen angegriffen zu werden, sehr hoch ist.

  • Krankenhausbetrieb — Dazu gehören Cyberbedrohungen für täglich verwendete kritische Systeme, wie etwa Mitarbeiterplanungsdatenbanken, Paging-Systeme, Gebäudekontrollsysteme, Inventur-, Gehalts- und Administrationssysteme etc.
  • Vertraulichkeit der Daten —Das sind verschiedene Datentypen wie persönlich identifizierbare Informationen (PII), sowohl von Patienten als auch Angestellten, einschliesslich Diagnose- und Behandlungsdaten, Versicherungs- und finanzielle Informationen, Forschung und Daten von Arzneimitteltests; Gehaltsinformationen, geistiges Eigentum und andere.
  • Gesundheit der Patienten — Dazu gehören Cyberbedrohungen für medizinische Geräte und Systeme, die bei der Behandlung, fürs Monitoring und die Diagnose genutzt werden, aber auch Bedrohungen für Informationssysteme des Krankenhauses.

Es gibt drei potenzielle Gefahren: Manipulation von Geräten, Angriffe auf medizinische Einrichtungen sowie Erpressung von Patienten und Krankenhäusern. Weltweit sind etwa 24,3 Millionen Datensätze von Patienten frei im Internet zugänglich. Die Bedrohung durch Daten-Leaks mit der Offenlegung von Patientendatensätzen im Internet habe eine „neue Qualität“ erreicht, warnt das BSI in seinem Jahresbericht 2020.

Bei dem Symposium zur Sicherheit von Krankeneinrichtungen mahnte Prof. Wolfgang Holzgreve, Ärztlicher Direktor und Vorstandsvorsitzender des UKB: „Die virtuelle und die reelle Welt haben eines gemeinsam – gegen Viren hilft schliesslich nur Prävention.“ Diese Aussage lässt sich als medizinischer Laie relativieren: Prävention ist nicht das Einzige, was hilft, aber eine vernünftige Prävention ist der mit Abstand einfachste und effizienteste Weg mit einer Virusinfektion umzugehen. Das zeigt die aktuelle Pandemie gerade sehr deutlich. Der Zweck jeder Prävention ist es deshalb die Anzahl der Betroffenen so niedrig wie möglich zu halten um im Ernstfall schnell und effizient zu agieren.

Prävention ist nicht alles

Dies gilt für die „virtuelle“ IT Welt genauso. Präventive Vorgehensweisen sorgen dafür, dass möglichst viele Problemherde im Vorfeld erkannt und „gelöscht“ werden können. Dennoch ist es unmöglich, auf alles vorbereitet zu sein, und es ist eher eine Frage der Statistik, wann und in welchem Ausmass eine Infektion stattfindet. In einem solchen Fall ist es wichtig, alle betroffenen Systeme so schnell wie möglich zu entdecken (Track & Trace) und von „gesunden“ Systemen zu isolieren, um eine laterale Bewegung (Super Spreader) zu unterbinden. Diese Strategie in Verbindung mit entsprechender Technologie nennt sich Detection & Response und muss über alle möglichen Eintritts- und Verbreitungspunkte angewendet werden – so genanntes „Cross Layer Detection & Response“ oder XDR.

Sobald das Problem eingedämmt ist, erfolgt eine Analyse, um die betroffenen Systeme so schnell wie möglich wiederherzustellen. Nach Abschluss aller Massnahmen und Untersuchungen wird dann auch die Prävention angepasst oder — um die Analogie zur Epidemie wieder herzustellen – Gegenmittel entwickelt, also „digitale Impfungen“, die eine weitere Ausbreitung nicht nur im eigenen Netz sondern weltweit unterbinden können, vorausgesetzt natürlich, dass die dort zuständigen Verantwortlichen diese digitalen Schutzmassahmen auch einsetzen.

Diese Prozesse lassen sich weitestgehend automatisieren. So können digitale Impfungen innerhalb von Minuten in einem Netzwerk erzeugt und verteilt und innerhalb von Stunden herstellerübergreifend global ausgerollt werden — selbst bei vollkommen unbekannten Angriffsmustern.

Fazit

Das ist der Grund, warum es in der IT Welt eben keine grossen Massenangriffe über eine Malware mehr gibt, sondern jeweils einzelne Aktionen oder Kampagnen mit sehr individuell angepassten Methoden für die Kompromittierung. Deshalb wird die Forderung immer dringlicher, die eigene Umgebung durch Detection & Resonse in die Lage zu versetzen, solche Angriffe zu erkennen.

Zur Prävention gehört es des Weiteren auch, sich darauf vorzubereiten, nicht vorbereitet zu sein. Diese völlig legitime Fragestellung beinhaltet im Ernstfall, auf Experten zurückzugreifen und sich beraten zu lassen. Diese Vorgehensweise ist in modernen XDR-Konzepten ebenso umsetzbar und auf die individuellen Bedürfnisse einer Unternehmung anpassbar, wie auch die technischen Lösungen selbst.

Empfehlungen für Schritte für den Schutz vor der aktuellen Bedrohung durch die aktuelle Ransomware:

  • Sicherstellen, dass alle Domain Controller den Patch gegen die Zerologon-Schwachstelle enthalten. Angreifer nutzen die Lücke, um sich einen Zugang auf Domänenebene zu verschaffen.
  • Neue Ryuk-Updates zeigen, dass die Schadsoftware versucht, Dateien über administrative Windows-Freigaben zu verschlüsseln. Deshalb sollten diese entweder vollständig deaktiviert oder der Zugang über die Firewalls geblockt werden.
  • Deaktivieren der Powershell über Group Policy, weil das Tools häufig in Angriffen auf das Netzwerk genutzt wird.
  • Regelmässige Backups aller Daten erstellen und mit einem Passwort und Air Gap die Kopien offline schützen.

Die Bedeutung von Visibilität für die Cloud Security

von Trend Micro

85% der Unternehmen weltweit nutzen die Cloud, um dort Riesenmengen an Informationen vorzuhalten, und das Modell hat seine Vorteile gerade in diesem Jahr der Pandemie bewiesen. 87% IT-Entscheidungsträger weltweit führten den raschen Wechsel in die Cloud auf die unvorhergesehene globale Gesundheitskrise zurück, ein Schritt, der sich als hilfreich für die wirtschaftliche Widerstandsfähigkeit erweist. Dank der Cloud sind Unternehmen und Organisationen in der Lage, den Grossteil ihrer Mitarbeiter von zu Hause aus arbeiten zu lassen, und es ist davon auszugehen, dass auch nach der Pandemie die Zahl der im Home Office verbleibenden Mitarbeiter (die sich im Vergleich zu vor der Pandemie bereits vervierfacht hat) weiterhin höher ist als in den vergangenen Jahren. Bereits heute rüsten sich die Organisationen für eine „Cloud-first“-Welt. Banken und Finanzinstitutionen streben nun sogar an, bis 2025 vollständig Cloud-basiert zu werden.

Angesichts der beträchtlichen Anzahl von Menschen, die remote arbeiten und aus verschiedenen Teilen der Welt auf die Cloud zugreifen, ist das Problem der Transparenz in der Cybersicherheit von Unternehmen jedoch offensichtlicher geworden. Wie können Unternehmen der Visibilität in einer „Cloud-first“-Welt Priorität einräumen?

Bedrohungen und Sicherheitsrisiken nach der Migration in die Cloud

Neben den Vorteilen der besseren Konnektivität, Produktivität und Effizienz bietet die Cloud weitere Möglichkeiten wie die Datenspeicherung, die Analyse grosser Datenmengen, die Entwicklung von Anwendungen und Software sowie Video- und Audio-Streaming-Funktionalitäten – die alle gesichert werden müssen. Unternehmen sollten sich beim Cloud-Betrieb über die Herausforderungen und Risiken bezüglich der Sichtbarkeit/Transparenz im KIaren sein.

Eine dieser Herausforderungen, die sich auf die Sichtbarkeit auswirkt, ist die Vielfalt der eingesetzten Rechenressourcen — unterschiedliche Cloud-Anbieter, Konten und Dienste zusätzlich zu den lokalen Rechenzentren. Tatsächlich haben vier von fünf Unternehmen zwei oder mehr Infrastructure-as-a-Service (IaaS)- oder Platform-as-a-Service (PaaS)-Provider.

In einer Umfrage 2019 gaben mehr als 51% der Befragten zu, separate Identity and Access Management (IAM)-Schnittstellen für ihre Cloud- und On-Premise-Umgebungen einzusetzen. Eine Übersicht ist hier unmöglich, sodass sich nicht autorisierte Personen Zugang zu kritischen oder sensiblen Informationen verschaffen können.

Zuviele Cloud-Provider im Einsatz

86% der Unternehmen nutzen mehr als 11 verschiedene SaaS-Provider, einschliesslich Cloud-basierter Apps wie Gmail oder Microsoft 365. Dies mag zwar Vorteile für die Produktivität und Effizienz bedeuten, doch entsteht auch ein komplexes Geflecht von Cloud-getriebenen Services, das die Übersicht darüber erschwert. Hinzu kommt, dass laut Netskope-Daten aus dem Jahr 2018 nahezu 93% der in Unternehmen eingesetzten Cloud-Anwendungen nicht dafür geeignet sind, also den Standards (mit Parametern für Datensicherheit, Zugangskontrolle und Vertraulichkeit) in der Cloud Security Alliance Cloud Controls Matrix nicht entsprechen.

Das Vorhandensein vieler ungesicherter Dienste (Schatten-IT) ist ein weiteres Sicherheitsrisiko, das die Übersicht beeinträchtigt. 2019 nutzten laut einem Bericht des Softwareunternehmens Igloo 50% der Mitarbeiter für ihre arbeitsbezogenen Aufgaben vom Arbeitgeber nicht genehmigte Apps und Infrastrukturen.

Bild. Potenzielle Risiken in Cloud-Umgebungen

Entwickler können neue Server bereitstellen, ohne sich um die Probleme kümmern zu müssen, die normalerweise mit der Bereitstellung in einer Vor-Ort-Umgebung verbunden sind, wie z.B. Provisioning und Budgetierung. Auf der anderen Seite wissen die Sicherheitsteams möglicherweise auch nicht um alle entstandenen virtuellen Umgebungen und wenden somit auch nicht alle erforderlichen Schutzmassnahmen darauf an. Um möglichst schnell sicherzustellen, dass die Dienste nahtlos miteinander kommunizieren, könnten diese schnell einsetzbaren Virtual Private Clouds (VPCs), virtuellen Netzwerke und Container mit nur geringen oder gar keinen Sicherheitsvorkehrungen konfiguriert worden sein.

Open Source als Risiko

Aufgrund der sicherheitstechnisch laxen Konfigurationen und schlechten Coding-Praktiken, könnten APIs, die kritische Daten beinhalten, böswilligen Akteuren zugänglich werden. Diese sind dann in der Lage, aus der Ferne Code auszuführen und Distributed Denial of Service (DDoS)-Angriffe zu starten. Exponierte Container lassen Krypto-Mining zu – so wie kürzlich die Angriffe mit Malware für sowohl Linux-Systeme und exponierte Docker-Umgebungen gezeigt haben.

Die Entwicklung von Cloud-nativen Anwendungen könnte auch zu einer Zunahme der Nutzung und infolgedessen Abhängigkeit von Bibliotheken Dritter führen. Entwickler greifen auch häufig auf quelloffenen Code, Bibliotheken, Komponenten und Software zurück. Leider haben diese häufig Schwachstellen. Untersuchungen von Snyk ergaben, dass Schwachstellen in Open-Source-Komponenten in den letzten drei Jahren zugenommen haben. Die Ausnutzung dieser Sicherheitslücken könnte zu Compliance- und Sicherheitsproblemen führen.

Der zweite Teil des Beitrags zeigt, wie in einer „Cloud-first“-Welt die Visibilität über die Cloud-Ressourcen zu bewerkstelligen ist.

Die Bedeutung von Visibilität für die Cloud Security

von Trend Micro

85% der Unternehmen weltweit nutzen die Cloud, um dort Riesenmengen an Informationen vorzuhalten, und das Modell hat seine Vorteile gerade in diesem Jahr der Pandemie bewiesen. 87% IT-Entscheidungsträger weltweit führten den raschen Wechsel in die Cloud auf die unvorhergesehene globale Gesundheitskrise zurück, ein Schritt, der sich als hilfreich für die wirtschaftliche Widerstandsfähigkeit erweist. Dank der Cloud sind Unternehmen und Organisationen in der Lage, den Grossteil ihrer Mitarbeiter von zu Hause aus arbeiten zu lassen, und es ist davon auszugehen, dass auch nach der Pandemie die Zahl der im Home Office verbleibenden Mitarbeiter (die sich im Vergleich zu vor der Pandemie bereits vervierfacht hat) weiterhin höher ist als in den vergangenen Jahren. Bereits heute rüsten sich die Organisationen für eine „Cloud-first“-Welt. Banken und Finanzinstitutionen streben nun sogar an, bis 2025 vollständig Cloud-basiert zu werden.

Angesichts der beträchtlichen Anzahl von Menschen, die remote arbeiten und aus verschiedenen Teilen der Welt auf die Cloud zugreifen, ist das Problem der Transparenz in der Cybersicherheit von Unternehmen jedoch offensichtlicher geworden. Wie können Unternehmen der Visibilität in einer „Cloud-first“-Welt Priorität einräumen?

Bedrohungen und Sicherheitsrisiken nach der Migration in die Cloud

Neben den Vorteilen der besseren Konnektivität, Produktivität und Effizienz bietet die Cloud weitere Möglichkeiten wie die Datenspeicherung, die Analyse grosser Datenmengen, die Entwicklung von Anwendungen und Software sowie Video- und Audio-Streaming-Funktionalitäten – die alle gesichert werden müssen. Unternehmen sollten sich beim Cloud-Betrieb über die Herausforderungen und Risiken bezüglich der Sichtbarkeit/Transparenz im KIaren sein.

Eine dieser Herausforderungen, die sich auf die Sichtbarkeit auswirkt, ist die Vielfalt der eingesetzten Rechenressourcen — unterschiedliche Cloud-Anbieter, Konten und Dienste zusätzlich zu den lokalen Rechenzentren. Tatsächlich haben vier von fünf Unternehmen zwei oder mehr Infrastructure-as-a-Service (IaaS)- oder Platform-as-a-Service (PaaS)-Provider.

In einer Umfrage 2019 gaben mehr als 51% der Befragten zu, separate Identity and Access Management (IAM)-Schnittstellen für ihre Cloud- und On-Premise-Umgebungen einzusetzen. Eine Übersicht ist hier unmöglich, sodass sich nicht autorisierte Personen Zugang zu kritischen oder sensiblen Informationen verschaffen können.

Zuviele Cloud-Provider im Einsatz

86% der Unternehmen nutzen mehr als 11 verschiedene SaaS-Provider, einschliesslich Cloud-basierter Apps wie Gmail oder Microsoft 365. Dies mag zwar Vorteile für die Produktivität und Effizienz bedeuten, doch entsteht auch ein komplexes Geflecht von Cloud-getriebenen Services, das die Übersicht darüber erschwert. Hinzu kommt, dass laut Netskope-Daten aus dem Jahr 2018 nahezu 93% der in Unternehmen eingesetzten Cloud-Anwendungen nicht dafür geeignet sind, also den Standards (mit Parametern für Datensicherheit, Zugangskontrolle und Vertraulichkeit) in der Cloud Security Alliance Cloud Controls Matrix nicht entsprechen.

Das Vorhandensein vieler ungesicherter Dienste (Schatten-IT) ist ein weiteres Sicherheitsrisiko, das die Übersicht beeinträchtigt. 2019 nutzten laut einem Bericht des Softwareunternehmens Igloo 50% der Mitarbeiter für ihre arbeitsbezogenen Aufgaben vom Arbeitgeber nicht genehmigte Apps und Infrastrukturen.

Bild. Potenzielle Risiken in Cloud-Umgebungen

Entwickler können neue Server bereitstellen, ohne sich um die Probleme kümmern zu müssen, die normalerweise mit der Bereitstellung in einer Vor-Ort-Umgebung verbunden sind, wie z.B. Provisioning und Budgetierung. Auf der anderen Seite wissen die Sicherheitsteams möglicherweise auch nicht um alle entstandenen virtuellen Umgebungen und wenden somit auch nicht alle erforderlichen Schutzmassnahmen darauf an. Um möglichst schnell sicherzustellen, dass die Dienste nahtlos miteinander kommunizieren, könnten diese schnell einsetzbaren Virtual Private Clouds (VPCs), virtuellen Netzwerke und Container mit nur geringen oder gar keinen Sicherheitsvorkehrungen konfiguriert worden sein.

Open Source als Risiko

Aufgrund der sicherheitstechnisch laxen Konfigurationen und schlechten Coding-Praktiken, könnten APIs, die kritische Daten beinhalten, böswilligen Akteuren zugänglich werden. Diese sind dann in der Lage, aus der Ferne Code auszuführen und Distributed Denial of Service (DDoS)-Angriffe zu starten. Exponierte Container lassen Krypto-Mining zu – so wie kürzlich die Angriffe mit Malware für sowohl Linux-Systeme und exponierte Docker-Umgebungen gezeigt haben.

Die Entwicklung von Cloud-nativen Anwendungen könnte auch zu einer Zunahme der Nutzung und infolgedessen Abhängigkeit von Bibliotheken Dritter führen. Entwickler greifen auch häufig auf quelloffenen Code, Bibliotheken, Komponenten und Software zurück. Leider haben diese häufig Schwachstellen. Untersuchungen von Snyk ergaben, dass Schwachstellen in Open-Source-Komponenten in den letzten drei Jahren zugenommen haben. Die Ausnutzung dieser Sicherheitslücken könnte zu Compliance- und Sicherheitsproblemen führen.

Der zweite Teil des Beitrags zeigt, wie in einer „Cloud-first“-Welt die Visibilität über die Cloud-Ressourcen zu bewerkstelligen ist.

COVID-19, immer noch ein begehrter Köder

Originalbeitrag von Trend Micro

Covid-19 füllte auch im dritten Quartal 2020 die Schlagzeilen, und das Monitoring von Trend Micro zeigte, dass die Cyber-Bedrohungen, die den Virus als Köder benutzen, im September exponentiell anstiegen. Diese Zunahme der böswilligen Aktivitäten fiel mit einer Veränderung der Social-Engineering-Taktiken zusammen – anstatt die Informationen von Covid-19 zu nutzen, um die Benutzer auszutricksen, setzten die Kriminellen auf Coronavirus-bezogene Schul-Updates und Jobangebote.

Ende Oktober fand die Sicherheitsfirma MalwareBytes Lab in einer gefälschten Gesundheitsumfrage unter den Mitarbeitern der University of British Columbia (UBC) versteckte Ransomware. Auch die in Phishing-Mails verwendeten Kopfzeilen haben sich geändert. Anstatt Covid-19 als Betreff zu verwenden, nutzen böswillige Akteure Jobtitel in Verbindung mit Stellenangeboten, um Benutzer zum Öffnen von Spam-Mails zu verleiten.

Die Bedrohungsakteure wissen, worauf die Benutzer klicken, und verwenden den offensichtlichsten Köder, um ihre Pläne effektiver zu gestalten. Weitere Einzelheiten bietet der Originalbeitrag.

Die folgende Grafik zeigt die Zahlen zu Coronavirus-bezogenen Bedrohungen im dritten Quartal 2020: