[datensicherheit.de, 06.04.2022] In seiner aktuellen Stellungnahme erläutert Hendrik Schless, „Senior Manager Security Solutions“ bei Lookout, die aktuelle und zukünftige Bedrohungslage für Unternehmen durch mobile Malware:

Foto: Lookout

Hendrik Schless: Angreifer sehen in mobilen Geräten Möglichkeit, sich seitlich zu bewegen, um sensible Daten von Konten oder Anwendungen zu sammeln…

Ernste Situation: Bedrohung für Unternehmen durch mobile Malware

Mobile Malware werde immer häufiger zu einer Bedrohung für Unternehmen: „Die Zahl der Angreifer, die ihre Werkzeuge diversifiziert haben, um neben Desktop-Zielen auch mobile Ziele anzugreifen, ist deutlich gestiegen.“ Dafür gebe es wahrscheinlich mehrere Gründe. Bestimmte Malware-Kategorien – wie z.B. Ransomware – hätten sich bei Angriffen auf die nicht-mobile Infrastruktur als erfolgreich erwiesen.

Die Angreifer hofften nun auf finanzielle Gewinne, indem sie sich einer Benutzerbasis zuwendeten, die oft nicht damit rechne, von mobilen „Spind“- oder Ransomware-Anwendungen angegriffen zu werden. Schless erläutert: „Mobile Ransomware wirkt sich zwar nicht direkt auf die Unternehmensinfrastruktur aus, kann aber den Zugang der Mitarbeiter zu den Unternehmensressourcen auf ihren Geräten beeinträchtigen.“

Überwachungs-Malware bietet Angreifern Möglichkeit, sensible Informationen zu sammeln

Überwachungs-Malware biete Angreifern eine zuverlässigere Möglichkeit, sensible Informationen über ein Unternehmen oder seine Mitarbeiter zu sammeln. Diese Informationen könnten für ausgeklügelte Spear-Phishing-Angriffe auf die Unternehmensinfrastruktur oder Unternehmensressourcen verwendet werden, selbst wenn diese vom Gerät eines angegriffenen Mitarbeiters aus nicht zugänglich seien.

Generell nutzten immer mehr Mitarbeiter mobile Geräte, um sich mit der Unternehmensinfrastruktur zu verbinden, „wenn sie von unterwegs aus arbeiten“. Diese zunehmende Abhängigkeit von mobilen Geräten für die Arbeit – und sogar für persönliche Erledigungen wie Bankgeschäfte – biete Angreifern eine größere Angriffsfläche.

Malware-Ziele Mobiltelefone mit zunehmender Bedeutung für Zugriff auf Konten

Eine größere Bedrohung für das Unternehmen sei zu erwarten – durch die größere Abhängigkeit von mobilen Geräten für die Arbeit und den Zugriff auf Konten.

Viele Benutzer setzten ihre mobilen Geräte auch für private Anwendungen ein und seien nicht unbedingt so versiert darin, Angriffe zu vermeiden oder wichtige Sicherheitsupdates auf dem neuesten Stand zu halten. „Angreifer sehen in mobilen Geräten daher oft eine Möglichkeit, sich seitlich zu bewegen, um sensible Daten von anderen Konten oder Anwendungen zu sammeln, die auf dem Gerät des Opfers installiert sind“, warnt Schless.

Adware: Laut neuester Bedrohungsanalyse von Malwarebytes größte Kategorie mobiler Malware

Adware könne eine Reihe verschiedener Funktionen umfassen, die über die Fälschung von Werbeeinnahmen hinausgingen. „Unternehmen, die von mobiler Werbung abhängig sind, kostet dies eine beträchtliche Menge Geld.“ Anspruchsvollere Adware könne Geräte lahmlegen, so dass ein komplettes Zurücksetzen des Geräts auf Werkseinstellungen erforderlich werde oder Benutzer nicht mehr auf Unternehmenskonten und -anwendungen zugreifen könnten.

Manche Adware könne im Rahmen ihrer Kampagnen auch sensiblere Daten über den Benutzer und sein Gerät ausspähen. Es sei dennoch unwahrscheinlich, dass eine Adware-Familie ein Unternehmen auf dieselbe Weise ernsthaft gefährde wie eine Überwachungsanwendung oder ein Ransomware-Sample. „Sie kann jedoch Geräte stören oder mehr Daten als nötig über die Mitarbeiter eines Unternehmens sammeln“, so Schless.

Mobile Malware in Zukunft größere Bedrohung für Unternehmen

Es sei sehr wahrscheinlich, dass mobile Malware in Zukunft eine größere Bedrohung für Unternehmen darstellen werde. „Die ,Pandemie‘ hat die Art und Weise, wie viele von uns arbeiten, verändert, und es ist unwahrscheinlich, dass wir unsere Abhängigkeit von mobilen Geräten für diese Arbeit verringern werden.“

Die Menschen verstünden zwar immer besser, dass ihre mobilen Geräte genauso anfällig für Angriffe seien wie ihre Desktop-Computer, aber es gebe immer noch wenig Wissen darüber, wie sie ihre Geräte schützen und Kompromittierungen vermeiden könnten.

Mobile Geräte immer bedeutender – Bedrohungsakteure werden Malware weiter diversifizieren, um Abhängigkeit auszunutzen

Mobilgeräte seien im Grunde das perfekte Spionage-Werkzeug: Sie könnten sensible Daten über ein potenzielles Ziel sammeln, passive Audioaufnahmen, Fotos und Details über das Soziale Netzwerk des Opfers aufzeichnen und seien fast immer mit einem Netzwerk verbunden. „Diese Funktionen, auf die wir zurückgreifen, sind verlockend für Angreifer, die auf der Suche nach Details für ausgeklügelte Spear-Phishing-Angriffe sind.“

Sie könnten sich auch als hilfreich erweisen, um zu versuchen, die Unternehmensinfrastruktur zu kompromittieren oder auf sie zuzugreifen, wenn der Zugriff über ein Mitarbeitergerät erfolge. „Da wir uns bei der Arbeit und im Privatleben immer mehr auf mobile Geräte verlassen, werden Bedrohungsakteure ihre Malware weiter diversifizieren, um diese Abhängigkeit auszunutzen“, so Schless‘ Fazit.

Weitere Informationen zum Thema:

datensicherheit.de, 06.01.2021
Malware macht mobil: Zunehmend Schadsoftware auf Smartphones / PSW GROUP warnt vor DDoS-Attacken über mobile Botnetze und Verteilung von Malware über offizielle App-Stores

[datensicherheit.de, 15.02.2022] Cyber-Attacken durch anonyme Angreifer von außen sind bei Weitem nicht die einzige Gefahr, mit denen Unternehmen konfrontiert sind. Nach Einschätzung von Hendrik Schless, „Senior Manager of Security Solutions“ bei Lookout, werde viel zu häufig das vom Fachkräftemangel sowie von Insider-Bedrohungen und Home-Office-Szenarien ausgehende Risiko unterschätzt. In seiner aktuellen Stellungnahme erläutert er die unterschiedlichen Aspekte und Akteure.

Hendrik Schless: Insider-Bedrohungen waren für Unternehmen schon immer ein Problem…

Ausweitung der Unternehmensinfrastruktur und zunehmende Abhängigkeit von der Cloud machen Problem nur noch komplexer

„Insider-Bedrohungen waren schon immer ein Problem. Angesichts der raschen Ausweitung der Unternehmensinfrastruktur und der zunehmenden Abhängigkeit von der ,Cloud‘ wird das Problem nur noch komplexer“, sagt Schless.

In der Vergangenheit seien herkömmliche „Data Loss Prevention“-Lösungen (DLP) an einem definierten Sicherheitsperimeter zum Einsatz gekommen, um den gesamten ein- und ausgehenden Datenverkehr zu überwachen. Die Schwierigkeit bestehe darin, dass diese „Tools“ keinen Einblick in die Interaktion der Benutzer mit den Daten innerhalb dieses Bereichs hätten. „Wenn also ein Benutzer eine Datei lokal herunterlädt oder bestimmte Änderungen vornimmt, wird das Sicherheitsteam möglicherweise nicht alarmiert.“

Einige Unternehmen hätten Lösungen zur Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) implementiert, welche Änderungen auf Dateiebene überwachten. Es gebe aber auch Möglichkeiten, dies zu umgehen.

Insider haben in Unternehmen oft Zugriff auf weit mehr Ressourcen als notwendig

Die „Cloud“ habe zwar enorme Fortschritte bei der Zusammenarbeit, der Skalierbarkeit und dem Datenzugriff von jedem Ort aus ermöglicht – sie habe aber auch mehr Risiken mit sich gebracht. Schless erläutert: „Insider haben oft Zugriff auf weit mehr Ressourcen, als sie eigentlich für ihre Arbeit benötigen. Angreifer haben sich daher zuletzt auf das Phishing von Zugangsdaten der Mitarbeiter konzentriert, um ihre Angriffe zu starten.“

Ein umfassender Zugriff auf die Infrastruktur bedeute auch, dass ein verärgerter, abtrünniger Mitarbeiter große Probleme für das Unternehmen verursachen könne.

Moderne DLP-Lösungen seien in der Lage, die Datennutzung zu überwachen – „unabhängig davon, wo sich die Daten in der Infrastruktur befinden und ob sie im Ruhezustand oder in Bewegung sind“. Die Kombination mit „User and Entity Behaviour Analytics“ (UEBA) als Teil einer größeren „Cloud Access Security Broker“-Lösung (CASB) sei der beste Weg, „um zu verhindern, dass Insider-Bedrohungen Daten gefährden“.

Fernarbeit macht es für Unternehmen nur noch schwieriger, den Überblick darüber zu behalten

Fernarbeit mache es für Unternehmen nur noch schwieriger, den Überblick darüber zu behalten, „wie ihre Benutzer auf Unternehmensdaten zugreifen, sie bearbeiten und verwalten“. Die notgedrungene Nutzung von nicht verwalteten Smartphones, Tablets, Laptops und PCs habe dazu geführt, dass viele Unternehmen die Kontrolle über ihre Daten verloren hätten.

„Sie konnten somit nicht sicherstellen, dass diese Geräte beim Umgang mit sensiblen Daten frei von Malware sind. Darüber hinaus gab es ohne die richtigen Tools keine Möglichkeit sicherzustellen, dass die Daten geschützt sind oder ordnungsgemäß behandelt wurden, sobald sie auf dem nicht verwalteten Gerät ankamen“, berichtet Schless.

Der Einsatz einer CASB-Lösung, welche den Benutzerzugriff und die Dateninteraktion sowohl von verwalteten als auch von nicht verwalteten Geräten überwachen könne, sei der Schlüssel, „um im Zeitalter der Fernarbeit die Datensicherheit zu gewährleisten“.

Sicherheits-Teams der Unternehmen müssen ausscheidende Mitarbeiter aus der Ferne ordnungsgemäß ausgliedern und gesamten Zugang sperren können

Die „Great Resignation“ setze die IT- und Sicherheitsteams aus zwei Gründen noch mehr unter Druck: „Erstens könnte ein Mitarbeiter, der kündigen will, versuchen, Daten zu stehlen – vor allem, wenn er zu einem Konkurrenten wechselt.“ Lookout habe dies im Jahr 2021 mehrfach in verschiedenen Branchen beobachtet, und es sei einer der häufigsten Anwendungsfälle für Insider-Bedrohungen. Zweitens müssten diese Teams die Mitarbeiter aus der Ferne ordnungsgemäß ausgliedern und ihren gesamten Zugang sperren. Außerdem müssten sie sicherstellen, „dass alles, was lokal auf dem Laptop gespeichert war, nicht auf ein persönliches Cloud-Konto oder einen Computer übertragen wurde“.

Im Sicherheitsbereich müsse ein gesundes Gleichgewicht zwischen dem Einsatz von Technologie und dem menschlichen Aspekt der Arbeit bestehen. Einige der erfolgreichsten Sicherheitsteams verließen sich auf „Tools“, um Risiken zu erkennen, „bevor sie auftreten“. Schless erklärt: „Genau dann, wenn ein Ereignis eine Regel auslöst, schalten sie jedoch einen Mitarbeiter ein, der die Situation beobachtet, um sicherzustellen, dass richtig gehandelt wird.“

Ein Beispiel hierfür sei der Schutz vor Datenverlust. Das „Tool“ fange eine sensible, freigegeben oder geänderte Datei ab, protokolliere die Aktion und stelle diese Datei vielleicht sogar unter Quarantäne. „Ein Mitglied des Sicherheitsteams kann dadurch die Situation bewerten, um dafür zu sorgen, dass keine längerfristigen Auswirkungen zu befürchten sind“, so Schless abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 31.03.2020
TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“

[datensicherheit.de, 07.01.2022] Auch in den letzten Tagen rissen die Meldungen über Cyber-Attackene auf Kritische Infrastrukturen (Kritis) in Europa nicht ab – neben Tanklagern in Deutschland offenbar auch Hafenanlagen in Belgien und nicht zuletzt der Flughafenservice Swissport. Zu dieser akuten Bedrohung nehmen nachfolgend drei Experten zum Thema Cyber-Sicherheit von Lookout, Tenable und Vectra AI Stellung:

Foto: Lookout

Hendrik Schless: Zugangsdaten werden häufig durch Phishing-Attacken auf mobile Geräten gestohlen!

Cyber-Attacken häufig auf Ziele mit größtmöglicher Betriebsunterbrechung

„Cyber-Angreifer zielen mit ihren Attacken häufig auf Ziele, an denen sie die größtmögliche Betriebsunterbrechung verursachen können. Auf diese Weise ist das Opfer möglicherweise eher bereit, Lösegeld zu zahlen, um seine Systeme wieder online zu bringen“, kommentiert Hendrik Schless, „Senior Manager of Security Solutions“ beim Sicherheitsanbieter Lookout. Aus diesem Grund seien Kritische Infrastrukturen, Krankenhäuser, Verkehrsknotenpunkte und städtische Stromnetze häufig in den Nachrichten über Ransomware-Attacken zu finden. Angreifer würden immer Wege finden, „um Drucksituationen zu schaffen, die ihnen zugutekommen“.

Ransomware sei keine neue Bedrohung, aber die Taktiken, die Angreifer anwendeten, um in die Unternehmensinfrastruktur einzudringen und Ressourcen zu sperren oder zu stehlen, entwickelten sich schnell weiter. Schless führt aus: „Vor Jahren noch haben Angreifer mittels ,Brute Force‘-Taktik eine kleine Schwachstelle in einem Unternehmen gefunden und diese dann ausgenutzt, um die Infrastruktur zu übernehmen. Heutzutage gibt es für Cyber-Kriminelle viel unauffälligere Wege, um in die Infrastruktur einzudringen. Meistens finden sie heraus, wie sie das Konto eines Mitarbeiters kompromittieren können, um sich mit legitimen Zugangsdaten anzumelden, die keinen Verdacht aufkommen lassen.“

Zugangsdaten würden häufig durch Phishing-Angriffe auf mobilen Geräten gestohlen. Auf Smartphones und Tablets hätten Angreifer unzählige Möglichkeiten, über SMS, Chat-Plattformen von Drittanbietern und Social-Media-Apps „Social Engineering“ zu betreiben. Neben dem Schutz des Endpunkts müssten Unternehmen auch in der Lage sein, den Zugriff und die Aktionen innerhalb von „Cloud“-Lösungen und privaten Anwendungen dynamisch zu sichern. Hierzu kämen als Lösungen „Zero Trust Network Access“ (ZTNA) und „Cloud Access Security Broker“ (CASB) ins Spiel. „Indem sie die Interaktionen zwischen Benutzern, Geräten, Netzwerken und Daten verstehen, können Unternehmen Schlüsselindikatoren für eine Kompromittierung erkennen, die auf Ransomware oder eine massive Datenexfiltration hindeuten. Die gemeinsame Absicherung von mobilen Endgeräten der Mitarbeiter sowie von ,Cloud‘- und privaten Anwendungen hilft Unternehmen, eine solide Sicherheitslage zu schaffen, die auf einer ,Zero Trust‘-Philosophie basiert“, erläutert Schless abschließend.

Vectra AI

Fabian Gentinetta: Obwohl Attacke auf Swissport vor der Verschlüsselung nicht gestoppt wurde, scheint der Schaden erfolgreich begrenzt worden zu sein

Ransomware vorherrschendes Geschäftsmodell bei Gruppen, welche Cyber-Attacken aus Profitgründen durchführen

„Ransomware ist das vorherrschende Geschäftsmodell bei Gruppen, die Cyber-Angriffe aus Profitgründen durchführen. Was wir bei der jüngsten Flut von Angriffen sehen, ist, dass begrenzte Strafverfolgungsmaßnahmen das Problem nicht lösen werden und dies sicherlich nicht über Nacht tun werden“, sagt Fabian Gentinetta vom Cyber-Sicherheitsexperten Vectra AI.

Aber Swissport scheine die Attacke mit minimalem Schaden an seiner Betriebskapazität eingedämmt zu haben, was für die Tatsache spreche, dass Ransomware kein Alles-oder-Nichts-Schachzug sei – „der ,erfolgreiche, aber begrenzte Ransomware-Angriff‘ ist eine Bezeichnung, von der wir hoffen, dass wir mehr sehen werden“.

Das Erkennen und Entfernen von Angreifern aus dem Netzwerk werde in vielen Organisationen zur täglichen operativen Aufgabe. „Obwohl der Angriff vor der Verschlüsselung nicht gestoppt wurde, scheint Swissport ihn schnell eingedämmt und den Schaden erfolgreich begrenzt zu haben. Am wichtigsten, insbesondere für Kritische Infrastrukturen, sind schnelle und funktionierende Backup-Prozesse, wie Swissport eindrucksvoll demonstriert hat“, so Gentinetta.

Foto: Tenable

Bernard Montel ruft Unternehmen auf: Ermitteln Sie die Kritischen Systeme, auf die Sie angewiesen ist, um zu funktionieren!

Schäden in Folge von Ransomware-Attacken auf Unternehmen offensichtlich

Bernard Montel, „EMEA Technical Director and Security Strategist“ bei Tenable, betont: „Wir haben gesehen, welchen Schaden Ransomware-Angriffe anrichten können, wenn Unternehmen nicht mehr arbeiten können, was wiederum Auswirkungen auf die Lieferkette hat und das Leben der Bürger beeinträchtigt.“ Die aktuellen Angriffe auf Oiltanking in Deutschland, SEA-Invest in Belgien und Evos in den Niederlanden sowie Swissport seien besorgniserregend, aber Gespräche über koordinierte Angriffe von Nationalstaaten seien verfrüht. „Das wahrscheinlichste Szenario ist, dass die Angreifer mit einer Datenbank arbeiten, die ähnliche Ziele enthält, und mit ihren Bemühungen ins Schwarze treffen“, so Montel.

Zwar könne es Monate dauern, bis die Einzelheiten eines Angriffs geklärt sind, doch erste Berichte deuteten darauf hin, dass „BlackCat“, wobei es sich vermutlich um eine neue Marke von „BlackMatter“ handele, für die Angriffe auf die Kraftstoffbranche in ganz Europa verantwortlich sein könnte. In einem anderen Fall sei KP Foods diese Woche ebenfalls Opfer von Ransomware geworden, wobei „Conti“ für diese Ausfälle verantwortlich gemacht worden sei. „Was wir über diese beiden Hacker-Gruppen wissen, ist, dass sie ein Ransomware-as-a-Service (RaaS)-Geschäftsmodell betreiben. Das bedeutet, dass es sich um Organisierte Kriminalität mit Opferdatenbanken und zahlreichen Partnern handelt. Diese binden sich nicht an eine bestimmte Ransomware-Gruppe, sondern arbeiten oft mit mehreren Gruppen zusammen und setzen leistungsstarke Bots ein, um die Verbreitung der Malware zu automatisieren.“

Aus der Sicht des Opfers sei es eigentlich irrelevant, wer dafür verantwortlich ist, zumal dies wahrscheinlich erst in einigen Monaten bekannt sein werde. „Die wichtige Frage ist jedoch, wie die Angriffe erfolgten. In den meisten Fällen, wie im Fall von ,BlackMatter‘ und ,Conti‘, ist es eine bekannte Schwachstelle, die es der Malware ermöglicht, in die Infrastruktur einzudringen und Systeme zu verschlüsseln.“ „BlackMatter“ sei dafür bekannt, dass es auf Remote-Desktop-Software abziele und zuvor kompromittierte Zugangsdaten ausnutze, während „Conti“ dafür bekannt sei, bei seinen Angriffen Schwachstellen wie „Zerologon“ (CVE-2020-1472), „PrintNightmare“ (CVE-2021-1675, CVE-2021-34527) und „EternalBlue“ (CVE-2017-0143, CVE-2017-0148) zu nutzen. Ein weiterer Angriffspfad sei die Ausnutzung von Fehlkonfigurationen in „Active Directory“, wobei sowohl „Conti“ als auch „BlackMatter“ dafür bekannt sind, diese Taktik anzuwenden.

Unternehmen müssten beachten, dass grundlegende Sicherheitsprinzipien den Angriffspfad von Ransomware weitestgehend blockieren könnten. Sicherheitsteams müssten Lösungen einsetzen, die angemessene Transparenz, Sicherheit und Kontrolle über die „Cloud“ und die konvergierte Infrastruktur böten. Montel unterstreicht: „Ich rufe Unternehmen auf: Ermitteln Sie die Kritischen Systeme, auf die Sie angewiesen ist, um zu funktionieren. Identifizieren Sie alle Schwachstellen, die diese Systeme betreffen, und ergreifen Sie dann Maßnahmen, um das Risiko entweder zu patchen oder zu beheben. Kümmern Sie sich auch um übermäßige Berechtigungen in ,Active Directory‘, die es Angreifern ermöglichen, ihre Privilegien zu erhöhen und die Infrastruktur weiter zu infiltrieren!“

Schließlich warnt Montel noch eindringlich: „Werden diese grundlegenden Maßnahmen nicht ergriffen, ist das Unternehmen verwundbar und es droht eine Unterbrechung, egal wer angreift!“

Weitere Informationen zum Thema:

tenable, TENABLE BLOG, Claire Tills, 29.10.2021
Examining the Treat Landscape

tenable, TENABLE BLOG, Derek Melber, 28.10.2021
Active Directory is Now in the Ransomware Crosshairs

datensicherheit.de, 02.02.2022
Cyber-Angriff auf Oiltanking legt Shell-Zulieferer lahm / Zunehmend stehen Kritische Infrastrukturen und Lieferketten im Fokus Cyber-Krimineller, warnt auch René Golembewski

datensicherheit.de, 01.02.2022
Tanklager in Deutschland nach Cyber-Angriff lahmgelegt / IT-Security-Experten geben erste Einschätzung zu Angriff auf Oiltanking