Von unserem Gastautor Bogdan Botezatu, Leiter der Bedrohungsanalyse bei Bitdefender

[datensicherheit.de, 15.12.2020] Die sich weiter professionalisierende Hacker-Industrie bietet nicht nur Malware und Tools zur Miete an. Kriminelle Experten stellen auch ihre Arbeitsleistung für Geld zur Verfügung. Deren Expertise für Advanced Persistent Threats (APTs) erfordert zur Erhöhung der Cybersecurity eine Abwehr auf Augenhöhe: Managed Detection and Response (MDR).

Cyber-Kriminalität rientiert sich verstärkt am Vorbild der Geschäftswelt

In den letzten Jahren hat sich die Cyber-Kriminalität weiter organisiert und orientiert sich dabei verstärkt am Vorbild der Geschäftswelt. Fast ein Jahrzehnt lang bot zunächst Malware-as-a-Service den schnellen Einstieg in die Welt des Cybercrime und schon immer waren die verschiedensten Werkzeuge auf dem illegalen Markt: Remote Access Trojaner (RAT), Bot-Netze für den Spam-Versand oder sogar anspruchsvolle Ransomware-Angriffe. Derart ausgestattet können mittlerweile Täter mit geringer technischer Kompetenz selbst komplexe Malware bedienen. Die erzielten Einnahmen werden wie im normalen Wirtschaftsleben unter den verschiedenen Mitwirkenden geteilt: Dann erhält zum Beispiel der Hersteller 40 Prozent und der Rest geht an die Betreiber, welche die Attacke durchführen.

Das vorhandene Ökosystem aus Dienstleistungen und Schadsoftware hat Cyber-Kriminelle dazu angeregt, ihre Arbeitsteilung im industriellen Stil weiterzuführen: Entwickler schreiben den Code, Produktmanager entwerfen die umfassenden Roadmaps und berücksichtigen dabei die Gegenmaßnahmen der Abwehr. Ein technischer Support unterstützt die Anwender in ihrem Tagesgeschäft. Finanziert wird das ganze Geschäftsmodell von den Opfern. In eigener Sache werben die Akteure dann in sozialen Medien oder unter einem Forum-Alias mit den erzielten finanziellen Ergebnissen vergangener Kampagnen, um neue Partner zu rekrutieren.

Cybersecurity vs. Malware-as-a-Service als Geschäftsmodell

Kommerzielle Malware-as-a-Service hat leider ihre Leistungsfähigkeit bewiesen. Analysen zeigen, dass der Trend zu Kommerzialisierung im negativen Sinne nachhaltiger und weitreichender ist, als man vermutet: Entwickler und Partner erzielen Einnahmen in Milliardenhöhe. Die Urheber der GandCrab-Ransomware-Attacke gaben zum Beispiel 2019 in Untergrundforen an, mehr als zwei Milliarden US-Dollar von den angegriffenen Unternehmen erpresst zu haben.

Von der kriminellen Malware zum APT-Dienstleister

Vor zwei Jahren haben APT-Söldnergruppen begonnen, ihre Dienste anzubieten. Sie wenden sich an Akteure in wichtigen Positionen, die an anspruchsvollen Angriffsmethoden interessiert sind und möglicherweise mit Regierungen zusammenarbeiten. Diese Gruppen haben IT-Systeme in weiten Teilen Europas sowie in Deutschland im Fokus und nutzen fortschrittliche Taktiken, Techniken und Prozesse (TTPs) für die Spionage sowie den Diebstahl sensibler Informationen.

Die bis dahin unbekannte APT-Gruppe RedCurl attackierte 2018 mehrere Unternehmen aus den Bereichen Banken, Versicherungen, Recht, Bauwesen, Finanzen, Beratung, Einzelhandel und Tourismus. Laut der Analyse der IT-Sicherheitsexperten von Group-IB nutzten die Urheber ein leistungsfähiges Malware-Framework für die Datenexfiltration. Im Sommer 2020 legte Bitdefender die Aktivitäten einer weiteren, professionell agierenden APT-Angreifergruppe offen: Ihr Geschäftsmodell beruhte auf Cyber-Spionage in der Immobilienbranche. Dafür nutzte sie eine bösartige Payload, die sich als Plugin für die beliebte 3D-Computergrafiksoftware Autodesk 3ds Max tarnte. Professionelle Tests des Codes gegen Abwehrlösungen stellten sicher, dass die Malware beim Ausspielen nicht entdeckt wurde.

Bogdan Botezatu, Leiter der Bedrohungsanalyse bei Bitdefender, Bild: Bitdefender

Die Expertise der hinter solchen Angriffen stehenden Organisationen hebt Cyber-Kriminalität auf ein neues Niveau. APT-Tools zur Spionage sind die Produkte erfahrener Entwickler-Teams, die über hochspezialisierte Kenntnisse verfügen. Diese nutzen für das jeweilige Vorhaben zugeschnittene Toolkits. Sie verhindern zudem, dass sich die Schadsoftware über das eigentliche Angriffsziel hinaus weiter ausbreitet. In der Folge gelangen Anbieter von Abwehrlösungen seltener an eine Kopie der Malware, um diese in Zukunft zu erkennen. Das stellt die Abwehrteams gerade kleinerer und mittlerer Unternehmen vor große Herausforderungen. Herkömmliche Ansätze, Malware dateibasiert zu erkennen, übersehen zum Beispiel polymorphe Malware-Samples und sogenannte Fileless Malware. Living-off-the-Land Taktiken, die zum Beispiel das Remote Desktop Protocol (RDP) oder andere legitime Tools missbrauchen, sind nur schwer festzustellen. Dies macht es kleinen und mittleren Unternehmen und Organisationen sehr schwer, auf diese Gefahren mit der notwendigen Schnelligkeit zu reagieren.

Die meisten Unternehmen verfügen zwar über grundlegende Technologien zum Schutz vor verschiedenen Malware-Arten. Aber die hochentwickelten Werkzeuge der APT-Profis können sich nach Eindringen in das Unternehmensnetzwerk unter dem Radar der Abwehr bewegen und deren Maßnahmen zumindest für eine Weile ausweichen.

Abwehr professionalisieren

Allein mit Lösungen für die Endpunktsicherheit lassen sich bösartige Verhaltensweisen und Nutzlasten über die ganze Angriffskette hinweg nicht erkennen. Technologie allein genügt nicht, um komplexe und mit hohem Anspruch und Können entwickelte Attacken zu identifizieren. Sich gegen APT-Angreifer zu verteidigen, verlangt nach einem Zusammenspiel von Software und Experten.

Um sämtliche Absichten und das volle Ausmaß einer von Profis gefahrenen Attacke aufzudecken, kommt es nämlich auf die Beurteilung von den in einer EDR-Lösung (Endpoint Detection and Response) aggregierten Ereignissen durch einen menschlichen Analysten an. Ein relevanter Vorfall wird dafür an Spezialisten für digitale Forensik zur Analyse übergeben. Das Incident Management dämmt den Schaden ein. Es reduziert die Kosten und die Zeit, um den vorherigen Systemstatus oder Datenbestand wiederherzustellen und verhindert einen Reputationsschaden.

Doch das für eine solche Analyse erforderliche Fachwissen ist rar und hat seinen Preis. Zudem braucht es seine Zeit, ein Team von Cyber-Risikospezialisten zu schulen. Angesichts hochentschlossener Angreifer sollten viele Unternehmen daher erwägen, sich Hilfe von außen in Form von Angeboten zu Managed-Detection-and-Response zu holen.

Ein extern betriebenes MDR (Managed Detection and Response) kombiniert bewährte Sicherheitstechnologien für Endpoint-Detection-Sicherheitsanalysen und Untersuchungen des Netzwerkverkehrs mit der notwendigen Kompetenz und Kenntnis hochqualifizierter Experten. Eine solche ausgelagerte, zusätzliche IT-Sicherheitszentrale unterstützt Unternehmen, die nicht auf weitergehende Technologien – wie etwa SIEM (Security Information and Event Management), TIP (Threat Intelligence Platform) und SOAR (Security Orchestration Automation and Response) – zurückgreifen können oder nicht genug Personal besitzen, um geschäftskritische Cyber-Bedrohungen rund um die Uhr abzuwehren. Die zusätzliche Betreuung durch Experten ermöglicht eine fortschrittliche Erkennung von Sicherheitsvorfällen mit einer schnellen Reaktion unter Verwendung automatisierter, zuvor genehmigter Prozesse. So sind die externen Analysten in der Lage, zügig Maßnahmen zu ergreifen, Bedrohungen abzuschwächen und abzuwehren.

Zu den MDR-Angeboten gehört darüber hinaus das aktive Threat Hunting bis hin zur Überwachung des Dark Webs sowie die Forensik zur Untersuchung kontextbezogener und verwertbarer Bedrohungsindikatoren. Die Experten analysieren zudem den Risikofaktor Mensch, beziehungsweise Mitarbeiter. Kundenspezifisch definierte Bedrohungsmodelle ermöglichen eine angepasste Reaktion auf Vorfälle. Gezielt lassen sich unternehmenskritische und für das Unternehmen mit besonderen Risiken behaftete Angriffsziele überwachen. Das Security Operation Center (SOC) des MDR-Anbieters bietet die Erfahrung von Experten und liefert Berichte entsprechend der Anforderungen von Kunden aus verschiedenen Branchen.

Augenhöhe wiederherstellen

Nicht nur die Bedrohungslandschaft hat sich also verändert – sondern auch die Organisation, die Strukturen und letztlich auch die Personalausstattung der Cyber-Kriminellen. Deren Vorbild sind dabei die Arbeitsteilung und die Geschäftsmodelle in der legalen Geschäftswelt. Angreifer lagern Technik und Entwicklung aus. Böswillige Dienstleister bringen sich mit ihren Angeboten für den Angriff auf Unternehmen jeder Größe und in allen Bereichen weiter in Stellung, um von der Cyber-Kriminalität zu profitieren. Da ist es an der Zeit, dass auch die legale Wirtschaft sich auf seine Kollaborationsprozesse besinnt: Die Unternehmen benötigen dabei nicht nur den Zugriff auf Abwehrtechnologien, sondern auch auf Kompetenz und Erfahrung von externen Experten, um den Schadakteuren die Stirn zu bieten. Was man braucht, aber nicht selbst kann, kauft man sich ein.

Weitere Informationen zum Thema:

datensicherheit.de, 06.08.2018
Sicherer Zugang zu öffentlichen WLANs

Bitdefender
Website

[datensicherheit.de, 15.04.2020] Angesichts der gehäuften Meldungen zu Cyberangriffen rund um COVID-19 hat Carsten J. Pinnow für datensicherheit.de (ds) ein Interview mit Quentin Delmas, Cyber Threat Intelligence Analyst bei Thales zum vorliegenden COVID-19 Cyber Threat Assessment Report 2020 geführt.

ds: Welche Trends konnten Sie in Ihrer Analyse feststellen?

Delmas: Cyberkriminelle Gruppierungen scheinen der tatsächlichen Entwicklung des Virus zu folgen, mit wichtigen Angriffen zunächst in Asien (Taiwan, Südkorea, Mongolei…), dann in Mittel- und Osteuropa (Tschechische Republik, Ukraine) und schließlich in Westeuropa (Italien, Frankreich).

In den letzten Wochen wurden viele Fake-Domains, die mit COVID-19 in Verbindung stehen, angemeldet. Mehr als 10 Prozent dieser Domains können zur Einschleusung von Malware führen (d.h. einige Millionen Möglichkeiten zur Infektion mit Malware). So duplizieren Hacker beispielsweise Websites mit Hilfe interaktiver Karten über den Verlauf des Virus und fügen ihnen Malware hinzu. Massive Spam-Kampagnen nutzen COVID-19 als Lockmittel. Diese Kampagnen zielen in der Regel darauf ab, Lösegeldforderungen und Datendiebstahl zu betreiben oder Bank-Malware (z.B. TrickBot, Agent Tesla, FormBook, Loki Bot) einzusetzen. Per E-Mail verschickte Phishing-Kampagnen fordern die Benutzer auf, sich auf einer gefälschten Office 365-Webseite anzumelden, um Zugang zu einem angeblich wichtigen Dokument zu erhalten. Betrugskampagnen (Business Email Compromise oder BEC) verbreiten nicht unbedingt Malware, sondern fordern eine Geldsumme. Darüber hinaus nehmen auch Angriffe, die von staatlich finanzierten Hackergruppen durchgeführt werden, zu (Advanced Persistent Threat). Sie benutzen COVID-19 aktuell als Vorwand, um ihre Spionagekampagnen zu starten.

Bild: Thales

Quentin Delmas, Cyber Threat Intelligence Analyst bei Thales

Hierzu ist wichtig zu wissen, dass diese cyberkriminellen Gruppierungen nicht neu sind, sondern die gleichen Cybergangster, mit denen wir es schon vorher zu tun hatten. Nun sprangen und springen sie auf die aktuellen Entwicklungen auf und versuchen davon zu profitieren. In Zeiten, in denen wir es mit Malware-as-a-Service zu tun haben und die Versender der Phishing-Mails nicht mehr die Urheber der Schadsoftware selbst sind, wird der Erfolg der Kampagnen und letztlich der Gruppierungen daran gemessen, wer am meisten Infektionen und erpresstes Lösegeld nachweisen kann. Die Tools bekommt der Angreifer dann von selbst und natürlich erhält die erfolgreichste Gruppe auch Zugriff auf die neuesten und besten Werkzeuge. Cybercrime ist ein Geschäft und in diesem Fall ist das Ausnutzen des Informationsbedarfs innerhalb der Bevölkerung der am meisten erfolgsversprechende Treiber.

Letztlich geht es aber nicht nur um die Infektion, um die Erpressung via Ransomware, es geht auch um Industriespionage. Dass jetzt besonders viele Mitarbeiter im Home Office arbeiten ist für viele Cyberkriminelle ein Vorteil, weil sie weniger Hürden nehmen müssen, um sich Zugriff auf sensible Daten zu verschaffen.

ds: In Deutschland ist vor allem der Mittelstand gefährdet, denn er kann sich keine teuren Sicherheitslösungen leisten, schon gar nicht, wenn die halbe Belegschaft und mehr nun aus der Ferne auf die IT-Systeme zugreifen müssen. Wie können sich gerade diese mittelständischen Unternehmen am besten vor solchen Angriffen schützen?

Delmas: In der Regel können Unternehmen gegen Spear-Phishing wenig ausrichten, sie können nicht von allen Mitarbeitern ständige Wachsamkeit erwarten. Die Opfer sind nicht wirklich darauf vorbereitet und es ist schwer sie im Home-Office zu schulen. Letztlich wird bei den Phishing-E-Mails und Business E-Mail Compromise (BEC) ein enormer Druck auf die Empfänger ausgeübt und es gibt zahlreiche Beispiele, bei denen selbst Experten es schwer haben die Anzeichen auf eine Phishing-E-Mail sofort richtig zu erkennen. Wir sehen über unsere Systeme, dass vor allem Telearbeiter über Cloud Services wie Office 365 mit Phishing geradezu bombardiert werden. BEC nimmt ebenfalls eher zu, als dass es weniger wird.

Wir raten dazu die Empfehlungen der ANSSI (Agence nationale de la sécurité des systèmes d’information, das französische Counterpart zum BSI) in ihrem Bulletin d’actualité CERTFR-2020- ACT-002 zu befolgen:

1. Wichtig ist, unter keinen Umständen die Webschnittstellen von Microsoft Exchange-Servern, die nicht auf dem neuesten Stand sind, im Internet zu veröffentlichen.
2.  Gewähren Sie keinen Zugriff auf Ihre File-Sharing-Server über das SMB-Protokoll.
3.  Wenn Sie neue Dienste im Internet bereitstellen oder bereitstellen müssen, aktualisieren Sie diese sobald wie möglich mit den neuesten Sicherheits-Patches und aktivieren Sie Protokollierungsmechanismen. Wenn möglich, aktivieren Sie die Zwei-Faktor-Authentifizierung.
4. Schnelles Aufspielen von Sicherheits-Patches, insbesondere bei Geräten und Software, die dem Internet ausgesetzt sind (VPN-Lösung, Remote-Desktop-Lösung, Messaging-Lösung usw.).
5. Führen Sie Offline-Backups für Ihre kritischen Systeme durch.
6. Verwenden Sie eine firmenspezifische Zugangslösung wie VPN, idealerweise IPsec oder TLS, um zu vermeiden, dass Anwendungen direkt dem Internet ausgesetzt werden.
7. Implementierung von Zwei-Faktor-Authentifizierungsmechanismen zur Begrenzung des Risikos von Identitätsdiebstahl (VPN und zugängliche Anwendungen).
8. Überprüfen Sie regelmäßig die Zugriffsprotokolle der im Internet veröffentlichten Lösungen, um verdächtiges Verhalten zu erkennen.

Darüber hinaus sollten Sie die folgenden Tipps befolgen:

• Vermeiden Sie es, dass Ihre Mitarbeiter auf Fake-News hereinfallen. Weisen Sie Ihre Mitarbeiter darauf hin, nur vertrauenswürdige Informationen zu konsumieren, die von staatlichen Stellen stammen. Nur so gelingt es die Flut an Falschinformationen einzudämmen, die dann dazu beitragen weitere per Phishing zugeschickte Fake-News anzuklicken und den eigenen Laptop zu infizieren.
• Alarmieren Sie Ihre Telearbeiter auf der Grundlage der Empfehlungen der ANSSI. Die überwiegende Mehrheit der Institutionen und Organisationen hat sich für die Fernarbeit entschieden. Dennoch sollte die Änderung der Arbeitsumgebung die Mitarbeiter nicht dazu veranlassen, ihre Gewohnheiten zu ändern. Im Gegenteil, im Lichte der hier beschriebenen Ereignisse ist es ratsam, sich an die Vorschriften zu erinnern, die in Ihrem Unternehmen zu beachten sind.
• Geben Sie der Aufklärung von Cyber-Bedrohungen den Vorrang. Einige der Angreifer sind äußerst erfolgreich. Die Überwachung ihrer Bewegungen vor dem Hintergrund laufender Kampagnen ist auf der Ebene der Institutionen und Organisationen von wesentlicher Bedeutung. Die Aufklärungsteams für Cyber-Bedrohungen sind mit diesen Gruppen vertraut, wissen, wie sie arbeiten und was sie motiviert. Regelmäßige Analysen ermöglichen es, eine proaktive Haltung gegenüber diesen Angreifern einzunehmen.
• Die Kombination von Erkennungswerkzeugen mit Informationen über Cyber-Bedrohungen zum Schutz ihrer Systeme. Der Einsatz von Werkzeugen wie IDS (Intrusion Detection Systems), die mit den Informationen der Cyber-Bedrohungsintelligenz angereichert sind, ermöglicht, die Angriffe aller Gruppen zum Zeitpunkt ihres Auftretens zu erkennen und so den potenziellen Schaden erheblich zu reduzieren.

ds: Gibt es bei all dem Negativen auch einen kleinen Lichtblick?

Delmas: Zumindest für Europa, allerdings ist der eher schwach. Nachdem die Gruppen im März vor allem in Europa aktiv waren, lenken sie nun ihre Aufmerksamkeit auf die USA. Das heißt jedoch nicht, dass jetzt europäische Firmen weniger im Fokus stehen. Die Cyberkriminellen gehen nur Back-to-Business, also nutzen jetzt wieder die allgemeinen Aufhänger für ihre Aktivitäten und nicht mehr die Themen COVID-19 und Heimarbeit. Wir müssen also wachsam bleiben und auch mittelständische Firmen müssen auf kurz oder lang in ihre Sicherheit investieren. Wenn man allerdings die oben genannten Tipps verfolgt, dann ist die Ausgangslage schon mal besser als vorher.

ds:Herr Delmas, wir bedanken uns für das Gespräch.

Weitere Informationen zum Thema:

datensicherheit.de, 14.04.2020
COVID-19: Cyberangriffe auf Regierungen und medizinische Organisationen

datensicherheit.de, 01.04.2020
Hacker nutzen COVID-19-Krise: Smartphone-Nutzer oftmals das Ziel

datensicherheit.de, 31.03.2020
Vermeidung von Enpässen im Netz – Appell zu digitaler Besonnenheit

datensicherheit.de, 26.03.2020
Corona: Verunsicherte Nutzer im Fokus von Cyber-Betrügern