[datensicherheit.de, 25.03.2024] Zu Abwehrmaßnahmen gegen sogenannte Hacktivisten nimmt Thomas Boele, „Regional Director Sales Engineering, CER / DACH“ bei Check Point Software Technologies, Stellung: „Aktuell lässt sich eine Zunahme des Hacktivismus, d.h. von Hacking-Angriffen im Namen von Ideologien und politischen Zielen feststellen.“ Diese wollen demnach Aufmerksamkeit erregen und Symbole, Personen und Institutionen stören. Boele warnt: „Die Websites und verbundenen bürgernahen Services staatlicher Einrichtungen bieten eine großzügige Angriffsfläche.“ Die meisten dieser Aktivitäten gehen aktuell demnach von den Gruppen „NoName057(16)“ und „Anonymous Sudan“ aus, denen Zehntausende auf „Telegram“ folgten. Mit jedem angeblich erfolgreichen Angriff nehme die Zahl weiter zu. Er berichtet: „In den letzten Wochen und Monaten kam es häufig zu Angriffen mit dem Ziel, das Vertrauen in die jeweiligen Regierungen zu untergraben. Neben staatlichen Organisationen werden jedoch auch Unternehmen ins Visier genommen, darunter Banken oder populäre Services wie ,ChatGPT’. Ähnliche Angriffe erleben wir fast jeden Tag auf der ganzen Welt.“

Hacktivisten zeigen ihre Macht – sie stiften Chaos, schüchtern ein und richten Schaden an

„Hacktivistische“ Gruppen wollten Chaos stiften, einschüchtern und ihre Macht demonstrieren – und auch Schaden anrichten. „Wenn eine Website nicht funktioniert, ist das ein Problem, die Anwender können nicht auf Informationen und Dienste zugreifen, die Kosten steigen und die Auswirkungen auf den Ruf der Organisation sind ebenfalls schwerwiegend. Aber in erster Linie geht es den Angreifern einfach um die Aufmerksamkeit der Medien. Ein DDoS-Angriff ist oft erfolgreich, sei es für Minuten oder Stunden, wenn er ausreichend unterstützt wird und das ist genau das, worauf diese Hacker-Gruppen aus sind“, so Boele.

Letztlich gebe es gefährlichere Angriffsformen, welche aber viel Zeit und Vorbereitung erforderten und auch teurer seien. Der DDoS-Angriff selbst diene nicht dem Datendiebstahl oder anderen Spionagetätigkeiten, sondern überlaste nur ausgewählte Dienste oder Websites. Gleichzeitig könne er aber auch ein Täuschungsmanöver sein, um von anderen, weitaus schwerwiegenderen Angriffen abzulenken.

Hacktivisten greifen über das Darknet auf Botnetze zurück

Hacktivisten-Gruppen griffen über einschlägig bekannte Dienste im Darknet auf – aus Millionen von Computern und anderen Geräten bestehenden – Botnetze zurück. Darüber hinaus hätten Gruppen wie „NoName057(16)“ auf ihren „Telegram“-Konten über bevorstehende Angriffe gepostet und Fans ermutigt, sich den Angriffen anzuschließen und sich ebenfalls an den Operationen zu beteiligen. „NoName057(16)“ habe sogar ein DDoS-Angriffs-Baukasten namens „DDoSia“ initiiert, welcher die an Angriffen Interessierten zusammenbringe und die aktivsten Mitwirkenden mit lukrativen finanziellen Prämien belohne.

Die Zunahme der Angriffe hänge auch mit dem Phänomen der Cyber-Kriminalität als Dienstleistung zusammen. Die größten Hacktivisten-Gruppen vermieteten ihre Botnetze. „,Anonymous Sudan’ beispielsweise rühmt sich, dass das ,InfraShutdown’-Botnetz in der Lage ist, die Dienste großer multinationaler Unternehmen lahm zu legen“, erläutert Boele. Außerdem gebe es traditionelle Marketingaktionen, Rabatte und VIP-Dienste: „Kürzlich gab es beispielsweise eine Sonderaktion für 500 US-Dollar pro Stunde und die Möglichkeit, das ,InfraShutdown’-Botnet für Angriffe auf Internetanbieter zu nutzen. Ein anderes Botnet, ,Godzilla’, kann wiederum für eine Woche für 500 US-Dollar oder einen Monat für 2.500 US-Dollar gemietet werden.“

Ähnliche Angriffe mit der Macht großer Gruppen könnten mithin leider auch von Amateuren ohne technische Kenntnisse durchgeführt werden. Boele unterstreicht die Bedrohungslage: „In ähnlicher Weise kann praktisch jede andere Bedrohung und Art von Angriff gekauft werden. Und Cyber-Kriminelle können dann ihre anderen Aktivitäten finanzieren, einschließlich Hacktivisten-Angriffe.“ Es gebe defacto keine Möglichkeit, eine Hacktivisten-Gruppe daran zu hindern, mit Hilfe eines Botnetzes und einer Schar von Anhängern ihre ganze Kraft auf ein bestimmtes Ziel zu richten.

Unternehmen und Behörden müssen sich der Hacktivisten-Bedrohung bewusst sein und präventiv handeln

Boele betont abschließend: „Ganz gleich ob Unternehmen oder Behörde, es ist wichtig, dass sich die zuständigen IT-Sicherheitsverantwortlichen auf die Prävention und den Schutz vor jeder Art von Bedrohung im Bereich der Cyber-Sicherheit konzentrieren.“

Diese sollten verschiedene Szenarien entwickeln und klare Reaktionspläne für den Fall eines Angriffs vorhalten. Veraltete und nicht aktualisierte IT sei immer ein Problem. Dies gelte insbesondere für Kritische Infrastrukturen (KRITIS), aber auch für ausgefeilte Angriffe auf Webservices.

Auch veraltete Sicherheitstechnologien könnten ein Problem darstellen. „Zentralisierung und Konsolidierung können Abhilfe schaffen, ebenso wie die Notwendigkeit, Systeme zu segmentieren und zu differenzieren“, rät Boele.

Weitere Informationen zum Thema:

datensicherheit.de, 29.06.2022
Khuzestan Steel Company: Iranischer Stahlkonzern von Hackern lahmgelegt / Vorfall reiht sich in eine Flut von Attacken durch Hacker-Gruppen ein

datensicherheit.de, 05.08.2021
Cyber-Attacke auf KRITIS im Landkreis Anhalt-Bitterfeld zeigt: Kommunen sollten sich besser schützen / Kommunale Verwaltungen gehören zur Kritis – sie sichern die Versorgung der Bevölkerung mit essenziellen Gütern und somit gesellschaftliches Wohlergehen

Patrycja Schrenk erläutert, wie DDoS-Attacken erkannt werden können, und welche Möglichkeiten es zur Abwehr gibt

[datensicherheit.de, 24.02.2023] „Wenn Cyber-Kriminelle mit DDoS-Attacken Firmennetzwerke, Webseiten und ganze Online-Shops lahmlegen, kann das für die Betroffenen schnell zum wirtschaftlichen Fiasko werden, wenn der Shop oder die Firmen-Homepage über Stunden oder gar Tage hinweg nicht erreichbar ist“, warnt Patrycja Schrenk, Geschäftsführerin der PSW GROUP, in ihrer aktuellen Stellungnahme und gibt Tipps, wie DDoS-Attacken erkannt werden können und welche Möglichkeiten es gibt, solche Angriffe abzuwehren.

Foto: PSW GROUP

Patrycja Schrenk: DDoS-Attacken zielen auf Verzögerungen oder Komplettausfälle!

DDoS-Angriffe auf den ersten Blick nur schwer zu erkennen

Schrenk erläutert: „DDoS-Attacken haben im Gegensatz zu anderen Angriffen nicht das Ziel, ein System zu kompromittieren, sondern Verzögerungen oder Komplettausfälle herbeizuführen. Allerdings können diese Attacken in Kombination mit einem Hacking-Versuch auftreten und dienen dann als Ablenkungsmanöver.“ Das Problem sei: „DDoS-Angriffe sind auf den ersten Blick nur schwer zu erkennen.“ Denn sie ähnelten zunächst einer Flut legitimer Nutzeranfragen auf den Online-Shop oder auf die Website.

Es gebe jedoch Möglichkeiten, den künstlich erzeugten „Traffic“ eines Distributed-Denial-of-Service-Angriffs von dem organischen Datenverkehr zu unterscheiden: „Trotz Spoofing- und Distribution-Techniken gehen viele DDoS-Angriffe von einer begrenzten IP-Range, einem einzelnen Land oder einer Region aus – vielleicht von einer, die normalerweise nicht viel ,Traffic’ erzeugt.“ Ein weiteres, auffälliges Anzeichen für eine DDoS-Attacke sei es, wenn der gesamte Datenverkehr von demselben Client kommt – also zum Beispiel mit demselben Betriebssystem und Web-Browser. Normalen organischen „Traffic“ würde sich in diesem Punkt durch eine „natürliche Vielfalt“ der verwendeten Geräte auszeichnen. Auch wenn extrem hoher Datenverkehr nur auf einen einzigen Server, einen Netzwerkanschluss oder eine Webseite einstürzt, statt sich gleichmäßig über eine komplette Website zu verteilen, sei das ein Anhaltspunkt für einen DDoS-Angriff.

Bei DDoS-Angriff rasch und überlegt handeln!

„Tritt der ,Worst Case’ ein und Cyber-Kriminelle bombardieren den Webserver mit sinnlosen oder ungültigen Anfragen, bis er unter der Last zusammenbricht und eine Website nicht mehr erreichbar ist, ist es wichtig zu wissen, was zu tun ist und mit klarem Kopf die entsprechenden Schritte einzuleiten, um den Angriff abzuwehren“, unterstreicht Schrenk.

Konkret rät Schrenk: „Zunächst müssen umgehend Vorgesetzte oder die Sicherheitsexperten der IT-Abteilung informiert werden. Je schneller das geschieht, desto schneller können sie Gegenmaßnahmen einleiten.“ Dies setze allerdings voraus, dass Mitarbeiter durch Schulungen über die Anzeichen eines Angriffs informiert sind und wissen, wie sie sich zu verhalten haben.

Mehrstufige Reaktion auf DDoS-Attacken

Im nächsten Schritt gelte es, sensible Daten und deren Zugang zu sichern beziehungsweise diesen sofort zu blockieren, um es Angreifenden unmöglich zu machen, Daten aus dem Unternehmen zu stehlen oder zu beschädigen. „Im Anschluss müssen die betroffenen Systeme isoliert werden, um zu verhindern, dass Angreifende eventuell weitere Systeme infizieren und dort Schäden verursachen.“

Ist dies erfolgt, sollten Beweise für den Angriff gesammelt werden. Dabei sollten laut Schrenk so viele Daten wie möglich zusammengetragen werden. Dazu zählten Informationen über die Art des Angriffs – „handelt es sich beispielsweise um UDP-Flood, SYN-Flood oder HTTP-Flood?“ – über den Zeitpunkt des Angriffs und die IP-Adresse(n) des oder der Angreifer.

Erprobten Notfallplan auch für den Falle einer DDoS-Attacke vorhalten!

„Wir betonen immer wieder, wie wichtig es ist, einen Notfallplan zu haben und diesen auch zu befolgen. Das trifft auch im Falle einer DDoS-Attacke zu.“

Denn darin sei nicht nur festgehalten, welche Abteilungen oder Verantwortlichen in welcher Reihenfolge informiert werden müssten, sondern auch die zu ergreifenden Maßnahmen, welche zur Reduzierung der Auswirkungen eines Angriffs führten und mit denen das Netzwerk wieder in seinen Originalzustand versetzt werde.

DDoS-Attacken vergleichsweise einfach abzuwehren

Auch wenn es ohne Hilfsmittel schwierig sei, DDoS-Angriffe und den damit einhergehenden „Traffic“ von legitimen Anfragen zu unterscheiden, ließen sich diese Attacken vergleichsweise einfach abwehren. Denn Unternehmen müssten im Grunde genommen nur die benötigten Ressourcen und Kapazitäten schaffen, um die Masse an Anfragen verarbeiten zu können.

Dies gelinge durch Zuschaltung von Rechenleistung, beispielsweise durch „Cloud“-Dienste, so dass der Anstieg von Anfragen verarbeitet und reguliert werden kann. Zusätzlich ließen sich weitere, verschiedene Sicherheitsmaßnahmen integrieren und umsetzen. Ein wichtiger Ansatzpunkt dafür sei die Identifizierung der kritischen IP-Adressen der Anfragen sowie die Schließung bekannter Sicherheitslücken.

Vorbeugung und Gegenmaßnahmen zur Abwehr eines DDoS-Angriffs:

Überwachung von Ressourcen und Netzwerk
Ein intelligentes Überwachungssystem für das gesamte Unternehmensnetzwerk könne sicherstellen, „dass Ressourcen und Kapazitäten nicht überlasten oder die Leistung von Website und Anwendungen nicht beeinträchtigt werden“.

Implementierung von DDoS-Schutzmaßnahmen
Die regelmäßige Überprüfung und Optimierung der eigenen Schutzmaßnahmen gegen DDoS-Angriffe sollte obligatorisch sein. Dazu gehöre auch, neue Technologien oder Dienste zu implementieren, um das Netzwerk besser vor Angriffen zu schützen.

IP-Sperrlisten
Sperrlisten, auch „Blacklists“ genannt, ermöglichten es, IP-Adressen zu identifizieren und Datenpakete direkt zu verwerfen. „Diese Sicherheitsmaßnahme lässt sich manuell umsetzen oder durch dynamisch erzeugte Sperrlisten über die Firewall automatisieren“, so Schrenks Tipp.

Filterung über „Scrubbing Center“
Der gesamte Datenverkehr werde zunächst an ein sogenanntes Scrubbing-Center umgeleitet, dort bereinigt und es dann an den eigentlichen Server weitergeleitet. „Um auffällige Datenpakete herauszufiltern, können Grenzwerte für Datenmengen in einem bestimmten Zeitraum definiert werden. Dabei ist jedoch zu beachten, dass Proxys mitunter dazu führen, dass viele Clients mit derselben IP-Adresse beim Server registriert und möglicherweise unbegründet blockiert werden“, bemerkt Schrenk.

SYN-Cookies
SYN-Cookies nähmen Sicherheitslücken im TCP-Verbindungsaufbau ins Visier. „Kommt diese Sicherheitsmaßnahme zum Einsatz, werden Informationen über SYN-Pakete nicht mehr auf dem Server gespeichert, sondern als Crypto-Cookie an den Client gesendet. SYN-Flood-Angriffe beanspruchen zwar Rechenkapazität, belasten jedoch nicht den Speicher des Zielsystems“, informiert Schrenk.

Load-Balancing
Load-Balancing sei eine effektive Gegenmaßnahme gegen Überlastung, indem es die Lastenverteilung auf verschiedene Systeme – Hardware oder auch „Cloud“-Dienste – aufteile.

Weiterbildung
Die Schulung der Mitarbeiter trage maßgeblich zur Sicherheit bei. „Wenn Mitarbeitende Angriffe schneller erkennen und wissen, was zu tun ist, verkürzt das die Reaktionszeiten der IT-Abteilung oder IT-Sicherheitsbeauftragten enorm.“

Reporting über den Angriff
Nach einem Angriff sollten alle gesammelten Daten analysiert werden, um Schwachstellen zu identifizieren und zukünftige Angriffe zu verhindern. Idealerweise werde ein Bericht erstellt, um die Angriffssituation zu dokumentieren.

DDoS-Angriffe haben Einkehr in den Alltag gehalten

„DDoS-Angriffe haben ihren Weg in unseren Alltag gefunden. Jedoch hilft der technologische Fortschritt, sich weitgehend gegen solche Attacken zu schützen. ,Network Service Provider’ beispielsweise integrieren inzwischen Sicherheitssysteme in ihre Dienstleistungen, die DDoS-Angriffe erkennen und entsprechende Gegenmaßnahmen einleiten.“ Der IT-Dienstleister halte dann genügend Kapazitäten vor, um große Mengen an eingehendem Datenverkehr zu bewältigen.

Natürlich könne auch jedes Unternehmen diese Praxis selbst umsetzen und je nach Situation sein eigenes Netzwerk aufrüsten oder ein „Content Delivery Network“ (CDN) nutzen. „Auch CDNs verfügen in der Regel über eine große Gesamtkapazität, so dass viele DDoS-Angriffe abgewehrt werden können. Zudem lässt sich in vielen Fällen Angriffsverkehr filtern“, so Schrenk abschließend.

Weitere Informationen zum Thema:

PSW GROUP, Juliane Groß, 01.02.2023
Bedrohungslage / Das können Sie tun, um DDoS-Angriffe erfolgreich abzuwehren

[datensicherheit.de, 06.07.2022] Cloudflare hat sich nach eigenen Angaben darauf spezialisiert, DDoS-Attacken abzuwehren und regelmäßig Daten zu neuesten Angriffstrends, zu Ursprungsländern von Cyber-Attacken und zu angegriffenen Branchen zu veröffentlichen. Aktuell hat Cloudflare die DDoS-Attack-Trends für das zweite Jahresquartal 2022 veröffentlicht: In den Monaten April bis Juni wurden in der sogenannten DACH-Region demnach überwiegend Medien-Unternehmen sowie IT- und Software-Organisationen attackiert. In einer Stellungnahme hierzu wird auf die wichtigsten Ergebnisse im Überblick eingegangen.

Cloudflare-Statistik beinhaltet größte jemals gemessene HTTPS-DDoS-Attacke

Neben dem allgemeinen internationalen Angriffsgeschehen werde in der neuen Cloudflare-Statistik auch auf die größte jemals gemessenen HTTPS-DDoS-Attacke eingegangen, welche dieses Unternehmen im Juni 2022 abgewehrt habe. Zudem analysiere Cloudflare das Angriffsverhalten in Russland und der Ukraine.

Der o.g. HTTPS-DDoS-Angriff mit 26 Millionen Anfragen pro Sekunde sei von einem kleinen, aber starken Botnetz ausgegangen. „Der Angriff wurde automatisch erkannt und abgewehrt.“

Ziele der Cyber-Angriffe in Russland und der Ukraine laut Cloudflare

Rundfunk- und Medienunternehmen seien im zweiten Quartal 2022 in der Ukraine am stärksten von DDoS-Angriffen betroffen gewesen. Die fünf am häufigsten angegriffenen Branchen der Ukraine seien allesamt Online-/Internet-Medien, Verlage und Rundfunkanstalten.

In Russland hingegen seien Online-Medien als am häufigsten angegriffene Branche auf den dritten Platz zurückgefallen. In Russland am meisten betroffen sei der Sektor „Banken, Finanzdienstleistungen und Versicherungen“ (BFSI) gewesen – „fast 45 Prozent aller DDoS-Angriffe auf der Anwendungsebene zielten auf den BFSI-Sektor ab“. Kryptowährungs-Unternehmen in Russland seien am zweithäufigsten angegriffen worden.

Weitere wichtige Cloudflare-Erkenntnisse:

Vermehrte Lösegeldforderungen
Im Juni 2022 hätten 20 Prozent der Cloudflare-Kunden, welche von einem DDoS-Angriff betroffen gewesen seien, gemeldet, dass sie eine Lösegeldforderung erhalten hätten. Dies sei der höchste Wert in diesem Jahr (2022) und ein deutlicher Anstieg im Vergleich zu sechs Prozent im Mai und zwölf Prozent im April.

Luft- und Raumfahrtindustrie im Visier
Die Angriffe auf die Luft- und Raumfahrtindustrie hätten seit dem ersten Quartal 2022 um 256 Prozent zugenommen.

Längere Angriffsdauer
Während die meisten Angriffe kurzweilig seien, habe Cloudflare im zweiten Quartal 2022 über 20 Prozent mehr Angriffe verzeichnet, welche zwischen 20 und 60 Minuten dauerten, und einen Anstieg von neun Prozent bei Angriffen mit einer Dauer länger als drei Stunden.

Weitere Informationen zum Thema:

The Cloudflare Blog, 06.07.2022
DDoS attack trends for 2022 Q2

The Cloudflare Blog, 14.06.2022
Cloudflare mitigates 26 million request per second DDoS attack

Cyber-Kriminelle missbrauchen Unsicherheit im Kontext der „Covid-19“-Impfstoffe für ausgefeilte digitale Angriffe

[datensicherheit.de, 15.01.2021] Proofpoint Inc. warnt nach eigenen Angaben „aktuell vor einer Vielzahl verschiedener Cyber-Attacken, die sich die Unsicherheit vieler Menschen rund um das Thema ,Covid-19‘-Impfstoff zunutze machen.“ Dazu sei jetzt ein Blog-Post veröffentlicht worden, welcher diese unterschiedlichen Vorgehensweisen der Kriminellen genauer erläutere.

Abbildung: proofpoint

Screenshot einer maliziösen E-Mail mit einer „Office 365“-Phishing-URL

Egal ob Impfstoff oder sonstiger Aufhänger: E-Mails kritisch betrachten!

Wichtigster Rat an alle Anwender, privat wie auch in Unternehmen, sei: „Größte Vorsicht bei Mails walten lassen, die zur Ein- oder Herausgabe persönlicher Daten oder Login-Informationen auffordern oder Links zu vermeintlichen Login-Seiten von Cloud-Services wie ,Microsoft 365‘ enthalten!“
Proofpoint habe bereits seit dem Beginn der „Pandemie“ beobachten können, dass sich Cyber-Kriminelle Themen rund um die „Covid-19-Pandemie“ als Aufhänger in breit angelegten Social-Engineering-Angriffen zunutze machten, bei denen Malware verbreitet werde oder die Credential-Phishing und BEC-Betrug zum Ziel hätten.

Momentan vermehrt Angriffe, welche Nachrichten zu „Covid-19“-Impfstoffen ausnutzen

Bei den Themen ihrer Cyber-Attacken orientierten sich die Angreifer in der Regel an jenen, „die zum Zeitpunkt der Kampagne im Zentrum der öffentlichen Debatte stehen“. Zunächst sei mit der Existenz des Virus gelockt worden, dann mit Nebenschauplätzen wie Engpässen bei der medizinischen Versorgung.
Wie erwartet, beobachteten die Proofpoint-Forscher in den letzten zwei Monaten vermehrt Angriffe, welche die Nachrichten bezüglich der „Covid-19“-Impfstoffe ausnutzten – wie die Freigabe des Impfstoffes durch die jeweiligen Zulassungsbehörden, die Logistik der Impfstoff-Bereitstellung und die Verteilung des Impfstoffes an Ersthelfer und andere Personen.

Missbrauch bekannter Marken wie z.B. verschiedener Impfstoff-Hersteller

Im aktuellen Blog-Artikel zeigt Proofpoint demnach „Beispiele für E-Mail-Angriffe, die der Verbreitung von Malware dienen bzw. Phishing und BEC zum Ziel haben“. Diese Beispiele beinhalteten Belege für den Missbrauch bekannter Marken und Organisationen wie WHO, DHL und verschiedener Impfstoff-Hersteller, welcher bei den Attacken auf Benutzer in Unternehmen in Deutschland und Österreich, den USA und Kanada habe beobachtet werden können.
Als Köder dienten eine Reihe von Themen, darunter die Befürchtung, einer infizierten Person begegnet zu sein, – ferner staatliche Impfstoff-Zulassungen und der positive Einfluss auf die wirtschaftliche Entwicklung durch die Impfungen sowie Anmeldeformulare für Impfungen, Informations-Updates und die Lieferung des Impfstoffes.

Weitere Informationen zum Thema:

proofpoint, The Proofpoint Threat Research Team, 14.01.2021
Attackers Use COVID-19 Vaccine Lures to Spread Malware, Phishing and BEC

datensicherheit.de, 14.01.2021
Covid-19: Schwarzmarkt für Impfstoffe im Darknet expandiert / Betrugsversuche im Darknet nehmen zu – ebenso Preise und Produktvielfalt bei Impfstoffen

Check Point meldet erschreckende Zahlen zur Entwicklung von Ransomware-Angriffen für das dritte Quartal 2020

[datensicherheit.de, 08.10.2020] Sicherheitsforscher von Check Point liefern nach eigenen Angaben „erschreckende Zahlen“ zur Entwicklung von Ransomware-Attacken: Allein in Deutschland sind diese in den vergangenen drei Monaten laut Check Point um 145 Prozent angestiegen – es sei eine enorme Zunahme von Lösegeldforderungen in Deutschland entdeckt worden. 

Foto: Check Point Software Technologies GmbH

Lotem Finkelsteen: Vorsichtig sein und über sinnvolle IT-Sicherheitsstrategie nachdenken!

Unternehmen und Behörden: Augen nach Ransomware offen halten!

Nach Erstellung einer Studie durch Sicherheitsforscher von Check Point über das dritte Quartal 2020 schlagen diese Alarm: Es sei eine enorme Zunahme von Lösegeldforderungen in Deutschland um 145 Prozent entdeckt worden. Deutsche Unternehmen und Behörden werden demnach „eindringlich“ aufgefordert, die Augen nach Ransomware offen zu halten, denn in den vergangenen drei Monaten sei die Zahl der Ransomware-Attacken in der Bundesrepublik „in den Himmel“ geschossen.
Die Zahlen liefere einerseits die hauseigene „Threat Cloud“ von Check Point, welche über Millionen von Sensoren weltweit verfüge, auf diese Weise Attacken aller Art sammele und von einer integrierten Künstlichen Intelligenz (KI) auswerten lasse. Andererseits seien exklusive Nachforschungen der Spezialisten von Check Point eingeflossen.

Tägliche Ransomeware-Angriffe nahmen global im Durchschnitt um 50 Prozent zu

Weltweit hätten die täglichen Ransomeware-Angriffe im Durchschnitt um 50 Prozent zugenommen – im Vergleich zum ersten Halbjahr 2020. Attacken gegen das Gesundheitswesen hätten sich beinahe verdoppelt – in den USA rangierten diese mittlerweile auf Platz 1 der am häufigsten attackierten Bereiche.
Global würden folgende Sektoren besonders von Ransomware angegriffen: Kommunikation, Bildung und Forschung, Regierung und Militär, Software-Anbieter, Versorger (wie Gas, Wasser oder Strom). Am meisten hätten die Sicherheitsforscher die Ransomwares „Ryuk“ und „Maze“ am Werk gesehen – „Ryuk“ attackiere mittlerweile 20 Unternehmen je Woche.

Ransomware breitete sich mit Beginn der Conrona-Krise aus

„Ransomware breitete sich mit dem Beginn der ,Conrona‘-Krise aus, um die hektische Umstellung vieler Unternehmen auf Home-Office und damit mangelhaft gesicherte Fernzugriffe auszunutzen. Warum aber besonders die letzten drei Monaten einen derart starken Anstieg der Ransomware-Attacken zu verzeichnen hatten, meine ich an diesen Faktoren festmachen zu können“, berichtet Lotem Finkelsteen, „Head of Threat Intelligence“ bei Check Point Software Technologies:

• Erstens nähmen raffiniertere Angriffe, wie „Double Extortion“, also Doppelte Erpressung, zu. Hierbei würden Hacker sensible Daten vor der Verschlüsselung stehlen und mit deren Veröffentlichung oder Verkauf drohen, falls das Lösegeld nicht bezahlt wird.
• Zweitens passten die Angreifer ihre Geldforderungen in der Höhe den Unternehmen an, so dass diese mehr geneigt seien, das Lösegeld zu bezahlen, um schnell wieder arbeiten zu können. Hierbei komme jenen der wirtschaftliche Druck durch die „Corona“-Maßnahmen zugute.
• Drittens sei das größte und berüchtigste Bot-Netz, „Emotet“, nach fünfmonatiger Abstinenz zurückgekommen und sofort auf Platz 1 ihrer „Top-Malware-Liste“ gesprungen. Dieser Banking-Trojaner sei sehr modular, d.h. vielseitig verwendbar und diene vor allem dazu, Schwachstellen zu finden, auszunutzen, sich einzunisten und andere Malware nachträglich einzuschleußen.

Bedrohung durch Ransomware zum Jahreswechsel dürfte noch größer werden

Finkelsteen ergänzt: „Außerdem verkauften die Akteure einer ,Emotet‘-Kampagne die Informationen über ein erfolgreich infiziertes und somit anfälliges Opfer an andere Cyber-Kriminelle, die Ransomware einsetzen.“ Auf diese Weise vergrößere sich die Zahl der möglichen Ziele ständig.
„Leider vermute ich, dass die Bedrohung durch Ransomware zum Jahreswechsel hin noch größer werden wird, statt abzunehmen. Daher rufe ich alle Unternehmen und Behörden dazu auf, sehr vorsichtig zu sein und über eine sinnvolle IT-Sicherheitsstrategie nachzudenken.“

Weitere Informationen zum Thema:

Check Point Blog
Global Surges in Ransomware Attacks

datensicherheit.de, 02.10.2020
US-Wahlkampf: Malware Emotet nutzt Köder-Wirkung / Tausende mit Emotet infizierte E-Mails an Organisationen in den USA verschickt

datensicherheit.de, 17.08.2020
Wie Phoenix aus der Asche: Schadsoftware Emotet zurück / Der Trojaner wurde modifiziert und kann nun E-Mail-Inhalte von infizieren Rechnern auslesen

datensicherheit.de, 10.08.2020
Emotet nach Comeback auf Platz 1 / Check Point veröffentlicht „Global Threat Index“ für Juli 2020 und sieht Emotet, AgentTesla und Dridex auf Spitzenplätzen

Verlagerung des Unterrichts ins Internet macht diesen Bereich sehr attraktiv für Hacker

[datensicherheit.de, 16.09.2020] Auch dass Bildungswesen gerät offensichtlich weltweit ins Visier der Hacker. Die Verlagerung des Unterrichts ins Internet mache diesen Bereich sehr attraktiv für die Cyber-Kriminellen. In Europa maßen Sicherheitsforscher von Check Point nach eigenen Angaben einen durchschnittlichen Anstieg der wöchentlichen Attacken um 24 Prozent. So habe es z.B. in England die bekannte Newcastle-Universität bereits schwerwiegender getroffen.

Abbildung: Check Point

Check Point: Zunahme von Hacker-Angriffen gegen Bildungseinrichtungen beobachtet

Dozenten, Lehrer, Eltern und Schüler vor Bedrohung durch Hacker gewarnt

Sicherheitsforscher der Check Point® Software Technologies Ltd. haben demnach über die letzten Monate „eine rasante Zunahme von Hacker-Angriffen gegen Bildungseinrichtungen beobachtet“ und warnen Dozenten, Lehrer, Eltern und Schüler vor dieser Bedrohung – sie rufen zur Vorsicht auf.
Die Verlegung des Unterrichts ins Internet, über Video-Konferenzen mit Fernzugriff und andere Plattformen, locke Cyber-Kriminelle an, welche an den sensiblen Daten aller Beteiligten interessiert seien – oder schlicht für Unruhe sorgen wollten.

Zahl der wöchentlichen Hacker-Angriffe im Juli und August 2020 um 24% zugenommen

Im europäischen Raum habe die durchschnittliche Zahl der wöchentlichen Angriffe in den Monaten Juli und August 2020 um 24 Prozent zugenommen, verglichen mit den Monaten Mai und Juni. „Absolut bedeutet das einen Anstieg von 638 Attacken auf 793.“
Dagegen hätten die virtuellen Attacken in Europa insgesamt, „wenn alle Sektoren und Branchen betrachtet werden“, nur um neun Prozent zugenommen. Das unterstreiche, wie stark das Bildungswesen derzeit ins Visier von Hackern geraten sei.

Hacker versuchen vor allem, Daten über das Betriebssystem hinter einer Webseite zu stehlen

Die Angriffe in Europa hätten meist die Offenlegung von Informationen zum Ziel (information disclosure). Hacker versuchten dabei vor allem, Daten über das Betriebssystem hinter einer Webseite zu stehlen, wie das Software-Distributions-Paket, Sicherheits-Niveau anhand von Patches und die Version aller Programme.
Außerdem könnten unter den gestohlenen Informationen die Pfade von Back-Up-Dateien oder Temporären Dateien sein. „Je mehr solcher Daten ein Cyber-Krimineller ergaunert, um so einfacher fällt es ihm, ein Ziel erfolgreich anzugreifen.“

Universität von Newcastle in England kürzlich das Opfer einer Hacker-Attacke mit Ransomware geworden

Handelt es sich dabei um die Server und Rechner einer Universität oder Schule, winkten ihm also die sensiblen Informationen unzähliger Schüler und Studenten – oder die Möglichkeit, sämtliche Abläufe stark zu stören.
Die Universität von Newcastle in England sei kürzlich das Opfer einer Ransomware-Attacke geworden, welche ihre Netzwerke und IT-Systeme in Kommunikation und Arbeit behindert habe. „Die medizinische Fakultät musste daraufhin 1.000 zurückkehrende Studenten von Hand registrieren lassen. Die Führungskräfte der Universität sagten, die Behebung der Störung werde Wochen dauern.“

Weitere Informationen zum Thema:

Check Point SOFTWARE TECHNOLOGIES LTD
Not for higher education: cybercriminals target academic & research institutions across the world

datensicherheit.de, 07.09.2020
E-Learning: Bildungseinrichtungen vor Bedrohungen schützen / Matthias Canisius fordert „Sicherheitskultur des Misstrauens und der Wachsamkeit“ angesichts wachsender Bedrohungen durch Cyber-Angriffe

datensicherheit.de, 04.06.2020
DDoS: Bildungseinrichtungen im Dauerstress / Laut NETSCOUT besteht bezüglich Cybersecurity „immer Prüfungszeit“

datensicherheit.de, 12.05.2020
Cloud: Datenaustausch gefährdet IT-Sicherheit im Bildungssektor / 54 Prozent der Mitarbeiter in Bildungseinrichtungen nutzen Cloud-Anwendungen zum Austausch sensibler Daten

datensicherheit.de, 16.12.2018
Krypto-Jacking: Bedrohung vor allem für das Bildungswesen / NTT Security warnt vor Missbrauch von IT-Systemressourcen durch Cyber-Kriminelle

Verhaltensanalyse hilft, die „Dwell Time“ erfolgreicher Attacken zu verkürzen

[datensicherheit.de, 25.08.2020] Nach einer erfolgreichen Hacker-Attacke „verbringen Cyber-Kriminelle – halten Sie sich fest – im Schnitt 56 Tage in ihrer Zielumgebung“, warnt Egon Kando von Exabeam. Mitunter würden sie von der IT-Sicherheit erst nach Monaten oder Jahren entdeckt. Die „Dwell Time“ zu verkürzen, also die Verweildauer in Netzwerk, sei für die meisten Sicherheitsteams ein massives Problem, „weil diese bereits mit der Aufgabe überwältigt sind Angriffe abzuwehren“. Darüber hinaus hätten sie einfach keine Zeit, um aktiv nach bereits erfolgreichen Vorfällen zu suchen. Die Analyse von Benutzern und „Entities“ im Netzwerk sei eine der effektivsten Möglichkeiten, Angriffe auf Netzwerke abzuwehren – und helfe auch dabei, die Verweildauer erfolgreicher Angriffe zu verkürzen.

Foto: Exabeam

Egon Kando: Unternehmen können es sich einfach nicht mehr leisten, in Sachen Datensicherheit selbstgefällig zu sein!

Cyber-Kriminellen machen es sich nach erfolgreicher Attacke im Netzwerk gemütlich

In Filmen würden „Hacks“ oft als eine Art digitaler Bankraub dargestellt: „Die Hacker durchbrechen die Schutzmechanismen ihres Ziels auf dramatische Weise und haben dann nur wenige Minuten, um die begehrten Daten zu stehlen, während die IT-Sicherheit verzweifelt versucht die Angreifer zu stoppen.“ Die Realität sehe ganz anders aus, denn tatsächlich machten es sich die Cyber-Kriminellen meist im Netzwerk „gemütlich“ und verbrächten dort mitunter Monate oder Jahre vor ihrer Entdeckung.
Kando: „Wer so viel Zeit hat, kann natürlich sehr großen Schaden anrichten und die Verweildauer, auf Englisch ,Dwell Time‘ genannt, ist bei der Analyse von erfolgreichen ,Hacks‘ eine der wichtigsten Indikatoren, um festzustellen, wie schwerwiegend ein Angriff war.“ In vielen Fällen könnten bereits wenige Stunden Zugriff zu einer Kompromittierung erheblicher Datenmengen führen.

Nach der Attacke vor der Entdeckung 56 Tage in der Zielumgebung

In einem kürzlich erschienenen Bericht habe der globale Mittelwert der „Dwell Time“ von Cyber-Kriminellen vor ihrer Entdeckung bei 56 Tagen gelegen. Dieser Wert sei zwar deutlich besser als der des Vorjahres, als die Angreifer noch satte 78 Tage Zeit vor ihrer Entdeckung gehabt hätten. „In einigen Fällen blieben Verstöße jedoch mehrere Jahre lang unentdeckt, was für alle Beteiligten schwerwiegende Folgen hatte“, berichtet Kando.
Einer der Gründe dafür, dass Angriffe so lange unentdeckt bleiben könnten, sei die zunehmende Ausdehnung der Netzwerke der meisten Organisationen. „Je größer, verstreuter und unorganisierter solche Netzwerke werden, desto leichter fällt es Kriminellen, im Verborgenen zu bleiben.“ Einmal angekommen, navigierten die Angreifer unentdeckt durch das Netzwerk und scannten und exfiltrierten dabei Daten. Für Unternehmen, die sensible Kunden- oder geheime Forschungsdaten vorhalten, sei es natürlich ein Albtraum sich vorzustellen, dass sich Angreifer Monate oder gar Jahre unerkannt im Netzwerk aufhalten könnten. „Wie schwerwiegend solche lang andauernden Datenlecks für die betroffenen Unternehmen sind, belegen zahlreiche Beispiele“, unterstreicht Kando.

Albtraum der IT-Sicherheit: Jahrelang unentdeckte Attacken auf das Netzwerk

Es gebe unzählige Beispiele von Unternehmen, die Opfer von erfolgreichen „Hacks“ geworden seien, „deren Schäden in die Milliarden gingen“. Der US-amerikanische Finanzdienstleister Equifax habe nach Bekanntwerden eines großen Datenlecks 2017 beispielsweise 35 Prozent seines Börsenwerts verloren, „musste einen immensen Rufschaden hinnehmen und mehr als eine halbe Milliarde US-Dollar an Strafen bezahlen“.
Legendär, und in Sachen Verweildauer fast schon unerreicht, sei auch der Fall von Cathay Pacific aus dem Jahr 2018, bei dem 9,4 Millionen Passagierdaten kompromittiert worden seien. „Cathay Pacific brauchte mehr als sechs Monate für die Untersuchung, die eine Reihe schockierender Enthüllungen aufdeckte: Der früheste bekannte Zeitpunkt des unbefugten Zugriffs auf das Netzwerk war fast vier Jahre alt, nämlich im Oktober 2014.“ Die Angreifer seien also ganze vier Jahre unentdeckt im Netzwerk gewesen! „Und als wäre dies für Cathay Pacifics IT-Sicherheit nicht schon peinlich genug, war die Schwachstelle, über die die Angreifer eingedrungen waren, einfach auszunutzen und darüber hinaus sogar längst öffentlich bekannt“, führt Kando aus.

Attacken so früh wie möglich erkennen!

Beide Fälle dienten als Warnungen dafür, was im schlimmsten Fall geschehen könne, und als Beispiel, dass der Schaden begrenzt werden könne, „wenn die Verletzung der IT-Sicherheit so früh wie möglich erkannt wird“.
Dabei habe sich längst die Erkenntnis breitgemacht, dass jedes Unternehmen angreifbar sei – „und es nur eine Frage der Zeit ist, bis eine Sicherheitsverletzung auftritt“. Damit stelle sich die Frage, „welche Lösungen und Fertigkeiten die IT-Sicherheit benötigt, um diese böswilligen Aktivitäten so frühzeitig wie möglich erkennen zu können“.

Fortschrittliche Verhaltensanalyse bietet besseres Frühwarnsystem zum Aufdecken von Attacken

Offenbar sei es um die Fertigkeiten und eingesetzten Lösungen in vielen Unternehmen nicht gut bestellt, „wenn Angreifer im Schnitt gut zwei Monate Zeit haben es sich in einer Zielumgebung bequem zu machen“. Bei der Aufgabe, Angriffe entweder ganz zu verhindern oder die Verweildauer zu verkürzen, stünden viele Sicherheitsteams auf ziemlich verlorenem Posten.
Denn viele gängige Sicherheitslösungen produzierten vor allem eines: Fehlalarme. Um die Flut von Alarmen manuell abzuarbeiten, müssten die Teams viel Zeit aufwenden. Kando: „Dies lässt, wenn überhaupt, wenig Zeit sich mit dem noch längeren Prozess zu beschäftigen, Angreifer aufzuspüren, die es bereits ins Netzwerk geschafft haben, und diese zu beseitigen.“

Verdächtige Benutzer- oder Netzwerkaktivitäten effektiver identifizieren, um Attacken zu erkennen

Eine Technologie, die deutliche effektiver sei als die manuelle Bewertung von Sicherheitswarnungen, sei die Verhaltensanalyse. Sie könne dabei helfen, verdächtige Benutzer- oder Netzwerkaktivitäten effektiver zu identifizieren. Lösungen zu Verhaltensanalyse nutzten bereits bestehende Logs für Sicherheitsvorfälle – „was bedeutet, dass sie bereits den vollen Umfang und Kontext der zugehörigen Ereignisdetails kennen“.
Infolgedessen müssten Sicherheitsanalytiker nicht mehr eine große Anzahl von Ereignisprotokollen durchforsten, um von Hand Zeitleisten für Vorfälle zu erstellen. Durch den Wegfall dieses zeitaufwändigen Prozesses ließen sich potenzielle Sicherheitsverletzungen viel schneller erkennen, „wodurch die Sicherheitsteams Angreifern schnell auf die Spur kommen und die Verweildauer der Angreifer praktisch eliminiert wird“.

Traditionelle Sicherheitswerkzeuge und manuelle Analyse zur Abwehr von Attacken ungeeignet

Moderne Datenschutzbestimmungen seien strenger denn je, „was bedeutet, dass Unternehmen es sich einfach nicht mehr leisten können, in Sachen Datensicherheit selbstgefällig zu sein“. Aber da die Netzwerke heute größer und verstreuter seien als je zuvor, sei es unrentabel geworden, sie mit traditionellen Sicherheitswerkzeugen und manueller Analyse zu schützen.
Neue Technologien, wie z.B. die fortschrittliche Verhaltensanalyse, machten die zeitraubende Kleinarbeit, die ältere Tools erforderten, überflüssig, vermieden Fehlalarme und würden helfen, echte Bedrohungen viel früher zu erkennen.

Weitere Informationen zum Thema:

datensicherheit.de, 04.05.2020
FireEye Insights: Aktuelle Ransomware-Trends 2020 / Die Anzahl der Fälle stieg von 2017 bis 2019 um 860 Prozent

datensicherheit.de, 24.07.2019
Winnti: Zahlreiche Cyberangriffe auf DAX-Unternehmen / Vectra verweist auf mangelnde Transparenz in vielen Netzwerken

datensicherheit.de, 30.11.2016
CATS-Event 2016: HTW-Studenten simulieren Hackerangriffe / Gemeinschaftsveranstaltung der HTW Berlin und LightCyber am 30. November 2016 in Berlin

Die Anzahl der Fälle stieg von 2017 bis 2019 um 860 Prozent

[datensicherheit.de, 04.05.2020] Ransomware, also ferngesteuerte, digitale Erpressungsoftware, bedroht eine Vielzahl an Unternehmen und Organisationen, von den modernsten Raumfahrtunternehmen über Lebensmittelkonzerne bis hin zu industriellen Umgebungen, Behörden und das Gedunsheitswesen. Die Security-Analysten von FireEye Mandiant Intelligence haben zahlreiche Ransomware-Attacken aus den Jahren 2017 bis 2019 untersucht und dabei eine Reihe von gemeinsamen Merkmalen in Bezug auf Angriffstechnik, Verweildauer und Tageszeit identifiziert.

Ransomware-Trends – die wichtigsten Erkenntnisse auf einen Blick

Bild: FireEye

• Die Anzahl der Analysen von FireEye Mandiant zu Ransomware-Fällen stieg von 2017 bis 2019 um 860 Prozent.
• Die Vorfälle betrafen Organisationen weltweit in fast allen Branchen, darunter Finanzwesen, Chemie, Rechtswesen, Behörden und das Gesundheitswesen. Die Experten beobachteten Einbrüche, die finanziell motivierten Cyber-Kriminellen wie FIN6 oder TEMP.MixMaster zugeschrieben wurden, sowie Dutzende andere Aktivitäten.
• Bei zahlreichen Angriffen wurde die Ransomware sofort aktiviert, so beispielsweise bei Vorfällen mit den Varianten GANDCRAB und GLOBEIMPOSTER
• Die meisten Angriffe schienen jedoch komplexere „Post-Compromise“-Angriffe zu sein, bei denen die Akteure zunächst mögliche Zielnetzwerke sowie kritische Systeme erkunden, bevor sie die Ransomware gezielt einsetzen – vermutlich, um die Wahrscheinlichkeit einer Lösegeldzahlung zu erhöhen.
• Bei 75 Prozent der Angriffe vergingen mindestens drei Tage vom ersten Anzeichen des Vorfalls bis zur Aktivierung der Ransomware.
• Bei 76 Prozent der Vorfälle wurde die Ransomware außerhalb der üblichen Arbeits- und Bürozeiten, also vor 8.00 Uhr oder nach 18.00 Uhr an einem Wochentag oder am Wochenende ausgeführt. Die Akteure wollen damit wahrscheinlich die Erfolgschancen maximieren und gehen davon aus, dass Gegenmaßnahmen langsamer durchgeführt werden als während der normalen Arbeitszeiten. Es gibt Fälle, bei denen die Angreifer den Einsatz der Ransomware mit den Aktivitäten der Anwender verknüpfen: 2019 beispielsweise haben Angreifer bei Einzelhändlern und Dienstleistern Active Directory Gruppenrichtlinienobjekte (GPO) erstellt, wodurch die Aktivierung der Ransomware mit der An- und Abmeldung von Nutzern ausgelöst wurde.
• Angriffe über das Remote Desktop Protocol (RDP) – also über den Fernzugriff auf Windows-PCs – werden seit 2017 beobachtet. Bei diesen Angriffen loggt sich ein Angreifer über das RDP in ein System in einer Zielumgebung ein. In einigen Fällen testete der Angreifer damit die Zugangsdaten (viele fehlgeschlagene Authentifizierungsversuche, gefolgt von einem erfolgreichen). In anderen Fällen war eine erfolgreiche RDP-Anmeldung der erste Nachweis für böswillige Aktivitäten, gefolgt von einer Ransomware-Infektion. Werden schwache Zugangsdaten verwendet, kann dies einen RDP-Angriff begünstigen. Möglich ist auch, dass die Akteure die gültigen Zugangsdaten bereits über andere Aktivitäten ergattert oder von anderen Hackern erworben haben.
• Eine beträchtliche Anzahl von Ransomware wurde durch Phishing-Kampagnen verbreitet, darunter einige der erfolgreichsten Malware-Familien, die für finanziell motivierte Operationen verwendet werden: TRICKBOT, EMOTET und FLAWEDAMMYYY. Im Januar 2019 beobachteten die Analysten TEMP.MixMaster TrickBot-Infektionen, die zu einem interaktiven Einsatz von Ryuk führten.

Weitere Informationen zum Thema:

FireEye
Experten und Lösungsanbieter in der Cybersicherheit

datensicherheit.de, 28.04.2020′
Lucy: Erstmals Ransomware-Attacken gegen Android-Smartphones

datensicherheit.de, 28.04.2020
Malware: Cyberkriminelle nutzen die Angst vor dem Coronavirus

datensicherheit.de, 17.04.2020
Ransomware-Angriffe: Backups allein nicht ausreichend

datensicherheit.de, 17.04.2020
Neue Form der Cyberkriminalität: Doppelte Erpressung

Kommentar von Jochen Koehler, Regional Director DACH beim Sicherheitsanbieter Bromium

[datensicherheit.de, 09.05.2019] Und täglich grüßt das Murmeltier, könnte man angesichts der neuesten Warnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vor Ransomware-Attacken meinen. Es ist nicht das erste Mal, dass die Behörde mit einer entsprechenden Meldung an die Öffentlichkeit geht, und es wird auch nicht das letzte Mal sein. Längst ist Ransomware ein lukratives Geschäft für Cyber-Kriminelle und es gibt keine Anzeichen dafür, dass dieser Trend abebbt.

Muster einer Ransomware-Attacke ähnlich

Das Muster einer Ransomware-Attacke ist dabei immer ähnlich: Einfach formuliert, befällt ein Virus den Rechner, verschlüsselt die Daten und gibt sie erst frei, nachdem eine entsprechende Lösegeldzahlung – meist in Kryptowährungen wie Bitcoin – auf den Konten der Erpresser eingegangen ist. Immer raffinierter und professioneller werden die Angreifer – und sie haben es so leicht wie nie zuvor. Einerseits lassen sich Schadprogramme nach dem Baukastenprinzip zusammenstellen. Während die Kriminellen also wenig Geld in die Erstellung stecken, können sie sehr viel herausholen. Die Anonymität von Bitcoin ist zudem ideal, um Lösegeldforderungen zu stellen. Andererseits schlampen viele Unternehmen immer noch bei den essentiellsten Maßnahmen wie dem Einspielen neuester Sicherheits- und Betriebssystem-Updates. Mit anderen Worten: Die Diebe müssen sich gar nicht die Mühe machen, über das Kellerfenster einzudringen, die Haustür steht ja sperrangelweit offen.

Bild: Bromium

Jochen Koehler ist Regional Director DACH bei Bromium

Schadsoftware WannaCry nutzte eine Sicherheitslücke im Betriebssystem aus

Das Schadprogramm WannaCry beispielsweise verschlüsselte im Mai 2017 innerhalb weniger Tage in über 150 Ländern Daten auf mehr als 200.000 Windows-Rechnern. WannaCry nutzte eine Sicherheitslücke im Betriebssystem aus, für die Microsoft bereits Wochen zuvor ein Software-Patch bereitgestellt hatte. Kurze Zeit später legte Petya weltweit Computer lahm. Die Schadsoftware verbreitete sich hier nicht über Phishing-Mails, bei denen Mitarbeiter unbedacht auf Anhänge klicken. Vielmehr drang der Virus in Form eines Software-Updates für ein Buchhaltungsprogramm in Unternehmensnetze ein, das alle verwenden mussten, die mit der ukrainischen Regierung zusammenarbeiten. So befanden sich unter den Petya-Betroffenen die deutsche Beiersdorf AG und der internationale Lebensmittelriese Mondelēz.

Die aktuelle Ransomware-Welle, vor der das BSI so eindringlich warnt, nutzt laut Bundesbehörde Angriffsmethoden, die bis vor einigen Monaten nachrichtendienstlichen Akteuren vorbehalten waren. Der erste Schritt sind dabei meist breit angelegte Dynamit-Phishing-Kampagnen, wie die von Emotet, um sich Zugang zum Netzwerk zu verschaffen. Eine Dynamit-Phishing-Mail der neuesten Generation hängt bereits gestohlene Mails an, um so eine schon existierende Kommunikation aufzugreifen. Zudem bettet es täuschend echt aussehende Links auf die Domain des angeblichen Absenders ein. Einmal im Netz, breiten sich die Angreifer dann systematisch weiter aus. Dabei versuchen sie etwaige Backups zu manipulieren oder zu löschen und infizieren anschließend selektiv kritische Systeme manuell mit Ransomware. Da es sich um teilweise „existenzbedrohende Datenverluste“ handelt, wie es das BSI nennt, können die Angreifer bei ihren Forderungen ungeniert in die Vollen gehen.

Die Beispiele zeigen: Auch Systeme auf dem neuesten Stand der Technik können von Ransomware befallen werden. Die Frage lautet also, wie können sich Unternehmen schützen? Neben den allgemeinen Ratschlägen, regelmäßig Sicherheitskopien anzulegen, Betriebssystem und installierte Programme auf dem neuesten Stand zu halten, Benutzer- und Netzwerkrichtlinien einzuführen, aktuelle Schutz-Software zu installieren sowie die Mitarbeiter zu schulen, macht es doch viel mehr Sinn, die Angreifer einfach ins Leere laufen zu lassen. Applikations-Isolation mittels Micro-Virtualisierung sollte also die Antwort auf potenzielle Gefahren jeder Art sein. Wenn einzelne Tasks wie eine Browserabfrage oder das Öffnen eines E-Mail-Anhangs in einer eigenen Micro-Virtual Machine (VM) stattfinden, sind sie strikt voneinander, vom eigentlichen Betriebssystem und vom verbundenen Netzwerk getrennt. Mögliche Schädigungen bleiben somit immer auf die jeweilige Micro-VM beschränkt, ganz egal, wie neu oder alt oder aggressiv das Schadprogramm ist. Nach Beendigung einer Aktivität, etwa dem Schließen eines Files oder eines Browser-Tabs, wird die VM einfach gelöscht. Das Problem ist damit vom Tisch.

Fazit

Fakt ist, Angriffe via Ransomware wird es auch in Zukunft geben. Warum sollten die Cyber-Kriminelle ihr lukratives Geschäft aufgeben? Selbst wenn nur eines von tausend Unternehmen sich entschließt, das Lösegeld zu zahlen, gewinnen sie. Werden die Attacken allerdings isoliert, sind die Unternehmen und Behörden auf der sicheren Seite.

Weitere Informationen zum Thema:

datensicherheit.de, 30.04.2019
Cyberkriminelle nehmen Kryptowährungsbranche ins Visier

datensicherheit.de, 28.04.2019
Symantec-Studie: Wachsender Druck auf Security-Experten

datensicherheit.de, 26.04.2019
Ransomware: Die nicht endende Gefahr

datensicherheit.de, 24.04.2019
Ransomware: BSI warnt vor gezielten Angriffen auf Unternehmen

datensicherheit.de, 21.08.2018
Secure Platform: Schutz vor Download von Malware

DDoS-Statistiken für das vierte Quartal veröffentlicht

[datensicherheit.de, 09.02.2019] Nach aktuelle Erkenntnissen von Link 11 ist die Cyber-Kriminalität weiter auf dem Vormarsch: Die Angriffsbandbreiten seien „explodiert“ und verschärften die Gefahrenlage bei DDoS-Attacken. Das durchschnittliche Attacken-Volumen habe sich fast verdreifacht, das Maximum bei den Angriffsbandbreiten sei um 150 Prozent gestiegen.

Daten von über 14.000 Attacken

Die neuen DDoS-Statistiken des „Link11 Security Operation Centers“ (LSOC) zeigen demnach, wie sich das DDoS-Risikolagebild im 4. Quartal 2018 entwickelt hat. Die Daten stammten von über 14.000 Attacken, die zwischen Oktober und Dezember 2018 im Link11-Netzwerk in der DACH-Region registriert und abgewehrt worden seien.
Die Zahl der Angriffe habe mit 14.199 Attacken im letzten Quartal des Jahres 2018 auf einem gleichbleibend hohen Niveau gelegen – dabei habe sich das Angriffsprofil gewandelt.

Abbildung: link11
Zahl der Angriffe auf gleichbleibend hohen Niveau

Angriffsvolumen: Anstieg um 194 Prozent in zwölf Monaten

Die durchschnittliche Spitzenbandbreite habe sich im Vergleich zum Vorjahreszeitraum nahezu verdreifacht (194 %). Sie sei von 1,7 Gbps (Gigabit pro Sekunde | Gbit/s) im vierten Quartal 2017 auf 5,0 Gbps im vierten Quartal 2018 gestiegen.
Die Angreifer nutzten immer leistungsstärkere Botnetze, „die fast alle Ressourcen der digitalen Wirtschaft und Gesellschaft einbinden“ – wie missbrauchte Cloud-Server, gekaperte IoT-Geräte oder „Embedded Devices“.

Großvolumige DDoS-Attacken immer häufiger

Großvolumige DDoS-Attacken kämen immer häufiger vor. Allein im 4. Quartal 2018 habe das LSOC 13 Hyper-Attacken mit Angriffsvolumen von über 80 Gbps registriert. Die größte Attacke habe es auf 173,5 Gbps gebracht. Im 4. Quartal 2017 habe der Maximalwert noch bei 70,1 Gbps gelegen und keine der abgewehrten Attacken habe damals die 80-Gbps-Marke überschritten. Dies entspreche einer Zunahme von 150 Prozent.
Für die bandbreitenstarken Angriffe setzten die Täter vor allem auf zwei Reflection-Amplification-Vektoren: DNS (Domain Name System) und CLDAP (Connection-less Lightweight Directory Access Protocol). Auch bei den Datenübertragungsraten sei ein neuer Höchstwert zu verzeichnen: Die höchste Paketrate habe im 4. Quartal 2018 bei 46,4 Millionen pps (Packets per Second | Pakete Pro Sekunde) gestoppt. Im Vergleich zum Maximalwert im 4. Quartal 2017 mit 17,8 Millionen pps habe sich der Wert knapp verdreifacht.

Anteil der Multivektor-Attacken nimmt zu

Multivektor-Attacken hätten im 4. Quartal 2018 den Großteil aller Angriffe ausgemacht: Auf sie seien 59 Prozent der Attacken entfallen. Im Vorjahreszeitraum habe der Wert noch bei 45 Prozent gelegen. Bei den hochkomplexen Angriffen seien bis zu neun verschiedene Angriffstechniken zum Einsatz gekommen – die drei wichtigsten Vektoren seien CLDAP, DNS Reflection und SSDP Reflection.
„Die Zunahme der Schlagkraft und Komplexität der Angriffe ist weiterhin ungebremst“, warnt Link11-Geschäftsführer Marc Wilczek: „Angesichts von DDoS-Bandbreiten weit über 100 Gbps und Multivektor-Angriffen stoßen traditionelle IT-Sicherheitsmechanismen an ihre Grenzen.“ Ungeschützte Unternehmen riskierten „folgenreiche Betriebsunterbrechungen und Umsatzausfälle bis hin zu Bußgeldern“. Um diese geschäftskritischen Angriffe zu stoppen, benötigten Unternehmen laut Wilczek „einen proaktiven Schutz, der sich neuen, veränderten Angriffsszenarien automatisch anpasst und dafür auf zukunftweisende Technologien wie maschinelles Lernen setzt“.

Foto: Link11

Marc Wilczek: Unternehmen benötigen proaktiven Schutz!

Weitere Informationen zum Thema:

datensicherheit.de, 06.08.2018
Link11 DDoS-Report: Gefahr durch Hochvolumen-Angriffe bleibt