- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Florierendes Geschäft mit BEC-as-a-Service


Maximaler Ertrag mit gezielten Ransomware-Angriffen
Die Spezifikationen einer zielgerichteten Ransomware-Attacke entwickeln sich mit der Zeit, variieren von Hacker-Gruppe zu Hacker-Gruppe und lassen sich an jedes individuelle Ziel anpassen

- Anzeigen -





Cyber-Kriminelle entwickeln ihre Angriffe immer raffinierter. Hat man früher nach dem Gießkannen-Prinzip einfach mal breit zugeschlagen, trifft es heute ausgewählte Ziele. Dabei gibt es typische Vorgehensweisen – Sophos zeigt auf, wie diese aussehen, woran man sie typischerweise erkennt und was sinnvolle Maßnahmen zum Schutz sein können.

Im Jahr nach WannaCry und NotPetya – seinerzeit hielten weltweite Ausbrüche innerhalb von nur Stunden Unternehmen und Medien in Atem – hat Ransomware sich leise weiter entwickelt und kommt heute als zunehmend raffiniertes Angriffszenario auf Unternehmen zu.

Die "herangewachsenen" Ransomware-Attacken zeichnen sich dadurch aus, dass sie individuell, lukrativer und diffiziler zu stoppen sind. Zudem zeigen sie verheerendere Wirkung auf ihre Opfer, als jene Attacken, die auf Email oder Exploits zur Verbreitung setzen. Und die Angriffe sind derart gestaltet, dass sie leicht zu reproduzieren sind.

Der Vorteil gezielter Attacken? Geld. Viel mehr Geld.
WannaCrys Vertrauen auf ein Exploit – gestohlen von der NSA – machte seinen Erfolg schwer zu replizieren. Zugleich hinterließ WannaCry zahllose Kopien seiner Schadsoftware – bereit zur Analyse von Forschung und Sicherheitsfirmen. Das ist Schnee von gestern: Die Kriminellen hinter den neuen gezielten Ransomware-Attacken verlassen sich auf Taktiken, die erfolgreich wiederholt werden können, verwenden Werkzeuge, die sich einfach ersetzen lassen und nutzen Ransomware, die schwer zu untersuchen ist und die eigenen Spuren verwischen kann. Während der Fußabdruck einer solchen gezielten Attacke dabei zwar winzig ist im Vergleich zu einer Spam-Kampagne oder einem Massenangriff, lässt sich hiermit mehr Geld vom Opfer erpressen, als alle WannaCry-Angriffe zusammen.

Die Anatomie eines gezielten Ransomware-Angriffs
Die Spezifikationen einer zielgerichteten Ransomware-Attacke entwickeln sich mit der Zeit, variieren von Hacker-Gruppe zu Hacker-Gruppe und lassen sich an jedes individuelle Ziel anpassen. Nichtsdestotrotz zeigen alle auffallend ähnliche Strukturen.

In einem typisch gezielten Angriff wird ein krimineller Hacker:

1. sich mithilfe eines schwach gesetzten RDP (Remote Desktop Protocol) Passwortes Zugang zum System verschaffen.

2. Seinen Zugang mit vollen Rechten nutzen, um die Sicherheitssoftware zu umgehen.

3. Ransomware zum Laufen bringen und verbreiten, um die Dateien des Opfers zu verschlüsseln.

4. Eine Notiz mit Zahlungsaufforderung gegen Befreiung der Daten hinterlassen.

5. Auf Antwort des Opfers warten – via Email oder Dark Web-Webseite.

Die Gemeinsamkeit zwischen den Angriffen und den Angreifern selbst ist nicht das Ergebnis von Koordination, sondern von Fokussierung auf die Methode, die verlässlich funktioniert, und den Kriminellen gigantisch hohe Auszahlungen einbringt. Bei SamSam beispielsweise sind 50.000 US-Dollar in Bitcoins eine übliche Summe. Die Analyse von BitPaymer (einer der mysteriösesten und am höchsten entwickelten Ransomware) enthüllt alleine im letzten Monat ein "Einkommen" von mindestens 1 Million US-Dollar.

Die Übereinstimmung erstreckt sich hierbei sogar bis in Details wie "Heute Spezialangebot": während die Lösegeldzahlungen signifikant variieren, eröffnen die Angreifer von Dharma (auch bekannt als Crysis), SamSam und BitPaymer ihren Opfern die Möglichkeit, ein oder zwei Dateien kostenlos zu dechiffrieren. Ein Beleg der Hacker ähnlich dem "Lebendbeweis" tatsächlicher Kidnapper.

Was ist zum eigenen Schutz zu tun?
"Auch wenn die Angreifer immer skrupelloser und die Attacken immer diffiziler werden, gilt heute genau wie gestern und in Zukunft: bevor man mit Sondertools um die Ecke kommt und wild alles durcheinander installiert: Schaffen Sie sich eine solide Grundlage, achten Sie auf regelmäßige Aktualisierungen und dann stocken Sie auf, wo es für Ihre Bedürfnisse nötig ist", empfiehlt Michael Veit, Security Evangelist Sophos.

Im Einzelnen bedeutet das:
>> RDP verschließen und einem strikten Patching-Protocol für das eigene Betriebssystem und die laufenden Programme folgen.
>> Ein Mehrschichtiges Sicherheitssystem verwenden, das es dem Angreifer schwierig macht, alle Hürden zu überwinden.
>> Ein gut segmentiertes Netzwerk mit nach Notwendigkeit eingerichteten Rechten (Gäste, die das W-Lan zu Besuch nutzen, benötigen keine Admin-Rechte, es reicht ein einfacher Gast-Account) aufbauen
>> Regelmäßige Backups auf externen Systemen durchführen.
(Sophos: ra)

eingetragen: 07.10.18
Newsletterlauf: 07.11.18

Sophos: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Heimtückische Cybereinbruchsmethode

    Kaspersky Lab warnt Banken und Finanzinstitute vor einer heimtückischen Cybereinbruchsmethode. Dabei schmuggeln die Bankräuber ein Gerät, das von ihnen komplett kontrollierbar ist, in das Gebäude der anvisierten Finanzorganisation und verbinden es anschließend mit dem Unternehmensnetzwerk. Diese Art des digitalen Einbruchs machten die Experten von Kaspersky Lab anlässlich nötiger Vorfallreaktionsuntersuchungen (Incident-Response-Untersuchungen) bei mindestens acht Fällen in Osteuropa zwischen 2017 und 2018 ausfindig. Die Beute beziehungsweise die geschätzten Verluste liegen in zweistelliger Millionenhöhe.

  • Cyberangriffe und Bedrohungen von innen

    Die digitale Infrastruktur von Unternehmen ist aufgrund ständig neu aufkommender Schwachstellen und Bedrohungen zahlreichen Gefahren ausgesetzt. In den Medien wird zum Thema IT-Sicherheit häufig über tatsächliche und theoretische Hackerangriffe in Form von Katastrophenszenarien und von Schäden in Millionenhöhe berichtet. Auch Constanze Kurz und Frank Rieger beleuchten in ihrem neuen Buch "Cyberwar" Gefahren und Bedrohungen, denen die digitalisierte Gesellschaft ausgesetzt ist, sowie Möglichkeiten, IT-Infrastrukturen zu schützen. Dass im Bereich IT-Security Gefahr in Verzug ist, wissen wir aber nicht erst seit kurzem. Seit Jahren sehen wir: Digitale Angriffe durch Hacker sind von unterschiedlicher Komplexität. In den meisten Fällen werden verschiedene Angriffstechniken und Tricks kombiniert, um die vorhandenen Sicherheitssysteme auszuhebeln.

  • Die Konkurrenz schläft nicht, sie spioniert

    Jedes dritte kleine und mittlere Unternehmen in Deutschland war schon einmal von Wirtschaftsspionage oder Konkurrenzausspähung betroffen. Täter sind ausländische Staaten oder Konkurrenzunternehmen. Wissenschaftler-Team des Max-Planck Instituts für ausländisches und internationales Strafrecht (Freiburg) und des Fraunhofer Instituts für System- und Innovationsforschung (Karlsruhe) stellt europaweite Untersuchung vor. Gesetzlicher Rahmen in Deutschland nicht mehr zeitgemäß Nicht nur die Global Player können Opfer sein - auch jedes dritte kleine und mittlere Unternehmen (KMU) in Deutschland war in der Vergangenheit schon von Wirtschaftsspionage oder Konkurrenzausspähung betroffen. Täter können ausländische Staaten, Wettbewerber oder die eigenen Mitarbeiter sein. Zwanzig Prozent der Unternehmen haben keine Strategien zur Entdeckung oder Abwehr von Angriffen auf ihr Know-how entwickelt und wären auf einen solchen Fall nicht vorbereitet. Das sind einige der Ergebnisse des Forschungsprojekts "Wirtschaftsspionage und Konkurrenzausspähung in Deutschland und Europa" (WISKOS), das ein Forschungsteam des Max-Planck-Instituts für ausländisches und internationales Strafrecht (MPICC) in Freiburg und des Fraunhofer-Instituts für System- und Innovationsforschung (Fraunhofer ISI) in Karlsruhe gemeinsam mit dem Bundeskriminalamt (BKA), dem Landeskriminalamt (LKA) Baden-Württemberg und der Sächsischen Hochschule der Polizei durchgeführt hat. Gefördert wurde das Projekt durch das Bundesministerium für Bildung und Forschung.

  • Schutz vor Man-in-the-Middle-Angriffen

    Bei der E-Mail-Verschlüsselung bewegt sich etwas: Die IETF hat mit MTA-STS einen neuen Standard zur Absicherung von Verbindungen zwischen Mailservern per TLS und Zertifikaten geschaffen. "Damit wird ein aktiver Schutz vor Man-in-the-Middle-Angriffen gewährleistet. Und das ist längst überfällig. Denn die E-Mail hinkt - verglichen mit anderen Kommunikationskanälen - schon lange in Sachen Verschlüsselung hinterher", begrüßt Christian Heutger, Geschäftsführer der PSW Group, die Entscheidung. Der IT-Sicherheitsexperte begründet: "Zwar ist eine Ende-zu-Ende-Verschlüsselung seit Jahren möglich, jedoch wird sie leider kaum genutzt. MTA-STS soll nun eine praktikable Möglichkeit bieten, auch den Transportweg zwischen Mailservern zu sichern."

  • Bessere Methoden für IAM und PAM

    Cybersicherheit als solche und insbesondere der Schutz von vertraulichen Daten waren vielleicht nie wichtiger als gerade jetzt. Die allgemeine Aufmerksamkeit richtet sich inzwischen sehr viel stärker auf das Thema. Das gilt gleichermaßen für Regierungen und Aufsichtsbehörden. Die Risiken sind höher denn je. Kein Unternehmen, keine Organisation kann sich mehr hinter einer magischen "BlackBox" verschanzen, die im Hintergrund sämtliche Sicherheitsvorkehrungen übernimmt. Ohne konzertierte Aktion wird es nicht gehen, und die betrifft Menschen, Prozesse und Technologien zu gleichen Teilen. Tatsächlich haben Identity und Access Management sowie das Privileged Access Management (abgekürzt IAM und PAM) einen großen Anteil an den Sicherheitsbemühungen eines Unternehmens. Das hat einen Grund. Privilegierte Konten betreffen die wichtigsten Daten einer Firma, Benutzer dieser Konten können auf höchst vertrauliche Informationen zugreifen. Es ist also entscheidend, dass wirklich nur die Nutzer auf genau die Daten zugreifen, die sie brauchen, um die mit ihrem Job verbundenen Aufgaben zu erledigen. Und nur auf diese Daten und nicht etwa auf sämtliche sensiblen Informationen eines Unternehmens. Erst das Zusammenspiel von übergreifender Governance, dementsprechenden Praktiken und Richtlinien, gewährleistet überhaupt mit Cyberangriffen Schritt halten zu können.