Welche Vorfälle landen bei einem Incident Response Team?

E-Mail-Exploits

In 36 Prozent der im ersten Quartal behandelten Sicherheitsvorfälle war die klassische E-Mail die Zustellungsmethode für Schadsoftware. Das klingt vermeintlich banal, aber die schiere Anzahl erfolgreicher Angriffe über bösartige E-Mails verdeutlicht den Ernst der Lage. Wir haben festgestellt, dass E-Mail-basierte Sicherheitsvorfälle in drei Kategorien fallen:

1. Diebstahl von Berechtigungen: Ein äußerst effektiver Weg, um in ein Unternehmen einzudringen. Wir haben im ersten Quartal viele verschiedene E-Mail-Kampagnen beobachtet, sowohl gezielte als auch Massen-Mails. Die Mehrheit der erfolgreichen Versuche war auf zwei oder drei Benutzer pro Unternehmen beschränkt, doch der Angreifer kann seine Reichweite durch zusätzliche, intern verschickte Phishing-E-Mails erweitern und sich als vertrauenswürdiger Mitarbeiter ausgeben. Die meisten Unternehmen verfügen weder über einen Schutz vor kompromittierten Anmeldeinformationen noch über eine automatisierte Blockierung von Phishing-E-Mails – dies aber ist ein Bereich, der zurecht Aufmerksamkeit erfordert.
2. Business E-Mail Compromise (BEC): Entweder eine Erweiterung des Identitätsdiebstahls, in dessen Verlauf sich der Angreifer als vertrauenswürdiger Mitarbeiter ausgibt, oder aber der Angreifer schaltet sich, aus externen oder internen Quellen kommend, einem E-Mail-Schriftverkehr zu. Das Ziel lautet, wichtige Informationen wie Bankdaten zum richtigen Zeitpunkt auszuspionieren. Angriffe dieser Art waren sehr erfolgreich und mehrere Unternehmen haben Millionen von US-Dollar oder Euro durch fehlgesteuerte Zahlungen auf das Bankkonto eines Betrügers verloren. Die Schulung der Mitarbeiter für mehr Security Awareness ist darum ein wichtiger Bestandteil eines erfolgreichen IT-Konzepts, um kostspielige BEC-Vorfälle zu verhindern.
3. Bots und Malware: E-Mails mit einem Anhang der dringend erwartet wird, wie einer Rechnung oder einem Lieferschein, sind weiterhin sehr effektiv. Das liegt daran, dass viele Unternehmen keine erweiterten Kontrollen für E-Mails nutzen, weder für die Anwendung selbst noch für den Endpunkt.

„Die meisten Unternehmen verfügen weder über einen Schutz vor kompromittierten Anmeldeinformationen noch über eine automatisierte Blockierung von Phishing-E-Mails – dies aber ist ein Bereich, der zurecht Aufmerksamkeit erfordert.“

Dan Wiley, Check Point Software 

Ransomware ist noch aktiv

Ransomware machte 30 Prozent der im ersten Quartal behandelten Sicherheitsvorfälle aus, steht also an zweiter Stelle, war aber dennoch die wirkungsvollste Methode. Jeder bearbeitete Ransomware-Angriff verursachte erhebliche Störungen bei den betroffenen Unternehmen: Von finanziellen Verlusten über Geschäftsausfälle, die in der Regel fünf bis zehn Tage dauerten, bis hin zu wochenlangen Bereinigungen, die den Aufbau von Systemen und Arbeiten zur Wiederherstellung des Unternehmens umfassten. In mehreren Fällen wurden die Verluste in Millionen von US-Dollar oder Euro sowie Tausenden von Stunden an Sanierungsarbeiten gemessen.

Ein wichtiger Trend, der im ersten Quartal 2019 zu beobachte war, ist die Menge an Informationen, die Angreifer über ihre Opfer gesammelt hatten. Dazu gehörte auch das Studium der SEC-Anmeldungen (US-Börsenaufsicht) zur Finanzlage des Unternehmens und die damit verbundene Skalierung der Lösegeldforderungen. Zwar lehnen wir ab, mit den Kriminellen über Lösegeld zu verhandeln, aber in einem Fall trat die Versicherungsgesellschaft eines Unternehmens mit den Hintermännern in Verbindung. Während dieser Verhandlungen teilten die Cyberkriminellen der Delegation mit, dass sie wüssten, wie viel Geld das Unternehmen zur Verfügung habe und nicht über eine niedrigere Zahlung verhandeln werden.

Verantwortlich für die meisten Sicherheitsvorfälle war die Ransomware Ryuk. Überwiegend wurde Ryuk nicht direkt genutzt, sondern eine Reihe anderer Malware, um die Infektion durch Ryuk vorzubereiten. Typischerweise werden dafür Emotet oder Trickbot eingesetzt. Diese ersten Vorstöße beginnen in der Regel ein bis zwei Wochen vor der eigentlichen Infektion durch die Ryuk-Ransomware, daher sollten IT-Teams auf Anzeichen dieser Schädlinge achten. Es ist ratsam, jedes Mal eine vollständige Bewertung der Situation durchzuführen, wenn Anzeichen eines schadhaften Eindringens vorliegen.

Außerdem haben „Dharma“-Infektionen mittlerweile SamSam als produktivste RDP-Ransomware (Remote Desktop Protocol) überholt. Internetverbrecher identifizieren offenliegende RDP-Server und führen einen Brute-Force-Login-Angriff durch oder verwenden Phishing-Anmeldeinformationen, um Zugriff zu erhalten. Einmal auf den Server gelangt, erlangt der Angreifer erhöhte Privilegien und bewegt sich seitlich (lateral), um die Malware Dharma auf Netzwerkendpunkten zu platzieren.

Hinterhältig geplant, finden Ransomware-Angriffe laut IT-Administratoren gehäuft am Wochenende oder an Feiertagen statt, wenn die IT-Abteilungen nur sehr knapp besetzt sind. Falls letzten Endes Patches, Upgrades und andere IT-Aktivitäten nicht ausreichen, müssen sich Unternehmen wohl oder übel auf eine größere Störung vorbereiten.

Alte Angriffe, neue Ziele

Die Angriffsvektoren, über die Experten seit Jahren berichten, werden mit der Einführung neuer Kontrollen oder Technologien nicht einfach aussterben. 16 Prozent der Sicherheitsvorfälle, die im ersten Quartal 2019 behoben wurden, gingen auf eine Reihe von „Oldies“ zurück, wie Brute-Force-Logins, Credential Stuffing und Angriffe auf PowerShell oder RDP. Interessanterweise zielen diese Attacken nun aber auf die Cloud, nicht mehr auf feststehende Netzwerkinfrastrukturen ab. Daher ist es sehr wichtig, dass Cloud-Anbieter transparent mit ihren Cloud-Services wie SaaS, IaaS und PaaS umgehen und die Kontrolle darüber haben. Unternehmen müssen das unbedingt sicherstellen.

Darüber hinaus werden auch EternalBlue-Schwachstellen nach wie vor in Kundenumgebungen ausgenutzt, obwohl Patches seit über zwei Jahren verfügbar sind. Zu Beginn dienten sie als Einfallstor besonders für die berüchtigte Ransomware WannaCry und die Malware NotPetya. Es kann nicht oft genug betont werden, dass Aktualisierungen, die solche Schwachstellen schließen, auch installiert werden müssen, weil sie tatsächlich wirksam sind.

Fazit

Schlussendlich wird deutlich, dass es gelegentlich Sicherheitsvorfälle gibt, hinter denen sehr fortschrittliche, neue Bedrohungen stecken. Im Vergleich mit althergebrachten Methoden, wie gewöhnlichem E-Mail-Betrug oder Ransomware-Angriffen aber fällt deren Anzahl weit zurück.

Zudem zeigt sich, dass einfache Präventivmaßnahmen die große Mehrheit dieser eigentlich bekannten Angriffe verhindern könnten; oder sie wenigstens so eindämmen, dass sie erträgliche und kontrollierbare Auswirkungen auf das Unternehmen haben. Allerdings müssten diese Maßnahmen, Patches und Ratschläge auch genutzt und angenommen werden.

Über den Autor:
Dan Wiley ist Global Head des Incident Response Teams bei Check Point Software.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.