- Anzeigen -


Sie sind hier: Home » Markt » Hintergrund

Zunehmend Unternehmen im Fokus


Botnets werden zur neuen Norm und sogar von Regierungen genutzt, um kritische Infrastrukturen zu stören
Wie präzise war der Blick in die Kristallkugel? Bitdefenders Cybersecurity-Vorhersagen für 2018 im Check

- Anzeigen -





Von Liviu Arsene, Senior e-threat Analyst, Bitdefender

Fast drei Viertel des Jahres 2018 liegt bereits hinter uns und das Gros der Vorhersagen zur Cybersicherheit, die wir Ende 2017 machten, haben sich leider bereits erfüllt. Von Cryptojackern, die zu einer echten Bedrohung für Unternehmen werden, anstatt nur ein Ärgernis für Privatanwender zu sein, über Hardware-Schwachstellen, bis hin zu IoT-Bedrohungen, die an Komplexität zugenommen haben, hatte das Jahr 2018 bislang einiges zu bieten. Es lohnt sich abzugleichen, wie präzise der Blick in die Kristallkugel war.

Prognose: Firmware-Schwachstellen öffnen heimliche Hintertür
Im Jahr 2018 werden kriminelle Akteure auch wieder einzelne Komponenten von Geräten auf Schwachstellen absuchen, die sich unterhalb der Ebene des Betriebssystems befinden, wie z.B. Firmware.

2018 war nur wenige Tage alt, da wurden Schwachstellen in der CPU namens Meltdown und Spectre entdeckt, die sich nicht nur auf die CPU-Leistung, sondern auch auf die Sicherheit der betroffenen Systeme auswirken können. CPU-Hersteller, Softwareentwickler und Sicherheitsfirmen beeilten sich, Patches und abschwächende Maßnahmen zu implementieren, die Cyberkriminelle daran hindern würden, die Schwachstelle auszunutzen.

Prognose: Kriminelle bleiben erfolgreicher Malware treu
Kriminelle werden der Malware treu bleiben, die am meisten Geld einbringt: Ransomware, Banken-Trojaner und Miner für digitale Währungen.
UND
Prognose: Zunehmend Unternehmen im Fokus
Nach Jahren der Fokussierung auf Einzelpersonen werden Malware-Autoren zunehmend Unternehmen und Computernetzwerke ins Visier nehmen.

Die wachsende Popularität von Kryptowährungen führte zur Entwicklung einer neuen Kryptomining-Technik, bei der man sich nicht auf teure GPU-gestützte Rigs fokussiert, sondern auf Standard-CPUs. Das browserbasierte Crypto-Currency-Mining wurde schnell populär, da es sich als eine einfache Möglichkeit darstellte, konstant Einnahmen durch die Nutzung der Rechenleistung von Besuchern von Webseiten zu generieren. Angesichts dieser neuen Methode nahmen Cyberkriminelle das browserbasierte Mining-Skript schnell an und platzierten es illegal auf stark frequentierten Webseiten.

Während anfänglich die Privatnutzer am stärksten betroffen waren, richten sich die Cyber-Akteure nun vermehrt an große Unternehmen und Organisationen, da diese ihren ständig wachsenden Bedarf an ergaunerter Rechenleistung decken können. Von Wasserwerken bis hin zu Linux-Servern wurden Kryptojacker heimlich in allen Arten von Infrastrukturen eingesetzt und erzeugten Kryptowährungen für Angreifer im Wert von Millionen von Dollar. Im Gegensatz zu Ransomware, die sehr aufdringlich und störend ist, ermöglichen es Kryptojacker, dass Cyberkriminelle monatelang unentdeckt bleiben. Sie drosseln die Rechenleistung der CPUs gerade so weit, dass sie unter dem Radar der traditionellen IT- und Sicherheitsteams fliegen.

Neben der Verbreitung von Ransomware, die nicht an Beliebtheit eingebüßt hat, und Kryptojackern steht auch dateilose Malware im Mittelpunkt. Cyberkriminelle verwenden bereits dateilose Malware in Verbindung mit Kryptojackern, wenn sie Organisationen infizieren, da dateilose Angriffe von herkömmlichen Sicherheitslösungen oft nicht erkannt werden. Traditionell werden dateilose Angriffe mit fortgeschrittenen und ausgeklügelten Bedrohungen in Verbindung gebracht und die niedrige Eintrittsbarriere hat sie sehr beliebt gemacht.

Auch Malware, die sich mit Hilfe von "Lateral Movement"-Techniken und -Tools über die Infrastruktur eines Unternehmens verbreiten, treten immer häufiger auf. Kryptojacker haben vor kurzem die militärische Cyber-Waffe EternalBlue zur Verbreitung der WannaCry-Ransomware eingesetzt. Das alles geschah zudem in Verbindung mit Mimikatz, einem Werkzeug zum Abgreifen von Zugangsdaten. Unter dem Namen WannaMine ist es wahrscheinlich, dass zukünftige Bedrohungen diese Mechanismen zur Ausbreitung weiter nutzen werden.

Prognose: IoT-Botnets entwickeln sich weiter
Große IoT-Botnets werden 2018 zur neuen Normalität. Der Quellcode für IoT-Bots steht kostenlos im Netz.

Die bestehende IoT-Bedrohungslandschaft geht auch mit den Prognosen von Sicherheitsexperten Hand in Hand. Botnets werden zur neuen Norm und sogar von Regierungen genutzt, um kritische Infrastrukturen zu stören. Malware auf IoT-Geräten ist auch im Jahr 2018 bereits aufgetreten, wobei das sogenannte VPNFilter-Botnet diese Vorhersage bestätigt hat. Nach Einschätzung von Sicherheitsexperten wurde das Botnet speziell entwickelt, um kritische Infrastrukturen in einem koordinierten Denial-of-Service-Angriff zu stören, während andere Botnetze wie Hide 'N' Seek ständig mit neuen Funktionen verbessert werden. Obwohl Hide'N' Seeks unterstützte Befehlsliste derzeit keinen Support für DDoS-Angriffe enthält, ist es in der Lage, möglicherweise Dateien für Spionage oder Erpressung abzugreifen.

Der richtige Schutz
Der Grund, warum Cybersicherheitsvorhersagen in der Regel recht präzise sind, liegt in der Art und Weise, wie Cyberkriminelle arbeiten und welche Tools sie verwenden. Es geht darum, Trends und Muster bei der Verwendung von Techniken und Werkzeugen zu erkennen, die eine geringe Eintrittsbarriere haben. Finanzielle Motivation ist in der Regel ein starker Faktor bei Cyberkriminellen, und wenn ihnen eine einfache Möglichkeit zum Geldverdienen geboten wird, werden sie diese wahrscheinlich annehmen. Sicherheitsexperten können aufgrund dieser Tatsachen genaue Vorhersagen treffen und den Schutz aufbauen oder verbessern, bevor diese Bedrohungen viral gehen.

Mehrschichtige Sicherheitslösungen, die vor einer Vielzahl von Bedrohungen und Angriffsvektoren schützen können, sind eine wichtige Sicherheitsmaßnahme und sollten vollständige Transparenz über die gesamte Infrastruktur gewährleisten. Die Sicherheitslage eines Unternehmens wird auch durch die Integration von Lösungen zur Endpoint-Erkennung und Reaktion gestärkt, die sorgfältig geplant und dann als sich wiederholender Prozess ausgeführt werden. Sicherheit ist ein ewiger Kreislauf, in dem potenzielle Bedrohungen von der ersten Sicherheitswarnung bis hin zur Aktualisierung oder Implementierung neuer Sicherheitsrichtlinien identifiziert werden.

Kryptojacker sind zur neuen Norm geworden, und ihre Präsenz in einer Infrastruktur ist ein deutliches Zeichen eines erfolgreichen Angriffs. Sicherheitsteams müssen untersuchen, ob die Cyber-Akteure bereits auf sensible Daten zugegriffen oder diese exfiltriert haben, bevor sie den Cryptocurrency-Mining-Client einsetzten. Die Festlegung einer Leistungsbasis für den normalen Betrieb der Infrastruktur kann helfen, anomale Rechenspitzen zu erkennen, die auf das Vorhandensein eines heimlichen Kryptojackers hinweisen könnten.
Organisationen, die IoT-Geräte innerhalb ihrer Infrastrukturen implementiert haben oder dies in Erwägung ziehen, sollten eine Netzwerksegmentierung, Firewalls und ständige Aktualisierungen der Firmware aller ihrer Geräte auf die Agenda setzen. Dies trägt nicht nur dazu bei, dass sich Cyberkriminelle nicht aus der Ferne in gefährdete Geräte einwählen können, sondern minimiert auch die potenziellen Auswirkungen eines gefährdeten Geräts.
(Bitdefender: ra)

eingetragen: 07.10.18
Newsletterlauf: 02.11.18

Bitdefender: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Hintergrund

  • Adware im Google Play Store

    Avast hat mit der Mobile Threat Intelligence-Plattform "apklab.io" 50 Adware-Apps im Google Play Store identifiziert, die jeweils zwischen 5.000 und 5 Millionen Installationen zählen. Die von Avast als TsSdk bezeichneten Apps blenden dauerhaft Anzeigen im Vollbildmodus ein und einige versuchen dadurch den Benutzer zur Installation weiterer Apps zu verleiten. Hinter den betroffenen Anwendungen stehen Android-Bibliotheken von Drittanbietern, welche die Hintergrunddienst-Einschränkungen, die in neueren Android-Versionen vorhanden sind, umgehen. Das ist zwar im Play Store nicht explizit verboten, jedoch erkennt Avast das Verhalten als Android:Agent-SEB [PUP], da die Apps den Akku des Benutzers belasten und das Gerät verlangsamen. Die Anwendungen zeigen dem Benutzer kontinuierlich immer mehr Einblendungen an, was wiederum die Regeln des Play Store verletzt. Avast-Sicherheitsforscher haben Google kontaktiert, um die Apps entfernen zu lassen.

  • Sicherheitsmängel in Industrieanlagen gravierend

    Eine verschlüsselte Datenübertragung per SSL/TLS ist ein richtiger Schritt zur Absicherung der IT-Infrastruktur eines Unternehmens. Die Einbindung von SSL-Zertifikaten auf Webseiten dient dazu, dass Daten, die zwischen zwei Computern übertragen werden, verschlüsselt werden und somit vor dem Zugriff Unbefugter geschützt sind. "Das allein nützt aber nichts, wenn Zugangsdaten zu internetbasierten Anwendungsoberflächen im Anmeldefenster bereits voreingetragen sind und so Unbefugte leicht Zugang zu Daten und Prozessen erlangen. Benutzername und Passwort dürfen ausschließlich berechtigen Personen bekannt sein", mahnt Christian Heutger, Geschäftsführer der PSW Group.

  • Datenschutz vorzugsweise in verteilten Umgebungen

    Daten, Daten, Daten! Nur wohin damit, wenn es um deren Schutz geht? Die Cloud scheint bei europäischen Unternehmen kein adäquate Backup-Lösung zu sein. Sie vertrauen in der Mehrheit immer noch ganz traditionell auf Plattformanbieter wie Microsoft, um ihre Daten zu schützen. So offenbart es eine aktuelle Studie von Barracuda Networks, die die Antworten von 432 IT-Experten, Geschäftsführern und Backup-Administratoren als Befragungsgrundlage hat. Ziel war es, die Einstellung der EMEA-Organisationen zu Backup und Wiederherstellung zu untersuchen.

  • Cyber-Spionage zum Wettbewerbsvorteil

    Immer mehr Autos sind mit dem Internet verbunden - damit steigt auch das Risiko, Ziel eines Hacker-Angriffs zu werden. Dass Hacker ein Auto aus der Ferne übernehmen, ist technisch bereits möglich. Jedoch haben Cyber-Bedroher nicht nur einzelne Autos im Fokus, sondern führen gezielte und strategische Cyberspionage-Angriffe gegen die gesamte Automobilindustrie inklusive der Zulieferer durch, um sich einen Wettbewerbsvorteil zu verschaffen. FireEye hat in den vergangen Jahren zahlreiche Vorfälle beobachtet, in denen es Bedrohern - hauptsächlich aus China - gelang, in die Automobilindustrie einzudringen. Weitere Aktivitäten auf die Automobilindustrie wurden von Bedrohern aus Nordkorea und Vietnam beobachtet.

  • Social Engineering weiter auf dem Vormarsch

    Angesichts wachsender Angriffsflächen, zunehmend raffinierter Angriffe und dynamischer Bedrohungslandschaften müssen IT-Abteilungen das Thema IT-Security mit höchster Priorität angehen. Die Security-Experten von Controlware geben Tipps, welche Trends und Entwicklungen in den kommenden Monaten besondere Aufmerksamkeit verdienen. "Das Jahr 2019 begann mit einer Serie von Datendiebstählen, bei denen Prominente und Politiker gezielt ins Visier genommen wurden - und gab uns damit wieder einen Hinweis auf die Bedrohungen, denen wir uns stellen müssen. Wir gehen davon aus, dass sich die Bedrohungslage auch in den kommenden Monaten nicht entspannen wird", berichtet Mario Emig, Head of Information Security Business Development bei Controlware. "Positiv ist, dass demnächst wichtige technologische Innovationen Marktreife erreichen werden. Unternehmen erhalten damit die Chance, ihre IT-Security auf ein höheres Level zu heben - und können sich proaktiv vor Bedrohungen schützen."