Malware-as-a-Service als Geschäftsmodell

Von unserem Gastautor Bogdan Botezatu, Leiter der Bedrohungsanalyse bei Bitdefender

[datensicherheit.de, 15.12.2020] Die sich weiter professionalisierende Hacker-Industrie bietet nicht nur Malware und Tools zur Miete an. Kriminelle Experten stellen auch ihre Arbeitsleistung für Geld zur Verfügung. Deren Expertise für Advanced Persistent Threats (APTs) erfordert zur Erhöhung der Cybersecurity eine Abwehr auf Augenhöhe: Managed Detection and Response (MDR).

Cyber-Kriminalität rientiert sich verstärkt am Vorbild der Geschäftswelt

In den letzten Jahren hat sich die Cyber-Kriminalität weiter organisiert und orientiert sich dabei verstärkt am Vorbild der Geschäftswelt. Fast ein Jahrzehnt lang bot zunächst Malware-as-a-Service den schnellen Einstieg in die Welt des Cybercrime und schon immer waren die verschiedensten Werkzeuge auf dem illegalen Markt: Remote Access Trojaner (RAT), Bot-Netze für den Spam-Versand oder sogar anspruchsvolle Ransomware-Angriffe. Derart ausgestattet können mittlerweile Täter mit geringer technischer Kompetenz selbst komplexe Malware bedienen. Die erzielten Einnahmen werden wie im normalen Wirtschaftsleben unter den verschiedenen Mitwirkenden geteilt: Dann erhält zum Beispiel der Hersteller 40 Prozent und der Rest geht an die Betreiber, welche die Attacke durchführen.

Das vorhandene Ökosystem aus Dienstleistungen und Schadsoftware hat Cyber-Kriminelle dazu angeregt, ihre Arbeitsteilung im industriellen Stil weiterzuführen: Entwickler schreiben den Code, Produktmanager entwerfen die umfassenden Roadmaps und berücksichtigen dabei die Gegenmaßnahmen der Abwehr. Ein technischer Support unterstützt die Anwender in ihrem Tagesgeschäft. Finanziert wird das ganze Geschäftsmodell von den Opfern. In eigener Sache werben die Akteure dann in sozialen Medien oder unter einem Forum-Alias mit den erzielten finanziellen Ergebnissen vergangener Kampagnen, um neue Partner zu rekrutieren.

Cybersecurity vs. Malware-as-a-Service als Geschäftsmodell

Kommerzielle Malware-as-a-Service hat leider ihre Leistungsfähigkeit bewiesen. Analysen zeigen, dass der Trend zu Kommerzialisierung im negativen Sinne nachhaltiger und weitreichender ist, als man vermutet: Entwickler und Partner erzielen Einnahmen in Milliardenhöhe. Die Urheber der GandCrab-Ransomware-Attacke gaben zum Beispiel 2019 in Untergrundforen an, mehr als zwei Milliarden US-Dollar von den angegriffenen Unternehmen erpresst zu haben.

Von der kriminellen Malware zum APT-Dienstleister

Vor zwei Jahren haben APT-Söldnergruppen begonnen, ihre Dienste anzubieten. Sie wenden sich an Akteure in wichtigen Positionen, die an anspruchsvollen Angriffsmethoden interessiert sind und möglicherweise mit Regierungen zusammenarbeiten. Diese Gruppen haben IT-Systeme in weiten Teilen Europas sowie in Deutschland im Fokus und nutzen fortschrittliche Taktiken, Techniken und Prozesse (TTPs) für die Spionage sowie den Diebstahl sensibler Informationen.

Die bis dahin unbekannte APT-Gruppe RedCurl attackierte 2018 mehrere Unternehmen aus den Bereichen Banken, Versicherungen, Recht, Bauwesen, Finanzen, Beratung, Einzelhandel und Tourismus. Laut der Analyse der IT-Sicherheitsexperten von Group-IB nutzten die Urheber ein leistungsfähiges Malware-Framework für die Datenexfiltration. Im Sommer 2020 legte Bitdefender die Aktivitäten einer weiteren, professionell agierenden APT-Angreifergruppe offen: Ihr Geschäftsmodell beruhte auf Cyber-Spionage in der Immobilienbranche. Dafür nutzte sie eine bösartige Payload, die sich als Plugin für die beliebte 3D-Computergrafiksoftware Autodesk 3ds Max tarnte. Professionelle Tests des Codes gegen Abwehrlösungen stellten sicher, dass die Malware beim Ausspielen nicht entdeckt wurde.

Bogdan Botezatu, Leiter der Bedrohungsanalyse bei Bitdefender, Bild: Bitdefender

Die Expertise der hinter solchen Angriffen stehenden Organisationen hebt Cyber-Kriminalität auf ein neues Niveau. APT-Tools zur Spionage sind die Produkte erfahrener Entwickler-Teams, die über hochspezialisierte Kenntnisse verfügen. Diese nutzen für das jeweilige Vorhaben zugeschnittene Toolkits. Sie verhindern zudem, dass sich die Schadsoftware über das eigentliche Angriffsziel hinaus weiter ausbreitet. In der Folge gelangen Anbieter von Abwehrlösungen seltener an eine Kopie der Malware, um diese in Zukunft zu erkennen. Das stellt die Abwehrteams gerade kleinerer und mittlerer Unternehmen vor große Herausforderungen. Herkömmliche Ansätze, Malware dateibasiert zu erkennen, übersehen zum Beispiel polymorphe Malware-Samples und sogenannte Fileless Malware. Living-off-the-Land Taktiken, die zum Beispiel das Remote Desktop Protocol (RDP) oder andere legitime Tools missbrauchen, sind nur schwer festzustellen. Dies macht es kleinen und mittleren Unternehmen und Organisationen sehr schwer, auf diese Gefahren mit der notwendigen Schnelligkeit zu reagieren.

Die meisten Unternehmen verfügen zwar über grundlegende Technologien zum Schutz vor verschiedenen Malware-Arten. Aber die hochentwickelten Werkzeuge der APT-Profis können sich nach Eindringen in das Unternehmensnetzwerk unter dem Radar der Abwehr bewegen und deren Maßnahmen zumindest für eine Weile ausweichen.

Abwehr professionalisieren

Allein mit Lösungen für die Endpunktsicherheit lassen sich bösartige Verhaltensweisen und Nutzlasten über die ganze Angriffskette hinweg nicht erkennen. Technologie allein genügt nicht, um komplexe und mit hohem Anspruch und Können entwickelte Attacken zu identifizieren. Sich gegen APT-Angreifer zu verteidigen, verlangt nach einem Zusammenspiel von Software und Experten.

Um sämtliche Absichten und das volle Ausmaß einer von Profis gefahrenen Attacke aufzudecken, kommt es nämlich auf die Beurteilung von den in einer EDR-Lösung (Endpoint Detection and Response) aggregierten Ereignissen durch einen menschlichen Analysten an. Ein relevanter Vorfall wird dafür an Spezialisten für digitale Forensik zur Analyse übergeben. Das Incident Management dämmt den Schaden ein. Es reduziert die Kosten und die Zeit, um den vorherigen Systemstatus oder Datenbestand wiederherzustellen und verhindert einen Reputationsschaden.

Doch das für eine solche Analyse erforderliche Fachwissen ist rar und hat seinen Preis. Zudem braucht es seine Zeit, ein Team von Cyber-Risikospezialisten zu schulen. Angesichts hochentschlossener Angreifer sollten viele Unternehmen daher erwägen, sich Hilfe von außen in Form von Angeboten zu Managed-Detection-and-Response zu holen.

Ein extern betriebenes MDR (Managed Detection and Response) kombiniert bewährte Sicherheitstechnologien für Endpoint-Detection-Sicherheitsanalysen und Untersuchungen des Netzwerkverkehrs mit der notwendigen Kompetenz und Kenntnis hochqualifizierter Experten. Eine solche ausgelagerte, zusätzliche IT-Sicherheitszentrale unterstützt Unternehmen, die nicht auf weitergehende Technologien – wie etwa SIEM (Security Information and Event Management), TIP (Threat Intelligence Platform) und SOAR (Security Orchestration Automation and Response) – zurückgreifen können oder nicht genug Personal besitzen, um geschäftskritische Cyber-Bedrohungen rund um die Uhr abzuwehren. Die zusätzliche Betreuung durch Experten ermöglicht eine fortschrittliche Erkennung von Sicherheitsvorfällen mit einer schnellen Reaktion unter Verwendung automatisierter, zuvor genehmigter Prozesse. So sind die externen Analysten in der Lage, zügig Maßnahmen zu ergreifen, Bedrohungen abzuschwächen und abzuwehren.

Zu den MDR-Angeboten gehört darüber hinaus das aktive Threat Hunting bis hin zur Überwachung des Dark Webs sowie die Forensik zur Untersuchung kontextbezogener und verwertbarer Bedrohungsindikatoren. Die Experten analysieren zudem den Risikofaktor Mensch, beziehungsweise Mitarbeiter. Kundenspezifisch definierte Bedrohungsmodelle ermöglichen eine angepasste Reaktion auf Vorfälle. Gezielt lassen sich unternehmenskritische und für das Unternehmen mit besonderen Risiken behaftete Angriffsziele überwachen. Das Security Operation Center (SOC) des MDR-Anbieters bietet die Erfahrung von Experten und liefert Berichte entsprechend der Anforderungen von Kunden aus verschiedenen Branchen.

Augenhöhe wiederherstellen

Nicht nur die Bedrohungslandschaft hat sich also verändert – sondern auch die Organisation, die Strukturen und letztlich auch die Personalausstattung der Cyber-Kriminellen. Deren Vorbild sind dabei die Arbeitsteilung und die Geschäftsmodelle in der legalen Geschäftswelt. Angreifer lagern Technik und Entwicklung aus. Böswillige Dienstleister bringen sich mit ihren Angeboten für den Angriff auf Unternehmen jeder Größe und in allen Bereichen weiter in Stellung, um von der Cyber-Kriminalität zu profitieren. Da ist es an der Zeit, dass auch die legale Wirtschaft sich auf seine Kollaborationsprozesse besinnt: Die Unternehmen benötigen dabei nicht nur den Zugriff auf Abwehrtechnologien, sondern auch auf Kompetenz und Erfahrung von externen Experten, um den Schadakteuren die Stirn zu bieten. Was man braucht, aber nicht selbst kann, kauft man sich ein.

Weitere Informationen zum Thema:

datensicherheit.de, 06.08.2018
Sicherer Zugang zu öffentlichen WLANs

Bitdefender
Website

[datensicherheit.de, 03.06.2020] SentinelOne, Anbieter einer autonomen Cybersicherheitsplattform, ist der offizielle Cybersicherheitsanbieter für den britischen Luxusautohersteller Aston Martin. Der Automobilhersteller setzt die Endpoint-Protection-Plattform der nächsten Generation ein, um seine Produktion, seine Zentrale, seine Lieferkette und seine Außenstellen gegen die sich ständig weiterentwickelnde Bedrohungslandschaft zu sichern.

Erhebliche Investitionen in die Cybersicherheit

Das 1913 gegründete Unternehmen Aston Martin entwickelt seit mehr als einem Jahrhundert außergewöhnliche Automobile, die nach eigenen Angaben mit höchsten Ansprüchen an Ästhetik, Handwerkskunst und Technik gebaut werden und zum Inbegriff des britischen Luxus geworden sind. Angesichts der wachsenden Bedrohungslandschaft investierte Aston Martin erheblich in die Revolutionierung seines Cyber-Sicherheitsprogramms mit einer über die Cloud bereitgestellten künstlichen Intelligenz, um den alten Virenschutz zu ersetzen. Das alte Virenschutzprogramm war als Verteidigung gegen moderne Malware und Ransomware-Angriffe nicht mehr geeignet. Darüber hinaus erforderte der Betrieb der alten Sicherheitslösung den Einsatz zu vieler Mitarbeiter und erwies sich als Störfaktor für die Kunden des Automobilherstellers. Angesichts einer komplexen IT-Landschaft mit Windows, Mac, Linux und Cloud-Workloads sowie hochspezifizierten CAD-, CAE- und Design-Produktions-Workstations benötigte Aston Martin eine Lösung, die problemlos über verschiedene Betriebssysteme hinweg funktioniert und robuste APIs für die nahtlose Integration in den Technologie- und Cybersicherheits-Stack aufweist.

„Eine Lösung, die unseren Kunden sowie unseren Ingenieuren und Konstrukteuren Probleme bereitet, war keine Option für uns“, kommentiert Steve O’Connor, Director of Information Technology, Aston Martin. „Wir wollten eine Plattform, die einfach zu bedienen und für die Benutzer fast unsichtbar ist, die uns aber gleichzeitig volles Vertrauen und Sicherheit gibt. Vor allem wollten wir etwas zukunftssicheres, da Aston Martin Lagonda ständig Innovationen einführt.“ 

„Wir waren beeindruckt, wie schnell SentinelOne mit Fähigkeiten, die wir von keinem anderen Anbieter gesehen haben, zum Marktführer für Unternehmenssicherheit wurde“, fährt O’Connor fort. „Nach einem Auswahlverfahren gingen drei Anbieter zum Proof-of-Concept über. Während dieses Prozesses setze sich SentinelOne klar von der Konkurrenz ab und zeigte eine deutliche Führungsrolle gegenüber anderen etablierten Anbietern. Wir sahen einen unübertroffenen Schutz und eine sehr geringe Anzahl von Fehlalarmen, während wir gleichzeitig positive Reaktionen von Benutzern aller Betriebssysteme erhielten.“

Die Singularity-Plattform von SentinelOne ist ein produktorientierter Ansatz, der auf preisgekrönter, patentierter KI und Machine Learning basiert. Die Lösung ist nicht nur dazu in der Lage, Angriffe zu verhindern, sondern auch autonom jede Bedrohung abzuwehren, so dass technisches Personal entlastet wird und die Gewissheit besteht, dass keine Bedrohung übersehen wird. Automobilhersteller konnte dieses Vertrauen in die Sicherheit mit dem MDR-Dienst (Managed Detection and Response) „Vigilance“, der rund um die Uhr eine globale SOC-Skalierbarkeit bietet und selbst vor den komplexesten Bedrohungen schützt, nach Angaben von SentinelOne auf die nächste Stufe heben.

„Schon unmittelbar während des Proof-of-Concept erwies sich SentinelOne als die richtige Lösung für uns. Die Einrichtung war einfacher, als wir erwartet hatten, trotz unserer komplexen Umgebung. Zu sehen, wie die SentinelOne-Plattform Bedrohungen frontal bekämpft – auch die, die unser bisheriger Virenschutz übersehen hat – war ein großer Moment für das Team“, sagt O’Connor.

Neben Aston Martin haben sich kürzlich eine Vielzahl an Kunden für SentinelOne entschieden, um alte und neue Virenschutzprogramme zu ersetzen. Das Unternehmen hat in der gesamten EMEA-Region ein außergewöhnliches Wachstum verzeichnet und in den letzten Monaten Dutzende von Organisationen mit mehr als 50.000 Endpunkten bei führenden Finanzdienstleistern, im Einzelhandel, in der Produktion und bei Behörden gewonnen.

„Mit der Sicherung der Mitarbeiter, Plattformen und Systeme von Aston Martin Lagonda betraut zu werden, ist eine Ehre. Wir sind davon überzeugt, dass der patentierte Ansatz von SentinelOne nicht nur ein unübertroffenes Maß an Schutz und Sichtbarkeit bietet, sondern auch der Erfahrung gerecht wird, die wir mehr als 4.000 führenden Unternehmen weltweit zur Verfügung stellen. Mit SentinelOne hinter dem Lenkrad hebt Aston Martin seine Cyber-Abwehr auf ein neues Niveau und spart gleichzeitig Zeit und Betriebskosten bei der Durchführung einer globalen Cyber-Sicherheitsoperation“, sagt Nicholas Warner, Chief Operating Officer bei SentinelOne.

Weitere Informationen zum Thema:

datensicherheit.de, 23.01.2020
Sensible Kundendaten: Datenleck beim Autovermieter Buchbinder

[datensicherheit.de, 19.07.2019] Ransomware hat sich weitestgehend aus den Schlagzeilen verabschiedet, richtet aber weiterhin Schäden an. Die Reederei Maersk berichtete von 250 bis 300 Millionen US-Dollar Schaden durch den Ausbruch von NotPetya. Norsk Hydro kostete der Ransomware-Angriff vor wenigen Wochen rund 40 Millionen Dollar. Baltimore City schätzt die Folgen des jüngsten Ransomware-Angriffs auf 18 Millionen Dollar an verlorenen oder verzögerten Einnahmen sowie Kosten für Abhilfemaßnahmen. Es reicht offensichtlich nicht, sich darauf zu konzentrieren, Infektionen nachträglich zu stoppen. Angreifer können sich mehrere Monate lang in der Netzwerkumgebung verstecken und auf den richtigen Zeitpunkt für einen Angriff warten. Die eigentliche Frage muss daher nach Meinung von Vectra lauten: „Sind wir bereits kompromittiert?“

Es geht um Hoffnung, nicht um Angst

In der Vergangenheit hat die Sicherheitsbranche die Angst als Hauptbeweggrund für die Rechtfertigung von Ausgaben in Unternehmen genutzt. Bei der Cybersicherheit sollte es jedoch nicht darum gehen, Angst zu schüren, sondern die Hoffnung auf Besserung zu wecken. Unternehmen jeder Größe sind überfordert von ständigen Sicherheitswarnungen und demoralisierenden Sicherheitsverletzungen. Cybersicherheit steht mittlerweile ganz oben auf der Tagesordnung, und Unternehmen investieren in den Schutz ihrer Datenbestände und Datenprozesse. Der Ansatz ist nach Beobachtungen von Vectra zunehmend proaktiv und bietet neue Möglichkeiten, Lücken bei der Erkennung, Reaktion und Überwachung von Bedrohungen zu schließen.

Sicherheitsverantwortliche benötigen den effektivsten Weg, um die wertvollsten Vermögenswerte zu schützen, Sicherheit zu einem integralen Bestandteil des Unternehmens zu machen und die Digitalisierung voranzutreiben. Sie benötigen aber auch das Vertrauen der Mitarbeiter, Kunden und Partner, die mit ihnen zusammenarbeiten.

Bedrohungen schneller finden

Viele Sicherheitsteams prüfen derzeit Möglichkeiten, ihre Fähigkeiten zur Bedrohungserkennung und Reaktion auf Vorfälle zu verbessern. Sie stellen aber fest, dass die Implementierung erhebliche Fähigkeiten und Ressourcen erfordert. Gleichzeitig sind sie mit einem branchenweiten Mangel an Cybersicherheitsressourcen konfrontiert. Der weltweite Fachkräftemangel in diesem Bereich nähert sich laut (ISC)² der Zahl von drei Millionen. Aus diesem Grund setzen Unternehmen auf Managed Detection and Response (MDR)-Dienste, um ihre Bedrohungserkennung zu beschleunigen. Bedrohungen können dadurch viel schneller erkannt und eingedämmt werden.

Gartner hat MDR als den nächsten Schritt in der Bedrohungsüberwachung und im Einsatz bei Vorfällen identifiziert. Bis 2020 werden 15 Prozent der Unternehmen MDR-Dienste nutzen, gegenüber heute weniger als 5 Prozent, so der Market Guide for Managed Detection and Response Services von Gartner. MDR-Dienste sind ideal für jedes Unternehmen, dem es an internen Sicherheitsressourcen und Fachwissen mangelt, das aber Lücken bei der Erkennung, Reaktion und Überwachung von Bedrohungen schließen möchte.

„Selbst wenn ein SOC (Security Operations Center) oder SIRT (Security Incident Response Team) im Einsatz ist, benötigen Unternehmen manchmal zusätzliche Unterstützung und die Erweiterung ihrer Fähigkeiten bei der Bedrohungssuche oder eine Entlastung des internen Teams. Immer mehr große Unternehmen ergänzen ihre SOC- und SIRT-Teams durch MDR-Dienstleistungen“, berichtet Andreas Müller, Regional Director DACH bei Vectra. „Für mittelständische Unternehmen sind MDR-Dienste besonders attraktiv, da sie eine bessere Passform bieten als eine aufwändige, breite Überwachung von Sicherheitsereignissen.

KI-gesteuerte Netzwerkerkennung und -reaktion

Die Network-Detection-and-Response-Plattform Cognito von Vectra ist die Grundlage für eine wachsende Anzahl von MDR-Angeboten von Managed-Security-Service-Providern. Die KI-basierte Plattform erkennt aktive Bedrohungen in Echtzeit im gesamten Unternehmen – von Cloud- und Rechenzentrums-Workloads bis hin zu Benutzer- und IoT-Geräten.

Cognito analysiert den Cloud- und Netzwerkverkehr, reichert die Metadaten an und priorisiert die risikoreichsten Bedrohungen in Echtzeit. Cognito nutzt hochentwickelte KI, Sicherheitsanalyse, Data Science, sowohl lokal selbstlernend als auch global aktualisiert mit überwachtem Lernen.

Es werden keine Kundendaten zu Cognito hochgeladen, was die Bedenken hinsichtlich des Datenschutzes und der Notwendigkeit einer kontinuierlichen Internetverbindung entkräftet.

Sicherheitsanalysten nutzen Cognito zur Bedrohungssuche und zur Durchführung schlüssiger Untersuchungen von Vorfällen. Ob bei ihrem MSSP oder im eigenen Security Operations Center im Einsatz: Sicherheitsanalysten haben stets die richtigen Informationen zur richtigen Zeit zur Hand.

Analysten können die Netzwerk-Metadaten auch anreichern, indem sie die Informationen aus jeder EDR-Lösung (Endpoint Detection and Response) nutzen oder Informationen aus einem SIEM (Security Information and Event Management) korrelieren. Die Anreicherung von Data Lakes und/oder SIEMs mit zusätzlichen Sicherheits-Metadaten ist ein wesentlicher Vorteil bei der Bereitstellung von MDR-Diensten. „Um die Vorstandsetage von einer effektiven Sicherheitslösung zu überzeugen, geht es nicht darum, Angst zu verkaufen, sondern Perspektiven aufzuzeigen“, fasst Müller abschließend zusammen.

Weitere Informationen zum Thema:

datensicherheit.de, 14.07.2019
Cloud-Umgebungen: Einblicke in das Verhalten von Cyber-Angreifern

datensicherheit.de, 09.06.2019
Radware: Angriffe auf Managed Service Provider nehmen zu

datensicherheit.de, 24.11.2014
Cybersecurity: Fünf Dinge die jeder Anbieter von Managed Services wissen sollte