[datensicherheit.de, 31.01.2022] Nach aktuellen Erkenntnissen von Forschern aus dem Hause Trend Micro heraus nutzt eine „hochentwickelte Cyber-Spionage-Gruppe mit Verbindungen zu China“ sogenanntes Social Engineering, um Cyber-Spionage und finanziell motivierte Angriffe durchzuführen.

Cyber-Spionage Hauptmotivation der Bedrohungsakteure von Earth Lusca

Die Forscher schreiben: „Seit Mitte 2021 untersuchen wir einen ziemlich schwer fassbaren Bedrohungsakteur namens ,Earth Lusca‘, der Organisationen auf der ganzen Welt mit einer Kampagne angreift, die traditionelle Social-Engineering-Techniken wie ,Spear Phishing‘ und ,Watering Holes‘ einsetzt.“

Bei ihren Angriffen scheine Cyber-Spionage die Hauptmotivation der Bedrohungsakteure zu sein. Zu ihren Opfern gehörten Kritische Ziele wie Regierungs- und Bildungseinrichtungen, religiöse Bewegungen, pro-demokratische und Menschenrechtsorganisationen in Hongkong und „Covid 19“-Forschungsorganisationen.

Die Cyber-Kriminellen schienen jedoch auch finanziell motiviert zu sein, da sie es auch auf Glücksspiel- und Kryptowährungsunternehmen abgesehen hätten.

Earth Lusca setzt Spear-Phishing-E-Mails und Watering- Hole-Websites ein

Diese raffinierte Cyber-Spionage-Gruppe habe drei primäre Angriffsvektoren, von denen zwei „Social Engineering“ beinhalteten – die Social-Engineering-Techniken könnten in „Spear Phishing“-E-Mails und „Watering Hole“-Websites unterteilt werden.

In einem anderen Fall habe „Earth Lusca“ Spear-Phishing-E-Mails mit bösartigen Links an eines seiner Ziele – ein Medienunternehmen – versendet. Darin enthalten seien als Dokumente getarnte Dateien, welche für das potenzielle Opfer von großem Interesse seien. Der arglose Benutzer lade schließlich eine Archivdatei herunter, die entweder eine bösartige LNK-Datei oder eine ausführbare Datei enthalte – was schließlich zu einem „Cobalt Strike Loader“ führe.

Außerdem nutzten die Cyber-Kriminellen auch „Watering Hole“-Websites – sie kompromittierten entweder die Websites ihrer Ziele oder richteten täuschend echte Websites ein, „die von legitimen Seiten kopiert wurden“, und platzierten dort dann bösartigen „JavaScript“-Code. Die Links zu diesen Websites würden dann an die potenziellen Opfer geschickt.

Beispiel Earth Lusca mahnt abermals: Security Awareness Basis der Verteidigung gegen Social-Engineering-Attacken

Die effektivste Maßnahme zur proaktiven Verhinderung solcher Angriffe sei, bei den Mitarbeitern das Sicherheitsbewusstsein zu stärken, unterstreicht KnowBe4 wiederholt. Dafür könne die Durchführung von „Security Awareness“-Trainings das Fundament bilden. Grundsätzlich werde dabei versucht, mithilfe von simulierten Phishing-Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ziel dieser Trainings sei, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen.

Zunächst würden sogenannte Baseline-Tests durchgeführt, welche es ermöglichten, den Anteil der für Phishing anfälligen Benutzer zu ermitteln. Zudem sollte man herausfinden, auf welche Art von Angriffen sie hereinfallen und auf welche nicht, um entsprechende Daten zur Messung des eintretenden Trainingserfolgs zu generieren. Die internen Schulungen sollten regelmäßig wiederholt werden und die Ergebnisse auf einer Plattform gespeichert und analysiert werden, um die Inhalte zu vertiefen und den künftigen Lernprozess erfolgreich fortzusetzen.

Die Anzahl der erfolgreichen Phishing-Angriffe auf das Unternehmen könne durch ein solches Training sehr stark reduziert werden und neben den technischen Sicherheitsoptionen könnten die Mitarbeiter somit als „menschliche Firewall“ geschult und eingesetzt werden.

Weitere Informationen zum Thema:

datensicherheit.de, 30.11.2021
Tag der Computersicherheit: Rainer Seidlitz fordert Stärkung der menschlichen Firewall / Stellungnahme von Rainer Seidlitz, Leiter Produkt-Management Safety & Security bei der TÜV SÜD Akademie GmbH, zum 30. November

datensicherheit.de, 23.08.2021
KnowBe4: Ressourcenpaket zur Verteidigung gegen zunehmende Cyberangriffe veröffentlicht / Kostenloses Angebot zur Unterstützung von IT-Administratoren bei der Stärkung ihrer Schulungen zum Sicherheitsbewusstsein

[datensicherheit.de, 23.12.2020] COVID-19 hat gezeigt, wie schnell Cyberkriminelle ihre Angriffstaktiken an aktuelle Ereignisse anpassen. Bedeutet dies, dass Unternehmen und Organisation im Hase-Igel-Rennen stets der Hase bleiben? Nicht unbedingt: Die neue fünfte Ausgabe des Spear-Phishing-Reports des Sicherheitsspezialisten Barracuda informiert über aktuelle Vorgehensweisen von Cyberkriminellen, ihre bevorzugten Phishing-Methoden und was IT-Security-Teams dagegen tun können.

Angreifer passen sich schnell an aktuelle Ereignisse an

Spear-Phishing, Business Email Compromise (BEC) oder Cyberbetrug im Zusammenhang mit COVID-19 sind Beispiele, wie sich Angreifer schnell an aktuelle Ereignisse anpassen und neue Tricks anwenden, um Angriffe erfolgreich auszuführen. Der Report zeigt, wie sich diese gezielten Angriffe entwickeln und welche Ansätze Cyberkriminelle nutzen, um ihre Wirkung zu maximieren. Er gibt auch Aufschluss darüber, warum Unternehmen in den Schutz vor Lateral Phishing und anderen intern gestarteten Angriffen von kompromittierten Konten investieren sollten. Empfehlenswert sind hier Lösungen, die künstliche Intelligenz und maschinelles Lernen nutzen.

Folgende Angriffsmethoden lagen 2020 im Trend:

• Business Email Compromise-Angriffe, auch bekannt als CEO-Fraud, Whaling oder Wire-Transfer-Fraud, machten 12 Prozent der analysierten Spear-Phishing-Angriffe aus, ein Anstieg um 5 Prozent im Vergleich zu 2019.
• 72 Prozent der COVID-19-bezogenen Angriffe waren Scamming-Attacken. Diese Angriffe zielen ab auf private, sensible und persönliche Informationen wie etwa Kontodaten oder Kreditkartennummern. Im Vergleich dazu waren 36 Prozent der gesamten Angriffe Scamming. Angreifer verwenden COVID-19 bevorzugt bei ihren weniger gezielten Scamming-Angriffen, die sich auf gefälschte Heilmittel und Spenden konzentrierten.
• 13 Prozent aller Spear-Phishing-Angriffe kamen von intern kompromittierten E-Mail-Konten. Daher müssen Unternehmen in den Schutz ihres internen E-Mail-Verkehrs genauso viel investieren wie in den Schutz vor externen Absendern.
• 71 Prozent der Spear-Phishing-Angriffe enthielten bösartige URLs, aber nur 30 Prozent der BEC-Angriffe enthielten einen Link. Hacker, die BEC nutzen, wollen Vertrauen zu ihrem Opfer aufbauen und erwarten eine Antwort auf ihre E-Mail. Dabei erschwert es das Fehlen einer URL, den Angriff zu erkennen.

„Cyberkriminelle passen ihre Methoden sehr schnell an, wenn sie ein aktuelles Ereignis ausnutzen können, wie ihre Reaktionen auf die COVID-19-Pandemie nur zu gut bewiesen haben“, sagt Don MacLennan, SVP, Engineering & Product Management, Email Protection, Barracuda. „Die Entwicklung von Spear-Phishing-Taktiken zu kennen, hilft Unternehmen, adäquate Vorkehrungen zu treffen, um sich gegen diese sehr gezielten Angriffe zu verteidigen und Opfer der neuesten Cyber-Betrügereien zu werden.“

Weitere Informationen zum Thema:

datensicherheit.de, 26.05.2020
Barracuda-Studie: Weltweit wachsende Nachfrage nach Managed Services

Barracuda
Spear Phishing: Top-Bedrohungen und Trends, Vol. 5, Dezember 2020

[datensicherheit.de, 27.07.2020] Cyber-Kriminelle finden offensichtlich immer neue Wege, E-Mail-Konten anzugreifen und für ihre Zwecke zu nutzen. Dabei gebiert der Bereich der E-Mail-Kontoübernahme eine spezialisierte Wirtschaft – der aktuelle „Spear-Phishing-Report“ von Barracuda, in Zusammenarbeit mit der UC Berkeley entsatnden, soll einen detaillierten Blick auf die Bedrohungen eines „Account Takeovers“ für Unternehmen und auf die Vorgehensweisen der Angreifer sowie auf Verteidigungsstrategien werfen.

Abbildung: Barracuda

„Spear-Phishing-Report“: „End-to-End“-Lebenszyklus kompromittierter E-Mail-Accounts

Kompromittierte E-Mail-Konten von 111 Organisationen analysiert

Analysten des Sicherheitsspezialisten Barracuda und der University of California Berkeley haben demnach den „End-to-End“-Lebenszyklus eines kompromittierten E-Mail-Kontos untersucht. Dabei habe sie interessiert, wie die Kontoübernahme erfolgt, wie lange sich Angreifer im gehackten Konto aufhalten und wie sie die Konten nutzen beziehungsweise Informationen abgreifen. Grundlage der Untersuchung seien 159 kompromittierte E-Mail-Konten von 111 Organisationen gewesen:

• Dauer des Angriffs
  Die Ergebnisse der Untersuchung zeigten, dass sich die Angreifer bei ungefähr der Hälfte der kompromittierten Konten (49 Prozent) nach weniger als 24 Stunden zurückgezogen hätten.
  Über ein Drittel (37 Prozent) habe jedoch über einen Zeitraum von mindestens einer Woche sein Unwesen in den angegriffenen Accounts getrieben.
• Wiederverwendung von Anmeldeinformationen
  20 Prozent der kompromittierten E-Mail-Konten seien in Datenlecks von Firmendatenbanken gefunden worden. Man könne davon ausgehen, dass diese Adressen wahrscheinlich genutzt worden seien, um persönliche Accounts für Webseiten zu erstellen.
  Sobald die Benutzer Anmeldeinformationen wiederverwendeten, würde auch ihr entsprechendes Firmenaccount über dasselbe Datenleck angegriffen werden.
• Zwei Typen von Angreifern
  In 50 Prozent der analysierten Konten seien vermutlich der Angreifer und Nutzer des kompromittierten E-Mail-Accounts ein und dieselbe Person. Bei 31 Prozent der Konten seien Angreifer und Nutzer verschiedene Personen. Es gebe demnach mindestens zwei Geschäftsmodelle: Eine Gruppe von Angreifern sei spezialisiert darauf, E-Mail-Konten anzugreifen und den Kontozugriff an eine zweite Gruppe von Cyber-Kriminellen zu verkaufen, die sich dann um die Monetarisierung der entführten Konten kümmern.
  78 Prozent der Angreifer hätten auf keine E-Mail-fernen Anwendungen zugegriffen. Dies lasse vermuten, dass entweder die Cloud-Konten der untersuchten Unternehmen keinen Zugriff auf für Hacker interessante Daten und Funktionen geboten hätten oder die Angreifer seien noch dabei, die zusätzlichen Informationsquellen zu sichten und gegebenenfalls kriminell zu nutzen.
• Bei Phishing-Angriffen verwendete Konten
  Von elf Konten (sieben Prozent) der 159 analysierten kompromittierten Konten seien von Barracuda erkannte Phishing-E-Mails versandt worden. Bei vier der elf Konten habe zwischen der ersten Anmeldung des Angreifers und dem Versand der ersten Phishing-E-Mail weniger als ein Tag gelegen. Bei den verbleibenden sieben Konten hätten drei oder mehr Tage zwischen der ersten Anmeldung des Angreifers und dem Versand der ersten Phishing-E-Mail gelegen.
  Bei den verbleibenden 93 Prozent der Konten sei es so erschienen, als hätten die Angreifer die Konten nicht zum Versand von Phishing-Angriffen verwendet – zumindest nicht in jenem überprüften Zeitraum. Jedoch könnten Angreifer etwa die Informationen aus den kompromittierten Konten nutzen, um eine Domain zu imitieren und so „Conversation-Hijacking“-Angriffe zu starten.

Zur Übernahme eines E-Mail-Kontos imitieren Cyber-Kriminelle bekannte Marken oder nutzen Social Engineering

Bei der Übernahme eines E-Mail-Kontos, einem sogenannten Account Takeover, imitieren Cyber-Kriminelle bekannte Marken oder nutzten „Social Engineering“ und Phishing, um Anmeldedaten stehlen und auf das Account zugreifen zu können. Sobald das Konto kompromittiert ist, könnten Hacker alle Account-Aktivitäten überwachen und verfolgen. So erführen die Kriminellen unternehmenskritische Information, etwa wie das Unternehmen Geschäfte tätigt, welche E-Mail-Signaturen es verwendet oder wie es Finanztransaktionen handhabt. Mittels nachfolgender Phishing-Angriffe ließen sich dann Finanz- und andere unternehmenskritische Informationen oder zusätzliche Anmeldedaten für andere Konten sammeln.

Informationen über Verhalten von Angreifern auf E-Mail-Konten verhelfen Organisationen zur adäquaten Verteidigung

„Cyber-Kriminelle finden immer neue Wege, um über einen längeren Zeitraum unentdeckt in kompromittierten Konten zu bleiben. So können sie den Missbrauch des Kontos maximieren, sei es durch den Verkauf der Zugangsdaten oder durch die Nutzung des Zugriffs selbst“, erklärt Don MacLennan, „SVP Engineering“, „Email Protection“ bei Barracuda. Über das Verhalten von Angreifern informiert zu sein, helfe Organisationen, sich mit dem adäquaten Schutz gegen Angriffe verteidigen und schnell reagieren zu können.

Weitere Informationen zum Thema:

Barracuda, Juni 2020
Spear Phishing: Die häufigsten Bedrohungen und Trends Vol. 4 – Einblicke in die Aktivitäten von Angreifern bei kompromittierten E-Mail-Konten

datensicherheit.de, 26.05.2020
Barracuda-Studie: Weltweit wachsende Nachfrage nach Managed Services

[datensicherheit.de, 03.12.2019] Unter sogenannten Spear-Phishing-Angriffen werden stark personalisierte E-Mail-Angriffe mit sorgfältig gestalteten Inhalten von vermeintlich vertrauenswürdigen Kollegen, Websites oder Unternehmen verstanden. Laut einer aktuellen Meldung von Barracuda haben es dabei „Business eMail Compromise“-Angriffe (BEC) besonders in sich – obwohl sie vergleichsweise nur einen geringen Anteil an den verschiedenen Angriffsvektoren ausmachten, sei der finanzielle Schaden für Unternehmen und Institutionen umso höher. Zahlen hierzu sind demnach im aktuellen „Spear-Phishing“-Report von Barracuda zu finden.

Brand Impersonation bevorzugte Spear-Phishing-Attacke

Im Zeitraum von Juli bis September 2019 hat Barracuda nach eigenen Angaben 1,5 Millionen Spear-Phishing-Attacken bei über 4.000 Unternehmen oder Institutionen, die „Barracuda Sentinel“ einsetzen, identifiziert. Folgender vier Vektoren bedienten sich die Angreifer hauptsächlich:

• „Scamming“ (39 Prozent): Diese Angriffe zielten ab auf private, sensible und persönliche Informationen wie etwa Kontodaten oder Kreditkartennummern.
• „Brand Impersonation“ (47 Prozent): Diese Art von Spear-Phishing imitiere bekannte Unternehmen wie etwa Microsoft und damit verbundene, häufige Geschäftsvorgänge.
• „Blackmailing“ (7 Prozent): Die häufigsten Erpressungsbetrügereien seien sog. Sextortion-Angriffe, bei denen Cyber-Kriminelle vorgäben, im Besitz eines kompromittierenden Videos zu sein, das angeblich auf dem Computer des Opfers aufgezeichnet worden sei, und drohten, es mit allen Kontakten des Opfers zu teilen – es sei denn, die Zielperson bezahlt.
• „Business eMmail Compromise“ (BEC) (7 Prozent): Diese Attacken seien auch bekannt als „CEO-Fraud“, „Whaling“ oder „Wire-Transfer-Fraud“ – sie machten zwar nur einen kleinen Teil der Spear-Phishing-Angriffe aus, seien aber umso gefährlicher. Laut FBI seien BEC-Angriffe in den vergangenen vier Jahren für einen Schaden von mehr als 26 Milliarden US-Dollar verantwortlich gewesen.

BEC selten, aber umso gefährlicher

Die äußerst zielgerichteten BEC-Angriffe seien extrem schwer zu erkennen, weil sie selten eine URL oder einen bösartigen Anhang enthielten, und stehen demnach im Mittelpunkt des aktuellen Barracuda-Reports. Dessen wichtigsten Erkenntnisse:

• 91 Prozent der BEC-Angriffe fänden werktags statt und würden im Regelfall während der üblichen Geschäftszeiten des ins Visier genommene Unternehmen verschickt. Die Angreifer wollten damit die typischen Geschäftsabläufe simulieren, um diese so unverdächtig wie möglich erscheinen zu lassen.
• Der durchschnittliche BEC-Angriff ziele auf nicht mehr als sechs Mitarbeiter ab. 94,5 Prozent aller Angriffe nähmen weniger als 25 Personen ins Visier.
• 85 Prozent der BEC-Exploits seien als dringende Anfragen getarnt, welche vorgeblich eine schnelle Reaktion erforderten.
• BEC-Angriffe auf geschäftliche E-Mails hätten hohe Klickraten. Jede zehnte Spear-Phishing-E-Mail verleite den Adressaten, diese anzuklicken. Drei von zehn Spear-Phishing-E-Mails brächten den Adressaten dazu, sie zu öffnen, wenn das Schreiben suggeriere, von der Personal- oder der IT-Abteilung des Unternehmens zu kommen.

Vorsichtsmaßnahmen treffen und Taktiken der Cyber-Kriminellen kennen

„Angreifer finden immer wieder neue Wege, um BEC-Angriffe noch überzeugender zu gestalten, was sie letztlich teurer und schädlicher für Unternehmen macht“, warnt Don MacLennan, SVP, „Email Protection, Engineering and Product Management“ bei Barracuda.
Die richtigen Vorsichtsmaßnahmen zu treffen und über die Taktiken der Cyber-Kriminellen auf dem Laufenden zu bleiben, werde Unternehmen helfen, sich effektiver gegen diese sehr gezielten Angriffe zu verteidigen.

Weitere Informationen zum Thema:

Barracuda, November 2019
Spear Phishing: Top Threats and Trends / Defending against business email compromise attacks

datensicherheit.de, 25.03.2019
Dreister BEC-Betrug: Schaden von 170.000 US-Dollar

datensicherheit.de, 08.09.2018
Security-Systeme: Business Email Compromise-Angriffe schwer erkennbar

datensicherheit.de, 18.07.2018
BEC und EAC Fraud: Schäden in Milliardenhöhe

[datensicherheit.de, 04.09.2019] Der „Fake President“-Betrug und seine verheerenden Auswirkungen auf Unternehmen seien an sich nichts Neues, so Jelle Wieringa, „Security Awareness Advocate“ bei KnowBe4: Unternehmen hätten dadurch bereits Millionen von Euro an Kriminelle verloren und viele Mitarbeiter  in der Folge ihre Arbeitsplätze.

Foto: KnowBe4

Jelle Wieringa: Unternehmen haben bereits Millionen von Euro an Kriminelle infolge des Fake President-Betruges verloren

Fake President: Sogar Bedrohung wie Ransomware überholt

Experten zufolge habe der „Fake President“-Betrug – auch bekannt als „Business Email Compromise“ – fast ein Viertel aller Schäden in der sogenannten DACH-Region (Deutschland-Österreich-Schweiz) aus.
Damit habe dieser Betrug dort sogar Bedrohungen wie Ransomware oder Datenschutzverletzungen überholt und sei der Hauptgrund dafür gewesen, dass Unternehmen 2018 eine Cyber-Versicherung abgeschlossen hätten. Den Experten zufolge hätten deutsche Unternehmen sowie deren ausländische Tochterfirmen Schäden von über 190 Millionen Euro seit 2014 gemeldet.

Hochgradig organisierte Gruppen von Kriminellen aktiv

Wieringa: „Derartige Betrügereien werden oft von hochgradig organisierten Gruppen von Kriminellen begangen, die ein bestimmtes Unternehmen oder eine Person oder Gruppe von Personen auswählen und den Angriff auf sie ausrichten. Sie versuchen diese Personen dazu zu bringen, eine unbefugte Tätigkeit wie zum Beispiel eine Geldüberweisung auf ein ausländisches Konto durchzuführen.“
Vor zwei Jahren habe das BKA gemeldet, dass ein Cyber-Krimineller als angeblicher persönlicher Referent eines Abteilungsleiters im Bundeskanzleramt solche Anrufe getätigt habe. „Er handelte angeblich im Auftrag des sicherheitspolitischen Beraters der Bundeskanzlerin und gab sich als ,Uwe Becker‘ aus“, berichtet Wieringa. Dieser Kriminelle habe bundesweit Geschäftsführer angerufen und die Unternehmen zu einer Spende für den Freikauf deutscher Geiseln aufgefordert – es hätten der Bundesregierung noch etwa 40 Millionen Euro gefehlt, so der Betrüger.

95 % der Angriffe auf Unternehmen Ergebnis erfolgreichen Spear-Phishings

Wieringa führt aus: „Diese Art von ,Social Engineering‘ wird Spear-Phishing genannt und 95 Prozent der Angriffe auf Unternehmen sind das Ergebnis eines erfolgreichen Spear-Phishings. In diesem Fall richten sich Betrüger an Nicht-Muttersprachler, die in ausländischen Tochtergesellschaften des Unternehmens beschäftigt sind. Dadurch stellen sie sicher, dass die Wahrscheinlichkeit, dass diese Mitarbeiter den Betrug erkennen, geringer ausfällt. Dies bedeutet auch, dass der betreffende Mitarbeiter mit dem leitenden Angestellten, der eigentlich der Betrüger ist, wenig oder niemals zusammengearbeitet hat.“
Ein Fake-President-Betrug erfordere in der Regel relativ viel strategische Planung bzw. zeitintensive Vorbereitung: „Online-Verhaltensweisen bzw. die Aktivität des Opfers beobachten, um private Informationen über ihn zu sammeln, eine überzeugende Phishing-Kampagne und einen Plan zur Ausführung aufsetzen usw.“ Der Angriff beginne oft als Spear-Phishing, aber letztendlich folgten in den meisten Fällen anhaltende Anrufe – der sogenannte „Vishing“-Angriff, wodurch der Mitarbeiter noch stärker unter Druck gesetzt werde.

Spezielle Strategien zur Erkennung potenziell schädlicher E-Mails bzw. Anrufe erlernen

„Kriminelle sind innovativ und sie ändern ständig ihre Techniken“, warnt Wieringa. Mitarbeiter müssten diese kennenlernen und ihr Verhalten entsprechend anpassen. Es reiche nicht mehr aus, bei Phishing-E-Mails nach Fehlern in der Rechtschreibung, Grammatik und Interpunktion zu suchen. Mitarbeiter benötigten ein Training nach dem „New School Security Awareness“-Training, um sie spezielle Strategien zur Erkennung potenziell schädlicher E-Mails bzw. Anrufe zu lehren.
Außerdem sollte es den Trainern die Möglichkeit geben, die Fortschritte der Mitarbeiter bei der Erkennung zu verfolgen und zu messen. Bei gefälschten Telefonanrufen sollten sich Mitarbeiter beispielsweise die Nummer merken, die Antwort einfach verweigern, das Gespräch so schnell wie möglich beenden oder die Information mit einem anderen leitenden Angestellten zuerst verifizieren, bevor sie das Gespräch weiterführen. „Auf diese Art und Weise halten sie Schäden von ihrem Unternehmen fern“, rät Wieringa.

Weitere Informationen zum Thema:

KnowBe4, Stu Sjouwerman, 03.09.2019
CEO Fraud Overtakes Ransomware And Data Breaches In EMEA Cyber-insurance Claims

versicherungsmagazin, 28.08.2019
Millionenschäden durch Fake President & Co.

datensicherheit.de, 21.08.2019
Steam-Konto: Hacker zielen auf Spieler ab

datensicherheit.de, 24.07.2019
KnowBe4-Studie warnt vor gefälschten LinkedIn-Mails

datensicherheit.de, 26.06.2019
Schwachstelle in Electronic Arts’ Origin Gaming Client entdeckt

datensicherheit.de, 28.01.2019
Einfache Hacker-Ziele: Schlechtes Passwort, IoT-Geräte und fehlende Zwei-Faktor-Authentifizierung

datensicherheit.de, 20.12.2018
Spear Phishing: Hilfsorganisation verlor eine Million US-Dollar

datensicherheit.de, 02.06.2016
Erfolgreiches Audit dank Zwei-Faktor Authentifizierung

[datensicherheit.de, 02.08.2019] Zwischen dem 19. und dem 25. Juli entdeckten die Security-Spezialisten von Proofpoint eine ausgeklügelte Phishing-Kampagne, die sich gezielt gegen drei US-Versorgungsbetriebe richtete. Die Spear-Phishing-Mails stammten dabei vorgeblich von einer Domain, die der „US National Council of Examiners for Engineering and Surveying“ (NCEES) betreibt und die die Angreifer zu diesem Zweck imitierten.

Präparierte Word-Datei im Anhang

Im Anhang der Phishing-Mails befand sich eine präparierte Word-Datei, die mit Hilfe von Macros eine Malware installiert und ausführt. Die Experten von Proofpoint haben ihr den Namen „LookBack“ gegeben. Diese Malware besteht aus einem Remote Access Trojaner (RAT) sowie einem Proxy-Mechanismus, der für die Kommunikation mit der Command-and-Control-Infrastruktur (C&C) verwendet wird.

Ähnlichkeiten zu früheren Phishing-Kampagnen

Bei der Analyse der Angriffe konnte Proofpoint in den Macros der angehängten Word-Dokumente Ähnlichkeiten zu früheren Kampagnen entdecken, die im Jahr 2018 japanische Unternehmen zum Ziel hatten. Jedoch zeigte sich, dass die LookBack-Malware bislang noch mit keiner bekannten Hackergruppe in Verbindung gebracht wurde. Auch in Sachen Infrastruktur sowie dem Code der Schadsoftware ließen sich keine Übereinstimmungen mit vorangegangen Angriffen bekannter Akteure feststellen, die eine Zuordnung ermöglichen würden.

Weitere Informationen zum Thema:

Proofpoint
LookBack Malware Targets the United States Utilities Sector with Phishing Attacks Impersonating Engineering Licensing Boards

datensicherheit.de, 01.08.2019
Laterales Phishing: Die wachsende Bedrohung

datensicherheit.de, 29.05.2019
Proofpoint: Emotet fast zwei Drittel aller bösartigen Payloads

datensicherheit.de, 30.10.2018
Untersuchung zeigt Potential von Cyberangriffen auf Wasser- und Energieversorger

Von unserem Gastautor Till Jäger, Security Engineer bei Exabeam

[datensicherheit.de, 18.09.2018] Ob Spear-Phishing, Ransomware oder Zero-Day-Exploits, Netzwerke sind ständig in Gefahr gehackt zu werden. Die wachsende Bedrohung geht einher mit immer komplexeren IT-Landschaften, mehr Daten und weniger IT-Personal. Um ihre Netzwerke unter diesen schwierigen Umständen effektiver zu schützen, setzen viele Unternehmen inzwischen auf Technologien wie KI-basierte Verhaltensüberwachung. Sie nutzt die Möglichkeiten von Datenanalyse und maschinellem Lernen um einen der größten Risikofaktoren im Netzwerk zu minimieren: den Benutzer. Nutzer sind die Einfallstore, die sensible Unternehmensdaten gefährden, sei es ein kompromittiertes Nutzerkonto im Netzwerk, ein Insider-Angriff oder unbedachtes Verhalten eines Mitarbeiters.

Maschinelles Lernen steigert die Effizienz der Überwachung durch Automatisierung

Um die Gefahr ausgehend von Nutzern zu minimieren, können Algorithmen für Maschinelles Lernen die Verhaltenstrends der Nutzer im Netzwerk analysieren und individuelle Richtlinien für jeden einzelnen Benutzer erstellen. Diese kontinuierliche Analyse des normalen Verhaltens von Mitarbeitern kann so den Kontext liefern, um nicht normale Aktivitäten schnell zu erkennen und gegebenenfalls Alarm zu geben. Bei vielen herkömmlichen Tools zur Netzwerküberwachung fehlt dieser Kontext, wodurch sich die Wahrscheinlichkeit erhöht, dass verdächtiges Verhalten übersehen oder normales Verhalten als verdächtig eingestuft wird – und zu einem Fehlalarm führt. So kann das Verhalten eines Mitarbeiters aus der Personalabteilung, der auf Finanzinformationen im Netzwerk zugreift, auf den ersten Blick ungewöhnlich erscheinen. Doch hat er das auch in der Vergangenheit getan, weil er beispielsweise mit der Buchhaltungsabteilung für die Personalabrechnung zusammengearbeitet hat, können Lösungen aufbauend auf Maschinellem Lernen den Vorgang nachvollziehen und mit etabliertem Verhalten in Zusammenhang bringen. Ein Fehlalarm wird dadurch vermieden.

Das Konzept, das Nutzerverhalten zu kategorisieren, ist nicht neu, erfordert bei traditionellen manuellen Ansätzen jedoch einen erheblichen Zeit- und Ressourcenaufwand, der die IT-Sicherheitsteams in der Regel schnell überfordert. Durch KI-basierte Systeme wird dieser Prozess wesentlich effizienter, und das Sicherheitspersonal kann sich auf anspruchsvollere Aufgaben konzentrieren. Darüber hinaus können sich KI-basierte Systeme dynamisch an neue Verhaltensmuster des Nutzers anpassen und dadurch im Laufe der Zeit ihre Parameter immer weiter verfeinern, sodass reale Bedrohungen schnell erkannt und Fehlalarme minimiert werden.

Künstliche Intelligenz: Unterstützung, aber kein Ersatz für IT-Sicherheitsteams

Obwohl KI-basierte Verhaltensüberwachung viele Vorteile bietet, ist sie kein Allheilmittel für Probleme mit der Sicherheit von Netzwerken. Das teils irreführende Marketing mancher Anbieter hat dazu geführt, dass einige Unternehmen der riskanten Fehleinschätzung erliegen, sie könnten ihre IT-Teams reduzieren und ihre Netzwerksicherheit stattdessen neuen KI-Security-Lösungen anvertrauen. Zwar optimieren KI-basierte Lösungen das Verständnis des Nutzerverhaltens im gesamten Netzwerk erheblich, eine sorgfältige Verwaltung durch erfahrene Sicherheitsexperten ist jedoch nach wie vor unerlässlich.

Die KI-basierte Verhaltensüberwachung ist also kein Ersatz, sondern eine maßgebliche Verstärkung für bestehende Sicherheitspraktiken. Sie reduziert zeitaufwendige Prozesse und unterstützt IT-Teams dadurch enorm. Eine effektive KI-basierte Verhaltensüberwachung kann signifikante Datenmengen verarbeiten, Benutzeraktivitäten in Zeitleisten zusammenfassen und diese innerhalb weniger Minuten durch den Abgleich mit dem Standardverhalten analysieren. Dieselbe Aufgabe würde selbst einen erfahrenen Sicherheitsanalysten Tage, Wochen oder sogar Monate kosten. Von dieser manuellen Aufgabe befreit, kann das Fachpersonal die gewonnene Zeit effektiv nutzen, um die erstellten Benutzerprofile auf verdächtige Verhaltensabweichungen und die vom KI-System ausgelösten Warnmeldungen zu überprüfen.

Fazit

Die Herausforderungen, denen Netzwerk-Sicherheitsteams heute gegenüberstehen, sind zahlreich und schwierig. Der Einsatz von Technologien wie KI-basierter Verhaltensüberwachung kann die Last der IT-Teams erheblich reduzieren, da viele der zeitaufwändigeren manuellen Aufgaben entfallen, die eine effektive Netzwerksicherheit erfordert. KI sollten jedoch nicht als Ersatz für geschultes IT-Sicherheitspersonal gesehen werden, sondern als Verstärkung, die die operative Effizienz eines jeden Teams erheblich verbessert.

Bild: Exabeam

Till Jäger ist Security Engineer für Central & Eastern Europe bei Exabeam. Jäger hat über 20 Jahre Expertise im IT-Security-Umfeld und ist als Certified Ethical Hacker (CEH) und Certified Information Systems Security Professional (CISSP) zertifiziert. Vor Exabeam war er unter anderem bei ArcSight/HP sowie bei CA und verfügt über umfangreiche Erfahrung in den Bereichen SIEM und Identity and Access Management.

Weitere Informationen zum Thema:

datensicherheit.de, 30.08.2018
Maschinelles Lernen für effektive Netzwerksicherheit

datensicherheit.de, 26.07.2017
Der Mensch als Schlüsselfaktor Cybersicherheit

datensicherheit.de, 26.07.2018
Cybersicherheit: Die Lücke zwischen Schutz und Risiko

datensicherheit.de, 28.06.2018
Vom Menschen lernen: Das lebende Unternehmen

datensicherheit.de, 29.08.2017
Privilegierte Benutzerkonten ins Visier von Hackern

[datensicherheit.de, 25.02.2016] Check Point stellt mit dem SandBlast Agent eine Technologie für die ortsunabhängige Absicherung von Endgeräten, z.B. Laptops vor. Dahinter verbirgt sich ein Sicherheitsansatz, mit dem sich Fernzugriffe auf Netzwerke von Hot Spots in Hotels, Flughäfen und anderen Orten sowohl mit einer lokalen Installation als auch mit einem Cloud-Service absichern lässt. Nach Angaben des Herstellers verfügt die Lösung darüberhinaus über forensische Fähigkeiten um Sicherheitsvorfälle zu automatisieren und Maßnahmen im Rahmen eines  Incident Response-Managemements in die Wege zu leiten.

In einer zunehmend vernetzten Welt müssen Unternehmen ihren externen und mobilen Mitarbeitern mehr Flexibilität bieten. Dabei setzen diese eine Vielzahl von Geräten an den unterschiedlichsten Standorten ein. In vielen Organisationen jedoch werden diese Geräte nur unzureichend auf Basis traditioneller, signaturbasierter Antivirus-Agenten geschützt, die lediglich bereits bekannte Bedrohungen erkennen. Hacker setzen für die Angriffe auf Endpunktgeräte zunehmend auf raffiniertere Strategien, wie Zero-Day-Angriffe oder eine  Vierlzahl von Varianten einer Malware.

Carsten J. Pinnow (CP) für datensicherheit.de hat im Gespräch mit Andy Feit, Head of Threat Prevention Marketing bei Check Point zur neuen Technologie befragt und wollten wissen, was es mit den forensischen und automatisierten Incident Response-Fähigkeiten auf sich hat.

CP: Herr Feit, was verbirgt sich hinter dem SandBlast Agent?

Feit: Um moderne Angriffe via Spear-Phishing E-Mails, intelligente Malware auf Wechseldatenträgern sowie webbasierte Bedrohungen, wie Watering Holes erkennen und abwenden zu können, setzt SandBlast Agent den Schutz direkt am Endpunkt an. Die eingriffsfreie Implementierung mit niedrigen Overheads, die auf einem externen Sandboxing-Modell beruht, hat minimale Auswirkungen auf die lokale Leistung, sorgt aber für volle Kompatibilität mit bereits installierten Anwendungen. Einzelne Mitarbeiter können mit einer sicheren, entschärften Version gängiger Dokumentenformate arbeiten, während gleichzeitig eine gründliche Analyse der Datei erfolgt.

Bild: Check Point

Andy Feit, Head of Threat Prevention Marketing bei Check Point

CP: Incident Response ist in Zeiten zunehmender zielgerichteter Attacken ein Trend-Thema. Wie müssen wir uns die Umsetzung vorstellen?

Der SandBlast Agent erkennt verdächtige Kommunikationsaktivitäten die von infizierten Geräten erzeugt werden und blockiert Versuche Daten zu exfiltrieren. Unter anderem schützt die Technologie vor Web-Downloads, Infektionen von externen Datenträgern, E-Mail-Anhängen oder Links in E-Mails, Bewegungen von Schadcode zwischen IT-Systemen und Netzwerken. Darüber hinaus lässt sich auch Malware aufspüren, die von verschlüsselten Ressourcen stammen. Die Lösung stellt infizierte Geräte unter Quarantäne, um die Ausbreitung der Infektion einzudämmen. Hier baut der Agent auf die SandBlast Version für stationäre Clients auf, mit der sich infizierte Dateien in sichere PDF-Dateien umwandeln lassen.

CP: Wie nutzen Sie die Informationen für forensische Untersuchungen?

Die Technologie erstellt ein automatisiertes Reporting über alle aufgezeichneten Sicherheitsvorfälle. In dem Bericht steht dann unter anderem, um welche Art von Vorfall es sich handelte, wo die Infizierung erfolgt ist und wie groß der bereits infizierte Bereich ist. Es wird also der gesamte Angriffs-Lifecycle abgedeckt. Alle diese Informationen dienen dann als Ausgangslage für forensische Untersuchungen.

[datensicherheit.de, 15.10.2014] Eine kritische Zero-Day Sicherheitslücke in Windows wurde nach Angaben der Sicherheitsfirma iSight Partners für eine begrenzte Zahl von gezielten Cyberspionage-Attacken in den USA und Europa ausgenutzt. iSight schreibt diese Attacken der Cybercrime-Gruppierung „Sandworm“ zu, die sich auf Advanced Persistant Threat Angriffe fokussiert.

Die Sicherheitslücke ist offiziell als Microsoft Windows OLE Package Manager Remote Code Execution Vulnerability (CVE-2014-4114) bekannt, Angreifer können durch sie per Fernzugriff sogenannte Object Linking and Embedding (OLE) Files im anvisierten Rechner einbinden und darüber Malware auf diesem installieren. Ausgenutzt wird die Schwachstelle derzeit mittels Spear-Phishing Emails mit „verseuchten“ PowerPoint-Anhängen. Infiziert sich das Opfer dadurch, wird ein Backdoor (Hintertür) auf seinem Rechner installiert.

iSight zu Folge wurde die Schwachstelle bereits in einigen Cyberspionage-Attacken gegen die NATO, mehrere westeuropäische Regierungen sowie die der Ukraine, Energiekonzerne, europäische Telekommunikationsfirmen und eine wissenschaftliche Einrichtung in den USA ausgenutzt.

© Symantec

Symantec stuft die Sicherheitslücke als kritisch ein

Die Schwachstelle betrifft alle Windows Versionen von Windows Vista Service Pack 2 bis Windows 8.1 und die Windows Server Versionen 2008 und 2012.

Das Unternehmen Symantec stuft diese Sicherheitslücke als kritisch ein, da durch sie Angreifer per Fernzugriff Code auf dem Zielrechner ausführen können. Bis dato wurde sie nur begrenzt ausgenutzt, allerdings könnte sie jetzt nach ihrem Bekanntwerden auch für andere Cybercrime-Gruppen attraktiv werden.

Weitere Informationen zum Thema:

Symantec Security Response Blog
Sandworm Windows zero-day vulnerability being actively exploited in targeted attacks