peterschreiber.media - stock.ado
Wie Cyberangriffe per E-Mail auf Unternehmen funktionieren
Kriminelle verteilen Malware nicht einfach so, sondern rechnen mit der Gegenwehr durch Sicherheits-Tools und versuchen diese durch unabsichtliche Mithilfe der Opfer auszuhebeln.
Fast jede Woche gibt es neue Schlagzeilen über einen erfolgreichen Cyberangriff auf eine Regierung oder ein Großunternehmen. IT-Verantwortliche müssen sich mit entsprechendem Druck abfinden. Durch diesen andauernden Zustand wird es allerdings immer schwieriger, zielgerichtet zu reagieren und die einzelnen Vorfälle auf das eigene Unternehmen zu übertragen und aus ihnen zu lernen.
Deshalb ist eine Untersuchung der tatsächlichen Entwicklung wichtig. Sicherheitsexperten überprüfen jedes Quartal die aktuelle Entwicklung für Cyberattacken: Im Threat Intelligence Report wurden von April bis Juni 2019 über 160 Millionen E-Mails aus Organisationen weltweit in Bezug auf ihr potenzielles Risiko analysiert.
Die Daten weisen darauf hin, dass die Menge an Attacken mit gängiger Schadsoftware wie Emotet, Adwind, Necrus und Gandcrab wächst. Allerdings wird auch deutlich, dass die Cyberkriminellen nicht nur auf stumpfes Verschleudern von Malware setzen, sondern fest mit der Gegenwehr durch Sicherheitswerkzeuge rechnen. Daher versuchen sie Schutzvorkehrungen durch unabsichtliche Mithilfe der Belegschaft auszuhebeln. Technische Schwachstellen und menschliches Versagen werden in jüngster Zeit zu einem Angriffsvektor kombiniert.
Angebliche Aufklärungs-E-Mails durch Bedrohungsakteure und Verschleierung
Im besagten Zeitraum haben Reconnaissance-Attacken Hochkonjunktur. Dabei erhalten die Opfer einen Hinweis auf eine Nachricht, in deren Betreff es um Zahlungen, Kredite oder Rechnungen geht. Der Empfänger soll in Panik geraten, da scheinbar etwas in seinem Namen gekauft oder eine Bezahlung vergessen wurde. Die Vorgehensweisen sind häufig ähnlich, allerdings ändern sich ab und zu Kleinigkeiten, damit Social-Engineering-Taktiken besser greifen und die E-Mails glaubwürdiger aussehen.
Die Kriminellen möchten dazu verleiten, den verseuchten Anhang zu öffnen. Im besagten Fall ist es ein verschlüsseltes Zip-File. Das Dokument ist durch ein Passwort geschützt. Die Täter bauen dies als angebliche Datenschutzmechanismus ein, allerdings dient dies nur der Verschleierung des Schadcodes. Das Kennwort finden die Nutzer im Text der Mail (manchmal sogar in der Betreffzeile). Der Empfänger aktiviert den Schädling selbst durch die Eingabe des Passwortes. Gängige Sicherheits-Tools können sogar bei bekannter Malware die Signaturen nicht erkennen, solange sie noch verschlüsselt sind.
In einem konkreten Beispiel fanden Forscher einen .zip-Anhang, dieser enthält eine 1.656 Byte große Datei namens Remittance Advice.jpg.lnk. Die Sandbox-Analyse verknüpft diesen Anhang mit Domänen wie remit-chase[.]com1 und remit-wellsfargo[.]com2, die beide als bösartig bekannt sind. Es deutet viel darauf hin, dass die Angreifer die Malware später noch anpassen wollen. Es ging ihnen weniger um eine Infektion als vielmehr um die Reaktionszeit des Ziels. Es ist wahrscheinlich, dass die URLs ausgetauscht und potentere Schädlinge bei späteren Angriffswellen eingesetzt werden.
Einerseits ist klar, dass viele Organisationen Mechanismen implementiert haben, um Gefahren zu erkennen. Unternehmen haben Abwehrmöglichkeiten, um schädliche E-Mails zu identifizieren. Andererseits wird aber auch deutlich, dass Kriminelle sich besser vorbereiten und Sicherheits-Tools und Firmen regelrecht testen.
Die professionelle Vorgehensweise findet sich nicht nur beim Ausloten von Schutzvorkehrungen. So zeigt der Einsatz bösartiger VBScripts, dass sich die Bedrohungslage und zudem die eingesetzte Technologie verändert haben. Hier werden ausführbare .exe-Dateien in .tar-Files verborgen. Der Dateityp .tar zeigt an, dass der Anhang viele Dateien und Verzeichnisse innerhalb dieser einzelnen Archivdatei enthält. Im Inneren befindet sich ein UTF-16 VBScript. Die bösartige VBScript-Logik rekonstruiert den 140-KByte-Datenstring und führt dann das resultierende VBScript aus, um das Zielsystem mit Malware zu infizieren.
Quantität der Attacken wächst ebenfalls
Die Beispiele sind aber nur ein Teil der akuten Gefahr. Schaut man sich das Gesamtbild an, erkennt man einen deutlichen Anstieg der einfachen E-Mail-Angriffe. Dies liegt vor allem daran, dass viele Organisationen mit simplen Methoden überrumpelt werden können. Ähnlich wie bei früheren Social-Engineering-Kampagnen fruchten Attacken, bei denen sich die Kriminellen als Mitarbeiter und Vorgesetzte ausgeben.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte bereits mehrfach vor CEO-Fraud. Auch die Analyse des Frühjahrs 2019 bestätigt, dass CEOs, CFOs und Mitarbeiter im Finanzbereich bestens zur Nachahmung geeignet sind. Imitationsangriffe werden immer prominenter, da die Bedrohungsakteure versuchen, Einzelpersonen für einen schnellen und einfachen finanziellen Gewinn anzusprechen. Die Akteure nutzen arbeitsbezogene Social-Media-Sites wie LinkedIn oder XING, um Angestellte anzusprechen. Informationen von diesen Seiten können helfen, festzustellen, wer wahrscheinlich direkt für Führungskräfte arbeitet oder wer Zugang zu Finanzen hat.
„Elementare Tools auf dem Stand der Technik sind genauso wichtig für die Resilienz gegen Cyberattacken wie regelmäßige Trainings für die Belegschaft. Nur so lässt sich der Bedrohungslage standhalten.“
Michael Heuer, Mimecast
Bei solchen Attacken braucht es keine Schadsoftware und es wird vor allem auf die Unaufmerksamkeit beziehungsweise fehlende Awareness der Mitarbeiter gesetzt. Doch auch bei solchen Massenangriffen gibt es Tricks. Die Bedrohungsakteure verwenden beispielsweise ähnliche Domänennamen (mit Hilfe von Schreibweisen, die auf einen Blick korrekt aussehen) und die Namens-Spoofing (der Name des Absenders, der vom E-Mail-Client angezeigt wird), um die Opfer zu täuschen.
Fazit
Es ist der Punkt gekommen, an dem Unternehmen zwar einen großen Aufwand auf sich genommen haben, um Schadcode mit einer entsprechenden Technologie theoretisch entgegenwirken zu können, die veränderte Herangehensweise von Kriminellen aber praktisch keine reine Abwehr über Sicherheits-Tools zulässt. Stattdessen gehören Schutzmechanismen für Angreifer fest zum Konzept und man erkennt eine Tendenz mit den Opfern zu interagieren, um diese zu umgehen.
Daher müssen technische Innovation und die Awareness von Mitarbeitern auf einander abgestimmt werden. Elementare Tools auf dem Stand der Technik sind genauso wichtig für die Resilienz gegen Cyberattacken wie regelmäßige Trainings für die Belegschaft. Nur so lässt sich der Bedrohungslage standhalten.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.
