[datensicherheit.de, 22.05.2023] Laut einer aktuellen Warnung von Avanan, einem Unternehmen der Check Point® Software Technologies Ltd., nutzen bösartige Hacker echte Internet-Dienste aus, um Nutzer zu täuschen und bösartige Inhalte zu verbreiten. Avanan- Sicherheitsforscher weisen auf eine beunruhigende neue Angriffsmethode hin, „die legitime Dienste ausnutzt und eine erhebliche Bedrohung für die E-Mail-Sicherheit darstellt“. Diese neue Methode sei vor dem Hintergrund der alarmierenden Tatsache zu sehen, dass im Jahr 2022 der Anteil der E-Mail-basierten Bedrohungen an allen Angriffen 86 Prozent betragen habe.

Avanan-Warnung: Mittels Einrichtung kostenloser Dropbox-Konten Start von Phishing-Versuchen

„Hacker haben einen raffinierten Ansatz entwickelt, um echte Programme, wie ,Dropbox’ und ,OneDrive’, für ihren Betrug zu missbrauchen.“ Durch die Einrichtung kostenloser „Dropbox“-Konten könnten sie Phishing-Versuche starten und schädliche Malware in scheinbar harmlose Dateifreigabelinks einbetten, statt mit gefälschten Seiten oder Programmen arbeiten zu müssen.

Die „Harmony E-Mail“-Forscher von Check Point haben nach eigenen Angaben eine umfassende Analyse dieses neuen Angriffsvektors durchgeführt und die Gefahren und Auswirkungen für Einzelpersonen und Unternehmen erkannt. In ihrer Skizze der Angriffsmethode geben sie demnach „wertvolle Einblicke und bieten Sicherheitsexperten eine Anleitung, wie sie die Bedrohungen durch diese neue Variante von Business-E-Mail Compromise (BEC) entschärfen können“.

Best-Practice-Empfehlungen von Avanan:

• Implementieren Sie Sicherheitsmaßnahmen, die alle URLs gründlich untersuchen und die zugrunde liegenden Webseiten emulieren, um betrügerische Inhalte zu erkennen und zu verhindern!
• Informieren Sie die Nutzer über diese sich entwickelnde Form von BEC und sensibilisieren Sie diese für die Risiken, die mit dem Zugriff auf Filesharing-Links aus nicht vertrauenswürdigen Quellen verbunden sind!
• Setzen Sie KI-basierte Anti-Phishing-Software ein, die Phishing-Versuche in der gesamten Produktivitätssuite effektiv blockieren und neutralisieren kann, um einen umfassenden Schutz vor E-Mail-basierten Bedrohungen zu gewährleisten!

Weitere Informationen zum Thema:

AVANAN, Jeremy Fuchs, 18.05.2023
Leveraging Dropbox to Soar Into Inbox

[datensicherheit.de, 16.06.2022] IT-Sicherheitsexperten von Proofpoint haben nach eigenen Angaben eine potenziell gefährliche Funktion in „Microsoft 365“ identifiziert, welche es demnach Ransomware ermöglicht, auf „SharePoint Online“ und „OneDrive“ gespeicherte Dateien so zu verschlüsseln, „dass sie ohne spezielle Backups oder eine Entschlüsselung durch den Erpresser nicht wiederherstellbar sind“.

Abbildung: proofpoint

Angriffsmuster für Cloud-Ransomware-Attacken

In der bisherigen Wahrnehmung zielen Ransomware-Angriffe auf Endgeräte oder Netzlaufwerke…

Ransomware-Angriffe zielten für gewöhnlich auf Daten auf Endgeräten oder Netzlaufwerken. Bislang seien die meisten IT- und Sicherheitsteams der Meinung, „dass Cloud-Speicher besser gegen Ransomware-Angriffe geschützt sind“. Schließlich sollte die inzwischen bekannte „Automatisch speichern“-Funktion zusammen mit der Versionshistorie und dem guten alten „Papierkorb“ für Dateien als Backup ausreichen. Laut Erkenntnissen der Proofpoint-Experten handele es sich hierbei um eine Fehlannahme.
Das Proofpoint-Team habe die Schritte identifiziert und dokumentiert, welche dazu führten, „dass die Dateien in den Konten der angegriffenen Benutzer verschlüsselt werden“. Wie bei gewöhnlichen Ransomware-Angriffen könnten diese Dateien nach einer Infektion nur mit den entsprechenden Schlüsseln im Besitz der Erpresser wiederhergestellt werden.

Schritte einer Ransomware-Attacke in der Cloud

Die folgenden Aktionen könnten mithilfe von Microsoft-APIs, Befehlszeilenschnittstellen- (CLI) und „PowerShell“-Skripten automatisiert werden:

Anfänglicher Zugriff
Cyber-Kriminelle verschafften sich z.B. durch Phishing Zugriff auf „SharePoint Online“- oder „OneDrive“-Konten eines oder mehrerer Benutzer, indem sie die Identitäten der Benutzer kompromittierten oder kaperten.

Kontoübernahme und -zugriff
Die Angreifer hätten nun Zugriff auf alle Dateien, „die dem kompromittierten Benutzer gehören oder von der ,OAuth‘-Anwendung eines Drittanbieters kontrolliert werden (was auch das ,OneDrive‘-Konto des Benutzers einschließen würde)“.

Sammlung & Exfiltration
Die Cyber-Kriminellen setzten das Versionslimit von Dateien auf eine niedrige Zahl, z.B. auf eins, der Einfachheit halber. Sie verschlüsselten die Datei öfter als die Versionsgrenze, in diesem Fall zweimal. Dieser Schritt sei bei „Cloud“-Ransomware anders als bei Ransomware-Angriffen auf Endpunkte/-geräte. In einigen Fällen könnten die Angreifer die unverschlüsselten Dateien extrahieren und so eine doppelte Erpressungstaktik umsetzen.

Monetarisierung
Jetzt seien alle ursprünglichen Versionen der Dateien (von vor dem Angriff) verloren, so dass nur noch die verschlüsselten Versionen der einzelnen Dateien im „Cloud“-Konto vorhanden seien. An diesem Punkt könnten die Angreifer von der Organisation ein Lösegeld verlangen.

Microsofts Reaktion auf potenzielle Ransomware-Bedrohung

Vor der Veröffentlichung der Sicherheitslücke habe Proofpoint diese an Microsoft gemeldet und folgende Antworten erhalten:

• „Die Konfigurationsfunktion für Versionseinstellungen funktioniert wie vorgesehen.“
• „Ältere Dateiversionen können mit Hilfe des Microsoft-Supports potenziell für 14 Tage wiederhergestellt werden.“

Die Proofpoint-Experten hätten jedoch versucht, alte Versionen auf diesem Weg (d.h. mit Hilfe des Microsoft-Supports) abzurufen und wiederherzustellen und seien dabei nicht erfolgreich gewesen. Die Sicherheitsforscher hätten zudem gezeigt, „dass der Konfigurations-Worflow der Versionseinstellungen, selbst wenn er wie vorgesehen funktioniert, von Angreifern für ,Cloud‘-Ransomware-Attacken missbraucht werden kann“.

Ransomware-Gegenmaßnahmen für den Schutz von Cloud-Umgebungen

Glücklicherweise gälten viele der Empfehlungen für den Schutz vor Endpunkt-Ransomware auch für den Schutz von „Cloud“-Umgebungen.
Organisationen sollten zunächst die Erkennung riskanter Änderungen der Dateikonfiguration für „Microsoft-365“-Konten mit einer Lösung (wie z.B. „Proofpoint CASB“) aktivieren. Zwar könne ein Benutzer die Einstellung versehentlich ändern, aber das geschehe vergleichsweise selten.
„Falls Benutzer die Einstellung unwissentlich geändert haben, sollten sie darauf aufmerksam gemacht und aufgefordert werden, das Versionslimit zu erhöhen.“ Dies verringere das Risiko, „dass ein Angreifer Benutzer kompromittiert und die bereits niedrigen Versionsgrenzen ausnutzt, um das Unternehmen zu erpressen“.

Weitere Vorschläge zur Verbesserung der Ransomware-Abwehr

Stark gefährdete Personen
Organisationen sollten die Benutzer, die am häufigsten mit gefährlichen „Cloud“-, E-Mail- und Web-Angriffen konfrontiert sind, identifizieren und ihren Schutz priorisieren. Diese Benutzer gehörten nicht zwangsläufig zum Kreis der Leute, die für gewöhnlich als besonders hochwertige Ziele erachtet würden, wie Führungskräfte und privilegierte Benutzer.

Zugriffsverwaltung
Organisationen sollten strenge Passwortrichtlinien handhaben und Multi-Faktor-Authentifizierung (MFA) sowie eine prinzipienbasierte Zugriffsrichtlinie mit geringsten Privilegien für alle „Cloud“-Anwendungen anwenden.

Notfallwiederherstellung und Datensicherung
Disaster-Recovery- und Datensicherungsrichtlinien müssten aktuell gehalten werden, um die Verluste im Falle von Ransomware zu reduzieren. Idealerweise führten Organisationen regelmäßig externe Backups von „Cloud“-Dateien mit sensiblen Daten durch. „Sie sollten sich nicht nur auf Microsoft verlassen, wenn es darum geht, Backups durch Versionierung von Dokumentenbibliotheken zu erstellen.“

Cloud-Sicherheit
Organisationen sollten geeignete „Tools“ einsetzen, um Konto-Kompromittierungen und den Missbrauch von Drittanbieter-Anwendungen zu erkennen und zu begegnen.

Schutz vor Datenverlust
Download sensibler Daten und großer Datenmengen auf nicht verwaltete Geräte sollte verhindert werden, um das Potenzial für Doppelte-Erpressungs-Taktiken bei Ransomware-Angriffen zu verringern.

Weitere Informationen zum Thema:

proofpoint, Or Safran / David Krispin / Assaf Friedman / Saikrishna Chavali, 16.06.2022
Proofpoint Discovers Potentially Dangerous Microsoft Office 365 Functionality that can Ransom Files Stored on SharePoint and OneDrive

[datensicherheit.de, 01.08.2019] Zscaler hat nach eigenen Angaben „große Phishing-Kampagnen hinter gefälschten Webseiten“ enttarnt. Bekannte Domains wie „Outlook“ und „OneDrive“ seien betroffen. Das „ThreatLabZ-Team“ bei Zscaler warnt aktuell vor verschiedenen Phishing-Angriffen mit „Microsoft Azure Custom“-Domains. Diese Webseiten seien mit einem Microsoft-SSL-Zertifikat signiert, um legitim zu erscheinen. Insgesamt seien 2.000 Phishing-Versuche innerhalb von sechs Wochen nachgewiesen worden. Zwei der Angriffs-Vektoren habe das Research-Team genauer untersucht.

Spam-Emails: SSL-Zertifikat von Microsoft missbraucht und eingefügt

Im ersten Beispiel hätten die Angreifer eine Spam-E-Mail an einen Anwender geschickt, „die vorgibt, von einem bestimmten Unternehmen zu stammen“. Sie informiert demnach den Benutzer, dass angeblich bereits sieben E-Mails von diesem Unternehmer geschickt worden seien, welche jedoch unter Quarantäne gefallen seien. Zur Überprüfung der E-Mails werde dem Benutzer empfohlen, sich mit seinem Firmen-Account anzumelden. „Klickt das Opfer auf die Schaltfläche ‚E-Mails anzeigen‘, wird es auf eine Outlook-Login-Phishing-Seite weitergeleitet.“
Für den Fall, dass die Anwender aufgrund der unbekannten URL an der Echtheit der Seite zweifeln, hätten die Angreifer ein SSL-Zertifikat von Microsoft missbraucht und eingefügt. Lässt sich der Benutzer davon täuschen und gibt seine Daten in das Formular ein, „fließen sie zur gefälschten Domain ab, die von den Kriminellen betrieben wird“.

Wie Sprachnachricht aussehender Infizierter HTML-E-Mail-Anhang

Im zweiten Beispiel hätten die Angreifer die Spam-E-Mail mit einer angehängten, wie eine Sprachnachricht aussehenden HTML-Datei verschickt. Sobald der Benutzer auf die HTML-Datei klickt, werde er auf die über die „Azure“-Domain abgebildete Phishing-Seite weitergeleitet. Bei dieser Vorgehensweise injizierten die Angreifer ein verschleiertes „JavaScript“, um die in ihrer Datenbank vorhandenen Anmeldedaten abzugleichen und unnötige Arbeit zu vermeiden. Ein versteckter Code überprüfe dabei die Zugangsdaten des Benutzers und sende sie an den Server des Angreifers.
Zusätzlich zu den „Outlook“-Phishing-Kampagnen seien weitere im Zusammenhang mit folgenden „Azure“-Domains entdeckt worden: Microsoft Phishing, OneDrive Phishing, Adobe Document Phishing und Blockchain Phishing. Zscaler habe Microsoft informiert, weswegen diese Webseiten zwischenzeitlich vom Netz genommen worden seien.
Plattform-Sicherheit gegen Cloud-Phishing

Sicherheitslösungen mit „Sandbox“-Funktionen empfohlen

Phishing-Angriffe häuften sich in den letzten Monaten. Vor allem über „Social Media“-Plattformen wie „LinkedIn“ würden viele vergleichbare Attacken gestartet. Die benannten Beispiele belegten darüber hinaus eine Zunahme von Phishing-Attacken gegen Cloud-Plattformen und ihre Domains. Das Zusammenspiel zwischen der IT-Sicherheit einer Cloud und der IT-Sicherheit von Unternehmen müsse daher reibungslos ablaufen.
Aus diesem Grund benötigten Unternehmen moderne Schutzmechanismen, „die gezielt ihre Plattformen abschirmen“. Solche Sicherheitslösungen sollten „Sandbox“-Funktionen beinhalten, um verdächtige Anhänge und Links filtern, isoliert untersuchen und abwehren zu können. Derartiger Plattform-Schutz des Herstellers oder Anbieters ergänze sehr wirkungsvoll den Sicherheits-Apparat der Unternehmen, die ihre Daten und Anwendungen auf die Cloud-Plattform setzen.

Weitere Informationen zum Thema:

zscaler, Gayathri Anbalagan, 16.07.2019
Abusing Microsoft’s Azure domains to host phishing attacks

datensicherheit.de, 01.07.2019
KnowBe4 unterstützt Unternehmen gegen Social Media-Phishing

datensicherheit.de, 26.06.2019
Zscaler: Warum Office 365 für Stau im Netzwerk sorgen kann