Winnti: Zahlreiche Cyberangriffe auf DAX-Unternehmen

Vectra verweist auf mangelnde Transparenz in vielen Netzwerken

[datensicherheit.de, 24.07.2019] Heute finden sich zahlreiche DAX-Unternehmen sowie diverse internationale Großunternehmen in den Schlagzeilen. Verschiedenen Quellen zufolge wurden verschiedenste Organisationen in jüngster Zeit Opfer von Cyberangriffen mit der Winnti-Malware. Nach Meinung von Vectra, Anbieter von Cybersicherheit auf Basis künstlicher Intelligenz, kommen diese Meldungen alles andere als überraschend. Attacken mit Winnti wurden unlängst mehrfach beobachtet und die oft unzureichende Transparenz von Unternehmensnetzwerken macht es Angreifern relativ leicht für lange Zeit unentdeckt zu bleiben.

Andreas Müller, Regional Director DACH bei Vectra, bewertet die aktuellen Schlagzeilen und benennt zentrale Defizite aktueller Sicherheitsarchitekturen: „Die Meldung zur Infektion von Bayer mit Winnti kam vor einigen Monaten. Die Winnti-Malware gibt es bereits seit Jahren und in jüngster Zeit auch in einer Linux-Variante. Bayer behauptete, die Malware Anfang 2018 entdeckt zu haben. Die Aussage „Es gibt keine klaren Beweise für Datendiebstahl“, sorgt dabei nicht für Vertrauen, da dies nicht bedeutet, dass es keinen Verstoß gab, sondern nur, dass Bayer keinen Beweis dafür rückwirkend finden konnte, was konkret passiert ist. Der Angriff wurde chinesischen Akteuren zugeordnet, was aber nicht exakt belegt werden konnte. Daher lässt sich nur spekulieren, dass der Diebstahl geistigen Eigentums hier durchaus eine Motivation gewesen sein könnte.

Angreifer operieren zu leicht und zu lange ungestraft in Netzwerken; im Bericht M-Trends 2019 wurde festgestellt, dass in der EMEA-Region die Verweildauer der Angreifer im Netzwerk bei 177 Tagen im Median liegt. Dies erinnert deutlich daran, dass viele Unternehmen, auch wenn sie über eine robuste Abwehr der äußeren Netzwerkgrenzen verfügen, oft nicht in der Lage sind, die subtilen Signale von Angriffen innerhalb ihrer Unternehmen zu erkennen. Es gibt fast immer mehrere Möglichkeiten, den Angreifer durch sein unveränderliches Verhalten zu finden. Hierzu gehören beispielsweise die ferngesteuerte Orchestrierung der Angriffe (Command-and-Control), interne Auskundschaftung, seitliche Bewegung mit Privilegien-Eskalation und letztlich Datendiebstahl, Datenbeschädigung sowie Störung von Diensten und Denial-of-Service.

Im Gegensatz zu herkömmlichen Sicherheitssystemen erfordert der signaturlose Ansatz keine Vorkenntnisse über die Tools, Exploits oder Malware. Die schiere Menge an Kommunikation, in der Angreifer diese Verhaltensweisen verbergen, macht es jedoch schwierig, sie in Echtzeit zu finden. Das Erkennen solcher, von den Angreifern stammender Signale ist komplex. Diese Aufgabe übernehmen zunehmend automatisierte Lösungen, die von KI unterstützt werden und mit einer Geschwindigkeit und Skalierung arbeiten können, die Menschen allein einfach nicht erreichen können.

Wir müssen unsere Einstellung zur Sicherheit ändern und davon ausgehen, dass Angreifer irgendwann einen Weg hineinfinden werden. Ebenso müssen wir uns von der allzu großen Konzentration auf reine Verteidigungsmaßnahmen verabschieden und eine breitere Vision verfolgen, die Erkennung und Reaktion umfasst. Nur dann können wir die Chance verbessern, einen Angreifer frühzeitig im Lebenszyklus des Angriffs zu finden. Genau dies macht stets den Unterschied zwischen einem isolierten, unter Kontrolle gebrachten Sicherheitsvorfall und der Bewältigung eines gravierenden Ereignisses, wie es Bayer im April berichtet hat.“

Weitere Informationen zum Thema:

datensicherheit.de, 11.03.2019
Cyberangriffe: Sicherheitsteams brauchen besseren Ansatz zur Erkennung und Abwehr

datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden