- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Florierendes Geschäft mit BEC-as-a-Service


Maximaler Ertrag mit gezielten Ransomware-Angriffen
Die Spezifikationen einer zielgerichteten Ransomware-Attacke entwickeln sich mit der Zeit, variieren von Hacker-Gruppe zu Hacker-Gruppe und lassen sich an jedes individuelle Ziel anpassen

- Anzeigen -





Cyber-Kriminelle entwickeln ihre Angriffe immer raffinierter. Hat man früher nach dem Gießkannen-Prinzip einfach mal breit zugeschlagen, trifft es heute ausgewählte Ziele. Dabei gibt es typische Vorgehensweisen – Sophos zeigt auf, wie diese aussehen, woran man sie typischerweise erkennt und was sinnvolle Maßnahmen zum Schutz sein können.

Im Jahr nach WannaCry und NotPetya – seinerzeit hielten weltweite Ausbrüche innerhalb von nur Stunden Unternehmen und Medien in Atem – hat Ransomware sich leise weiter entwickelt und kommt heute als zunehmend raffiniertes Angriffszenario auf Unternehmen zu.

Die "herangewachsenen" Ransomware-Attacken zeichnen sich dadurch aus, dass sie individuell, lukrativer und diffiziler zu stoppen sind. Zudem zeigen sie verheerendere Wirkung auf ihre Opfer, als jene Attacken, die auf Email oder Exploits zur Verbreitung setzen. Und die Angriffe sind derart gestaltet, dass sie leicht zu reproduzieren sind.

Der Vorteil gezielter Attacken? Geld. Viel mehr Geld.
WannaCrys Vertrauen auf ein Exploit – gestohlen von der NSA – machte seinen Erfolg schwer zu replizieren. Zugleich hinterließ WannaCry zahllose Kopien seiner Schadsoftware – bereit zur Analyse von Forschung und Sicherheitsfirmen. Das ist Schnee von gestern: Die Kriminellen hinter den neuen gezielten Ransomware-Attacken verlassen sich auf Taktiken, die erfolgreich wiederholt werden können, verwenden Werkzeuge, die sich einfach ersetzen lassen und nutzen Ransomware, die schwer zu untersuchen ist und die eigenen Spuren verwischen kann. Während der Fußabdruck einer solchen gezielten Attacke dabei zwar winzig ist im Vergleich zu einer Spam-Kampagne oder einem Massenangriff, lässt sich hiermit mehr Geld vom Opfer erpressen, als alle WannaCry-Angriffe zusammen.

Die Anatomie eines gezielten Ransomware-Angriffs
Die Spezifikationen einer zielgerichteten Ransomware-Attacke entwickeln sich mit der Zeit, variieren von Hacker-Gruppe zu Hacker-Gruppe und lassen sich an jedes individuelle Ziel anpassen. Nichtsdestotrotz zeigen alle auffallend ähnliche Strukturen.

In einem typisch gezielten Angriff wird ein krimineller Hacker:

1. sich mithilfe eines schwach gesetzten RDP (Remote Desktop Protocol) Passwortes Zugang zum System verschaffen.

2. Seinen Zugang mit vollen Rechten nutzen, um die Sicherheitssoftware zu umgehen.

3. Ransomware zum Laufen bringen und verbreiten, um die Dateien des Opfers zu verschlüsseln.

4. Eine Notiz mit Zahlungsaufforderung gegen Befreiung der Daten hinterlassen.

5. Auf Antwort des Opfers warten – via Email oder Dark Web-Webseite.

Die Gemeinsamkeit zwischen den Angriffen und den Angreifern selbst ist nicht das Ergebnis von Koordination, sondern von Fokussierung auf die Methode, die verlässlich funktioniert, und den Kriminellen gigantisch hohe Auszahlungen einbringt. Bei SamSam beispielsweise sind 50.000 US-Dollar in Bitcoins eine übliche Summe. Die Analyse von BitPaymer (einer der mysteriösesten und am höchsten entwickelten Ransomware) enthüllt alleine im letzten Monat ein "Einkommen" von mindestens 1 Million US-Dollar.

Die Übereinstimmung erstreckt sich hierbei sogar bis in Details wie "Heute Spezialangebot": während die Lösegeldzahlungen signifikant variieren, eröffnen die Angreifer von Dharma (auch bekannt als Crysis), SamSam und BitPaymer ihren Opfern die Möglichkeit, ein oder zwei Dateien kostenlos zu dechiffrieren. Ein Beleg der Hacker ähnlich dem "Lebendbeweis" tatsächlicher Kidnapper.

Was ist zum eigenen Schutz zu tun?
"Auch wenn die Angreifer immer skrupelloser und die Attacken immer diffiziler werden, gilt heute genau wie gestern und in Zukunft: bevor man mit Sondertools um die Ecke kommt und wild alles durcheinander installiert: Schaffen Sie sich eine solide Grundlage, achten Sie auf regelmäßige Aktualisierungen und dann stocken Sie auf, wo es für Ihre Bedürfnisse nötig ist", empfiehlt Michael Veit, Security Evangelist Sophos.

Im Einzelnen bedeutet das:
>> RDP verschließen und einem strikten Patching-Protocol für das eigene Betriebssystem und die laufenden Programme folgen.
>> Ein Mehrschichtiges Sicherheitssystem verwenden, das es dem Angreifer schwierig macht, alle Hürden zu überwinden.
>> Ein gut segmentiertes Netzwerk mit nach Notwendigkeit eingerichteten Rechten (Gäste, die das W-Lan zu Besuch nutzen, benötigen keine Admin-Rechte, es reicht ein einfacher Gast-Account) aufbauen
>> Regelmäßige Backups auf externen Systemen durchführen.
(Sophos: ra)

eingetragen: 07.10.18
Newsletterlauf: 07.11.18

Sophos: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Damit Unternehmensdaten online sicher sind

    Jeder zweite Internetnutzer ist nach einer jüngsten Umfrage des Branchenverbandes Bitkom inzwischen von Cyberkriminalität betroffen: "Datendiebstahl, Identitätsklau, Beleidigung oder Betrug: Kriminelle finden zunehmend Opfer im Internet. Jeder zweite Internetnutzer (50 Prozent) war im vergangenen Jahr Opfer von Cyberkriminalität. Am häufigsten klagen Onliner über die illegale Verwendung ihrer persönlichen Daten oder die Weitergabe ihrer Daten an Dritte. Fast jeder Vierte (23 Prozent) war davon betroffen."

  • Teil der CISO-View-Industrieinitiative

    CyberArk präsentiert den neuen Forschungsbericht "The CISO View: Protecting Privileged Access in DevOps and Cloud Environments". Er basiert auf den Erfahrungswerten eines CISO-Panels aus Global-1000-Unternehmen und liefert fünf Empfehlungen für die Sicherung von DevOps-Prozessen. Sicherheitsstrategien müssen unternehmensweite Maßnahmen zum Schutz privilegierter Zugriffe und Zugangsdaten umfassen - gerade auch im DevOps-Umfeld, in dem etliche Service-Accounts, Encryption-, API- und SSH-Keys, Secrets von Containern oder eingebettete Passwörter in Programm-Code oft ungesichert sind. So hat auch der "Global Advanced Threat Landscape Report 2018" von CyberArk ergeben, dass mehr als 70 Prozent der befragten Unternehmen noch keine "Privileged Access Security"-Strategie für DevOps-Umgebungen haben.

  • "DNS Flag Day": Das müssen Sie wissen

    Infoblox klärt auf: Der "DNS Flag Day" am ersten Februar ist eine Chance für das in die Jahre gekommene DNS-Protokoll. Dieses existiert bereits seit über dreißig Jahren in zahlreichen Variationen und Modellen. Die gängige EDNS-Erweiterung wird allerdings von einigen DNS Servern nicht unterstützt und daher oft mit diversen Workarounds kompliziert umgangen. Doch das führte zu Problemen: Es entstehen Schwachstellen, die Komplexität steigt, Upgrades werden immer umständlicher und die DNS-Sicherheit leidet. Bestimmte Workarounds werden nun zum DNS Flag Day entfernt. "Der DNS Flag Day wird sich langfristig bei allen Internetnutzern bemerkbar machen. Denn durch eine Vereinfachung der DNS-Quellcodes wird sich die Internetgeschwindigkeit in Zukunft steigern. Gleichzeitig ist dieser Tag eine gute Gelegenheit für alle DNS Administratoren ihr DNS zu testen und gegebenenfalls eine Aktualisierung vorzunehmen", erklärt Frank Ruge, Director Sales Central Europe bei Infoblox die Bedeutung des ersten Februars.

  • Betrügereien im Social Web

    Fast täglich gelangen neue Datenschutzverletzungen in die Schlagzeilen. Verbraucher stellen sich die Frage, wie sie sich vor Cyber-Bedrohungen schützen können. Anlässlich des Europäischen Datenschutztages, gibt der Internet-Security-Experte BullGuard acht Tipps, mit denen Verbraucher sicherer im Internet surfen können und geschützt bleiben.

  • Fünf Schritte für Datensicherheit in der Cloud

    Die Verlagerung von Geschäftsprozessen und Applikationen in die Cloud erfordert eine genaue Planung, damit die Datensicherheit zu jeder Zeit und in jedem Detail gewährleistet ist. NTT Security (Germany), das auf Sicherheit spezialisierte "Security Center of Excellence" der NTT Group, hat die wichtigsten Aktivitäten dabei in fünf Schritten festgehalten. Wenn Unternehmen komplette Geschäftsprozesse in die Cloud verlagern, lassen sich die erwarteten betriebswirtschaftlichen Ziele nur dann erreichen, wenn die Migration von Anfang an durch eine umfassende IT-Security-Strategie abgesichert ist - bei der die Sicherheit der Daten eine entscheidende Rolle spielt. NTT Security konkretisiert die wichtigsten Aktivitäten in fünf Schritten.