Angreifer im Cyberspace haben die Fähigkeit, zerstörerische Attacken zu fahren

[datensicherheit.de, 04.08.2022] Der Deutsche Industrie- und Handelskammertag (DIHK) hat am 4. August 2022 gemeldet, dass die IT-Systeme der IHK-Organisation im Kontext einer Cyber-Attacke „vorsorglich heruntergefahren“ wurden. Andreas Riepen, „Head Central and Eastern Europe“ bei Vectra AI, geht in seinem aktuellen Kommentar auf diesen Vorfall ein:

Foto: Vectra AI

Andreas Riepen rät: Effektive Erkennungs- und Reaktionsfähigkeiten, um Angriffe sehr rasch zu erkennen, zu priorisieren und einzudämmen!

Angreifer im Cyberspace opportunistisch oder vorsätzlich und gezielt

Viele Angreifer im sogenannten Cyberspace verhielten sich sehr opportunistisch, einige hingegen sehr vorsätzlich und gezielt. „Aber was sie heute alle gemeinsam haben, ist die Fähigkeit, zerstörerische Attacken zu fahren, die sich auf IT-Dienste und den laufenden Geschäftsbetrieb auswirken“, stellt Riepen klar.

Wirkungsorientierter Cyber-Angreifer von heute kein gewöhnlicher Krimineller mehr

Der wirkungsorientierte Cyber-Angreifer von heute habe nichts mit den üblichen Kriminellen zu tun. Riepen betont: „Die traurige Wahrheit ist, dass die benötigte Raffinesse, die ein Jahrzehnt zuvor noch nationalstaatlichen Akteuren vorbehalten war, heute auf eine viel breitere Basis von minder qualifizierten Angreifern gesunken ist, die von einem spezialisierten Ökosystem unterstützt werden, das entwickelt wurde, um den Effekt von Angriffen zu maximieren.“

Auf schnelle Erkennung von Cyber-Angriffen kommt es an

Es sei wichtig, dass Sicherheitsverantwortliche die Realität verinnerlichten, „dass die schnelle Erkennung von Angreifern nach dem erfolgreichen Eindringen gegen die Präventivmaßnahmen, aber noch bevor materieller Schaden entstanden ist, ein wesentlicher Bestandteil des modernen Risikomanagements ist“. Typischerweise beinhalte dies effektive Erkennungs- und Reaktionsfähigkeiten, um Angriffe sehr rasch zu erkennen, zu priorisieren und einzudämmen, so Riepens Fazit.

Weitere Informationen zum Thema:

DIHK, 04.08.2022
IT-Systeme der IHK-Organisation vorsorglich heruntergefahren

Christian Borst kommentiert nationale Cyber-Schutzstrategie gegen Hacker-Angriffe

[datensicherheit.de, 13.07.2022] Die deutsche Bundesregierung plant mit ihrer „Cybersicherheitsagenda“ das Land besser vor Cyber-Attacken zu schützen. Am 12. Juli 2022 wurde dementsprechend eine nationale Schutzstrategie gegen Hacker-Angriffe vorgestellt. Christian Borst, „Field CTO“ bei Vectra AI, geht in seiner aktuellen Stellungnahme auf die Pläne der Politik in Sachen digitaler Sicherheit ein:

Foto: Vectra AI

Christian Borst: Cyber-Widerstandsfähigkeit deutscher Unternehmen und der KRITIS entscheidend für zukünftigen Erfolg Deutschlands als Wirtschaftsstandort…

Weitreichende Cyber-Resilienz zu erzielen als zentrale Aufgabe

Borst stellt klar: „Die Widerstandsfähigkeit deutscher Unternehmen und der Kritischen Infrastruktur wird entscheidend sein für den zukünftigen Erfolg Deutschlands als Wirtschaftsstandort.“

Weitreichende Cyber-Resilienz zu erzielen sei dabei eine nicht zu unterschätzende Aufgabe. Wichtig werde es dabei unter anderem sein ein, engmaschiges Netz der verschiedenen Akteure zu knüpfen, denn auch Cyber-Kriminelle bzw. Angreifer arbeiteten vermehrt arbeitsteilig.

Eine zu starke Zentralisierung der Umsetzung der Sicherheitsbemühungen könne kontraproduktiv sein, daher sollte der Fokus eher auf einer übergeordneten Koordination liegen. „Agilität vor Ort ist oft der Schlüssel für eine leistungsfähige Cyber-Abwehr“, so Borst.

Zur Cyber-Abwehr müssen Infrastrukturen und IT-Umgebungen für Sicherheitsverantwortliche wesentlich transparenter werden

Er führt kommentierend aus: „Damit diese Abwehr funktionieren kann, müssen Infrastrukturen und IT-Umgebungen für die Sicherheitsverantwortlichen wesentlich transparenter werden. Oder anders gesagt: In vielen Netzen und Umgebungen fließen zu viele Daten, von denen die Zuständigen keine Ahnung haben.“ Das bisher Unbekannte müsse deutlich sichtbarer werden. Es dauere oft noch viel zu lange, bis ein laufender Angriff bemerkt wird.

„Da jedem klar ist, dass eine auf Verteidigung beschränkte Cyber-Sicherheit nicht funktioniert, gilt es nun mehr Aufmerksamkeit und Mittel in die Bereiche zu investieren, die der raschen Meldung und Priorisierung von potenziell gefährlichen Vorgängen in Netzen dienen.“ Dies erfordere nicht zuletzt beim Bund große Modernisierungsanstrengungen.

Es sollte außerdem ein reiner Fokus auf Behörden, die Kritische Infrastruktur und KMU vermieden werden, „denn am Ende des Tages spielt auch der einzelne Bürger, der als Nutzer, Mitarbeiter oder Kunde in Erscheinung tritt, eine große Rolle“. Abschließend wirft Borst die Fragen auf: „Wie steht es um die entsprechende Bildung in den Schulen? Wo sind die Konzepte zum ,digitalen Bürger‘? Wie werden diese miteinbezogen? Eine wirklich ganzheitliche Cyber-Sicherheitsstrategie muss sehr breit angelegt sein um möglichst keine Lücken entstehen zu lassen.”

Weitere Informationen zum Thema:

Bundesministerium des Innern und für Heimat
Cybersicherheitsagenda des Bundesministeriums des Innern und für Heimat / Ziele und Maßnahmen für die 20. Legislaturperiode

datensicherheit.de, 13.07.2022
Cybersicherheitsagenda: eco bezieht Position zur Cyber-Sicherheit für alle / eco-Vorstandsmitglied Prof. Dr. Norbert Pohlmann kommentiert vorgestelltes Papier des Bundesinnenministeriums

datensicherheit.de, 06.07.2022
eco-Stellungnahme zum Entwurf der Digitalstrategie der Bundesregierung / Für den eco zentrale Faktoren insgesamt zu vage und sollten weiter konkretisiert werden

Offenbar setzen staatlich geförderte Cyber-Kriminelle Maui ein

[datensicherheit.de, 12.07.2022] Laut einer aktuellen Meldung von Vectra AI haben das FBI, die CISA (Cybersecurity and Infrastructure Security Agency) und das US-Finanzministerium ein gemeinsames „Cybersecurity Advisory“ herausgegeben, um Informationen – einschließlich Taktiken, Techniken und Verfahren – sowie Indikatoren für die Gefahr der „Maui“-Ransomware bereitzustellen.

Foto: Vectra AI

Aaron Turner: Maui-Kampagne nicht nur eine Ransomware-Aktivität…

Cyber-Kriminelle aus Nordkorea sollen Maui-Ransomware eingesetzt haben

Demnach haben laut aktuellen Cyber-Sicherheitswarnungen „staatlich geförderte Cyber-Kriminelle aus Nordkorea die ,Maui‘-Ransomware eingesetzt, um sowohl das Gesundheitswesen als auch den öffentlichen Sektor und KRITIS anzugreifen“.

Maui-Ransomware-Aktivitäten wohl nur nachträglicher Einfall

Aaron Turner, „CTO“ für „SaaS Protect“ bei Vectra AI führt in seinem Kommentar aus: „Die ,Maui‘-Kampagne ist insofern interessant, als dass eine Ransomware-Kampagne selektiv ist. Wenn Nordkorea wirklich involviert ist, ist es denkbar, dass die Ransomware-Aktivitäten nur ein nachträglicher Einfall sind, wenn Angreifer die gewünschten ausgewählten Daten exfiltriert haben, bevor sie die Verschlüsselung von Dateien einleiten, um den Zugriff zu blockieren.“

Maui – Kombination aus Diebstahl Geistigen Eigentums und opportunistischer Monetarisierung

Turner glaubt, „dass die Verwendung von betreiber-gesteuerter, selektiver Verschlüsselung höchstwahrscheinlich ein Indikator dafür ist, dass die ,Maui‘-Kampagne nicht nur eine Ransomware-Aktivität ist“. Er erkennt darin nach eigenen Angaben „eine Kombination aus dem Diebstahl Geistigen Eigentums bzw. Industriespionage in Kombination mit opportunistischen Monetarisierungs-Aktivitäten durch Ransomware“.

Weitere Informationen zum Thema:

CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY, 07.07.2022
Alert (AA22-187A) / North Korean State-Sponsored Cyber Actors Use Maui Ransomware to Target the Healthcare and Public Health Sector

Vorfall bei Kaseya gilt als bis dato größte Supply-Chain-Attacke

[datensicherheit.de, 05.07.2022] Eine Branche war in Aufregung: Über 1.000 betroffene Unternehmen, Lösegeldforderung im Bereich von 70 Millionen US-Dollar. „Der Cyber-Angriff der ,REvil‘-Gruppe, bei dem der IT-Dienstleister Kaseya als Vehikel missbraucht wurde, schlug vor genau einem Jahr – sowie in den Wochen danach – hohe Wellen und rückt den Begriff der Supply-Chain-Attacke ins öffentliche Bewusstsein“, kommentiert Andreas Riepen, „Head Central & Eastern Europe“ bei Vectra AI, im Rückblick.

Foto: Vectra AI

Andreas Riepen: Wichtig, sich daran zu erinnern, dass es viele Arten von Cyber-Attacken auf die Lieferkette gibt!

Kaseya als warnendes Beispiel

Riepen betont: „Ein Jahr nach den Meldungen rund um den Supply-Chain-Angriff auf Kaseya ist es wichtig, sich daran zu erinnern, dass es viele Arten von Cyber-Attacken auf die Lieferkette gibt:

• das Aushängeschild (SolarWinds),
• das enttäuschte Vertrauen (missbrauchte Administratorenrechte),
• der ,Mid Chain‘-Angriff (Kaseya).“

Kaseya-Vorfall war einzigartig – das Unternehmen selbst wurde nicht gehackt

„Was Kaseya einzigartig machte, war, dass das Unternehmen selbst nicht gehackt wurde“, so Riepen. Stattdessen seien Schwachstellen in der VSA-Software von Kaseya entdeckt worden, von der Kopien bei MSP (Managed Services Provider) gelaufen seien. Das Design der VSA-Software habe einen Mechanismus für jeden Server geboten, um einen Software-Agenten an ein verwaltetes System im Netzwerk des MSP-Kunden zu senden.

„Die VSA-Schwachstelle wurde ausgenutzt, ein benutzerdefinierter Ransomware-Agent wurde erstellt und automatisch auf allen verwalteten Systemen des MSP bereitgestellt“, berichtet Riepen. Dies sei die Verwendung von GPO (Group Policy Object) auf MSP-Ebene zur Verbreitung von Malware. Kein klassischer Supply-Chain-Angriff – „Kaseya wurde nicht gehackt und dazu verwendet, die Malware an die VSA-Server zu liefern – sondern eher ein Mid-Chain-Angriff“.

Kaseya lässt Vertrauen in MSP-Sicherheitspraktiken überdenken

„Lektion gelernt? Wenn Unternehmen die Verwaltung ihrer Systeme an einen Dienstleister auslagern, der Software in das Herz des Netzwerks des Unternehmens einschleusen kann, muss das betroffene Unternehmen sicherstellen, dass es diese Tatsache in das Risiko-Register aufnimmt“, führt Riepen aus.

Viel häufiger und fundierter sollten sich die IT-Verantwortlichen fragen, „wie viel Vertrauen sie in die Sicherheitspraktiken des MSP setzen, und wie es um die Software bestellt ist, die sie verwenden, um ihre Systeme zu verwalten“.

Weitere Informationen zum Thema:

datensicherheit.de, 10.07.2021
Kaseya: Cyber-Kriminelle missbrauchen Ransomware-Vorfall für Phishing-Attacken / Phishing-Mails können z.B. aktuell Betreffzeilen enthalten, welche zum Update von Kaseya VSA auffordern

datensicherheit.de, 09.07.2021
Kaseya als Fanal: Unternehmen sollten Security-Strategie auf moderne Angriffstechniken abstellen / Richard Werner erläutert am Beispiel des Kaseya-Vorfalls Besonderheiten eines Supply-Chain-Angriffs

datensicherheit.de, 07.07.2021
Supply-Chain-Angriff bei Kaseya: Warnung für Unternehmen vor Ransomware aus allen Richtungen / Inzwischen Zehntausende von Kaseya-Kundensystemen weltweit betroffen

Vectra AI kommentiert Acer-Vorfall in Indien und Taiwan und rät Unternehmen, stets davon auszugehen, dass Angreifer bereits eingedrungen sind

[datensicherheit.de, 20.10.2021] Es gibt laut Vectra AI aktuelle Nachrichten, dass die After-Sales-Service-Systeme von Acer in Indien massiv von Hackern angegriffen worden seien. Cyber-Kriminelle haben demnach behauptet, mehr als 60 GB an Dateien und Datenbanken von den Servern von Acer gestohlen zu haben, darunter Kunden-, Händler- und Partnerdaten. Zu den gestohlenen Informationen gehörten Informationen zu Kunden, Anmeldeinformationen, welche von Tausenden Acer-Händlern und -Distributoren verwendet würden, sowie Unternehmens-, Finanz- und Prüfungsdokumente.

Foto: Vectra AI

Andreas Riepen: Wahrscheinlich bereits reichhaltige Daten genutzt, um anderen Cyber-Kriminellen Acer-Zugang zu verkaufen…

Acer und Partnerunternehmen könnten wiederholt angegriffen werden

„Ausgestattet mit einem Schatz an gestohlenen Informationen über Acer-Kunden, Einzelhändler und Distributoren haben die Angreifer wahrscheinlich bereits diese reichhaltigen Daten genutzt, um anderen cyber-kriminellen Gruppen den Zugang zu verkaufen“, kommentiert Andreas Riepen von Vectra AI.
Sie hätten auch die Logins betroffener Einzelhändler und Distributoren nutzen können, um gezielte Phishing-Angriffe durchzuführen und sich auf andere Organisationen auszubreiten. Je mehr Informationen gestohlen werden, desto einfacher sei es für Angreifer, Rechte zu eskalieren, sich seitlich durch Systeme zu bewegen und Schutzmaßnahmen zu umgehen.

Sicherheitsbewusste Unternehmen sollten Acer-Vorfall als Warnung annehmen

„Aber immer wieder sehen wir, wie Angreifer riesige Mengen an Kunden-, Unternehmens- und Finanzdaten absaugen und dabei um Präventionstools herumlaufen“, berichtet Riepen. Stattdessen müssten Unternehmen davon ausgehen, „dass es bereits einen erfolgreichen Angriff bzw. Eindringen gegeben hat oder bald geben wird“. Nur mit dieser Einstellung könnten sie eine ausreichende Widerstandsfähigkeit gegen diese Unvermeidlichkeit aufbauen.
Riepen führt aus: „Indem sie davon ausgehen, dass sie bereits kompromittiert sind und aktiv nach Anzeichen eines Angriffs suchen, sind sicherheitsbewusste Unternehmen in der Lage, alle Arten von Angriffen rechtzeitig zu erkennen und zu stoppen, bevor sie zu Sicherheitsverletzungen werden.“

Weitere Informationen zum Thema:

datensicherheit.de, 17.08.2021
Vectra kommentiert massiven Hacker-Angriff auf T-Mobile-Kundendaten

BLEEPINGCOMPUTER, Sergiu Gatlan, 14.10.2021
Acer confirms breach of after-sales service systems in India

Stellungnahme von Vectra zu den Folgen zwischenstaatlicher Cyber-Konflikte auf die Privatwirtschaft

[datensicherheit.de, 17.08.2021] Der Cyber-Angriff auf Millionen an Kundendaten von T-Mobile in den USA habe unlängst für Schlagzeilen gesorgt. Hitesh Sheth, Gründer und CEO von Vectra AI, erläutert die Konsequenzen, wenn zwischenstaatliche Cyber-Konflikte immer häufiger die Privatwirtschaft in Mitleidenschaft ziehen:

Abbildung: Vectra AI

Hitesh Sheth: Grenzen im Cyber-Krieg zwischen Regierung und Privatunternehmen verwischen weiter…

Vectra: Unternehmen sollten prüfen, ob sie potenzielle Ziele darstellen

Die Angreifer auf T-Mobile behaupteten offenbar, sie hätten Firmendatenbanken als Vergeltung für US-Spionageaktivitäten attackiert. Sheth: „Sie scheinen kein Lösegeld zu verlangen. Wenn das stimmt, verwischt es die Grenzen im Cyber-Krieg zwischen Regierung und Privatunternehmen weiter.“
Jedes Unternehmen müsse sich überlegen, ob es ein potenzielles Ziel darstellen könnte, das von Cyber-Angreifern ins Visier genommen werde, um „politische Punkte“ zu erzielen.

Vectra: Potenzielle Angriffsziele spielen Rolle bei nationaler Verteidigung

„Wenn private Infrastrukturen neuerdings Vergeltungsmaßnahmen für Regierungshandeln erleiden, ist es nicht nur zwingend erforderlich, dass Unternehmen ihre Cyber-Abwehr stützen.“ Es sei von entscheidender Bedeutung, dass tiefergehende, intelligentere öffentlich-private Partnerschaften Cyber-Sicherheitsnormen, Rollen und Verantwortlichkeiten definierten.
Sheth betont: „Ob es den Betroffenen gefällt oder nicht: Wenn ein Unternehmen ein relevantes Ziel von Cyber-Angriffen ist oder werden könnte, spielt es eine Rolle bei der nationalen Verteidigung.“

Weitere Informationen zum Thema:

VECTRA Blog, Joe Malenfant, 16.08.2021
Hacker Claims to Have Breached T-Mobile

[datensicherheit.de, 24.03.2021] Vectra AI hat nach eigenen Angaben bei EMA (Enterprise Management Associates) eine internationale Studie zum Thema Cloud-Sicherheit in Auftrag gegeben. Ziel sei es gewesen herauszufinden, in welchen Bereichen IT-Sicherheitsexperten auf dem Weg zu besseren Cloud-Sicherheitspraktiken sind. Fragestellungen waren demnach unter anderem, ob die Verantwortlichkeiten im Unternehmen klar sind, worin die größten Bedrohungen liegen und wie Unternehmen bei der Cloud-Sicherheit vorgehen. Ein essentielles Fazit der Studie von Vectra: „Neben modernen Technologie gilt es generell, die richtige Kultur zu etablieren, um die optimale Sicherheit für cloud-basierte Daten, Anwendungen und Workloads zu realisieren.“

Unternehmen müssen festlegen, wer intern für Sicherheit von Cloud-Assets verantwortlich ist

Das Modell der geteilten Verantwortung besage, dass Cloud-Provider für die „Sicherheit der Cloud“ und Kunden für die „Sicherheit in der Cloud“ verantwortlich seien. Unternehmen müssten daher festlegen, wer intern für die Sicherheit von Cloud-Assets verantwortlich ist. Das IT-Sicherheitsteam scheine vielerorts eine naheliegende Antwort zu sein, „wie 46 Prozent aller Befragten angaben, doch 28 Prozent sehen hier das Cloud-Operations-Team in der Verantwortung“. Neun Prozent hätten angegeben, dass das Netzwerkbetriebsteam in erster Linie für die Cloud-Sicherheit verantwortlich sei. Sechs Prozent hätten geantwortet, dass die Verantwortung von zwei oder mehr Gruppen getragen werde, in der Regel dem IT-Sicherheitsteam und entweder dem Cloud-Operations-Team oder Infrastrukturteam geteilt worden sei.
„Die Teilnehmer der Vectra-Umfrage sollten auch die Bedrohungen für cloud-basierte Assets bewerten. Der größte Prozentsatz (16%) entfiel hier auf Datenverlust durch eine falsche Konfiguration der Cloud-Konten, gefolgt von Datenexfiltration durch böswillige Außenstehende (14%).“ Als weitere Risiken hätten die Befragten Account-Hijacking (11%), eine fehlende Cloud-Sicherheitsarchitektur und -strategie (10%) sowie Insider-Bedrohungen (9%) genannt.

Sicherheitsbeauftragte in Anwendungsentwicklung einbeziehen, um Erstellung sichereren Cloud-Codes zu gewährleisten

„Sicherheitsexperten vertreten die Auffassung, dass Sicherheitsbeauftragte in die Anwendungsentwicklung einbezogen werden sollten, um die Erstellung von sichererem Cloud-Code zu gewährleisten.“ Nötig sei auch ein kultureller Wandel, der einen neuen Ansatz und andere Tools als bislang verwendet erfordere. Wichtiger denn je sei, „dass Sicherheits- und Entwicklungsteams effektiv zusammenarbeiten, um Schwachstellen zu testen, zu identifizieren und zu beheben, bevor diese von bösartigen Akteuren ausgenutzt werden“.
Eine wichtige Rolle bei der Cloud-Sicherheit spiele auch die Automatisierung zur Absicherung von Cloud-Implementierungen. Um den Stand der Automatisierung in den Unternehmen zu ermitteln, habe EMA die Teilnehmer gefragt, welchen von fünf verschiedenen Automatisierungsgraden sie bei der Absicherung ihrer Cloud-Implementierungen erreicht hätten. Das Ergebnis: „Die meisten Unternehmen befinden sich irgendwo zwischen dem geringsten Automatisierungsgrad, also der manuellen Verwaltung von Richtlinien und Prozeduren, und dem höchsten Automatisierungsgrad, bei dem die Automatisierung umfassend ist und alle unternehmensweit genutzten Cloud-Domains abdeckt.“

Moderne Erkennungs- und Reaktionstechnologien versprechen besseren Einblick in Cloud-Datenverkehr

Hinsichtlich der Wahl geeigneter Tools zum Schutz von cloud-basierten Assets scheine die Mehrheit der Unternehmen ein reiferes Niveau erreicht zu haben. Herkömmliche Sicherheitskontrollen, wie sie im internen Rechenzentrum zum Einsatz kämen, auf cloud-basierte Assets anzuwenden, habe sich als ineffektiv erwiesen. Der größte Prozentsatz der Befragten habe angegeben, dass ihre Unternehmen moderne cloud-native Überwachungstechnologien zum Schutz von Cloud-Anwendungen und -Workloads einsetzten (35%), gefolgt von hybriden Lösungen, also sowohl Technologie für interne Rechenzentren als auch Technologie von Cloud-Anbietern (30%). Nur 20 Prozent aller Befragten hätten angegeben, dass sie bestehende On-Premises-Kontrollmaßnahmen auf cloud-basierte Anwendungen und Workloads anwendeten. „Dieser Prozentsatz ist erfreulicherweise rückläufig und wird wahrscheinlich weiter sinken. Nur sieben Prozent der Sicherheitsteams verlassen sich auf proprietäre Sicherheitskontrollen, die von den einzelnen Cloud-Anbietern angeboten werden, um ihre Workloads und Anwendungen zu schützen.“
Neuere Tools wie CSPM (Cloud Security Posture Management), die bei der Erkennung und Behebung von Fehlkonfigurationen in der Cloud helfen sollten, seien bei den befragten Unternehmen noch nicht weit verbreitet. Moderne Erkennungs- und Reaktionstechnologien versprächen einen besseren Einblick in den Cloud-Datenverkehr. Tatsächlich gäben 80 Prozent der Befragten an, dass sie wüssten, dass die NDR-Technologie auf den Cloud-Datenverkehr angewendet werden könne. Von diesen Befragten sähen 48 Prozent den Hauptwert in der Fähigkeit, Bedrohungen und Anomalien in Echtzeit zu erkennen. 21 Prozent sähen den größten Vorteil in der Unterstützung von Reaktionsmaßnahmen wie Untersuchung und Schadensbegrenzung.

Weitere Informationen zum Thema:

datensicherheit.de, 22.12.2020
Auf einem Auge blind: E-Mail im Fokus – SaaS ignoriert

datensicherheit.de, 27.08.2020
VECTRA: Kritische Systeme auf den Prüfstand stellen

VECTRA
EMA: Securing Cloud Assets – How Security Pros Grade Their Own Progress

[datensicherheit.de, 07.01.2021] Laut einer aktuellen Meldung von Vectra AI hat das FBI kürzlich eine „Private Industry Notification“ herausgegeben, dass Cyber-Angreifer den webbasierten E-Mail-Clients der Opfer automatische Weiterleitungsregeln zuwiesen, um ihre Aktivitäten zu verschleiern. Angreifer nutzten dann diese reduzierte Sichtbarkeit, um die Wahrscheinlichkeit einer erfolgreichen Kompromittierung von Geschäfts-E-Mails (Business Email Compromise, BEC) zu erhöhen. Dies ist eine „ernste Angelegenheit“, so Vectra AI.

Auch E-Mail-Client in „Outlook“ bedroht

Im vergangenen Jahr habe das Internet Crime Complaint Center (IC3) weltweit Verluste von mehr als 1,7 Milliarden US-Dollar durch BEC-Akteure gemeldet. Es gebe nun Cyber-Bedrohungen, die es auf „Microsoft Office 365“-Konten abgesehen hätten, zu denen der „Outlook-Mail-Client“ und „Exchange-Mail-Server“ gehörten. Mit mehr als 200 Millionen monatlichen Abonnenten sei „Office 365“ ein ergiebiges Ziel für Cyber-Kriminelle. Jeden Monat würden 30 Prozent der Unternehmen, die es nutzen, Opfer von Angreifern.
Obwohl „Office 365“ den nun vielerorts verteilten Mitarbeitern eine primäre Umgebung biete, in der sie ihre Geschäfte abwickeln könnten, schaffe es auch ein zentrales „Repository“ für Daten und Informationen, welches von Angreifern leicht ausgenutzt werden könne.

Weiterleitung von E-Mails bereitet Sorgen

Anstelle von Malware nutzten Angreifer die Tools und Funktionen, welche standardmäßig in „Office 365“ zur Verfügung stünden, und lebten so von der Fläche und blieben monatelang im Verborgenen. Das Weiterleiten von E-Mails sei nur eine von vielen Techniken, über die man sich Sorgen machen müsse. Nachdem Angreifer in einer „Office 365“-Umgebung Fuß gefasst haben, könnten mehrere Dinge passieren, darunter:

• Durchsuchen von E-Mails, Chatverläufen und Dateien auf der Suche nach Passwörtern oder anderen nützlichen Daten.
• Einrichten von Weiterleitungsregeln, um auf einen ständigen Strom von E-Mails zuzugreifen, ohne sich erneut anmelden zu müssen.
• Kapern eines vertrauenswürdigen Kommunikationskanals, z.B. das Versenden einer unzulässigen E-Mail vom offiziellen Konto des CEO, um Mitarbeiter, Kunden und Partner zu manipulieren.
• Einschleusen von Malware oder bösartigen Links in vertrauenswürdige Dokumente, um Personen dazu zu bringen, Präventionskontrollen zu umgehen, die Warnungen auslösen.
• Stehlen oder Verschlüsseln von Dateien und Daten gegen Lösegeld.

Verdächtige E-Mail-Weiterleitung achthäufigste bösartige Verhaltensweise

Eine Studie von Vectra zu den „Top 10“ der häufigsten Angriffstechniken gegen „Office 365“ habe ergeben, dass die verdächtige E-Mail-Weiterleitung die achthäufigste bösartige Verhaltensweise sei. „Es ist daher wichtig, den Missbrauch von Kontorechten für ,Office 365‘ im Auge zu behalten, da er in realen Angriffen am häufigsten vorkommt.“ Sicherheitsmaßnahmen wie Multifaktor-Authentifizierung (MFA) hielten Angreifer in dieser neuen Cyber-Sicherheitslandschaft nicht mehr auf.
„Office 365“ und andere SaaS-Plattformen seien ein sicherer Hafen für Angreifer. Daher sei es von entscheidender Bedeutung, den Missbrauch von Kontoprivilegien zu erkennen und darauf zu reagieren, wenn Benutzer auf Anwendungen und Dienste in Cloud-Umgebungen zugreifen. Genau dies leisteten moderne Plattformen, welche auf Maschinelles Lernen für effiziente Cyber-Sicherheit setzten. Eine solche Lösung versetze Sicherheitsteams in die Lage, versteckte Angreifer in SaaS-Plattformen wie „Office 365“ schnell und einfach zu identifizieren und zu entschärfen, „so dass diese nicht länger ein sicherer Hafen für Cyber-Kriminelle sind“.

Weitere Informationen zum Thema:

datensicherheit.de, 22.12.2020
Auf einem Auge blind: E-Mail im Fokus – SaaS ignoriert

FEDERAL BUREAU OF INVESTIGATION, CYBER DIVISION, 15.11.2020
Cyber Criminals Exploit Email Rule / Vulnerability to Invrease the Likelihood of Successful Business Email Compromise

VECTRA
O365 Security Spotlight Report – Report & Stats | Vectra AI

[datensicherheit.de, 04.01.2021] Die zahlreichen erfolgreichen Cyber-Angriffe der vergangenen Monate hätten es mehr als deutlich gemacht: IT-Sicherheitsteams benötigten einen Einblick in die Interaktion der Benutzer mit ihrer IT-Infrastruktur über alle Medien hinweg. Vectra AI erläutert in einer aktuellen Stellungnahme, wie dies möglich werden könnte. Sicherheitsingenieure hätten Lösungen entwickelt, welche eine einheitliche Ansicht der Konten im Netzwerk und in der Cloud böten. Zudem wird darauf hingewiesen, dass – um herauszufinden, wie Angreifer „Office 365“ ausnutzen –, der aktuelle „Spotlight Report“ von Vectra AI nützliche Informationen liefere. Mit einer modernen „Network Detection and Response“-Plattform könnten Unternehmen Sichtbarkeit herstellen, um Angreifer aufzuspüren und darauf reagieren.

Angriffe aus der Cloud: Während der gesamten Phase wachsam bleiben!

„Wird ein potenzieller Angreifer entdeckt, der versucht, Daten aus der Produktionsdatenbank zu exfiltrieren, lässt sich dieser nicht einfach ausschalten, um sich der nächsten Aufgabe zuzuwenden.“
Sicherheitsexperten müssten daher sehen können, wie und wo die Angreifer eingedrungen sind, und diese Lücke stopfen. Das könnten sie jedoch nicht, „wenn sie die Punkte zwischen der Cloud und der Netzwerk-Infrastruktur nicht verbinden können“.

Angreifer sehen Cloud-Netzwerk nicht als das geringste Hindernis

Ein Beispiel wäre demnach, wenn ein Benutzer auf „Office 365“ das Opfer von Spear-Phishing wird, so dass gestohlene Zugangsdaten verwendet werden, um auf Kritische Infrastrukturen zuzugreifen. Eine zeitgemäße Sicherheitsplattform zeige dann diese Informationen auf, mit vollständigem Kontext darüber, was der Benutzer wann getan hat und warum man eingreifen sollte.
„Wenn jemand einige fragwürdige Exchange-Operationen auf ,Office 365‘ durchführt, kann eine moderne Lösung schnell zeigen, welche Hosts dieses Konto im Netzwerk betrifft, so dass sich sehen lässt, ob es verdächtige Aktivitäten auf diesen Hosts gegeben hat.“ Bei der Betrachtung einiger aktueller Angriffe werde deutlich, dass Angreifer das Cloud-Netzwerk nicht als das geringste Hindernis für den Verlauf ihres Angriffs sähen.

Ausnutzung legitimer Tools für unerlaubte Aktionen über die Cloud

Die Aktionen von „APT 33“ hätten mit dem Brute-Forcing schwacher Zugangsdaten und der Ausnutzung von E-Mail-Regeln begonnen, um zum Endpunkt zu gelangen. „Einmal auf dem Endpunkt angekommen, wurden die Zugangsdaten desselben Benutzers genutzt, um den Angriff seitlich voranzutreiben. Wenn die Netzwerk- und Cloud-Erkennungsportfolios nicht miteinander verknüpft sind, kann jedoch das Ausmaß eines solchen Angriffs komplett übersehen werden.“
Die Angriffsfläche von „Office 365“ sei nicht nur auf den ersten Zugriff beschränkt. Angreifer mit „Office 365“-Zugang könnten „SharePoint“ missbrauchen, um freigegebene Ordner zu beschädigen und sich mithilfe von DLL-Hijacking-Techniken oder durch das Hochladen von Malware seitlich auf Endpunkte auszubreiten. Dieselbe „SharePoint“-Funktionalität, welche für die Synchronisierung normaler Benutzerdateien verwendet werde, könne auf jedem Endpunkt ausgeführt werden, um eine einzelne Freigabe zu synchronisieren und so die Standard-Netzwerksammlungstechniken zu umgehen. Ein Angreifer könne dann mit ein paar Klicks dauerhafte Exfiltrationskanäle über „Power Automate“-Flows einrichten, welche täglich Daten von jedem infizierten Endpunkt hochladen könnten. Hierzu gebe es viele Möglichkeiten und es würden immer mehr.

Network Detection and Response empfohlen, um Angriffen über die Cloud zu wehren

Denkbar sei auch ein Problem in der Cloud, bei dem sich die Angreifer mit Brute-Force-Aktivitäten die Zugangsdaten eines Kontos verschafft haben, gefolgt von der Erstellung neuer E-Mail-Regeln, „was zwar schlecht, aber nicht schlimm ist“. Es sei dabei aber auch zu einer seitlichen Bewegung im Netzwerk gekommen, was viel besorgniserregender sei, da nicht bekannt sei, wie die Hacker hereingekommen sind. „In Cognito bedeutet das Zusammenführen dieser Ansichten, dass Analysten einen frühen und vollständigen Überblick haben, der es ihnen ermöglicht, den Angriff zu stoppen, bevor Daten verschoben werden oder Schaden entsteht.“
Um herauszufinden, wie Angreifer „Office 365“ ausnutzen, liefere der aktuelle „Spotlight Report“ von Vectra AI nützliche Informationen. Mit einer modernen „Network Detection and Response“-Plattform könnten Unternehmen Sichtbarkeit herstellen, um Angreifer in ihren Netzwerken und „Office 365“-Implementierungen zu erkennen und darauf zu reagieren.

Weitere Informationen zum Thema:

datensicherheit.de, 14.07.2020
Office 365: Zunehmender Missbrauch von Nutzerkonten

VECTRA, Chris Morales, 19.10.2020
The Office 365 Tools and Open Services Attackers Love to Use

VECTRA
O365 Security Spotlight Report – Report & Stats | Vectra AI

[datensicherheit.de, 22.12.2020] Auch wenn der E-Mail-Verkehr immer noch als „kritischstes Einfalltor“ für Cyber-Angriffe gilt, nehmen inzwischen SaaS-basierte Angriffe offensichtlich zu – Sicherheitsverantwortliche nehmen nach Meinung von Vectra AI dieses Risiko bislang jedoch kaum war.

SaaS-Anwendungen als kritischen Bedrohungsvektor wahrnehmen!

Vectra AI weist nach eigenen Angaben im Kontext der jüngsten Sicherheitsvorfälle in Zusammenhang mit SaaS-Anwendungen erneut darauf hin, „wie kritisch dieser Bedrohungsvektor ist“.
Im Zuge der Digitalen Transformation und der beschleunigten Migration in die Cloud benötigten Sicherheitsexperten die nötige Weitsicht und Unterstützung, um Bedrohungen zu erkennen und Datendiebstahl zu verhindern. Benutzerkonten und digitale Identitäten seien der neue Perimeter, den es zu schützen gelte.
Laut einer Studie der 451 Group sähen Unternehmen E-Mails als „kritischsten Angriffsvektor“, wie 44,3 Prozent der Befragten angegeben hätten. Nur 3,5 Prozent der Unternehmen hingegen würden in SaaS-Anwendungen das größte Risiko erkennen.

SolarWinds-Vorfall als Warnung: SaaS-basierte IT-Administrationstool zur Malware-Einschleusung

SaaS-Anwendungen werden demnach nur von sehr wenigen Sicherheitsfachleuten als großes Problem erkannt – die jüngsten Vorfälle zeigten indes, dass dieser Angriffsvektor durchaus kritisch sei.
Zuletzt habe die „Washington Post“ am 13. Dezember 2020 berichtet, dass die russische Gruppe „APT29“ oder „Cozy Bear“ in das Netzwerk des US-Finanz- und Handelsministeriums eingedrungen sei. Der Ursprung dieses Vorfalls sei ein Supply-Chain-Angriff über das SaaS-basierte IT-Administrationstool „SolarWinds Orion“ gewesen, um die Malware namens „SUNBURST“ in das fremde Netzwerk zu schleusen.
Dies sei ein signifikantes Beispiel für einen gut ausgeführten Supply-Chain-Angriff, „bei dem ein SaaS-basiertes Tool für kriminelle Zwecke kompromittiert wurde“. Die anschließende Ausnutzung der Authentifizierungskontrollen habe es den Akteuren ermöglicht, sich in die Cloud zu vorzuarbeiten und für längere Zeit unentdeckt in „Microsoft 365“ zu operieren, um Informationen zu sammeln.

Cyber-Angreifer konzentrieren sich nun verstärkt auf privilegierten Zugriff und SaaS-Tools

„Da Unternehmensnetzwerke zunehmend zu Hybrid-Cloud-Umgebungen werden, konzentrieren sich Cyber-Angreifer nun verstärkt auf den privilegierten Zugriff und SaaS-Tools für ihre Zwecke“, so die Warnung.
In seinem jüngsten „Spotlight Report on Office 365“ habe Vectra dargestellt, wie Cyber-Kriminelle bei ihren Angriffen „Office 365“-Dienste nutzten. Derartige Angriffe unterstrichen die Notwendigkeit eines neuen Sicherheitsansatzes:
Sicherheitsteams müssten in der Lage sein, alle Host- und Account-Interaktionen beim Wechsel zwischen Cloud- und On-Premises-Umgebungen in einer konsolidierten Ansicht zusammenzufassen. „Sie müssen das Angriffsrisiko drastisch reduzieren, indem sie einen Einblick bekommen, welche Nutzer und Geräte auf Daten zugreifen oder Konfigurationen ändern, unabhängig davon, wie und von wo aus dies geschieht“, betont Vectra.

Weitere Informationen zum Thema:

VECTRA
O365 Security Spotlight Report – Report & Stats | Vectra AI

datensicherheit.de, 21.12.2020
Sicherheitsverletzung bei SolarWinds zeigt Notwendigkeit eines sicheren Passworts auf / Ian Pitt empfiehlt Unternehmen jeder Größe Einführung einer unternehmensweiten Passwort-Managementlösung