Montel betont: Backup ist nicht gleich Backup – und es geht nicht nur darum, eine Checkliste abzuhaken

[datensicherheit.de, 27.03.2024] Im Zusammenhang mit dem diesjährigen „World Backup Day“ am 31. März 2024 erläutert Bernard Montel, „EMEA Technical Director and Security Strategist“ bei Tenable, in seiner aktuellen Stellungnahme, auf welche Faktoren Unternehmen im Rahmen der Datensicherung besonders achten müssten, um ihre sensiblen Daten zu schützen:

Foto: Tenable

Bernard Montel: Die beste Offensive ist jedoch eine solide Defensive!

Montel rät: Der World Backup Day sollte Veränderungen anstoßen

„Auch wenn es den Anschein hat, als gäbe es für alles einen Tag, zielt doch jeder einzelne darauf ab, das Bewusstsein für ein bestimmtes Thema zu schärfen – sei es im Zusammenhang mit der Gesundheit, der Gesellschaft oder, wie im Falle des ,World Backup Day’, um Veränderungen anzustoßen“, so Montel.

Wenn es nun um Datensicherung gehe, gebe es eine Reihe treibender Faktoren: Der offensichtlichste sei wohl die schnelle Wiederherstellung, wenn etwas schiefgeht – sei es ein Geräteausfall, menschliches Versagen oder eine Manipulation durch Dritte, wie etwa Ransomware.

Doch Backup sei nicht gleich Backup und es gehe nicht nur darum, eine Checkliste abzuhaken. Unternehmen sollten sich zum diesjährigen „World Backup Day“ einen Moment Zeit nehmen, „darüber nachzudenken, warum sie ihre Daten sichern und wie sie das tun“.

Laut Montel gilt es, sich mit dem individuellen Risikoprofil auseinanderzusetzen, Schwachstellen zu identifizieren und deren Behebung zu priorisieren

Ransomware-Banden hätten ihre Taktiken weiterentwickelt und seien mitunter in der Lage, auch gesicherte Daten zu kompromittieren. „Indem Unternehmen Backups verschlüsseln, können sie die Auswirkungen von Ransomware auf diese Daten begrenzen – obwohl Bedrohungsakteure sie immer noch abgreifen könnten.“

Daher sollten Unternehmen sich auch Gedanken darüber machen, wie sie Kodierungsschlüssel managen. „Third-Party-Angebote stellen hier eine gangbare Option dar. Das Risiko zu verteilen und Backups auf einem anderen als dem Backup-Server-Betriebssystem zu speichern, ist ebenfalls ratsam.“

All diese Maßnahmen tragen laut Montel dazu bei, die Auswirkungen eines Ransomware-Angriffs zu begrenzen. „Die beste Offensive ist jedoch eine solide Defensive: Wenn Unternehmen also über ihre Backup-Strategie nachdenken, sollten sie sich auch mit ihrem individuellen Risikoprofil auseinandersetzen, Schwachstellen identifizieren und deren Behebung priorisieren.“

Weitere Informationen zum Thema:

datensicherheit.de, 28.03.2024
Status Quo zusätzlicher Datensicherung: ExpressVPN-Umfrage zum World Backup Day 2024 / Jährlicher World Backup Day gemahnt daran, sensible Daten entsprechend sorgfältig zu sichern

datensicherheit.de, 26.03.2024
World Backup Day 2024: Backup für Cyber-Sicherheit notwendig, aber noch nicht hinreichend / Cyber-Kriminelle haben es oft direkt auf gesicherte Daten abgesehen

Bedrohung durch Cyber-Angriffe noch nie so akut wie heute

[datensicherheit.de, 05.09.2023] Tenable kommentiert in einer aktuellen Stellungnahme Erkenntnisse des Branchenverbands Bitkom, dass Cyber-Kriminalität in Deutschland im Jahr 2023 mutmaßlich 206 Milliarden Euro Kosten verursachen werde, geht auf eine eigene Studie ein und legt selbst Zahlen vor.

Cyber-Sicherheit deutscher Unternehmen könnte 2023 Schäden von rund 206 Milliarden Euro erleiden

Der Diebstahl von IT-Geräten und Daten sowie digitale Spionage, Wirtschaftsspionage und Sabotage werden laut Bitkom Deutschland im Jahr 2023 rund 206 Milliarden Euro kosten. Der Schaden werde das dritte Jahr in Folge die 200-Milliarden-Euro-Marke überschreiten, so ein Ergebnis einer Bitkom-Umfrage unter mehr als 1.000 Unternehmen.

„Die deutsche Wirtschaft ist ein hochattraktives Ziel für Kriminelle und feindliche Staaten. Die Grenzen zwischen Organisierter Kriminalität und staatlich gelenkten Akteuren sind fließend“, so der Bitkom-Präsident, Ralf Wintergerst.

Foto: Tenable

Dipl.-Ing. Roger Scheer rät dringend, Angriffswege innerhalb der Cyber-Infrastruktur frühzeitig zu identifizieren und Schwachstellen zu beseitigen

Cyber-Prävention schon lange Herausforderung für Sicherheitsteams

„Die Bedrohung durch Cyber-Angriffe war noch nie so akut wie heute, insbesondere angesichts der gestiegenen Gefahr von geopolitisch initiierten Angriffen. Das Problem, mit dem die meisten Unternehmen konfrontiert sind, ist die Verteidigung, denn Prävention ist schon lange eine Herausforderung für Sicherheitsteams“, kommentiert Roger Scheer, „Regional Vice President of Central Europe“ bei Tenable.

Die Durchführung von Schwachstellen-Analysen, die Interpretation der Ergebnisse und die Festlegung von Maßnahmen zur Behebung und Verringerung des Risikos sei traditionell ein zeitaufwändiger Prozess, welcher die Unternehmenssicherheit in einen reaktiven Modus versetze.

72 Prozent der deutschen Cybersecurity- und IT-Profis benötigen mehr Ressourcen

Laut einer von Tenable beauftragten, von Forrester Consulting im Mai 2023 durchgeführten Studie sagten 50 Prozent der deutschen Cybersecurity- und IT-Profis, dass das Sicherheitsteam zu sehr mit der Bekämpfung kritischer Vorfälle beschäftigt sei, um einen präventiven Ansatz zur Verringerung der Gefährdung ihres Unternehmens zu verfolgen.

Darüber hinaus glaubten 72 Prozent der deutschen Cybersecurity- und IT-Profis, dass ihr Unternehmen erfolgreicher bei der Abwehr von Cyber-Angriffen wäre, wenn sie mehr Ressourcen für präventive Cyber-Sicherheit bereitstellen könnten.

Sicherheitsteams sollten unbedingt präventiven Ansatz für Cyber-Abwehr verfolgen

Jeden Tag würden Schwachstellen aufgedeckt, und Angreifer warteten nur darauf, „dass sich diese zu Geld machen lassen“. Anstatt darauf zu warten, angegriffen zu werden, und dann zu reagieren, müssten Sicherheitsteams einen präventiven Ansatz für die Cyber-Abwehr verfolgen.

Scheer verdeutlicht: „Die Notwendigkeit, die eigene Angriffsfläche zu verstehen und das Risiko für das Unternehmen proaktiv zu managen, war noch nie so dringend wie heute. Verteidiger müssen vorhersehen, wie Angreifer in Systeme eindringen, um sie fernzuhalten.“ Es gelte, die Angriffswege innerhalb der Infrastruktur frühzeitig zu identifizieren und Maßnahmen zu ergreifen, um die Schwachstellen zu beseitigen – „bevor sie ausgenutzt werden können“.

Weitere Informationen zum Thema:

bitkom, 01.09.2023
Organisierte Kriminalität greift verstärkt die deutsche Wirtschaft an

Narang betont: Sichere Unternehmen setzen sichere Mitarbeiter voraus

[datensicherheit.de, 29.06.2023] „Sichere Unternehmen setzen sichere Mitarbeiter voraus“, betont Tenable und gibt in einer aktuellen Stellungnahme Empfehlungen zum „World Social Media Day“. Satnam Narang, „Senior Staff Research Engineer“ bei Tenable, bekannt geworden durch seine Beiträge zur „Arbeitsgruppe für Anti-Phishing“, zur „National Cyber Security Alliance“ und dafür, dass er der erste Forscher gewesen sei, „der über den Betrug von ,Tinder Bot’ berichtete“, kommentiert den „World Social Media Day“ am 30. Juni 2023:

Foto: Tenable

Satnam Narang: Bestimmte Betrügereien haben sich gerade mit Social-Media-Plattformen immer weiterentwickelt…

Narangs Warnung: Viele nutzen sowohl Unternehmens-IT als auch dienstlich genutzte private Geräte für Social Media

Da viele Menschen sowohl die Unternehmens-IT als auch ihre geschäftlich genutzten privaten Geräte für den Zugang zu „Social Media“ einsetzten, hingen Sicherheitsrisiken für Unternehmen nicht selten mit der unsicheren Nutzung eben von „Social Media“ zusammen.

„Während wir den ,World Social Media Day’ feiern, ist es wichtig, sich daran zu erinnern, dass sich bestimmte Betrügereien gerade mit den Plattformen für ,Social Media’ immer weiterentwickelt haben.“ Die heutigen Betrügereien im Umfeld von „Social Media“ seien inzwischen komplex und kreativ: Sie beruhten auf mehreren Interaktionen über verschiedene Plattformen hinweg und nutzten das verbreitete Vertrauen der Anwender in ihre Online-Interaktionen und die globale Reichweite aus, warnt Narang.

Anwender sollten im Internet prinzipiell skeptisch eingestellt sein, rät Narang

„Soziale Medien sind zu einer der attraktivsten Spielwiesen für Cyber-Kriminelle geworden, und die Anwender sollten im Internet prinzipiell skeptisch eingestellt sein, um die Risiken von Identitätsdiebstahl und Finanzbetrug zu verringern“, führt Narang weiter aus. Ein vor kurzem veröffentlichter Bericht der Federal Trade Commission der USA zeige auf, dass im Jahr 2022 bereits 8,8 Milliarden US-Dollar durch betrügerische Handlungen verloren gegangen seien. Narang: „Das sind 30 Prozent mehr als im Jahr zuvor!“

Da sich die Werkzeuge für sogenannte Künstliche Intelligenz (KI) ständig weiterentwickelten und immer leichter zugänglich würden, sei es nur noch eine Frage der Zeit, „bis Betrüger und Cyber-Kriminelle diese Technologien intensiv anwenden werden“. Mehr denn je müssten sich die heutigen Nutzer der IT bewusst sein, dass Betrug inzwischen ein fester Bestandteil der Sozialen Medien geworden sei – „und dass prinzipiell jeder darauf hereinfallen kann“.

Narang gibt Tipps zum sicheren Umgang mit Social Media

Narang empfiehlt nach eigenen Angaben deshalb die folgenden Maßnahmen, um nicht zum Opfer von Betrügereien im Umfeld von „Social Media“ zu werde und auch zu verhindernt, „dass Kriminelle via ,Social Media’ auf Unternehmens-IT gelangen“:

Gesunde Skepsis gegenüber „Social Media“!
„Man sollte immer skeptisch gegenüber allem sein, was man so in den Sozialen Medien zu sehen bekommt“, rät Narang: Da sich die „Social Media“- Plattformen weiterentwickelten, sei es bedingt durch Wachstumsphasen oder durch wirtschaftliche Veränderungen (einschließlich eines Personalabbaus in spezialisierten Teams), sollten die Anwender prinzipiell sehr skeptisch eingestellt sein gegenüber allem, was sie in Sozialen Medien zu sehen bekommen. „Und sie sollten verstehen, dass Erwartungen letztlich für jede bestehende Plattform unrealistisch sind, jeden einzelnen Betrug rechtzeitig zu erkennen. Betrüger sind auf ihre Weise unerbittlich, so dass sie Mittel und Wege finden werden, um bestehende Mechanismen zur Erkennung und Blockierung verdächtigen Verhaltens zu umgehen.“

Profile immer sorgfältig prüfen!
In den meisten Fällen erstellten Betrüger gefälschte Anwender-Konten und Profile, „die wenig bis gar kein Engagement, keine Beiträge oder Follower aufweisen“. In einigen Fällen würden sich die Betrüger in bestehende Konten mit einer großen Fangemeinde einschleichen, aber der von ihnen beigetragene Inhalt passe nicht so richtig zu diesen Seiten. „Die genaue Untersuchung solcher Profile kann dabei helfen, die meisten gefälschten Profile oder potenziellen Betrügereien rechtzeitig zu erkennen.“

Aufforderung, eine Plattform zu verlassen, ist prinzipiell unseriös!
„Wenn jemand, den man vor Kurzem auf einer Social-Media-App kennengelernt hat, einen plötzlich bittet, aus irgendeinem Grund auf eine andere Plattform zu wechseln, sollte man davon ausgehen, dass man damit versucht, Kontrollen wie zum Beispiel die Moderation der Plattform zu umgehen.“ Indem man nämlich die Anwender auf Textnachrichten oder „WhatsApp“ verweist, könnten Betrüger ihre Aktivitäten mit weniger Angst davor durchführen, erwischt zu werden. In manchen Fällen seien die Betrüger auf einer Plattform nicht dieselben Personen wie jene außerhalb dieser Plattform. „Zum Beispiel kann es sein, dass Betrüger in den Sozialen Medien nur über schlechte Englischkenntnisse verfügen, während ihre Kollegen außerhalb der Plattform die englische Sprache gut beherrschen.“

Unaufgeforderte Links zum Besuch einer externen Web-Seite ignorieren!
Man sollte keine sensiblen Informationen auf einer unbekannten Web-Seite preisgeben. „Man sollte sich nicht dort anmelden oder dort Produkte einkaufen, bevor man nicht nach der ursprünglichen Web-Seite gesucht und die im Sozialen Netzwerk geteilten Links mit denen der offiziellen Seite verglichen hat.“ Um dem Betrug mit Krypto-Währungen zu entgehen, sollte man seine Krypto-Währungs-Geldbörsen nicht blindlings mit nicht vertrauenswürdigen Web-Seites verbinden.

Bestehende Funktionen der verschiedenen Plattformen ausnutzen, um verdächtige Kanäle zu melden!
„Wenn man den Verdacht hat, dass man zum Opfer eines Betrügers geworden ist, sollte man die bestehenden Meldefunktionen der einzelnen Plattformen verwenden, um diese Betrügereien zu melden.“ Auf diese Weise trage man auch dazu bei, dass nicht weitere Web-Besucher in Zukunft hereingelegt werden können.

Satnam Narang kommentiert Null-Klick-Schwachstelle in Microsoft Outlook

[datensicherheit.de, 17.03.2023] Die jüngste Berichterstattung über die „Outlook“-Schwachstelle „CVE-2023-23397“ hat Satnam Narang, „Senior Staff Research Engineer“ bei Tenable, nach eigenen Angaben dazu veranlasst, dieses Thema nachfolgend etwas fundierter zu beleuchten.

Foto: Tenable

Satnam Narang: Es erforderte keine Benutzerinteraktion, was dies zu einer Null-Klick-Schwachstelle macht!

Outlook-Terminerinnerung kann missbraucht werden

„Innerhalb von 24 Stunden nach Veröffentlichung haben Forscher von MDSec bereits einen funktionalen Proof-of-Concept-Exploit für ,CVE-2023-23397‘ entwickelt, der verdeutlicht, wie einfach es ist, ihn auszunutzen“, berichtet Narang.

In diesem Beispiel hätten sie die Schwachstelle durch eine „Outlook“-Terminerinnerung ausnutzen können – „die auf dem Bildschirm erschien, nachdem die speziell gestaltete Nachricht vom E-Mail-Server empfangen und vom ,Outlook’-Client heruntergeladen wurde“.

CVE-2023-23397 in Outlook eine der Top-Schwachstellen des Jahres 2023

Narang betont: „Es erforderte keine Benutzerinteraktion, was dies zu einer Null-Klick-Schwachstelle macht.“ Darüber hinaus habe Microsoft bestätigt, dass dieser Fehler als „Zero Day“ im Rahmen begrenzter Angriffe eines in Russland ansässigen Bedrohungsakteurs auf Regierungs-, Transport-, Energie- und militärische Zielorganisationen in Europa ausgenutzt worden sei.

„Aufgrund der Einfachheit, mit der diese Schwachstelle ausgenutzt werden kann, glauben wir, dass es nur eine Frage der Zeit ist, bis sie in die Playbooks anderer Bedrohungsakteure, einschließlich Ransomware-Gruppen, aufgenommen wird“, so Narang. Bei Tenable gehen sie demnach davon aus, „dass ,CVE-2023-23397‘ eine der Top-Schwachstellen des Jahres 2023 wird“.

Outlook-Nutzer sollten das Patchen dieses Fehlers eher früher als später priorisieren

Wie in ihrem aktuellen „Threat Landscape Report 2022“ hervorgehoben, stellten bekannte Schwachstellen heute das größte Risiko für Unternehmen dar. Abschließend rät Narang:

„Jetzt, da ,CVE-2023-23397‘ von einem Zero-Day zu einer bekannten Schwachstelle geworden ist, empfehlen wir allen Organisationen, die Microsoft verwenden – vor allem ,Outlook’ – das Patchen dieses Fehlers eher früher als später zu priorisieren.“

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 16.03.2023
Aktive Ausnutzung einer Schwachstelle in Microsoft Outlook

Microsoft, 16.03.2023
Microsoft Outlook Elevation of Privilege Vulnerability / CVE-2023-23397 / Sicherheitsanfälligkeit

Altbekannte VMware-Schwachstelle jüngst für große Cyber-Angriffskampagne missbraucht – Unternehmen in Frankreich, Finnland und Italien am stärksten betroffenen

[datensicherheit.de, 07.02.2023] Laut einer aktuellen Meldung von Tenable sollen kürzlich Tausende von Computer-Servern Ziel eines weltweiten Ransomware-Hacking-Angriffs gewesen sein, welcher auf „VMware (VMW.N) ESXi-Server“ abgezielt habe – dies habe Italiens Nationale Agentur für Cybersicherheit (ACN) am 5. Februar 2023 mitgeteilt und Unternehmen gewarnt, um Maßnahmen zum Schutz ihrer Systeme zu ergreifen. Bei diesem Cyber-Angriff sei versucht worden, eine Software-Schwachstelle auszunutzen, habe Roberto Baldoni, „General Director“ bei der ACN, vermeldet und hinzugefügt, dass es sich um einen „massiven Angriff“ gehandelt habe.

Traurige Wahrheit: Bekannte Schwachstellen mit Exploit trotzdem von Unternehmen oft nicht gepatcht

Dieser erste Bericht habe sich mittlerweile bestätigt, denn weitere Regionen hätten ähnliche Warnungen ausgesprochen: Nach Angaben von „Politico“ seien Frankreich, Finnland und Italien die am stärksten betroffenen Länder in Europa, während die USA und Kanada ebenfalls eine hohe Zahl an Zielen aufwiesen.

„Die traurige Wahrheit ist, dass bekannte Schwachstellen, für die ein ,Exploit’ zur Verfügung steht, oft nicht gepatcht werden“, kommentiert Bernard Montel, „EMEA Technical Director and Security Strategist“ bei Tenable, und warnt: „Dies bringt Unternehmen in eine unglaubliche Gefahr, erfolgreich infiltriert zu werden.“ In diesem Fall, bei der zwei Jahre alten „VMware“-Schwachstelle, sei die Bedrohung angesichts der aktiven Ausnutzung „immens“.

Foto: Tenable

Bernard Montel: Unternehmen müssten sich beim Patchen entscheiden – ein paar Minuten Unannehmlichkeiten oder tagelange Unterbrechungen…

Virtualisierung Herzstück der Cloud-Strategie der meisten Unternehmen

Virtualisierung sei das Herzstück der „Cloud“-Strategie der meisten Unternehmen – „ob On-Premises, Public- oder Hybrid-Cloud, wobei der Hypervisor das Rückgrat der IT bildet“. Angreifer wüssten, dass sie auf diese Ebene zielen könnten, um ihre Privilegien zu erhöhen und Zugang zu allem zu erhalten. Montel führt aus: „Wenn sie in der Lage sind, sich Zugang zu verschaffen, können sie Malware einschleusen, um die Hypervisor-Ebene zu infiltrieren und eine Masseninfektion zu verursachen.“

Für viele Unternehmen stelle sich die Frage nach der Betriebszeit im Vergleich zur Frage, ob ein System zum Patchen offline genommen werden sollte. In diesem Fall könnte die Rechnung nicht einfacher sein – „ein paar Minuten Unannehmlichkeiten oder tagelange Unterbrechungen“.

Angreifer zielen auf Schwachstellen ab, um Administratorrechte zu missbrauchen und Unternehmens-Netzwerke zu durchdringen

Montel erläutert: „Wir wissen, dass Angreifer bekannte Schwachstellen, die beliebte Software betreffen, bevorzugen – einschließlich ,Open Source’, ,VMWare’, ,ManageEngine’, ,PrintNightmare’ und ,ProxyShell’. Die Angreifer zielen auf diese Schwachstellen ab, da sie wissen, dass sie Administratorrechte missbrauchen können, um das Netzwerk zu durchdringen und Schaden anzurichten oder sogar empfindliche Informationssysteme und Daten als Erpressung zu nutzen.“

Um die Kontinuität des Geschäftsbetriebs zu gewährleisten, müssten die Sicherheitsteams herausfinden, „wie sie ausgenutzte Schwachstellen beheben und gleichzeitig die Auswirkungen auf das Unternehmen minimieren können, anstatt bekannte Schwachstellen unbehandelt zu lassen“, so Montel abschließend.

Weitere Informationen zum Thema:

POLITICO, Elena Giordano, 05.02.2023
Ransomware hacking campaign targets Europe and North America, Italy warns / France, Finland and Italy are the most affected countries in Europe, while the US and Canada also have a high number of targets

heise online, Dirk Knop, 05.02.2023
Ransomware: Italiens Cyber-Sicherheitsbehörde warnt vor weltweiter Attacke / Die italienische Cyber-Sicherheitsbehörde ACN warnt vor einer aktuellen Ransomware-Attacke, die tausende Server weltweit betreffe

datensicherheit.de, 06.02.2023
Torsten George warnt: Angriffsfläche für Endgeräte wächst – die Schwachstellen bleiben / George erörtert, wie Unternehmen im Wettrennen um Mobile Security aufholen können

Eine der aktivsten Ransomware-Bande namens Hive heimlich gehackt und zerschlagen

[datensicherheit.de, 27.01.2023] Tenable meldet in einer aktuellen Stellungnahme, dass am späten 26. Januar 2023 Berichte kursierten, wonach das FBI und deutsche Sicherheitsbehörden eine der aktivsten Ransomware-Bande namens „Hive“ heimlich gehackt und zerschlagen haben soll. Mit diesem Manöver sei es den Behörden gelungen zu verhindern, „dass die Gruppe mehr als 130 Millionen Dollar an Ransomware-Forderungen von mehr als weiteren 300 Opfern erpressen konnte“. Satnam Narang, „Senior Staff Research Engineer“ bei Tenable, kommentiert diesen Vorfall:

Foto: Tenable

Satnam Narang: Ransomware stellt für die meisten Unternehmen heute ständig die größte Bedrohung dar!

Schlag gegen Hive beispielloser Schritt im Kampf gegen Ransomware

„Die von den Sicherheitsbehörden ergriffenen Maßnahmen, um den Betrieb der ,Hive‘-Ransomware-Gruppe von innen heraus zu stören, sind ein beispielloser Schritt im Kampf gegen Ransomware, die für die meisten Unternehmen heute ständig die größte Bedrohung darstellt“, unterstreicht Narang.

Dies könnte zwar das Ende der „Hive“-Ransomware-Gruppe bedeuten, aber seine Mitglieder und Partner stellten weiterhin eine Bedrohung dar. Narang warnt: „Wenn wir aus vergangenen Störaktionen gegen Ransomware-Gruppen etwas gelernt haben, dann dass andere Gruppen aufstehen werden, um die hinterlassene Lücke zu füllen.“

Aber: Hive-Affiliates könnten leicht zu anderen Affiliate-Programmen von Ransomware-Gruppen wechseln

Sogenannte Affiliates, „die normalerweise für die Durchführung der meisten dieser Angriffe verantwortlich sind“, könnten leicht zu anderen Affiliate-Programmen von Gruppen wechseln, „die weiterhin betriebsbereit sind, und Mitglieder von Ransomware-Gruppen können ihr Wissen ebenfalls an diese Gruppen weitergeben“.

Narang führt aus: „Einer der wichtigsten Wege, wie Ransomware-Gruppen Aufmerksamkeit und Bekanntheit erlangen, ist die Veröffentlichung ihrer erfolgreichen Angriffe auf Datenleck-Sites im DarkWeb.“ Es würde ihn demnach nicht überraschen, „wenn Ransomware-Gruppen die Bedrohung sehen, die durch die Wartung dieser Sites entsteht, und aufhören, diese Angriffe öffentlich aufzulisten in einem Versuch, unter dem Radar zu bleiben“.

Weitere Informationen zum Thema:

Frankfurter Allgemeine Zeitung, Gustav Theile, 27.01.2023
Zerschlagene Hackergruppe Hive: Wenn das FBI schwäbischen Polizisten dankt

WDR, 27.01.2023
Hacker-Netzwerk „Hive“ zerschlagen – was steckt dahinter?

datensicherheit.de, 26.08.2021
Ransomware Groups to Watch: Emerging Threats / Aktuelle Analyse von Palo Alto Networks zu Ransomware-Gruppen

Jüngster dramatischer Cyber-Angriff auf Medibank Anlass zur Stellungnahme von Bernard Montel zur Cyber-Sicherheit im Healthcare-Bereich

[datensicherheit.de, 18.11.2022] Der jüngste, für die Betroffenen dramatische Cyber-Angriff auf ein Unternehmen im Gesundheitswesen – die schwere Attacke auf Medibank – hat laut Bernard Montel, „EMEA Technical Director“ und „Cybersecurity Strategist“ bei Tenable, einmal mehr gezeigt, wie verwundbar die Organisationen im sogenannten Healthcare-Bereich sind und wie schwerwiegend die Folgen sein können. Dabei sei diese Attacke auf Medibank nur einer von vielen erfolgreichen Angriffen in diesem Sektor.

Foto: Tenable

Bernard Montel fordert, dass Krankenhäuser und Praxen ihre Strategien zur Reaktion auf Cyber-Bedrohungen neu bewerten

Zunehmend Forderungen, im Healthcare-Bereich Zügel in Sachen Cyber-Sicherheit anzuziehen

Nun würden Stimmen laut, die beispielsweise forderten, dass der gesamte Gesundheitssektor in Deutschland der Kritischen Infrastruktur zugeordnet werden solle, wodurch die formalen Anforderungen an die Cyber-Sicherheit steigen würden. Auch in anderen Ländern werde darüber diskutiert, im Healthcare-Bereich „die Zügel in Sachen Cyber-Sicherheit anzuziehen“.

Die Frage ist demnach nur: „Würde das wirklich das Problem lösen?“ Nach Meinung von Tenable ist es in allererste Linie wichtig, sich der drei zentralen Probleme bewusst zu werden, mit denen das Gesundheitswesen konfrontiert ist, wenn es um Cyber-Sicherheit geht: Personalmangel, Investitionsstau und Verquickung von IT mit OT.

Schutz der Computersysteme vor schwerwiegenden Auswirkungen von Cyber-Angriffen erforderlich

Montel führt hierzu aus: „Führungskräfte im Gesundheitswesen haben die Aufgabe, einen reibungslosen täglichen Betrieb, eine qualitativ hochwertige Patientenversorgung und die Sicherheit der Mitarbeiter zu gewährleisten. Dies muss jedoch auch mit dem Schutz von Computersystemen vor den schwerwiegenden Auswirkungen von Cyber-Angriffen einhergehen.“

Während Ransomware-Angriffe finanziell einige Organisationen zur Schließung zwingen könnten, seien die Auswirkungen dieser Verstöße im Gesundheitswesen, insbesondere für Patienten, unvergleichlich. „Sobald sensible Daten öffentlich zugänglich sind, können sie nicht mehr abgerufen werden und bleiben für das gesamte Leben des Patienten öffentlich zugänglich“, warnt Montel.

Krankenhäuser haben in der Vergangenheit Investitionen in Cyber-Sicherheit verschoben

Gesundheitsorganisationen könnten Verstöße verhindern, „indem sie sicherstellen, dass die IT-Abteilungen über die Kapazität und die Ressourcen verfügen, um Bedrohungen zu überwachen und rechtzeitig darauf zu reagieren“. Verbesserungen der IT- und OT-Systeme (Operational-Technology) seien längst überfällig – durch geeignete Maßnahmen könnten Gesundheitsorganisationen vermeiden, Opfer zu werden.

Viel zu oft seien IT-Abteilungen in Krankenhäusern klein, mit einem „CTO“ und zwei oder drei Mitarbeitern, welche die gesamte Computer-Infrastruktur überwachten – sowohl Datensysteme (IT) als auch physische Geräte (OT). „Diese kleinen Teams haben einfach nicht die Kapazität, alles genau zu überwachen“, gibt Montel zu bedenken. Darüber hinaus wüssten Angreifer, dass Krankenhäuser in der Vergangenheit Investitionen in ihre IT- und OT-Systeme sowie in ihre IT-Teams verschoben hätten.

Hohen Preis einer Cyber-Sicherheitsverletzung berücksichtigen

Führungskräfte im Gesundheitswesen sollten diese Aspekte berücksichtigen und auch den hohen „Preis“ einer Cyber-Sicherheitsverletzung berücksichtigen.

Abschließend rät Montel: „Um den Schutz sensibler Patientendaten und Kritischer Infrastruktur zu gewährleisten, müssen Krankenhäuser und Praxen ihre Strategien zur Reaktion auf Bedrohungen in Anbetracht einer zunehmend digitalisierten Welt neu bewerten.“

Weitere Informationen zum Thema:

SPIEGEL Netzwelt, 11.11.2022
Erpressung mit Patientendaten / Australien vermutet russische Hacker hinter Angriff auf Medibank

datensicherheit.de, 18.10.2022
Ransomware: Ein Viertel aller betroffenen Gesundheitseinrichtungen muss Betrieb einstellen / Trend-Micro-Studie weist Lieferketten als Ransomware -Hauptrisikoquelle aus

datensicherheit.de, 08.09.2022
US-Gesundheitseinrichtungen: Cyber-Angriffe führen bei mehr als 20 Prozent zu erhöhter Sterblichkeitsrate / Gesamtkosten pro Cyber-Attacke belaufen sich auf bis zu 4,4 Millionen US-Dollar

datensicherheit.de, 12.07.2022
Maui: Ransomware nimmt Gesundheitswesen, öffentlichen Sektor und KRITIS ins Visier / Offenbar setzen staatlich geförderte Cyber-Kriminelle Maui ein

Log4Shell-Schwachstelle in ungepatchtem VMware- Horizon-Server ausgenutzt

[datensicherheit.de, 17.11.2022] Die CISA (CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY) und das FBI (Federal Bureau of Investigation) haben am 16. November 2022 einen gemeinsamen Bericht veröffentlicht, wonach vom Iran gesponserte Angreifer die IT einer US-Bundesbehörde erfolgreich attackiert haben sollen – eine „Log4Shell“-Schwachstelle in einem ungepatchten „VMware Horizon“-Server ausnutzend. Die Angreifer hätten dann Krypto-Mining-Software installiert und sich seitlich zum Domänen-Controller bewegt, um Anmeldeinformationen zu kompromittieren. Bob Huber, „Chief Security Officer“ bei Tenable, kommentiert in seiner aktuellen Stellungnahme den Vorfall:

Foto: Tenable

Bob Huber: Fast drei von vier Organisationen immer noch anfällig für Angriffe durch Log4Shell-Sicherheitslücke

Tenable wird Warnung veröffentlichen, in der Auswirkungen von Log4Shell untersucht werden

„Der Angriff gegen eine US-Regierungsbehörde ist realistischerweise einer der vielen Verstöße, die ans Licht kommen werden, wenn Kriminelle ,Log4Shell’ erfolgreich ausnutzen“, so Huber.

In den kommenden Tagen werde Tenable eine Warnung veröffentlichen, „in der die Auswirkungen von ,Log4Shell’ untersucht werden, in der wir festgestellt haben, dass fast drei von vier Organisationen immer noch anfällig für Angriffe durch diese Sicherheitslücke sind“.

Vollständige Behebung von Log4Shell schwierig zu erreichen

Die Realität sei, dass eine vollständige Behebung von „Log4Shell“ angesichts seiner Verbreitung und der Tatsache, dass jedes Mal, wenn ein Unternehmen neue Assets hinzufügt, es die Schwachstelle erneut einführen könnte, schwierig zu erreichen sei.

Abschließend betont Huber: „Der beste Weg, um Angreifer zu vereiteln ist es, bei den Sanierungsbemühungen fleißig und konsequent zu bleiben.“

Weitere Informationen zum Thema:

CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY, 16.11.2022
CISA and FBI Release Advisory on Iranian Government-Sponsored APT Actors Compromising Federal Network

Claire Tills von Tenable kommentiert Ransomware-Attacke

[datensicherheit.de, 21.09.2022] Nach Medienberichten über einen Ransomware-Angriff auf Rockstar Games nimmt Claire Tills, „Senior Research Engineer“ bei Tenable, Stellung zu dem Vorfall:

Foto: Tenable

Claire Tills: Angreifer versuchen jede Taktik, um das Opfer unter Druck zu setzen zu zahlen…

Relativ einfache Attacken – keine sehr überzeugende Verbindung zu LAPSUS$

„Es liegen noch nicht genügend Informationen vor, um den Schluss zu ziehen, dass ,LAPSUS$‘ hinter dem Leak bei Rockstar Games steckt. Die Angriffe, die mit ,LAPSUS$‘ in Verbindung gebracht werden, und der Vorfall bei Rockstar haben zwar eine gemeinsame Taktik, aber es sind relativ einfache Angriffe, was keine sehr überzeugende Verbindung darstellt“, so Tills.

Die Nachahmung von Taktiken sei unter Angreifern relativ üblich. Nach dem rasanten Aufstieg von „LAPSUS$“ und der plötzlichen Ruhephase hätten Ransomware-Betreiber und Erpresser versucht, ihre Taktik zu imitieren, „weil sie – offen gesagt – funktioniert hat“.

Attacken getrieben von opportunistischem Datendiebstahl und Drohungen

Angreifer konzentrierten sich auf opportunistischen Datendiebstahl und Drohungen, um gestohlene Daten öffentlich zu machen. „Dabei versuchen sie jede Taktik, die sie für notwendig erachten, um das Opfer unter Druck zu setzen, damit es zahlt“, berichtet Tills. Hierzu zählten z.B. die Bedrohung von Kunden, Partnern, Versicherern, Investoren und das Werben um Aufmerksamkeit in den Nachrichten und Sozialen Medien.
Im Fall von Rockstar Games drohe der Angreifer damit, weitere Inhalte von „Grand Theft Auto“ zu veröffentlichen, „was Rockstar angeblich nur verhindern kann, wenn es die Erpresser zahlt“.

Weitere Informationen zum Thema:

The Register, Thomas Claburn, 19.09.2022
Grand Theft Auto 6 maker confirms source code, vids stolen in cyber-heist / So is that three or four stars?

Vermögenswerte aus etwa 8.000 Wallets gestohlen – hauptsächlich mobiler Wallet-Benutzer von Phantom und Slope

[datensicherheit.de, 06.08.2022] Laut Medienberichten sollen Krypto-Währungen und andere Token im Wert von mehreren Millionen US-Dollar aus mit dem Internet verbundenen sogenannten Wallets auf der „Solana“-Blockchain entwendet worden sein: Vermögenswerte aus etwa 8.000 Wallets seien gestohlen worden – hauptsächlich mobiler Wallet-Benutzer von „Phantom“ und „Slope“. Satnam Narang, „Senior Staff Research Engineer“ bei Tenable, kommentiert diesen Vorfall in seiner aktuellen Stellungnahme:

Foto: Tenable

Satnam Narang: Solana-Hack, der zum Diebstahl von über fünf Millionen Dollar führte, war das Ergebnis eines Lecks von Seed-Phrasen

Seed-Phrasen helfen, auf Kryptowährungs-Wallets zuzugreifen oder wiederherzustellen

„Der Solana-Hack, der zum Diebstahl von über fünf Millionen Dollar führte, war das Ergebnis eines Lecks von Seed-Phrasen, einer Gruppe zufälliger Wörter, die verwendet werden, um Benutzern zu helfen, auf ihre Kryptowährungs-Wallet zuzugreifen oder sie wiederherzustellen, indem eine Wallet von Slope Finance erstellt wurde“, berichtet Narang.

Benutzer, welche mit verschiedenen Blockchains interagieren möchten, erstellten normalerweise sogenannte Hot Wallets, auf die über Browser-Erweiterungen oder mobile und Desktop-Anwendungen einfach zugegriffen werden könne. „Als Teil der Protokollierungsfunktion seiner Anwendung speicherte Slope Finance die Seed-Phrasen der Benutzer im Klartext in diesen Protokollen, was als Quelle des Verstoßes ermittelt wurde.“

Betroffen seien Benutzer, welche Wallets mit „Slope Wallet“ erstellt oder ihre Wallets aus anderen Wallets wie „Phantom“ in „Slope“ importiert haben.

Empfehlung, Cold Wallets in Betracht zu ziehen

Jeder, der eine Seed-Phrase oder eine mnemonische Phrase besitzt, könne die Kontrolle über die Krypto-Währung und die NFTs (Non-Fungible Tokens) der Benutzer übernehmen, „weshalb der herkömmliche Rat, die eigene Seed-Phrase niemals zu teilen, so prominent ist“. Allerdings seien die Benutzer in diesem Fall nicht schuld, und die Speicherung ihrer Seed-Phrasen im Klartext habe zum Diebstahl ihrer Gelder geführt.

Narang: „Enthusiasten von Krypto-Währungen, die mit verschiedenen Blockchains interagieren möchten, empfehlen wir dringend, eigene Nachforschungen anzustellen, um zu überprüfen, ob ein Projekt Drittanbieter-Audits oder Pentests seiner Anwendungen oder Infrastruktur durchgeführt hat, bevor Menschen diesen Anwendungen ihr Geld anvertrauen.“

Darüber hinaus werde den Benutzern dringend empfohlen, die Verwendung einer sogenannten Cold Wallet in Betracht zu ziehen, zu der Hardware-Wallets, Papier-Wallets oder Offline-USB/CD-Wallets gehörten, „die nicht so leicht zugänglich sind, um ihre Krypto-Währungen langfristig zu speichern“.

Weitere Informationen zum Thema:

CRYPTO BRIEFING, Mike Dalton, 04.08.2022
Solana and Slope Confirm Wallet Security Breach

datensicherheit.de, 25.01.2022
Check Point Research warnt vor Token-Betrug: Wie Hacker damit Geld abzocken / Im Oktober 2021 hatte CPR bereits den Diebstahl von Krypto-Geldbörsen auf OpenSea, dem weltweit größten Marktplatz für Non-Fungible Token aufgedeckt