Schlagwort-Archive: E-Mail

Report zeigt Cloud als eines der Hauptziele von Angriffen

Der gerade erschienene Data Breach Investigations Report“ (DBIR) von Verizon bietet seit nunmehr 12 Jahren interessante Einblicke in die aktuellen Trend in der Bedrohungslandschaft. Für den aktuellen Report wurden 32.000 „Vorfälle“ und fast 4.000 Diebstähle weltweit analysiert. Ganz allgemein fällt auf, dass 70% der Diebstähle im letzten Jahr von Tätern ausserhalb des Unternehmens begangen wurden – dies widerspricht der der weit verbreiteten Meinung, Innentäter seien die Hauptakteure. Weitere 22% wurden durch menschliche Fehler möglich. Zwei Haupttrends lassen sich aus dem Bericht herauslesen.

Zum einen steigt die Zahl der Cloud-Assets, die von Einbrüchen betroffen sind: In etwa einem Viertel (24%) dieser Vorfälle sind Bestandteile von Cloud-Systemen oder Services mit involviert. In den meisten Fällen (73%) wurde ein Email- oder Web-Anwendungsserver ins Visier genommen und bei 77% der Events nutzten die Angreifer vorher gestohlene Login-Informationen. Persönliche Daten sind immer häufiger betroffen, oder zumindest werden diese Diebstähle aufgrund gesetzlicher Bestimmungen öfter gemeldet. Bei 58% der Verstösse waren personenbezogene Daten beteiligt,  fast doppelt so viel wie letztes Jahr.

Diese große Beliebtheit von Phishing-Angriffen erklärt Verizon damit, dass Cyberkriminelle immer den schnellsten und einfachsten Weg für eine Kompromittierung wählen. Dies stimmt mit den Beobachtungen von Trend Micro überein. Der „Cloud App Security Report 2019“ zeigte einen jährlichen 35-prozentigen Anstieg der Credential Phishing-Versuche ab 2018.

86% der Übergriffe waren finanziell motiviert, wenngleich Spionage und fortgeschrittene Bedrohungen am meisten Aufsehen erregten. Der Credential-Diebstahl, Angriffe über Social Engineering (d.h. Phishing und Business Email Compromise) und Fehler verursachten die Mehrzahl der Einbrüche (67% oder mehr). Ransomware machte 27% der Malware-Vorfälle aus, und 18% der Unternehmen blockten mindestens eine Ransomware.

Auch erweitert sich die unternehmensweite Angriffsfläche, weil immer mehr Geschäftsprozesse und Daten in Cloud-Systeme migriert werden. Deshalb wird es für Unternehmen immer wichtiger, vertrauenswürdige Sicherheitspartner zu finden, die sie dabei unterstützen, den nativen Schutz zu verbessern, den Cloud Service Provider anbieten.

Zum anderen stellt der DBIR eine steigende Tendenz zu Cloud-basierten Datendiebstählen aufgrund von Fehlkonfigurationen fest. Der Bericht geht davon aus, dass 22 % der Einbrüche aufgrund von menschlichen Fehlern möglich waren, viele davon eben durch Konfigurationsprobleme. Typischerweise werden Cloud-Datenbanken oder Dateispeichersysteme infolge eines Fehlers eines Auftragnehmers oder Inhouse IT-Admins im Internet exponiert.

Auch dies ist ein Bereich, den Trend Micro bereits als Bedrohung für Unternehmen hervorgehoben hat. Tatsächlich identifiziert Trend Micro Cloud One – Conformity durchschnittlich 230 Millionen Fehlkonfigurationen täglich.

Der langfristige Trend geht in Richtung einer stärkeren Migration in die Cloud, einer höheren Abhängigkeit von Web-Anwendungen für das Arbeiten an Remote-Standorten und zu mehr Komplexität, da Unternehmen in hybride Systeme von mehreren Anbietern investieren. Das bedeutet ein potenziell höheres Cyberrisiko, das CISOs meistern müssen.

Sicherheitsempfehlungen

In erster Linie sind gerade Cloud-Verantwortliche gut beraten, ein tiefes Verständnis dafür zu entwickeln, wie ihre Unternehmen die Cloud nutzen, um die passenden Sicherheitsrichtlinien und -standards zusammen mit durchsetzungsfähigen Rollen und Verantwortlichkeiten festlegen zu können. Des Weiteren sind Schulungen und Awareness-Programme für Mitarbeiter wichtig. Zudem sollten Best Practices befolgt werden, so etwa die Anwendung von Multi-Faktor-Authentifizierung bei Mitarbeiterkonten, Richtlinien für den Zugang mit den geringsten Privilegien und mehr.

Sicherheitslösungen wie Cloud App Security verbessert den Built-in-Schutz in Office 365, G Suite und für Cloud Dateisharing-Dienste, weil die Lösung Malware und Phishing-Versuche blocken kann. Trend Micro Cloud One – Conformity wiederum liefert automatisierte Sicherheits- und Compliance-Prüfungen, um Fehler bei der Konfiguration zu vermeiden und Cloud Security Posture Management nach Best Practices zu ermöglichen.

Dateilose Netwalker Ransomware über Reflective Loading

Bedrohungsakteure finden permanent neue Wege, um ihre Malware an Verteidigungsmechanismen vorbei zu schleusen. So fanden die Sicherheitsforscher Angriffe der Netwalker Ransomware mit Malware, die nicht kompiliert sondern mit PowerShell verfasst ist und direkt im Hauptspeicher ausgeführt wird, ohne das tatsächliche Ransomware Binary auf Platte speichern zu müssen. Damit wird diese Variante zur dateilosen Bedrohung, die in der Lage ist, sich persistent in Systemen festzusetzen und ihre Entdeckung zu vermeiden, indem sie schon vorhandene Tools missbraucht, um die Angriffe zu starten.

Diese Art der Bedrohung setzt auf eine Technik namens Reflective (deutsch auch Reflexion oder Introspektion) Dynamic-Link Library (DLL) Injection, auch als Reflective DLL Loading bekannt. Die Technik ermöglicht das Einschleusen einer DLL aus dem Hauptspeicher statt von der Platte. Damit ist die Technik unsichtbarer als die übliche DLL Injection. Nicht nur die eigentliche DLL-Datei auf der Festplatte ist nicht erforderlich, sondern auch der Windows-Loader zum Einschleusen wird nicht gebraucht. Dadurch muss die DLL nicht als geladenes Modul eines Prozesses registriert werden und die Malware kann DLL-Load-Monitoring-Tools umgehen.

Trend Micros Sicherheitsforscher stellten schon früher fest, dass Cyberkriminelle diese Technik für die Installation der ColdLock-Ransomware einsetzten. Nun verwendete die gleiche Angriffsmethode die dateilose Ransomware Netwalker. Die technischen Einzelheiten zum Angriff liefert der Originalbeitrag.

Fazit und Empfehlungen

Reflective DLL Injection erschwert die Erkennung von Ransomware-Angriffen und auch deren Untersuchung durch Sicherheitsanalysten. Als dateilose Bedrohung steigt das Risiko von Ransomware-Angriffen noch weiter, weil die Malware persistent auf den Systemen bleibt und Verteidigungsmassnahmen umgehen kann.

Der Schutz vor kombinierten Bedrohungen, die mehrere Techniken einsetzen, erfordert eine mehrschichtiges Sicherheitskonzept, das Endpunkte effizient schützt, so etwa durch Sicherheitslösungen, die Verhaltensüberwachung und verhaltensbasierte Erkennung einsetzen.

Die folgenden Empfehlungen können dazu beitragen, Ransomware-Angriffe zu verhindern:

  • Regelmässiges Backup der kritischen Daten, um die Auswirkungen eines Ransomware-Angriffs zu minimieren.
  • Aufbringen der neuesten Software-Patches der Betriebssystem- und Drittanbieter.
  • Befolgen von Email- und Website-Sicherheitsrichtlinien.
  • Warnungen an IT-Sicherheitsteam senden, wenn Mitarbeiter verdächtige Emails und Dateien finden.
  • Einführen von Anwendungs-Whitelisting auf den Endpunkten, um unbekannte oder unerwünschte Apps zu blocken.
  • Regelmässige Schulungen für Mitarbeiter zu den Gefahren des Social Engineering.

Empfehlungen zum Schutz vor dateilosen Bedrohungen:

  • Sichere Nutzung von PowerShell mithilfe deren Logging-Fähigkeiten zur Überwachung verdächtigen Verhaltens.
  • Nutzen von PowerShell-Befehlen wie ConstrainedLanguageMode, um Systeme gegen bösartigen Code abzusichern.
  • Konfigurieren von Systemkomponenten und Deaktivieren der nicht genutzten und veralteten, um mögliche Eintrittspunkte zu blocken.
  • Keine Dateien aus unbekannten Quellen herunterladen oder ausführen.

Zudem sollten Unternehmen Sicherheitslösungen einsetzen, die Verhaltens-Monitoring bieten:

  • Trend Micro Apex One™ – setzt auf Verhaltensanalyse, die vor bösartigen Skripts, Einschleusen, Ransomware und Angriffen über den Browser oder aus der Memory schützen kann.
  • Trend Micro Worry-Free Services – Umfasst Verhaltensmonitoring, um Skript-basierte, dateilose Bedrohungen zu erkennen und Malware zu blocken, bevor sie ein System kompromittieren kann.

Massive Credential Phishing-Angriffe auf Home User

Der Wert eines Passworts liegt darin, einem User Zugang zu wichtigen Informationen und jeder Menge IT Diensten zu eröffnen. Jeder weiss das und natürlich auch Cyberkriminelle. Somit ist es wenig verwunderlich, dass der Diebstahl von Login-Daten, also „Credentials“, eines der Hauptthemen ist, mit denen sich die Akteure beschäftigen. Jetzt aber, wo die Zahl derer, die im Home Office arbeiten, sprunghaft gestiegen ist, haben die „Credential Phisher“ Hochkonjunktur. Nutzer können sich am besten dagegen wehren, wenn sie verstehen, wie ein solcher Angriff abläuft.

Bild 1. Top 10 Länder, in denen User mit Credential Phishing Angriffen mit Bezug auf Outlook oder Office 365 angegriffen wurden (Quelle Trend Micro)

Vorgehensweise

Der Erfolg eines Credential Phishing-Angriffs steht und fällt mit der Fertigkeit des Angreifers, sein Opfer davon zu überzeugen, ihm sein Passwort freiwillig zu übergeben, und – das ist wichtig – das Opfer darf nicht misstrauisch werden. Denn ein Passwort ist im Zweifel binnen Sekunden geändert. Ein Täter benötigt etwas, eine Seite oder ein Formular, wo User Passwörter eingeben können und ein Mittel, das keinen Argwohn weckt, wenn dies nicht sofort klappt.

Ein beliebtes Ziel sind deshalb vor allem Mail-Clients. Während der Mitarbeiter im Büro einfach nur Outlook öffnet, greift er speziell im Home Office auch mit Vorliebe auf die Webvarianten über den Browser zu und muss sich, um auf seinen Account zu kommen, entsprechend authentifizieren. Damit aber ist die erste Notwendigkeit erfüllt. Der Angreifer muss seinem Opfer lediglich eine Fake Web Client-Seite vorgeben – eine klassische Phishing Aufgabe.

Bild 2. Fake Microsoft Login-Seite

Die Sache hat allerdings einen Haken: Die „klassische“ Angriffs-Mail erhält ein Opfer nur bei aktivem Mail Client. Wie erreicht ein Angreifer also sein Opfer, denn niemand würde den wichtigen Link anklicken, um dann erneut seinen Mail Client aufzumachen …

Hier bedient sich der Angreifer eines „Workarounds“. Die Mail bewirbt offiziell die neueste und/oder interessanteste Nachricht eines News-Dienstes. Klickt der User den Link an, wird er auf genau diese Seite weitergeleitet und erhält dort auch die erwartete Information. Gleichzeitig wird allerdings eine zweite Seite geöffnet, die eigentliche Phishing-Seite mit einem Mail Client-Login und dem Hinweis, dass die aktuelle/letzte Session abgelaufen ist. Geht das Opfer nach einer Weile – die Nachricht zu lesen hat vermutlich Zeit gekostet – auf seinen Mail Client und gibt sein Passwort erneut ein, so erscheint die Nachricht, dass entweder Username oder Passwort falsch waren. Es erfolgt eine Umleitung zurück auf die Original Web Client-Seite. Nach erneuter Eingabe des Passworts erhält er auch seinen gewohnten Zugriff auf seine Mails. Die Episode ist bald vergessen. Timeouts von Webseiten sind jedem vertraut und jeder hat sich schon einmal bei der Passworteingabe vertippt.

Aktualität

Das genannte Beispiel gibt es in zahlreichen Facetten. Natürlich ist Office365 dabei aber auch andere Applikationen speziell Online Meeting Plattformen wie Zoom oder Webex stehen im Fokus. Die Methode selbst wurde ursprünglich von der politisch motivierten Gruppe Pawnstorm (APT28, Fancy Bear) genutzt, um Angriffe auf höchste politische Kreise zu launchen. So steht Pawnstorm für die Angriffe auf die Demokratische Partei (2016), den Bundestag (2015/17) sowie eine Reihe weiterer politischer Angriffe.

Gamaredon APT-Guppe setzt auf Covid-19 als Köder

Originalbeitrag von Hiroyuki Kakara and Erina Maruyama

Die Advanced Persistent Threat (APT)-Gruppe Gamaredon ist seit 2013 aktiv und war bislang generell für Angriffe auf ukrainische Regierungsinstitutionen bekannt. Doch kürzlich fanden die Sicherheitsforscher von Trend Micro Mails mit einem Anhang, der die Taktik von Gamaredon nutzte, dabei das Thema Coronavirus als Köder einsetzte, um die Opfer dazu zu verleiten, den Anhang zu öffnen. Die Kampagnen hatten europäische und andere Nutzer zum Ziel.

Bild. Infektionsablauf in der Gamaredon-Kampagne

Im Fall der von Trend Micro entdeckten Mail, startet beim Öffnen des Dokuments im Anhang der Download eines Templates für ein Dokument, das den bösartigen Makro-Code enthält, der wiederum ein VBScript (VBS) ausführt. Zudem gab es einen Mechanismus zum Entschlüsseln, Ausführen und Herunterladen einer zusätzlichen Payload vom C&C-Server. Der C&C-Server war jedoch nicht zugänglich, so dass die Forscher keine zusätzlichen Payloads erhalten konnten.

Alle Angriffe wurden über gezielte Emails durchgeführt (MITRE ATT&CK Framework ID T1193), wobei einer gar den Betreff „Coronavirus (2019-nCoV)“ hatte. Technische Einzelheiten zu den Angriffen umfasst der Originalbeitrag.

Fazit

Gamaredon ist nur eine von vielen Gruppen, die in ihren Angriffen auf COVID-19 als Köder zurückgreift. Informieren Sie sich über weitere Kampagnen, die die Pandemie missbrauchen.

Nutzer können sich vor ähnlichen APT-Angriffen mit folgenden Best Practices schützen:

  • Überprüfen des Mail-Absenders, -Betreffs sowie der Nachricht auf verdächtige Anzeichen, bevor ein Anhang geöffnet oder heruntergeladen wird. Besondere Sorgfalt ist bei Mails geboten, die nicht angefordert wurden und/oder unbekannte Absender haben.
  • Prüfen der Datei-Extension im Anhang, um sicherzugehen, dass es das gewollte Format ist.
  • Keine Makros für Office-Dateien aktivieren. Dies gilt vor allem für Emails, die das fordern.
  • Vorsicht vor gefälschten Domänen, die in E-Mails eingebettet sind. Leichte Änderungen an einer gängigen URL können ein Indikator für bösartige Inhalte sein.

Zusätzlich können Unternehmen einen mehrschichtigen Sicherheitsansatz wählen:

  • Trend Micro Smart Protection Suites und Worry-Free™ Business Security kann vor ähnlichen Bedrohungen schützen, weil die Lösungen bösartige Dateien und Spam-Nachrichten erkennen und alle damit zusammenhängenden bösartigen URLs blockieren. Trend Micro Deep Discovery Email Inspector™ kann bösartige Anhänge und URLs erkennen.
  • Trend Micro Hosted Email Security ist eine wartungsfreie cloudbasierte Lösung, die permanent aktuellen Schutz bietet und Spam, Malware, Spear-Phishing und komplexe, zielgerichtete Angriffe stoppt, bevor sie das Unternehmensnetzwerk erreichen. Hosted Email Security schützt Microsoft Exchange, Microsoft Office 365, Google Apps sowie viele weitere gehostete und lokale Email-Lösungen. Email-Verschlüsselung ist in der Basisversion bereits enthalten.
  • Trend Micro XGen™ Security liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern.
  • Trend MicroTMXDR unterstützt den Schutz von vernetzten Emails, Endpunkten, Servern, cloudbasierten Workloads und Netzwerken. Leistungsfähige KI und Sicherheitsanalysen von Experten korrelieren Daten aus Kundenumgebungen mit den globalen Bedrohungsinformationen von Trend Micro. Daraus entstehen weniger und präzisere Warnungen.

Zusätzliche Informationen und Hilfsangebote von Trend Micro in der Corona-Krise finden Sie hier.

Coronavirus als Köder in Spam, Malware und bösartigen Domänen

Von Trend Micro

Wie nicht anders zu erwarten war, nutzen mittlerweile Angreifer die Thematik rund um das Coronavirus (COVID-19) als Köder in ihren Email Spam-Attacken. Und je weiter die Zahl der vom Virus Betroffenen weltweit steigt, desto mehr solcher Malware-Kampagnen entdecken die Sicherheitsforscher, sowie auch die häufigere Verwendung der Wörter „coronavirus“ und „corona“ in Malware-Namen und bösartigen Domänen.

Trend Micro-Sicherheitsforscher haben weltweite Samples gesammelt und festgestellt, dass viele Emails vorgeben, von offiziellen Organisationen zu kommen und Neuigkeiten sowie Empfehlungen bezüglich der Infektion zu enthalten. Wie die meisten anderen Spam-Angriffe auch umfassen sie einen bösartigen Anhang. So auch das folgende Beispiel mit dem Betreff „Corona Virus Latest Updates“ und dem US-Gesundheitsministerium als vermeintlicher Absender. Natürlich enthält der Anhang Malware.

Bild 1. COVID-19-bezogene Spam-Email

Viele der Spam-Mails beziehen sich auf Versandvorgänge, die sich angeblich wegen der Infektionen verschieben oder ein neues Auslieferdatum enthalten. Im folgenden Beispiel etwa soll vorgeblich der Anhang Einzelheiten für ein späteres Lieferdatum enthalten. Die Email gibt vor, aus Japan zu kommen und umfasst auch Details in Japanisch (im Screenshot unkenntlich gemacht)

Bild 2. COVID-19 -bezogene Spam-Email mit dem Thema Lieferverspätung

Andere Spam-Mails waren auf Italienisch oder Portugiesisch verfasst.

Malware-Dateien und Domänen

Trend Micro fand auch Schadsoftware mit „corona virus“ im Dateinamen. Ebenso nutzen Domänennamen häufiger das Wort „corona“. Eine Liste beider umfasst der Originalbeitrag.

Schutz vor diesen Bedrohungen

Trend Micros Endpoint-Lösungen wie Smart Protection Suites und Worry-Free™ Business Security können die Malware und damit zusammenhängende Domänen erkennen und blockieren. Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der von der Lösung gebotene Schutz wird kontinuierlich aktualisiert, um sicherzustellen, dass das System sowohl vor alten als auch neuen Angriffen gefeit ist. Trend Micro™ InterScan™ Messaging Security liefert umfassenden Schutz, der nach innen gerichtete Bedrohungen stoppt und nach außen gehende Daten sichert. Die Lösung blockiert Spam und andere Email-Bedrohungen. Ein mehrschichtiger Sicherheitsansatz ist darüber hinaus empfehlenswert, um alle Fronten zu schützen und Benutzer am Zugriff auf bösartige Domänen, die Malware liefern könnten, zu hindern.

Von Banking-Trojaner zu Ransomware: erfolgreiche Angriffskaskade

In diesem Jahr hat es immer wieder erfolgreiche Angriffe auf deutsche mittelständische Unternehmen gegeben. Viele dieser Organisationen setzen keine Cloud-Umgebungen ein und verlassen sich auf Perimeter-Schutz für ihre Inhouse-Datacenter. Eine aktuelle Umfrage des TÜV-Verbands ergab, dass in den vergangenen zwölf Monaten in Deutschland jedes zehnte Unternehmen Opfer eines Cyberangriffs geworden ist, wobei jeder fünfte Angriff Ransomware beinhaltete. Viele große Unternehmen haben das Risiko erkannt und ihre Systeme gesichert. Doch die kleinen und mittelständischen Firmen wie auch öffentliche Einrichtungen (Krankenhäuser etwa) sind am meisten gefährdet. Opfer von Ransomware-Angriffen wurden beispielsweise das Württembergische Staatstheater und die Messe in Stuttgart.

Auch der Bankentrojaner Emotet schlug immer wieder zu, so im Netzwerk der Stadtverwaltung Neustadt am Rübenberge, und das Netz der Heise Gruppe war ebenfalls Ziel des Trojaners. Emotet gerät seit seiner Entdeckung 2014 durch Trend Micro immer wieder in die Schlagzeilen, weil er als einer der „zerstörerischsten“ gilt und permanent weiter entwickelt wird. In nur fünf Jahren schaffte es die Schadsoftware, sich zu einer der berüchtigtsten Cyberbedrohungen zu entwickeln – eine, deren Angriffe Kosten von bis zu 1 Mio. $ für die Wiederherstellung verursachen, so das US-CERT.

Der Erfolg der Gruppe hinter Emotet in ihren Angriffen auf mittelständische Unternehmen liegt zum einen daran, dass laut Expertenmeinung die cyberkriminelle Gruppe mindestens zehn Jahre Erfahrung mit Banking-Malware und Info-Stealern hat, und zum anderen waren ihre Angriffe speziell auf mittelständische Unternehmen zugeschnitten. Dafür setzten sie solide Techniken ein. Die Cyberkriminellen nutzen die gestohlenen Zugangsdaten für weitere Angriffe, verkaufen sie im Untergrund oder setzen auf Ransomware. Nicht jedes Unternehmen oder jede Behörde ist trotz der Verschlüsselung von kritischen Systeme bereit, das geforderte Lösegeld zu zahlen. Zu diesem Vorgehen ist auch dringend zu raten! Auch wenn die Opfer auf die Forderungen eingehen, so ist das noch keine Garantie dafür, dass sie ihre Daten wiederbekommen. Und solange die Kriminellen mit ihrer Erpressung erfolgreich sind, werden sie weitermachen.

Das Angriffsschema wird durch die Implementierung von Trickbot erweitert. Dahinter steht möglicherweise eine zweite Gruppe, die dann übernimmt, oder möglicherweise einfach nur eine andere Abteilung derselben cyberkriminellen Unternehmung ist bzw. zumindest eng damit kollaboriert. Trickbot wird von Emotet nachgeladen und verursacht die eigentlichen Schäden. Trickbot ist ein Info Stealer, sodass die Kriminellen wahrscheinlich Credentials abgreifen und diese zu Geld machen. Auch hier gilt, dass die Hintermänner eine mindestens zehnjährige Karriere aufweisen und ihre Erfahrungen aus früheren Schadsoftware-Kreationen wie Dridex / Fridex / Dyreza einfließen lassen, so die Experten.

Die Trickbot-Kriminellen wiederum arbeiten mit einer Gruppe zusammen, die RYUK (Post-intrusion Ransomware) einsetzt. Diese Gruppe wird dann benachrichtigt, wenn erstere Gruppe die Art von Zielen findet (mittelständische Unternehmen mit flachen Netzwerken), die für RYUK möglicherweise leichte Beute ist. Sie verkaufen den Zugang an RYUK, die dann einige Wochen über laterale Bewegungen im Netzwerk dies auskundschaftet, bis alle Schwachpunkte gefunden sind, Backups entfernt und Sicherheitsmaßnahmen außer Kraft gesetzt wurden und die Kriminellen Kenntnis darüber erlangt haben, wieviel das Unternehmen zahlen kann. Dann erst setzen sie ihre Ransomware zugleich in allen kritischen Services ein – manchmal sogar mit einem zeitgleichen anderen Angriff, um InfoSec abzulenken. Unternehmen stehen dann unter Umständen ohne Backups da, mit kritischen Systemen, die außer Funktion sind, und haben keine andere Wahl, als eine erkleckliche Lösegeldsumme zu zahlen, um den Betrieb — wenn alles gut läuft – wieder aufnehmen zu können. Die drei Gruppen (oder vielleicht eine einzige) wiederholen einfach dieses unglaublich erfolgreiche Angriffsmodell wieder und wieder.

Fazit

Und wenn sich herausstellt, dass ein Angriffsmodell so gut funktioniert, übernehmen natürlich auch andere Gruppen die Angriffsabfolge mit unterschiedlicher Malware wie etwa Lockergoga oder Bitpaymer.

Da Emotet(artige) Angriffe insbesondere auch Email-Daten abgreifen, müssen sich Unternehmen auch mit dem Thema Business Email Compromise (BEC) beschäftigen. Bei der so genannten „Chef-Masche“ geht es um einen Angriff, bei dem sich der Kriminelle als Führungskraft des Opferunternehmens ausgibt und den Mail-Empfänger anweist, eine Finanztransaktion durchzuführen. Zugangsdaten, die sich für BEC eignen, sind vermutlich für Emotet-Akteure für den Weiterverkauf interessant.

Des Weiteren sollten Organisationen auch genauestens analysieren, ob und wenn ja in welchem Maße, Risiken für die eigenen Kunden entstehen. In diesem Zusammenhang ist es wichtig  beispielsweise zu prüfen, ob per Fernwartung Zugang zu anderen Netzen, etc. besteht. All diese Prozesse/Fähigkeiten könnten von Angreifern ausgenutzt werden.

Das Bundesamt für Sicherheit in der Informationstechnik hat einen ausführlichen Ratgeber mit  Maßnahmen zum Schutz vor Emotet und gefährlichen Email-Angriffen allgemein veröffentlicht.

Trend Micro-Lösungen

Da Emotet eine dateilose Bedrohung ist, sind alle Schutzmechanismen, die auf Dateierkennung basieren, als Verteidigung ungeeignet. Zu diesen zählen beispielsweise Pattern (Black- und Whitelist) sowie bestimmte Arten des maschinellem Lernens und auch Sandbox-Verfahren, die nicht so konfiguriert sind wie die Unternehmenssysteme, also z.B. mit und ohne installierter Powershell.

Moderne Sicherheitstools wie Trend Micro ApexOne verwenden deshalb verschiedenste Verfahren um auch mit dieser Art von Problemen umzugehen. So kann beispielsweise der Scanner verhaltensbasierte Analyse bzw. Runtime Machine Learning einsetzen, mit deren Hilfe das System an sich überwacht wird. Da für die weitere Verbreitung der Angreifer vorwiegend Sicherheitslücken ausnützt, sind natürlich auch sämtlich Mechanismen (Tools) relevant, die nicht vorhandene Patches erkennen und ein System auch im Innenverhältnis – also gegen seine direkten Nachbarn – verteidigt mithilfe von Virtual Patching/Vulnerability Protection. Auch eine kundenspezifische Sandbox, die ein Unternehmenssystem täuschend echt nachahmt und wie ein Honeypot funktioniert, kann die Angreifer in die Falle locken.

Bei Angriffen dieser Kategorie sollten Anwender sich allerdings nicht darüber täuschen lassen, dass die kriminellen Profis unter Umständen nur sehr schwache Spuren in den einzelnen Umgebungen hinterlassen. Es ist deshalb auch wichtig, die einzelnen Indikatoren, die auf Clients, Servern und im Netzwerk sichtbar werden, zu korrelieren, um sich ein Bild darüber zu machen, wo der Angriff begonnen und wie er sich danach verbreitet hat und welche System aktuell davon betroffen sind. Für ein solches Gesamtbild reicht ein einzelnes Tool in der Regel nicht aus: Es ist vielmehr eine Frage einer Security Strategie mit zugehörigen Tools.

Trend Micro nennt das X Detection & Response (XDR) für die Expertenanalyse der Datensätze aus den Trend-Micro-Lösungen im Unternehmen. Das „X“ in der Bezeichnung steht für umfangreiche Daten aus verschiedenen Quellen, mit denen versteckte Bedrohungen besser entdeckt werden können. Es geht um neue, integrierte Fähigkeiten für Detection & Response über E-Mail, Netzwerke, Endpunkte, Server und Cloud-Workloads hinweg. Unternehmen erhalten damit umfassenden Überblick über ihren Sicherheitsstatus. Gleichzeitig können sie kleinere Vorfälle aus verschiedenen Sicherheits-Silos miteinander in Verbindung bringen, um komplexe Angriffe zu erkennen, die sonst unentdeckt bleiben würden. Durch die Verbindung von Erkennungen, Telemetriedaten, Prozessdaten und Netzwerk-Metadaten über E-Mail, Netzwerk, Endpunkte und Cloud-Workloads wird die Notwendigkeit manueller Tätigkeiten minimiert. Zudem werden Ereignisse schnell korreliert, die Menschen angesichts der täglichen Flut von Sicherheitswarnungen aus verschiedenen Silos nicht verarbeiten können. Die Ereignisinformationen werden zusätzlich um weitere Daten aus Trend Micros globalem Netzwerk für Bedrohungsinformationen ergänzt und die Erkennung durch spezifische Regeln verfeinert, mit denen Experten die wichtigsten Bedrohungen priorisieren können.

IDC MarketScape für weltweite E-Mail Security führt Trend Micro als „Leader“

Originalbeitrag von Wendy Moore

Das Marktforschungsinstitut IDC hat Trend Micro im „IDC MarketScape: Worldwide Email Security 2016 Vendor Assessment“ (Dezember 2016).als „Leader“ eingestuft.

Weiterlesen →