Schlagwort-Archive: Bösartiger Code

Mehrwert für XDR durch Partnerschaften

Originalbeitrag von Trend Micro

Trend Micro schützt seine Kunden seit über drei Jahrzehnten vor Cyber-Bedrohungen. Die langjährige Erfahrung hat aber auch gezeigt, dass keine IT-Umgebung völlig homogen ist. Ob durch Zufall, Übernahmen oder aufgrund des Designs müssen Technologieverantwortliche in der Regel eine gemischte Umgebung aus mehreren Legacy- und Next-Gen-Produkten verschiedener Anbieter verwalten. Im Sicherheitsbereich kann dies zur Entstehung von Silos und Abdeckungslücken führen, wenn diese individuellen Lösungen nicht richtig zusammenarbeiten. Um einen maximalen Wert für Kunden und deren Sicherheitslage liefern zu können, arbeitet Trend Micro mit Partnern zusammen, wo immer dies möglich ist. So gibt es etwa eine solche Zusammenarbeit mit Unternehmen wie Fortinet über eine offene Integration deren Security Orchestration, Automation and Response (SOAR)-Plattform mit Trend Micro XDR.

Erweiterte Detection-and-Response (XDR) stellt laut Gartner den stärksten Trend 2020 in der Sicherheit und der Risikominimierung dar. Der Grund dafür ist, dass die Entdeckung und Reaktion auf Bedrohungen immer schwieriger wird, weil sowohl die Zahl als auch die Raffiniertheit der Angriffe steigt, wobei gleichzeitig die Angriffsfläche in den Unternehmen grösser wird. Einem ESG Report zufolge wenden die Sicherheitsteams von mehr als einem Drittel der Unternehmen die meiste Zeit für Notfälle auf, statt sich um Strategie oder Verbesserungen an den Prozessen zu kümmern.

Trend Micro XDR erweitert die Bedrohungserkennung und -bekämpfung (Detection and Response) über den Endpunkt hinaus, indem Daten über E-Mails, Endpunkte, Server, Clouds, Netzwerke und die Trend Micro-eigenen Bedrohungsdaten miteinander korreliert werden, um weniger, aber aussagekräftigere Alarme zu erzeugen.

Partner erweitern Funktionalität von XDR

Doch ist auch bekannt, dass Kunden neben XDR zum Beispiel auch SIEM- und SOAR-Plattformen betreiben wollen. Diese können für die Mitarbeiter des Security Operations Center (SOC) eine wertvolle Arbeit leisten, indem sie Bedrohungsdaten aus verschiedenen Quellen abrufen und korrelieren und eine Reaktion automatisieren.

Deshalb besteht die XDR Strategie darin, sich über eine einfache API in diese Lösungen von ausgewählten Partnern zu integrieren. Ein solcher Partner ist Fortinet, dessen FortiSOAR-Angebot darauf ausgelegt ist, die Fähigkeit der Kunden zur Erkennung und Reaktion auf Bedrohungen zu verbessern.

Die neue offene Integration für Trend Micro ApexOne mit Fortinets Lösung ermöglicht die Koordination proaktiver Massnahmen und automatisierter Reaktionen über eine einfache API, die über automatisierte Playbooks schnelle Reaktionsmöglichkeiten bietet. Mithilfe von Playbooks können Operation-Teams automatisierte Vorgänge, wie das Erstellen einer Live-Untersuchung, das Ausführen von Aktionen auf Sicherheitsendpunkten und Listen von verwalteten Endpunkt-Sicherheitsagenten, problemlos durchführen.

Der offene Ansatz beider Unternehmen machte es einfach, einen Konnektor zwischen den Produkten zu erstellen, der in Kürze weltweit zugänglich gemacht werden wird. Trend Micro XDR erstellt auf Basis seiner nativen Telemetrie priorisierte Alarme und sendet diese an die SIEM/SOAR-Plattformen der Kunden, wo sie bei Bedarf Daten aus anderen Quellen integrieren können, um eine Bedrohungsreaktion zu optimieren.

Diese Integration ist nur der Anfang der gemeinsamen Partnerschaft und wird bald um weitere Funktionen in Trend Micro XDR erweitert, die über den Endpunkt hinausgehen und für mehr Transparenz und Sicherheit sorgen.

MITRE ATT&CK als Hilfe bei Identifizierung eines APT-Angriffs

Originalartikel von Lenart Bermejo, Threat Engineer, Gilbert Sison, Cyber Threat Hunting Technical Lead und Buddy Tancio, Incident Response Analyst

Sicherheitsteams und Forscher sind auf öffentlich dokumentierte Analysen von Tools, Routinen und Verhaltensweisen angewiesen, um sich über die neuesten Erkenntnisse in der Cybersicherheitslandschaft zu informieren. Öffentliche Informationen dienen als Referenz für die bekannten Taktiken, Techniken und Prozeduren (TTPs), um Abwehrmassnahmen gegen Advanced Persistent Threats (APTs) zu installieren und Angriffe zu verhindern. Theoretisches Wissen über die Abwehr eines Angriffs unterscheidet sich jedoch erheblich von der Erfahrung aus erster Hand. Das Fallbeispiel eines Unternehmens soll dies aufzeigen.

Die veröffentlichten Routinen, Tools und Verhaltensweisen können sich für jedes anvisierte Unternehmen oder jede Branche bei der Angriffsausführung durch die kriminellen Gruppen unterscheiden. Angesichts des Aufwands und der Ressourcen, die in die Erforschung und die Mittel zum Eindringen fließen, werden die Bedrohungsakteure sicherstellen, dass sie jedes Mal andere Methoden einsetzen, bei der Erkundung verborgen bleiben, verdeckt Befehle senden und Informationen empfangen, ihren Datenverkehr verschleiern und so lange wie möglich weitere Geräte infizieren. Hier kommen Forscher, Analysten und technologische Lösungen ins Spiel.

Die Sicherheitsforscher von Trend Micro wurden vom Sicherheitsteam eines Unternehmens zu Hilfe gerufen, nachdem das Team verdächtigen Command-and-Control (C&C)-Verkehrsaustausch von einem der Server aus entdeckt hatte. Diesen Verkehr galt es zu untersuchen und zu analysieren. Die Experten erhielten Zugang zu einer begrenzten Anzahl von Maschinen und Daten, um Rückmeldungen und Ereignis-Logs zu untersuchen, einschließlich Festplatten- und Speicher-Images. Ohne eine Endpoint Detection and Response (EDR)- oder eine Cross-Layered Detection and Response (XDR)-Lösung gab es jedoch keine Möglichkeit, alle Samples und Tools zu sammeln, die wahrscheinlich unentdeckt in der Umgebung des unzugänglichen Systems liefen. Dieser Mangel hinderte die Ermittlungs- und Sicherheitsteams daran, eine vollständige Abbildung zu erstellen und Angriffe zuzuordnen.

Umfang und erste Analyse des Angriffs

Eine erste Analyse der Logs ergab insgesamt 62 infizierte Maschinen: 10 Server, 13 Rechner mit Binärdateien, die zum File Scraping und zur Datenexfiltration fähig waren, 22 Rechner mit Backdoor-Shells und weitere Rechner, auf denen andere Tools und normale Anwendungen liefen, die zum Laden bösartiger Binärdateien missbraucht wurden.

Bild 1. Erste Untersuchung der Routine auf Basis der gesammelten und analysierten vorläufigen Daten

Die Backdoor ermöglicht es dem Angreifer, Befehle über cmd.exe auszuführen. Ausserdem wurden Tools wie Mimikatz verwendet, um Benutzerkonten zu übernehmen. Mithilfe von Netzwerk-Scanner-Tools suchten sie andere zu infizierende Computer und banden sie in ein bösartiges Netzwerk ein, über das die Backdoor weitere Tools aus der Ferne ablegen konnte. Um die per Fernzugriff platzierte Binärdatei auszuführen, erstellten sie entweder einen zeitgesteuerten Task oder verwendeten den Befehl wmic process create. In mehreren Fällen wurden Kopien der Backdoor abgelegt, und auch die Tools variierten.

Die Angreifer hatten es vor allem auf Dateien wie PDFs und Microsoft Office abgesehen. Ausserdem ist es wahrscheinlich, dass diese Angriffe schon seit einigen Jahren liefen, das lassen die Zeitstempel der Binärdateien und die Verbreitung der Infektion vermuten. Die Forscher verglichen die gefundenen Routinen und Tools mit MITRE ATT&CK und stellten fest, dass die gesichteten Techniken sowohl mit APT32 als auch mit APT3 übereinstimmen, mit Ausnahme einiger unterschiedlicher Techniken, die nicht zugeordnet werden konnten.

Analysen und Zuordnung

Mit Blick auf die Variationen der Techniken analysierten die Forscher die Tools und Beziehungs-Cluster, die die Routinen verwendeten und mit denen sie sich mit den fünf Endpunktzielen mit der grössten Anzahl an Installationen verbanden. Sie fanden sechs Arten von Datenexfiltrations-Tools, sechs Backdoors und fünf verschiedene Tools, die für unterschiedliche Zwecke eingesetzt wurden. Viele dieser Tools nutzten die unternehmensinternen Systeme und Software, wie z. B. das Dokumentenmanagementsystem mit einer MySQL-Backend-Datenbank. Ausserdem fanden sie sechs Beziehungs-Cluster, die die Tools mit den bösartigen Routinen verbanden, sowie vier Einbruchs-Sets, die mit früher dokumentierten Kampagnen von APT-Gruppen und Untergruppen übereinstimmten. Diese Tools und Beziehungen sind im Whitepaper „Finding APTX: Attributing Attacks via MITRE TTPs“ im Detail beschrieben.

Die Gruppen, denen die Forscher den Angriff zuschreiben, verwenden unterschiedliche Toolsets und haben starke Verbindungen zu anderen Gruppen, die bereits von anderen Forschern beschrieben worden sind. Auch die Schreibstile sind sehr unterschiedlich. Das zeigt sich daran, wie dicht gepackt oder „aufschlussreich“ die Tools sind. Auch sind die Redundanzen in den Datenexfiltrations-Prozessen der einzelnen Angriffssets nicht verwunderlich, wenn man bedenkt, dass das Ziel kontinuierlicher Informationsdiebstahl, Datenaktualisierungen und eine verlängerte verborgene Präsenz im System sind.

Fazit

Opferorganisationen sind glücklicherweise in der einzigartigen Lage, die Indicators of Compromise (IOCs) festzustellen, die sie als Referenz verwenden können. Dank der heute verfügbaren technischen Lösungen (z. B. EDR und XDR) könnten undefinierte Logs fehlende Zusammenhänge identifizieren und nachweisen, die zur Erstellung eines vollständigen Abbilds des Eindringens erforderlich sind.

Diese Lösungen könnten den Zeitaufwand für die Identifizierung und Rekonstruktion der Ereignisse, wie den Angriffsablauf, reduzieren. Dennoch spielt die Kooperation von Sicherheits- und Untersuchungsteams eine entscheidende Rolle bei der Identifizierung, Verhinderung und Entschärfung von Bedrohungen, oder bei der Zuordnung zu den verantwortlichen Gruppen.

Die gesamte technische Analyse ist Inhalt des Whitepapers „Finding APTX: Attributing Attacks via Mitre TTPs“.

Pawn Storm: Einfachheit als Strategie

Originalbeitrag von Feike Hacquebord, Lord Alfred Remorin

Bei der Entdeckung eines einfachen Remote Access-Trojaner (RAT) im Netzwerk, denkt man nicht gleich einen Advanced Persistent Threat (APT)-Akteur als Angreifer. Brute-Force-Angriffe auf Services wie E-Mail, Microsoft Autodiscover, SMB, LDAP und SQL im Internet sind zudem mittlerweile so häufig, dass sie Hintergrundrauschen durchgehen, das man ignorieren kann. 2020 setzte die berüchtigte APT-Gruppe Pawn Storm genau diese nicht sehr komplizierten Angriffsmethoden so häufig ein, dass ihre Attacken im allgemeinen Rauschen untergehen konnten.

2020 verbreitete Pawn Storm einfache Google Drive- und IMAP-RATs, um ihre üblichen Ziele anzugreifen, so etwa Aussenministerien, Botschaften, die Verteidigungsindustrie und Militäreinrichtungen. Die RATs wurden auch an ein breite Ziele verschiedener Branchen auf der ganzen Welt geschickt. Die Gruppe führte darüber hinaus ausgedehnte Brute-Force-Angriffe durch, um Anmeldeinformationen zu stehlen, z. B. die von E-Mail-Konten von Unternehmen. Dies belegen die Netzwerkproben, die Trend Micro Pawn Storm zuschreibt, und auch die Art und Weise, in der die Akteure kompromittierte E-Mail-Konten für das Versenden von Spear Phishing-Mails missbrauchten. Pawn Storm hat sogar kompromittierte militärische und regierungsnahe E-Mail-Adressen in seiner IMAP-RAT-Malware fest codiert, um mit den Computern der Opfer zu kommunizieren. Kürzlich erklärten norwegische Behörden, Pawn Storm habe das norwegische Parlament gehackt.

Inkrementelle Verbesserungen bei nachfolgenden Versionen der Malware deuten auf eine Lernkurve des Malware-Autors hin, die eher für einen unerfahrenen Akteur als für einen erfahrenen Täter typisch ist. Anfänglich waren die RATs so einfach, dass sie nicht einmal internationale Tastaturen berücksichtigten. Das bedeutet, dass es für den Angreifer schwierig gewesen sein dürfte, die Festplatten der Opfer mit Dateien und Ordnern zu erfassen, die internationale Zeichen enthalten. Dieser Fehler wurde schnell korrigiert, zeigt aber die relative Unerfahrenheit dieses speziellen Pawn Storm-Betreibers. Spätere Versionen der RAT-Malware begannen Verschlüsselung zu verwenden. Die einzige Neben-Payload, die die Forscher fanden, war ein einfacher Keylogger, der gestohlene Informationen lokal auf den Rechnern der Opfer speichert.

Es wäre schwierig, diese Malware Sample Pawn Storm zuzuschreiben. Und ein typischer Netzwerkadmin hätte den Ursprung dieser Art von Malware bei keinem APT-Akteur vermutet. Dennoch konnten die Sicherheitsforscher aufgrund des Langzeit-Monitorings diese Samples sicher Pawn Storm Aktivitäten zuordnen.

Kürzliche Pawn Storm-Aktivitäten

Kompromittierung von Nutzerkonten im Mittleren Osten

Trend Micro hat die Aktivitäten von Pawn Storm genau und konsequent überwacht und im März 2020 die neuesten Forschungsergebnisse zu der Gruppe veröffentlicht. Das Paper zeigt auf, dass Pawn Storm kompromittierte Konten – vor allem im Mittleren Osten – massiv missbraucht, um Spear Phishing-Mails zu versenden. Anfang Dezember nutzte die Gruppe beispielsweise einen VPN-Dienst, um sich mit einem kompromittierten Cloud-Server zu verbinden, und verwendete dann den Server für die Verbindung mit einem kommerziellen E-Mail-Provider für Unternehmen. Die Gruppe meldete sich dann bei einem kompromittierten E-Mail-Konto einer Hühnerfarm im Oman an und verschickte anschließend Credential Phishing-Spam an hochrangige Ziele auf der ganzen Welt. Dies zeigt, dass Pawn Storm sorgfältig darauf bedacht ist, seine Spuren über mehrere Ebenen hinweg zu verwischen.

Seit August 2020 verwenden sie diese Mail-Adressen nicht nur für das Verschicken von Spear Phishing-Mails sondern auch als Kommunikationsweg mit kompromittierten Systemen in IMAP RATs.

Brute Force-Angriffe

Die Sicherheitsforscher gehen davon aus, dass Pawn Storm viele Mailkonten über Brute Force-Angriffe auf Services wie E-Mail, Microsoft Autodiscover, SMB, LDAP und SQL im Internet kompromittiert. So scannte Pawn Storm im Mai 2020 weltweit IP-Adressen, darunter auch solche aus der Verteidigungsindustrie in Europa, auf den TCP-Ports 445 und 1433, wahrscheinlich um angreifbare SMB- und SQL-Server zu finden oder Anmeldeinformationen mit Brute-Force zu sammeln. Im August 2020 schickte Pawn Storm ausserdem UDP-Tests an LDAP-Server auf der ganzen Welt von einer ihrer dedizierten IP-Adressen.

Pawn Storm versucht häufig, diese Brute-Force-Versuche zu verschleiern, indem sie den Angriffsverkehr über Tor- und VPN-Server leiten. Dies reicht jedoch nicht immer aus, um die Aktivitäten zu verbergen. In einem Microsoft-Artikel über das Brute-Forcing von Office365-Anmeldeinformationen über Tor schrieb Microsoft die Aktivitäten Strontium zu, ein anderer Name für Pawn Storm. Trend Micro schrieb Anfang 2020 über ähnliche Angriffe, die 2019 begannen und eindeutig Pawn Storm zuzuordnen waren, weil die Sicherheitsforscher das umfangreiche Sondieren von Microsoft Autodiscover-Servern auf der ganzen Welt mit hochgradig zuverlässigen Indikatoren für die traditionelleren Angriffsmethoden der Gruppe (Spear-Phishing und Credential-Phishing) in Beziehung setzen konnten.

An technischen Einzelheiten Interessierte finden im Originalbeitrag die Analyse anhand eines Beispielfalls.

Trend Micro-Lösungen

Für das extensive Monitoring empfiehlt sich Trend MicroTM XDR, auch weil die Überwachung über alle vernetzten Ebenen von E-Mail, Endpoints, Cloud Workload und Netzwerke hinweg durchgeführt wird. Die Lösung wird von fortschrittlicher KI und Sicherheitsanalysen für die Datenkorrelation unterstützt. Somit ermöglicht XDR die Entdeckung und Reaktion auf einen Angriff bereits zu einem frühen Zeitpunkt.

Mit Trend Micro Managed XDR erhalten Kunden einen 24/7-Service, der die Fähigkeiten erfahrener Managed Detection and Response-Analysten für die fachkundige Überwachung, Korrelation und Analyse von Bedrohungen nutzt.

Indicators of Compromise sowie die relevanten IP-Adressen listet ebenfalls der Originalbeitrag auf.

Sicherheit beim Einsatz der Cloud-Collaboration-Software Slack

Originalartikel von Erin Johnson, Threat Researcher

Mitarbeiter der derzeitigen dezentralen Belegschaft haben neue Bedürfnisse, um ihre Arbeit effektiv zu erledigen. Dazu gehört auch eine Möglichkeit, in einem Konferenzraum zusammenzuarbeiten oder über die Kabinenwand hinweg zu kommunizieren. Die von Salesforce kürzlich übernommene Cloud-Collaboration-Software Slack ist für viele Teams zum integralen Bestandteil ihrer täglichen Interaktion und Arbeit geworden. Dem Unternehmen zufolge hat der Dienst mehr als 12 Millionen aktive Nutzer täglich und wird von 65 der Fortune 100-Firmen eingesetzt. Nach dem Abschluss der Übernahme und der vollständigen Integration durch Salesforce dürfte sich in Slack noch einiges ändern, aber das wird wohl noch eine ganze Weile dauern. Doch gibt es eine Menge Unternehmensdaten und potenziell vertrauliche Informationen, die über die Plattform ausgetauscht werden, und um deren Sicherheit sich Anwender auf jeden Fall Gedanken machen müssen.

Slack hat bereits wichtige Schritte unternommen, um die allgemeine Sicherheit der Plattform zu verbessern. Dazu gehören Updates, die einige der Ursachen für vergangene Sicherheitsverletzungen und Lecks behoben haben. Zwei grosse Änderungen, die die allgemeine Sicherheit der Plattform verbessern, sind:

  • Identitäts- und Gerätemanagement
  • Verschlüsselung für Daten „At Rest“ und „In Transit“

Administratoren können nun Zugriffs-Logs verwenden, um sicherzustellen, dass sich keine böswilligen Benutzer in ihrem Arbeitsbereich aufhalten. Dies eignet sich auch, um das normale Benutzerverhalten für einen Arbeitsbereich zu überprüfen. Die Single-Sign-On-Integration wiederum hilft zu gewährleisten, dass nur Personen mit bewilligten Geräten auf den Arbeitsbereich zugreifen können. SSO verhindert auch, dass ehemalige Mitarbeiter auf Daten zugreifen, nachdem sie das Unternehmen verlassen haben.

Verschlüsselung, in letzter Zeit ein heisses Thema bei allen Kommunikationsplattformen, ist ebenfalls hinzugekommen, und zwar für alle Daten im Ruhezustand (At Rest) und bei der Übertragung (In Transit). Zudem existiert eine Option, um die Verschlüsselung mit Slack Enterprise Key Management (EKM) zu verschärfen. EKM nutzt das AWS Key Management System (KMS), um Administratoren die volle Kontrolle über den Datenzugriff innerhalb eines Arbeitsbereichs zu geben. Sie können den Zugriff auf verschlüsselte Nachrichten, Dateien und sogar den Suchverlauf auf granularer Ebene mit eigenen Schlüsseln gewähren oder entziehen, ohne Auswirkungen auf die Benutzerfreundlichkeit oder Ausfallzeiten.

Derzeit gibt es Slack für Windows und Mac in der Version 4.11.1, und alle Anwender sollten zumindest die Version 4.4.0 aus dem März 2020 einsetzen. Eine Auflistung der wichtigsten Sicherheits-Updates und der Daten ihrer Einführung enthält der Originalbeitrag. Nahezu jede monatliche Aktualisierung beinhaltete ein sicherheitsrelevantes Update.

Fragen zur Sicherheit und dem Schutz von Slack-Arbeitsbereichen

Die Fragen enthalten die Hauptanliegen, die ein Unternehmen bezüglich der Sicherheit beim Einsatz von Slack lösen müssen.

  • Was wird mit dem Arbeitsbereich verbunden?

Ein Hauptanliegen bezieht sich auf Apps. Die Konnektivität in Slack ist ein zweischneidiges Schwert, denn auf der Plattform kann jede Ressource über eine App integriert werden, und jeder kann eine App für das App-Verzeichnis oder seinen eigenen Arbeitsbereich schreiben. Doch unterzieht Slack die Apps einem Sicherheitsüberprüfungsprozess, bevor sie öffentlich zugänglich gemacht werden. Dennoch wird es immer Fehler geben, und unsichere Apps werden unweigerlich durch den Prüfprozess schlüpfen.

Positiv zu werten ist, dass Slack-Apps und Bots nun ähnlich funktionieren und die Kontrolle durch Admins einschliessen. Damit haben Admins eine grössere Einflussmöglichkeit darauf, was zu einem Arbeitsbereich hinzugefügt werden kann, und sie können auch das Hinzufügen von Benutzern einschränken. Damit haben sie auch die Kontrolle darüber, auf welche Apps zugegriffen werden kann — früher ein Sicherheitsproblem.

Um das Risiko zu mindern, sollten jedoch Anwender wie bei jeder mobilen App prüfen, wer die App im Verzeichnis veröffentlicht hat. Soll Slack um eine O365-Integration erweitert werden, und es findet sich eine App, die nicht von Microsoft erstellt wurde, ist es möglicherweise nicht die geeignete App. Unabhängig vom Entwickler sollte auch geprüft werden, welche Berechtigungen die App fordert. Die Analyse durch Trend Micro zeigte, dass Slack-Apps mit sehr weit gefassten Berechtigungen arbeiten — das geht sogar so weit, dass ein universeller Lese- und Schreibzugriff gewährt wird, der als Benutzer fungiert. Anwender müssen deshalb entscheiden, ob dies ein akzeptables Risiko für ihr Unternehmen darstellt.

  • Wie greifen Nutzer auf die Arbeitsbereiche zu, und wie interagieren sie dort?

Phishing kann bei Slack viele Formen annehmen. Ein Angreifer kann Anmeldedaten „phishen“, um direkten Zugriff auf einen Slack-Arbeitsbereich zu erhalten. Mit etwas Open-Source-Intelligence(OSINT) im Vorfeld könnte ein Bedrohungsakteur herausfinden, wer der Administrator für einen Arbeitsbereich oder für ein Enterprise Grid-Konto ist, und damit bei einem Phishing-Versuch den höchsten Zugriff erlangen.

Die einfachste Methode, um die Plattform zu missbrauchen, besteht darin, Zugang zu Nutzer-Anmeldeinformationen zu erhalten. Credentials können auch gekauft oder wiederverwendet werden, doch verspricht Phishing den grössten Erfolg.

Erfolgreiche Phishing-Angriffe können sich auch indirekt auf Slack-Benutzer auswirken. Wird beispielsweise eine mit Malware infizierte Datei versehentlich auf Slack hochgeladen, so kann sie jeden infizieren, der die Datei herunterlädt und öffnet. Das Gleiche gilt für eine bösartige URL oder einen Benutzer, der ein Gewinnspiel oder ein Formular zum Ausfüllen weitergibt, ohne zu wissen, dass es sich um einen Betrug handelt. Social Engineering ist eine sehr effiziente Technik, um sich bei allen möglichen Angriffen einen Systemzugang zu verschaffen. Daher hilft die Schulung von Mitarbeitern, das Verständnis der Technik von Phishing-Versuchen zu verbessern. Multifaktor-Authentifizierung (MFA) und Single-Sign-On-Integration können ebenfalls die Wirksamkeit von Phishing-Versuchen einschränken.

  • Welche Informationen werden ausgetauscht?

Werden kritische oder geheime Geschäftsinformationen (Kundendaten, Entwickler, die Code teilen, Mitarbeiterdaten usw.) über Slack geteilt? Wenn ein Angreifer Zugriff auf einen Arbeitsbereich erhält, sind diese Daten gefährdet. Mit Admin-Zugangsdaten könnte ein Angreifer alle Nachrichten und Dateien in einem Arbeitsbereich einsehen – je nach Admin-Einstellungen sogar in privaten Channels.

Eine weitere Frage ist, ob Slack-Informationen nach aussen weitergegeben werden. Dies geschieht vor allem in Form von Webhooks und API-Schlüsseln, die sich in Hülle und Fülle auf GitHub finden. AT&T Alien Labs hat einen Proof of Concept veröffentlicht, der zeigt, wie ein Angreifer Webhooks missbrauchen könnte.

Entwickler müssen sich über die Risiken bei der Veröffentlichung von Passwörtern, Schlüsseln und Webhooks in ihrem Code bewusst sein. Unternehmen sollten auch nach diesen Geheimnissen scannen, falls sie versehentlich in einem öffentlichen Code-Repository geleakt wurden. Dies ist ein gutes Beispiel dafür, wie Slack EKM nützlich sein kann. Eine tiefere, granulare Kontrolle über den Zugriff auf sensible Informationen ermöglicht es Admins dafür zu sorgen, dass sensible Inhalte, die in Slack geteilt werden, vertraulich und geschützt sind.

Wie bei jedem AWS-Service wurde auch bei KMS auf Sicherheit geachtet, aber es können Einstellungen und Konfigurationen geändert werden, die die Sicherheit gefährden. Die Sicherheitsforscher haben auch Tausende von KMS-Schlüsseln gefunden, die in GitHub und sogar in Shodan veröffentlicht wurden.

Trend Micro Cloud One – Conformity stellt sicher, dass AWS Services sicher aufgesetzt und verwaltet werden. Die Lösung umfasst 11 Checks für AWS KMS, um eine Warnung auszugeben, sollte es ein Problem mit dem Setup oder eine falsche Verwendung eines Schlüssels geben.

Ein Leitfaden für die Sicherheit von IoT-Clouds

Originalbeitrag von Trend Micro

Das Internet of Things (IoT) zeichnet sich dadurch aus, dass es die Notwendigkeit menschlicher Interaktion für die Ausführung einer Vielzahl von Funktionen minimiert, und passt damit perfekt in eine Welt der Remote Setups und sozialen Distanz. Doch erst dank Cloud Computings können Unternehmen das IoT reibungslos und in grossem Umfang einsetzen. Die Integration von IoT und Cloud Computing – die sich vor allem in der Fülle von Cloud-Diensten zeigt, die das IoT unterstützen und als IoT-Cloud bekannt sind – stellt eine neue Dimension für die Art und Weise dar, wie ganze Industriezweige betrieben werden. Es ist daher wichtig, bei der Konvergenz der beiden Technologien die jeweiligen Sicherheitsrisiken und die Auswirkungen dieser Risiken nicht ausser Acht zu lassen.

In Bezug auf die Sicherheit der IoT-Cloud-Konvergenz ist es grundlegend zu verstehen, wie das IoT und Cloud Computing zusammen arbeiten. Das IoT an sich nutzt eine vielfältige Auswahl an Geräten, die zu den Anforderungen verschiedener Branchen oder Umgebungen passen. Beim Cloud Computing hingegen werden Daten, Anwendungen oder Dienste über das Internet – also in der Cloud – gespeichert und abgerufen, anstatt auf physischen Servern oder Mainframes. Die Cloud unterstützt IoT-Umgebungen, indem sie deren immanente Einschränkungen, z. B. bezüglich ihrer Verarbeitungs- und Speicherkapazitäten, fast vollständig aufhebt. Das IoT hingegen verbindet die Cloud mit physischen Geräten.

Bild 1. Beispiel einer Cloud-basierten IoT-Infrastruktur

Zu den Vorteilen der IoT-Cloud-Zusammenführung zählen folgende:

  • Ferngesteuerter Betrieb und Interoperabilität: IoT-Geräte verfügen in der Regel nicht über Ressourcen für Interoperabilität. Die Integration mit der Cloud, die ohnehin interoperabel ist, ermöglicht es Support-Technikern und Geräteadministratoren, Remote-Aufgaben (wie das Sammeln von Daten über ihre Anlagen, die Durchführung von Wartungsarbeiten und das Einstellen von Konfigurationen) auf IoT-Geräten im Feld durchzuführen — eine entscheidende Anforderung in der heutigen Zeit.
  • Unbeschränkter Datenspeicher: Das IoT verarbeitet Unmengen an unstrukturierten Daten, die von verschiedenen Sensoren stammen. Die Cloud ist bekannt für ihre nahezu unbegrenzte Speicherkapazität. Kombiniert man beides, eröffnet sich mehr Raum für die Aggregation und Analyse von Daten.
  • Unbeschränkte Verarbeitungsmöglichkeiten: IoT-Geräte und -Apps haben begrenzte Verarbeitungsmöglichkeiten, die oft gerade ausreichen, um ihre spezifischen Funktionen auszuführen. Die Verarbeitung vieler Daten erfolgt auf einem separaten Knoten. Durch die Integration mit der Cloud erschliessen sich deren unbegrenzte virtuelle Verarbeitungsmöglichkeiten, einschliesslich der Nutzung von künstlicher Intelligenz (KI) und maschinellem Lernen (ML) für datengesteuerte Entscheidungen und Verbesserungen.
  • Zusätzliche Sicherheitsmassnahmen: Die Cloud bietet Funktionen, die einige der Sicherheitslücken im IoT beseitigen. Beispiele dafür sind Verbesserung von Authentifizierungsmechanismen und die Überprüfung der Geräteidentität.

Sicherheitsherausforderungen

In gewisser Weise erhöht die IoT-Cloud-Konvergenz die Dringlichkeit der Sicherheitsrisiken, da IoT-bezogene Schwachstellen kompliziertere Probleme im Cloud-Ökosystem verursachen können und umgekehrt. Zu den Herausforderungen, die Unternehmen bei der Schaffung sicherer IoT-Cloud-Umgebungen meistern müssen, gehören folgende:

  • Risiken entstehen durch die zentralisierte Eintrittsstelle in kritische Infrastrukturen. Die Integration des IoT mit der Cloud reduziert die Angriffsfläche erheblich, indem der gesamte ein- und ausgehende Datenverkehr durch das API-Gateway in der Cloud geleitet wird. Eine High-End-Firewall ist notwendig, um den Datenfluss durch dieses Gateway zu schützen. Doch das wirft ein altes Sicherheitsanliegen auf, nämlich die Frage, ob die Firewall eine ausreichende Verteidigung darstellt. Während ein einziger Zugang die Angriffsfläche minimiert, lenkt er die Aufmerksamkeit potenzieller Angreifer auf ein einziges Ziel. Findet ein böswilliger Akteur die richtige Gelegenheit, könnte dieser Zugang gewissermassen sein eigener „Tunnel“ in die Infrastruktur werden.
  • Unsichere Kommunikation und unsicherer Datenfluss zwischen dem Edge und der Cloud: Wenn die Endpunkte oder die Cloud über nur unzureichende Sicherheitsfunktionen wie Authentifizierung und Verschlüsselung verfügen, könnte dies für die Zugriffskontrollen und die Integrität der Daten, die zwischen diesen beiden Punkten ausgetauscht werden, gefährlich werden.
  • Fragen der Vertraulichkeit und Autorisierung: Unternehmen müssen bedenken, inwieweit IoT-Geräte und Sensoren sensible Daten sammeln, die in einem Cloud-basierten Ökosystem an einen Ort übertragen werden, der interoperabel ist und im Falle der öffentlichen Cloud auch anderen Benutzern und Kunden dient. Firmen sollten den Lagerungsort ihrer Daten mit ihren jeweiligen Cloud-Service-Providern besprechen.
  • Schwache Implementierung des IoT: Ein IoT-Ökosystem, in dem Sicherheitsmassnahmen (wie das Ändern von Standardpasswörtern, die Anwendung von Netzwerksegmentierung und die physische Sicherung von Geräten) nicht adäquat implementiert sind, überträgt seine Schwächen wahrscheinlich auch auf die Integration mit der Cloud. Um auf die Cloud zuzugreifen, benötigen IoT-Komponenten beispielsweise einen Schlüssel, um das API-Gateway zu passieren. In IoT-Implementierungen sollten Endgeräte diesen Schlüssel nicht im Klartext und die Shared-Access-Signatur (SAS), die einen eingeschränkten Zugriff auf die Cloud erlaubt, nicht ohne Timeout speichern.
  • Cloud-Fehlkonfigurationen und andere Schwachstellen: Eines der häufigsten Probleme beim Cloud Computing sind Fehlkonfigurationen. Sie bieten böswilligen Akteuren die Möglichkeit, Angriffe wie z. B. die Exfiltrierung von Daten durchzuführen. Diese und ähnliche Sicherheitslücken in der Cloud könnten schwerwiegende Folgen für das IoT-Ökosystem nach sich ziehen.

Bild 2. Die häufigsten Risiken für IoT-Cloud-Umgebungen, die zu Gefahren für Web-Anwendungen führen (Open Web Application Security Project, OWASP)

Viele dieser Fragen werden in einer Publikation der European Network and Information Security Agency (ENISA) erörtert.

Sichere IoT-Cloud-Zusammenführung

Die sichere Implementierung der IoT-Cloud vermindert bereits einige der damit einhergehenden Risiken. Unternehmen können auch zusätzliche Technologien einsetzen und Schritte unternehmen, um sicherzustellen, dass ihr gesamtes Ökosystem sicher ist, von der Cloud bis zu den IoT-Endpunkten:

  • Überwachen und Sichern des Datenflusses bereits in einem frühen Prozessstadium. Der Datenfluss von IoT-Endpunkten zur Cloud muss von Anfang an gesichert sein. Unternehmen benötigen Überwachungs- und Filter-Tools am Edge, damit die Daten schon früh in der Verarbeitung überwacht werden. Dies bietet reichlich Gelegenheit, verdächtige Aktivitäten zu erkennen, Anomalien zu bestimmen und sicherzustellen, dass alle verbundenen Geräte identifiziert werden.
  • Einsetzen von Cloud-basierten Lösungen, um die Sicherheit näher ans Edge zu bringen. Unternehmen müssen ihre Edge-Geräte sowohl vor physischen Bedrohungen als auch vor Cyberangriffen schützen. Angesichts der Beschränkungen des Edge-Computings können Cloud-basierte Lösungen zusätzliche Sicherheits- und Verarbeitungsfunktionen bieten. Fog Computing, eine Infrastruktur, die sich zwischen dem Edge und der Cloud befindet, ist eine Empfehlung, die einige Cloud-Ressourcen näher an das Edge bringt.
  • Regelmässige Schwachstellenüberprüfungen durchführen. Regelmässige Schwachstellentests erlauben das Aufspüren von Fehlern. Unternehmen können entscheiden, ob sie Schwachstellentests für das gesamte Ökosystem oder nur für eine bestimmte Komponente durchführen, solange dies regelmässig geschieht.
  • Kontinuierliche Updates und Patches sicherstellen. Updates und Patches sind der Schlüssel, um die Ausnutzung von IoT-Schwachstellen zu verhindern. Unternehmen können die Vorteile der Cloud nutzen, um Software-Updates effizient und sicher zu verteilen.
  • Sichere Passwörter sowohl für IoT-Geräte als auch für die damit verbundenen Cloud Services. Da Passwörter nach wie vor die Hauptmethode zur Authentifizierung sind, sollten Unternehmen strenge Passwortrichtlinien haben.
  • Aufstellen eines klaren, effektiven und detaillieren Plans für die Zugangskontrolle. Dieser Plan muss die gesamte Umgebung mit einbeziehen, von der Cloud bis zu den Edge-Geräten. Alle Nutzer, Gruppen oder Rollen müssen für die detaillierten Authentifizierungs- und Autorisierungsrichtlinien im Ökosystem festgelegt werden. Dabei sollte das Prinzip der Mindestprivilegien angewendet werden.
  • Best Practices für die Code- oder Anwendungssicherheit befolgen. Code oder Anwendungen spielen eine wesentliche Rolle in IoT-Cloud-Ökosystemen, da sie Unternehmen eine vereinfachte Kontrolle und Remote-Nutzbarkeit bieten. Organisationen sollten sich daher um diese Aspekte ihrer Ökosysteme kümmern, indem sie Best Practices wie die Durchführung statischer und dynamischer Anwendungsanalysen anwenden.
  • Anwenden des Modells der geteilten Verantwortlichkeiten. Unternehmen sollten auf das Modell der geteilten Verantwortung vertrauen, das von ihren Cloud-Service-Anbietern verwendet wird.  Dieses legt fest, welche operativen Bereiche Unternehmen selbst absichern müssen, etwa die Konfiguration von Cloud-Diensten. Unternehmen können auch Cloud-spezifische Sicherheitslösungen einsetzen, um ihre Cloud-nativen Systeme zu schützen.

Unternehmen können auch das V-Model als Referenz heranziehen. Es ist ein wohlbekannter Leitfaden für Softwareentwicklung, vor allem hinsichtlich der letzten beiden Punkte. Das Modell wurde zur Beschreibung der Softwareentwicklung in Publikationen zur Absicherung der industriellen Automatisierung (ISO/IEC 62443) und der Automobilindustrie (ISO 21434 und ISO 26262) verwendet, und das zeigt seine Anwendbarkeit auf das IoT.

Zusätzliche Einsichten von Shin Li

Der Cyber Risk Index 2020 mit globaler Ausrichtung

Originalartikel von Jon Clay

Der vor drei Jahren von Trend Micro zusammen mit dem unabhängigen Ponemon-Institut ins Leben gerufene  Cyber Risk Index (CRI) hat eine neue globale Version erhalten. In diesem Jahr sind Europa und der asiatisch-pazifische Raum in die Befragung mit aufgenommen worden, so dass der Risikoindex nun eine weltweite Sicht auf die Cyber-Risiken bietet, mit denen Unternehmen fertig werden müssen.

Für den CRI werden IT-Manager aus Unternehmen aller Grössen befragt, um das Risiko-Level für die Organisationen bestimmen zu können. Es geht um zwei Bereiche:

  1. die Fähigkeit der Unternehmen, sich auf gegen sie gerichtete Angriffe vorzubereiten (Cyber Preparedness Index) und
  2. die aktuelle Einschätzung der Bedrohungen, die auf sie abzielen (Cyber Threat Index)

Diese beiden Indices werden eingesetzt, um das gesamte Cyber-Risiko für ein Unternehmen zu errechnen. Basis ist eine Skala von -10 bis +10, wobei negative Werte ein höheres Risiko-Level bedeuten.

Der weltweite CRI

Der aktuelle weltweite Cyber Risk Index steht bei -0.41, und das bedeutet ein erhöhtes Risiko-Level.

Von den drei Hauptregionen weisen die USA im Vergleich zu Europa und dem asiatisch-pazifischen Raum das höchste Risiko-Level auf. Ein genauerer Blick auf die Details zeigt, dass die Cyber-Vorsorge in den USA am niedrigsten ist, was dazu geführt hat, dass der CRI insgesamt am höchsten ist. Überraschenderweise war der Cyber-Bedrohungsindex (Cyber Threat Index) in allen drei Regionen in etwa gleich hoch.

Dies heisst im Kern, dass Unternehmen in den USA Berichten zufolge am wenigsten darauf vorbereitet waren, Cyber-Bedrohungen wirksam zu stoppen oder darauf zu reagieren. Da Unternehmen in allen drei Regionen offenbar in gleichem Masse mit Bedrohungen konfrontiert sind, hatten die USA damit den höchsten CRI-Wert insgesamt.

Die Details der Ergebnisse

Die Ergebnisse zeigen auch die Bereiche, die in allen Regionen die grössten Sorgen bereiten:

  1. Angesichts der globalen Covid-19-Pandemie scheinen viele Organisationen der Meinung gewesen zu sein, dass ihre Abwehrbereitschaft ein zentrales Anliegen sei. Die folgenden vier Bereiche geben den Befragten zufolge am meisten Anlass zur Sorge: Organisatorische Fehlausrichtung und Komplexität, unachtsame Insider, Cloud Computing-Infrastruktur und -Provider sowie Mangel an qualifizierten Mitarbeitern.
  2. Viele Unternehmen haben in diesem Jahr aufgrund der Pandemie Cloud Computing schneller eingeführt. Dies ist zwar eine hilfreiche Reaktion, um unter den gegenwärtigen Umständen in der Lage zu sein weiter zu arbeiten, kann jedoch zu grösseren Beeinträchtigungen führen, da neue Technologien und Fähigkeiten erlernt werden müssen. Die Antworten oben weisen auf diese Herausforderung hin.
  3. Die Befragten gaben an, nicht ausreichend vorbereitet zu sein, um die meisten Cyberangriffe verhindern und eindämmen zu können, und zudem überhaupt nicht in der Lage zu sein, Zero-Day-Angriffe zu erkennen. Dies stellte einen Schlüsselbereich der Abwehrbereitschaft dar, der den Index auf ein erhöhtes Risikoniveau brachte.
  4. Die Antworten auf die Frage nach den Angriffen in den vergangenen 12 Monaten und den künftigen in den nächsten 12 Monaten verheissen nichts Gutes für 2021. Weltweit waren in den vergangenen 12 Monaten 76% der Studienteilnehmer von einem oder mehr erfolgreichen Angriffen betroffen und 23% von sieben oder mehr erfolgreichen Angriffen. Darüber hinaus sagen 83%, dass sie es für ziemlich bis sehr wahrscheinlich halten, in den nächsten 12 Monaten einen erfolgreichen Angriff zu erleiden. Auch dies scheint darauf hinzudeuten, dass die Unternehmen nicht ausreichend vorbereitet sind, um sich gegen neue Angriffe zu verteidigen.

Der CRI soll Unternehmen dabei unterstützen zu verstehen, wo ihre höchsten Risiken liegen, sowie Bereiche zu identifizieren, wo sie ihre Abwehrfähigkeiten verbessern können. Was die Angreifer in Zukunft tun werden, lässt sich nicht ändern, doch kann der Cyber Threat Index dabei helfen zu verstehen, ob Angreifer aggressiver vorgehen werden.

Beispielsweise haben die Sicherheitsforscher den CRI nun bereits dreimal für die USA erstellt, und er blieb konsistent, 5.22 für 2018, 5.5 für 2019 und 5.22 für 2020. Das bedeutet, dass die Bereiche, die den CRI von einem negativen zu einem positiven (weniger Risiko) Ergebnis bringen können, bei der Abwehrbereitschaft liegen.

In den folgenden Bereichen der Abwehrbereitschaft muss noch die meiste Arbeit geleistet werden, um die grössten Risiken anzugehen:

  • Gewährleisten, dass der Leiter der IT-Sicherheit (CISO) über ausreichende Autorität und Ressourcen verfügt, um eine starke Sicherheitshaltung herzustellen;
  • Verbesserung der Fähigkeit des Unternehmens, den physischen Verwahrungsort von geschäftskritischen Datenbeständen und Anwendungen zu kennen;
  • Verbesserungen bei organisatorischen Fehlausrichtungen und in der Komplexität der Sicherheitsinfrastruktur;
  • Mitarbeiter in Bezug auf Cyber-Bedrohungen schulen und sicherstellen, dass sie Cyber-Sicherheit als einen notwendigen Teil ihrer Arbeit betrachten;
  • Cloud-Computing-Infrastruktur einführen und mit den Providern zusammenarbeiten, um sie zu sichern. Schulen der Mitarbeiter, die mit der Einführung dieser neuen Technologien betraut sind, damit sie diese sicher implementieren können
  • Verbessern der Fähigkeit, neue Angriffe zu erkennen und darauf zu reagieren, und Bereitstellen einer stärker vernetzten Infrastruktur zur Gefahrenabwehr, die die Anzahl der Sicherheitslösungen begrenzt und Transparenz über den gesamten Angriffslebenszyklus hinweg ermöglicht.

Der CRI ist ein kontinuierliches Projekt, das jedes Jahr aktualisiert wird, um die Trends der Abwehrbereitschaft von Angriffen aufzuzeigen. Interessierte können auch die Webseite nutzen, um den CRI im Vergleich zu den aktuellen Ergebnissen für ihr Unternehmen zu prüfen:  www.trendmicro.com/cyberrisk.

Zudem gibt es die grafische Zusammenfassung des CRI.

Sicherheit 2021: Im Zeichen der gewandelten Arbeitsabläufe

Originalartikel von Trend Micro Research

Das Jahresende rückt näher und Unternehmen müssen ihren Fokus für 2021 auf Strategien in den wichtigen Bereichen legen. Als Reaktion auf die Covid-19-Pandemie waren Organisationen genötigt, ihre Betriebs- und Sicherheitsprozesse zu überdenken — von Geschäftsfunktionen und Cloud-Migrationen bis hin zur Unterstützung der Telearbeit. Diese aktuellen Gefahren zusammen mit den konstanten Sicherheitsrisiken, haben die Firmen im Jahr 2020 nicht nur vor Herausforderungen gestellt, sondern auch Fragen hinsichtlich ihrer Störungsanfälligkeit aufgeworfen. Trend Micro hat die Trends und Vorhersagen für 2021 aufgestellt, die Sicherheitsfachleute und Entscheidungsträger bei ihren Überlegungen im Auge behalten sollten.

Home Offices als kriminelles Drehkreuz

Im Zuge der zur Normalität gewordenen Arbeit im Home Office werden die Häuser auf absehbare Zeit zu Büros umfunktioniert. Immer mehr Mitarbeiter nutzen Geräte (einige sogar persönliche), um auf vertrauliche Daten in Heim- und Firmennetzwerken zuzugreifen. Das stellt für jede Organisation ein erhebliches Risiko dar, denn ohne einen gesicherten Zugang und robuste Sicherheitswerkzeuge, die die verteilte Angriffsfläche schützen, können sich Bedrohungsakteure leicht in Netzwerke einhacken und von einem Rechner zum anderen springen, bis sie ein geeignetes Ziel finden.

2020 wurde durch den Wechsel zu verteilter Arbeit auch der Einsatz von Geräten und Software neu gewichtet. Cyberkriminelle folgen den Nutzern und machen sich bei ihren Angriffen die Situation der User und ihr Verhalten zunutze. Sie sind immer auf der Suche nach Sicherheitslücken und nutzen die Schwachstellen, mangelnde Vorbereitung oder die mangelhafte Unterstützung der Sicherheit von Remote-Mitarbeitern gnadenlos aus.

Router werden Hauptziele der Remote-Angriffe sein. Cyberkriminelle können gehackte Router als neuen Service anbieten und damit Zugriff auf lukrative Netzwerke verkaufen. Die Sicherheitsforscher gehen davon aus, dass es auch möglich ist, dieselben Methoden auf konvergierte IT/OT-Netzwerke anzuwenden.

Der Umgang mit wertvollen Unternehmensbeständen wird 2021 ebenfalls eine Herausforderung darstellen, da die Organisationen Einbruchsversuche und Malware-Infektionen abwehren und alle sensiblen Informationen sichern müssen. Virtuelle private Netzwerke (VPNs) lassen sichere Verbindungen mit Arbeitsplätzen zu, doch wenn sie veraltet sind (oder ungepatchte Schwachstellen aufweisen, die Remote-Angriffe auslösen könnten), erweisen sie sich als ineffizient und für viele Unternehmen als schwaches Glied. Ohne detaillierte Sicherheitsrichtlinien und Incident Response-Pläne für die Reaktion auf Vorfälle können Angreifer Remote-Mitarbeiter als ideale Einstiegspunkte in die Ökosysteme von Unternehmen ins Visier nehmen.

Covid-19 als Köder für bösartige Kampagnen

Cyberkriminelle haben die durch die Pandemie verursachten Probleme schnell für ihre Angriffe genutzt, unter anderem für Phishing und Ransomware. Sie setzen dabei auf Social Engineering-Taktiken, um Spam, Business Email Compromise (BEC), Malware und bösartige Domänen zu verbreiten.

Bedrohungen werden auch weiterhin versuchen, in den Zielsystemen Fuss zu fassen. Und es gibt keinen Mangel an Bedrohungen, die Cyberkriminelle in Verbindung mit Covid-19 dafür einsetzen können. Sie werden ihr Augenmerk auch auf Tests, Behandlungen und Impfstoffe richten und die mit dem Corona-Virus verbundenen Ängste durch Fehlinformationen ausnutzen. Organisationen des Gesundheitswesens und auch Pharmaunternehmen, die Impfstoffe entwickeln, werden ebenfalls weiter unter Druck gesetzt werden. Bedrohungsakteure können Patientendaten gefährden, Malware-Angriffe starten oder medizinische Spionage erleichtern.

Digitale Transformation kann zum zweischneidigen Schwert werden

Die durch die Pandemie verursachten Geschäftsstörungen haben viele Unternehmen dazu angespornt, ihre Programme zur digitalen Transformation zu beschleunigen. Aus technologischer Sicht kommt dies der Lösung derzeitiger Bedürfnisse, welche cloudbasierte Software erfüllen kann, entgegen. Viele haben die Konnektivität unter den Mitarbeitern vorangebracht, setzen auf KI-fähige Anwendungen für die Unternehmensproduktivität und eine verstärkte Nutzung der Cloud, um agiler zu werden und besser skalieren zu können.

Doch diejenigen, die hastig von On-Premise-Umgebungen abgekommen sind, ohne entsprechende Sicherheitslösungen für die neuen Umgebungen zu haben, werden in Schwierigkeiten geraten. Der verstärkte Trend in Cloud-Umgebungen und -Tools für die Zusammenarbeit wird für Angreifer sehr attraktiv. Und Forscher aber auch Bedrohungsakteure werden sich auf Schwachstellen hinsichtlich der Technologien für das Remote-Arbeiten konzentrieren. Die „Cloud of Logs“, die Unternehmen anlegen und speichern, wird auch eine zentrale Rolle für professionelle Cyberkriminelle spielen. Sie werden dort wertvolle Daten suchen und nutzen, um erste Zugangspunkte zu Netzwerken zu finden.

Die sich abzeichnenden Wechsel in der Bedrohungslandschaft sollten Organisationen nicht davon abhalten, neue Technologien zu implementieren und sich der aktuellen Realität zu stellen. Bedrohungsakteure werden versuchen, die Situation auszunutzen, unabhängig von der aktuellen Landschaft. Mit geeigneten Sicherheitsstrategien und -lösungen können Organisationen alle Vorteile der digitalen Transformation nutzen, ohne sich selbst einem erheblichen Risiko auszusetzen.

Den ganzen Bericht mit den Prognosen zu den wichtigsten Sicherheitstrends finden Interessierte hier: „Turning the Tide: Trend Micro Security Predictions for 2021

Schäden in Fertigungsnetzwerken durch moderne Ransomware

Originalbeitrag von Ryan Flores

Ransomware-Bedrohungen haben die Fertigungsindustrie im Jahr 2020 erheblich beeinträchtigt. Diese Angriffe führten zu hohen Produktionsverlusten und unterbrachen Betriebsabläufe. Im dritten Quartal schienen die Angreifer bei ihren Ransomware-Attacken Unternehmen der Fertigungsindustrie besonders häufig ins Visier zu nehmen.

Die Daten aus Trend Micro™ Smart Protection Network™ zeigen, wie sich die Ransomware-Bedrohung auf verschiedene Branchen ausgewirkt hat.

Bild 1. Von Ransomware betroffene Branchen im 3. Quartal 2020 (Daten aus dem Smart Protection Network)

Fertigungsanlagen verwenden grosse Maschinen — Fliessbänder, Öfen, Motoren und dergleichen –, und der Technologiefortschritt sowie der Trend zu Industry 4.0 haben auch die Einführung von Computern in die Produktions- und Betriebsanlagen begünstigt. Die Industriemaschinen werden von Computern gesteuert oder überwacht, und diese sind ihrerseits mit anderen Computern und Netzwerken verbunden, um Daten weiterzuleiten.

Bild 2. Architektur eines Industrial Control Systems (ICS)

Auf Ebene 0 befinden sich die grossen Teile der Hardware. Um diese Maschinen zu steuern und zu überwachen, sind die Computer auf Ebene 2 notwendig. Die Computer für die Mensch-Maschine-Schnittstelle (HMI) und für die übergeordnete Steuerung und Datenerfassung (SCADA) ermöglichen den Bedienern die Übersicht und Kontrolle über die Industriemaschinen, während die Engineering-Arbeitsstation die Entwürfe, Konstruktionsunterlagen, Robotercodes, Programme und Konfigurationen enthält, die für die Erstellung des Endprodukts erforderlich sind.

Auf Ebene 3 gibt es häufig einen zentraler Dateiserver mit den Konstruktionsdateien und Produktdokumenten für den gemeinsamen Zugriff zwischen Engineering-Arbeitsplätzen sowie eine historische Datenbank, die Geräte, Leistungskennzahlen und Produktqualität vorhält. Was passiert aber, wenn ein Ransomware-Angriff in der Lage ist, in die Computer der Ebenen 2 und 3 einzudringen?

Verlust der Einsicht und Kontrolle

Moderne Ransomware ist nicht darauf ausgelegt, infizierte Computer herunterzufahren oder lahm zu legen. Die letzte Ransomware, die infizierte Computer effektiv stilllegte, war die 2017 und 2018 aktive Petya. Die Ransomware-Familien, die danach kamen, waren vorsichtiger bei der Dateiverschlüsselung  und schlossen Systemdateien und ausführbare Dateien gezielt aus, da diese vom Computer zum Booten und Betrieb benötigt werden. Alles andere ist verschlüsselt. Das bedeutet, dass es keine abrupte Abschaltung in der Fabrikhalle gäbe, wenn die Ransomware auf einen der Steuer- und Überwachungscomputer im Operational Technology (OT)-Netzwerk trifft.

Bild 3. Beispiel eines HMI

Als grafische Schnittstelle sind HMIs extrem abhängig von Bilddateien. Jeder in der HMI dargestellte Knopf, jeder Wert, jedes Logo, jede Leitung und jedes Ausrüstungsteil haben eine entsprechende Bilddatei irgendwo im Verzeichnis der HMI-Software. Darüber hinaus werden Konfigurationen, die Werte, Zuordnungen, Logik, Schwellenwerte und Lexika enthalten, in Textdateien zusammen mit den Bilddateien gespeichert. Bei einem Ransomware-Angriff auf eine HMI stellten die Sicherheitsforscher fest, dass 88% der verschlüsselten Dateien JPEG-, BMP- oder GIF-Dateien waren — die Bilder, die von der HMI zum Rendern der Schnittstelle verwendet wurden. Wären all diese Dateien verschlüsselt, würde die Wiederherstellung der betroffenen Systeme nicht nur eine Neuinstallation der ICS-Software erforderlich machen, zusätzlich müsste auch die benutzerdefinierte HMI- oder SCADA-Schnittstelle wiederhergestellt werden.

Ransomware muss nicht direkt auf die Prozesse der ICS-Software abzielen, um das ICS außer Gefecht zu setzen. Durch die Verschlüsselung der Dateien, von denen die HMI, SCADA oder Engineering Workstation (EWS) abhängt, kann Schadsoftware das System unbrauchbar machen. Die Folge wäre der Einsichts- und Kontrollverlust für den Bediener und letztlich ein Produktivitäts- und Umsatzverlust für die Fabrik.

Diebstahl von Betriebsinformationen

Netzwerk-Dateifreigaben (Network File Sharing, NFS) sind in Fertigungsumgebungen praktisch eine Notwendigkeit. Auf der betrieblichen Seite nutzen Ingenieure und Konstrukteure sie nicht nur als Mittel zum Austausch von Konstruktions- und Entwicklungsdokumenten, an denen sie arbeiten, sondern auch als Repository für Referenzdateien, Richtlinien, Stücklisten, Werkzeuge und Arbeitsabläufe.

Auf der geschäftlichen Seite setzen Manager und Mitarbeiter auf Netzwerkfreigaben, um Informationen über Verkäufer, Lieferanten, Bestellungen, Rechnungen und Ähnliches zu speichern. Ein dediziertes Lieferketten-Management (SCM)- und/oder Produktlebenszyklus-Management (PLM)-System und die damit verbundenen Datenbanken sind sogar auf Ebene 4 oder 5 zu finden.

Obwohl ein Ransomware-Angriff, der diese Dateispeicher und Datenbanken betrifft, nicht notwendigerweise die Produktionslinie unterbrechen würde, beeinträchtigt dennoch den Geschäftsbetrieb, das Lieferkettenmanagement sowie die Produktentwicklung und das Produktdesign. Dies sind jedoch nur die kurzfristigen Folgen. Moderne Ransomware-Operationen beinhalten auch Datendiebstahl, der dauerhafte Schäden hinterlässt.

Seit der Maze-Ransomware ist es fast schon Standardpraktik der Hintermänner, mithilfe handelsüblicher Dateisicherungswerkzeuge Daten von ihren Opfern zu stehlen. Ursprünglich sollte damit der Druck auf das Opfer erhöht werden, da das Datenleck eine zusätzliche Erpressungsdrohung ermöglicht. Es werden jedoch auch Daten von Ransomware-Opfern im Untergrund verkauft. Dies ist besonders unerfreulich für Unternehmen, da Design- und Konstruktionsdokumente häufig geistiges Eigentum enthalten. Darüber hinaus könnten Informationen über Lieferanten und Zulieferer vertrauliche Lieferkettendaten wie Preis- und Bestellinformationen umfassen.

Fertigungsunternehmen sollten diese Möglichkeiten in Betracht ziehen, falls sie mit einem Ransomware-Vorfall konfrontiert werden. Sobald der Produktions- und Geschäftsbetrieb wiederhergestellt ist, muss eine Bewertung der gestohlenen Daten vorgenommen werden. Danach sollten sie sich die schmerzhafte Frage stellen: Wenn die Daten bekannt oder verkauft werden, welche Auswirkungen hätte dies auf die Produktion, die Geschäftsbeziehungen und die Kunden? Die Antworten darauf müssen die nachfolgenden Aktionen bestimmen und so eine effektivere Reaktionsstrategie ermöglichen.

Post-Intrusion Ransomware

Im Laufe der Jahre gab es einen erheblichen Rückgang von Ransomware-Zwischenfällen, die als E-Mail-Anhänge kamen oder über bösartige Websites installiert wurden. Glaubt man den Schlagzeilen, so sieht es aus, als hätte die Verbreitung von Ransomware überhaupt nicht abgenommen.

Bild 4. Von Trend Micro als Mail-Anhang oder bösartige Website entdeckte Ransomware

Dieser Eindruck liegt daran, dass die Ransomware-Akteure in den letzten Jahren bei  der Wahl ihrer Ziele selektiver geworden sind. Sie kommen von den en masse verbreiteten Spam-Kampagnen mit Ransomware ab und wählen einen restriktiveren Ansatz, der als „Grosswildjagd“ bezeichnet werden kann. Es geht ihnen nicht mehr um Haushalts-Desktops („Kleinwild“), sondern eher um mittlere bis grosse Unternehmen („Grosswild“). Der Grund für diese Interessensverschiebung liegt darin, dass sie hier höhere Profite pro Ansteckung erwarten.

Die Grosswildjagd ist komplizierter und erfordert mehr Zeit zum Beobachten, Aufspüren und Anpirschen an die Beute. Aus diesem Grund werden die meisten Ransomware-Familien, die grosse Industriezweige (wie die verarbeitende Industrie) angreifen, als „Post-Intrusion Ransomware“ bezeichnet. Die Angreifer verschaffen sich bereits vor der Installation der Ransomware auf anderem Wege Zugang zum Netzwerk.

Bild 5. Verbreitung verschiedener Ransomware-Familien in Fertigungsnetzwerken im 3. Quartal 2020

Die meisten verschiedenen Ransomware-Familien, die im 3. Quartal 2020 die Fertigungsindustrie anvisierten, gehören zur Post-Intrusion-Ransomware. Sodinokibi, die Ransomware, die für die meisten Produktionsnetzwerke im 3. Quartal verantwortlich war, wird installiert, nachdem Angreifer Zugang zu anfälligen Oracle WebLogic-Servern erlangt haben. Gandcrab wird normalerweise installiert, nachdem Angreifer anfällige öffentlich zugängliche MySQL-Server ausgenutzt haben. Die Ryuk-Ransomware wird installiert, nachdem Emotet-Malware bereits in Netzwerken Fuss gefasst hat. Angreifer, die Sodinokibi, Medusalocker, Crysis und eine Reihe anderer Ransomware installieren, sind dafür bekannt, dass sie schwache RDP-Zugangsdaten missbrauchen.

Ein Ransomware-Vorfall ist kein einzelnes Ereignis. Er legt mehrere Sicherheitsprobleme offen, die es den Angreifern ermöglichen, Zugang zu einem Netzwerk zu erlangen, sich lateral zu bewegen und die Schlüssel-Assets für ihre Lösegeldforderung zu identifizieren.

Sowohl die jüngsten Daten zur Fertigungsindustrie als auch das Muster der Ransomware in ICS-Systemen deuten darauf hin, dass es möglicherweise Löcher in der entmilitarisierten Zone (DMZ) und der Netzwerksegmentierung gibt und eine Kompromittierung aus dem IT-Netz in das OT-Netz gelangen kann. Ein weiteres mögliches Problem besteht darin, dass es Fernzugriffsverbindungen direkt in das OT-Netzwerk gibt, die schwach oder bei den Schutzmassnahmen nicht berücksichtigt sind. Eine echte Wiederherstellung darum erst, wenn die Sicherheitsschwachstellen, die die Ransomware-Infektion überhaupt erst ermöglicht haben, behoben sind.

Sicherheit für Fertigungsnetzwerke

Während der letzten paar Jahre hat sich gezeigt, dass Fertigungsnetzwerke genauso einfach zu kompromittieren sind wie jedes andere Netzwerk einer anderen Branche. Selbst mit der spezialisierten Ausrüstung, Software sowie Protokoll- und Netzwerksegmentierung gelingt es Angreifern routinemässig ICS-Systeme zu erpressen.

Bewährte Standard-Sicherheitspraktiken und -lösungen funktionieren, aber sie müssen in einer Weise eingesetzt werden, die genau auf die Produktionsumgebung abgestimmt ist. Abgesehen von den Standardfähigkeiten von Sicherheitslösungen sind die folgenden zusätzlichen Anforderungen vorhanden, die Sicherheitsbeauftragte in der Fertigungsindustrie bei der Bewertung von Sicherheitslösungen beachten müssen:

  • Niedrige Latenzzeit. Die Lösungen sollten zeitempfindliche Produktionsprozesse nicht beeinträchtigen.
  • Protokolle, die mit OT-Protokollen im Feld vertraut sind. Sicherheitsprodukte sollten den Verkehr von und zu ICS-Systemen einwandfrei identifizieren und überwachen.
  • Integrierte Überwachung und Erkennung in IT- und OT-Netzwerken. Sicherheitsstrategien brauchen Produkte, die zusammenarbeiten und Daten zwischen Netzwerksegmenten austauschen können, um so die Benutzerfreundlichkeit zu erhöhen und die Überwachung und Reaktion zu vereinfachen.

Weitere Sicherheitslösungen für die Fertigungsindustrie bietet Trend Micro.

Wege zu mehr Visibilität in der Cloud Security

von Trend Micro

Die Cloud bedeutet zweifelsohne für Unternehmen einen wichtigen technologischen Fortschritt, aber auch mehr Komplexität, und sie erfordert gründliche Sicherheitserwägungen. Angesichts der beträchtlichen Anzahl von Menschen, die remote arbeiten und aus verschiedenen Teilen der Welt auf die Cloud zugreifen, spielt Transparenz und Visibilität über die meist hybriden Cloud-Umgebungen eine zentrale Rolle für die Security-Strategie eines Unternehmens. Im ersten Teil des Beitrags wurden die vorhandenen Bedrohungen beschrieben, und nun stellt der aktuelle Beitrag Möglichkeiten vor, um mehr Visibilität und Sicherheit in die Umgebungen zu bringen.

Um die Vorteile der Cloud möglichst auszuschöpfen, sollten Unternehmen einige Sicherheitsempfehlungen befolgen, um die Transparenz über Systeme und Umgebungen hinweg aufrechterhalten und Schutz vor einem breiten Spektrum aufkommender Bedrohungen und Fehlkonfigurationen zu gewährleisten.

  • Anwenden des Prinzips der Mindestprivilegien. Benutzer sollten lediglich über die für ihre Aufgaben erforderlichen Zugriffsrechte oder Berechtigungen verfügen. Nicht alle Benutzer müssen Admin-Zugriffs- oder Root-Rechte haben und sollten diese daher nicht erhalten.
  • Modell der geteilten Verantwortung beachten. Die Ansicht, dass in der Cloud gehostete Daten automatisch vor Bedrohungen und Risiken geschützt sind, ist trügerisch. Die grossen Cloud Service Provider (CSPs) wie Amazon Web Services (AWS), Google Cloud Platform (GCP) und Microsoft Azure unterstreichen die Bedeutung der geteilten Verantwortung. Das AWS-Shared Responsibility Model benennt klar die Verantwortungsbereiche für den CSP und den Anwender bezüglich der Nutzung der Cloud. AWS ist für die „Sicherheit der Cloud“ bzw. der gesamten Cloud-Infrastruktur, in der die Dienste gehostet werden, verantwortlich. Anwender wiederum verantworten die „Sicherheit in der Cloud“, die von der Art des genutzten Service bestimmt wird, also IaaS, PaaS und SaaS. Google Cloud Platform (GCP) folgt dem Payment Card Industry Data Security Standard (PCI DSS) und führt die geteilten Verantwortungsbereiche für beide Partner auf. Ähnlich hält es Microsoft Azure und teilt sich einige Verantwortungsbereiche mit den Kunden, abhängig von der Art des Stack-Betriebs des Kunden. Abgesehen davon, liefert Microsoft Anleitungen zu einigen Bereichen, für die immer der Kunde zuständig ist, so etwa für die Daten, Endpoints, Accounts und Zugangsmanagement.
  • Verbesserung der Sicherheit von E-Mail, Gateways, Server und Netzwerken. Schwachstellen in Anwendungen, Betriebssystemen und Plattformen können über unsichere Netzwerke ausgenutzt werden.  Virtual Patching dient der Verteidigung von Netzwerken, Workloads, Server und Container gegen Zero-Day-Angriffe, Datendiebstähle und Ransomware.
  • Sichern von Endpoints, Internet of Things (IoT)-Geräten und privaten Netzwerken. Für die Arbeit im Home Office ist es wichtig, dass Unternehmen sicherstellen, dass die dafür eingesetzten Geräte und Netzwerke auch sicher sind. Anleitungen und Überlegungen zur Sicherheit gibt der Beitrag: „Umfassend geschützt im Home Office“.
  • Aufsetzen eines permanenten Monitoring-Programms. Unternehmen müssen eine Sicherheitsmethodologie wählen, die den Anforderungen der jeweiligen Online-Architektur am besten entspricht. Nur so können sie ihren Sicherheitsbedarf für Systeme und Infrastrukturen systematisch analysieren.
  • Definieren von personalisierten Weiterbildungs-Policies für Mitarbeiter. Unternehmen müssen die häufigsten Mitarbeiterrollen und das damit zusammenhängende Sicherheitsverhalten in diese Richtlinien und Schulungen mit einbeziehen. Mitarbeiter müssen mit der Sicherheit unterschiedlich umgehen, so dass ein differenzierter Schulungsansatz für die Unternehmenssicherheit effizienter ist.
  • Anwenden des Zero-Trust-Modells. Dieses Sicherheitskonzept verhindert im Grund genommen, dass Unternehmen automatisch Nutzern vertrauen und Zugang zu Perimeter-basierten Systemen gewähren. Dabei spielt es keine Rolle, ob sich ein Benutzer innerhalb des Netzwerkperimeters der Organisation befindet oder nicht – alle Benutzer müssen überprüft werden, bevor sie Zugriff auf bestimmte Teile des Systems erhalten.

Trend Micros Cloud-Sicherheitslösungen

Cloud-spezifische Sicherheitslösungen wie Trend Micro™ Hybrid Cloud Security können zum Schutz von Cloud-nativen Systemen und ihren verschiedenen Schichten beitragen.  Unterstützt wird sie von Trend Micro Cloud One™ , einer Sicherheitsdienste-Plattform für Cloud-Entwickler. Sie bietet automatisierten Schutz für die CI/CD-Pipeline und Anwendungen.  Sie trägt auch dazu bei, Sicherheitsprobleme früher zu erkennen und zu lösen und die Lieferzeit für die DevOps-Teams zu verkürzen. Die Plattform umfasst:

Cloud App Security verbessert die Sicherheit von Microsoft 365 und weiterer Cloud-Services. Die Lösung nutzt Sandbox-Analysen als Schutz vor Ransomware, Business Email Compromise (BEC) und andere Bedrohungen. Auch kann sie Cloud-Dateifreigaben vor Bedrohungen und Datenverlust schützen.

Ransomware-Angriffe setzen auf das Weihnachtsgeschäft

Originalartikel von Trend Micro Research

Cyberkriminelle haben in letzter Zeit ihre Ransomware-Angriffe vor allem auf den Einzelhandel konzentriert, wissend wie schlimm es für diese Unternehmen sein kann, wenn sie die Geschäftstätigkeit während der für sie wichtigen Vorweihnachtszeit und dem Black Friday stören. Eine Ransomware-Attacke könnte für den Händler den Verlust von tausenden Verkaufschancen bedeuten, wenn das Geschäft keine zufriedenstellende Dienstleistung bietet. Ein Überblick über die aktiven Ransomware-Familien und Handlungsempfehlungen.

Daten aus der Sicherheitsinfrastruktur Trend Micro Smart Protection Network™ zeigten eine Reihe von Ransomware-Familien, die bei Angriffen gegen Einzelhandelsunternehmen eingesetzt wurden. Sekhmet, eine relativ neue Familie mit umfangreichen Verschleierungs-Fähigkeiten, wies die zweithöchste Anzahl von erkannten Ransomware-Dateien auf. Es ist nicht viel bekannt über Sekhmet, doch hat sie Berichten zufolge bereits Schlagzeilen gemacht. Die Schadsoftware verschlüsselt nicht nur Dateien, die Hintermänner drohen auch damit, gestohlene Daten zu veröffentlichen, sollte das Opfer das Lösegeld nicht bezahlen. Für Einzelhändler bedeutet dies, es könnten Kundendaten an die Öffentlichkeit geraten, was auch rechtliche Konsequenzen hätte.

Einige Varianten werden auch als Ransomware-as-a-Service (RaaS) angeboten, sodass deren Einsatz nicht auf die Malware-Autoren beschränkt ist, was vermutlich einen Anstieg der Angriffe mit Sekhmet und Co. bewirken wird.

Traditionelle Ransomware aktiv

Auch Angriffe mit weiteren Ransomware-Veteranen wie Cerber und Crysis zeigen die Daten. Diese beiden Familien gibt es seit Jahren, und sie gelten als „traditonelle“ Schädlinge, die sich vor allem über Social Engineering-Techniken und E-Mails verbreiten. Dennoch wurden sie durch neuere Erpressungssoftware nicht verdrängt und durchliefen mehrere Updates, die neue Fähigkeiten hinzufügten, vor allem bezüglich ihrer Aktivitäten im Verborgenen und der Verhinderung der Entdeckung.

Die Crysis-Familie zielte auf Unternehmen weltweit. Sie wird auch als RaaS angeboten, sodass auch technisch nicht versierte Akteure damit angreifen können. Die Ransomware-Familie verbreitet sich über Remote Desktop Protocol (RDP)-Angriffe. Deshalb sollten Unternehmen die Aktualisierung und Verbesserung der RDP-Anmeldeinformationen priorisieren, Zweifaktor-Authentifizierung einführen und den RDP-Port auf einen Nicht-Standard Port (oder den RDP-Zugang ganz schliessen) setzen.

Cerber, vor allem in den USA aktiv, bietet Partnern RaaS-Dienste. Der Betrieb von Cerber ist hocheffizient und bietet Automatisierung für kriminelle Akteure, die die Plattform nutzen, oder auch für Zahloptionen. Damit ist die Schadsoftware für Cyberkriminelle sehr attraktiv, die nicht über das nötige Wissen oder die Ressourcen verfügen.

Die Trend Micro-Daten zeigen allgemein, dass Ransomware-Familien, die als RaaS angeboten werden, sehr beliebt sind. Es ist sehr wahrscheinlich, dass nicht nur die grossen Gruppen hier aktiv sind, sondern auch kleinere, die möglicherweise versuchen, die lukrative Shopping-Zeit zu nutzen.

Die Forscher fanden auch viele WannaCry-bezogene Dateien. Die Schadsoftware erlangte 2017 traurige Berühmtheit, nachdem ihre erste Kampagne hunderttausende Computer weltweit infiziert hatte. Seitdem ist sie Grundbestandteil der Cyber-Kriminalität geblieben, selbst mit dem Auftauchen neuerer Ransomware-Familien wie Ryuk.

Weitere Bedrohungen für Einzelhändler

Ransomware ist nicht die einzige Bedrohung für den Einzelhandel. Eine der prominentesten Gangs, die Online Shopping-Systeme angreift, ist Magecart. Sie setzt auf Skimming-Angriffe, um online Kreditkarteninfos abzugreifen, und zielt auf jede Art von Online-Opfer – von Shops bis zu Hotel-Buchungssites und sogar auf lokale US-Regierungsbehörden. Häufig griffen die die Hintermänner die Supply Chain an und kompromittierten Drittanbieter-Software von Systemintegratoren (wie etwa E-Commerce Service Provider), indem sie bösartige Skripts einschleusten.

Verteidigung gegen Ransomware

Obwohl Ransomware in verschiedenen Formen und mit unterschiedlichen Fähigkeiten daherkommt, bleiben die Methoden, mit denen der Zugriff auf einen Zielcomputer erfolgt, relativ gleich. Ransomware-Betreiber verwenden oft Social Engineering-E-Mails, um im System Fuss zu fassen, eine einfache Taktik, die leicht vereitelt werden kann. Unternehmen sollten ihre Mitarbeiter über Social-Engineering-Techniken wie Spam und Spear-Phishing aufklären und den Nutzer dazu anhalten, nicht auf E-Mail-Anhänge und Links aus verdächtigen oder nicht verifizierten Quellen zu klicken, da diese zu den häufigsten Infektionsvektoren für Ransomware gehören.

Darüber hinaus müssen Unternehmen Systemsoftware patchen und aktualisieren, um alle Schwachstellen zu beheben, die böswillige Akteure zur Infektion von Systemen nutzen können. Ransomware kann auch Schwachstellen für laterale Bewegung ausnutzen, nachdem sie in das Netzwerk eingedrungen ist, so dass ein böswilliger Akteur einen einzelnen Rechner als Einstiegspunkt benutzen und von dort aus zu anderen Systemen und Geräten wechseln kann. Das Patchen von Bugs ist besonders wichtig für Einzelhandelsunternehmen, da WannaCry, die am weitesten verbreitete Ransomware-Familie in der Branche, Schwachstellen als Teil ihrer Routine ausnutzt.

E-Commerce-Geschäfte sollten ihre Sites und Anwendungen einem Audit unterziehen, um sicherzustellen, dass sie so sicher wie möglich sind. Sie sollten regelmässig Backups von Store- und Kundendaten erstellen, vorzugsweise unter Anwendung der 3-2-1-Regel (drei Kopien in zwei verschiedenen Formaten mit mindestens einer Kopie ausserhalb des Standorts). Eine weitere Option ist der Einsatz von Intrusion-Prevention-Software, die Netzwerkangriffe erkennen und verhindern sowie anfällige Systeme virtuell patchen kann.