Januar 31, 2022

Einblick in die Gedankenwelt eines Cyberkriminellen

  • Cybersecurity
  • Erkennung von Bedrohungen
  • Network Detection and Response

Sie können jeden Moment zuschlagen, gerade dann, wenn man es am wenigsten erwartet. Wie ein Bankräuber, der sich nach monatelanger Erkundung schnell zum Tresorraum gelangt, hat der Cyberangreifer innerhalb von Minuten Zugriff auf Ihre sensiblen Daten. Es kann Monate oder sogar Jahre dauern, bis sich Unternehmen vollständig erholen - und viele schaffen es nie.  

Einem Bericht der Denver Post zufolge schließen über die Hälfte der kleinen Unternehmen innerhalb von sechs Monaten nach verheerenden Cyberangriffen. Diejenigen, die überleben, verlieren Hunderttausende von Dollar - manchmal sogar Millionen - durch die resultierende verlorene Zeit, die negative Presse und den Wiederherstellungsaufwand. 

Deshalb beginnt die effektivste Abwehr potenzieller Bedrohungen damit, seinen Feind zu kennen und genau zu wissen, wie, wann und wo Kriminelle am ehesten zuschlagen. In dieser Blogserie werden wir die häufigsten Arten von Angriffen behandeln, ihren Ablauf untersuchen und Tipps zu neuen und aufkommenden Bedrohungen geben. Da die Angriffe immer zufälliger erfolgen und gleichzeitig schwieriger verhindert werden können, müssen Sicherheitsteams dem Feind immer einen Schritt voraus sein. 

Ransomware, eine der schwerwiegendsten Cyber-Bedrohungen, ist seit Jahren eine wachsende Plage. Die jüngsten Angriffe zeigen, dass die Angreifer in diesem Bereich der Cyberkriminalität immer raffinierter vorgehen. Die stetige Zahl von Angriffen auf Unternehmen, Schulen und Regierungsorganisationen zeigt, dass gerade diese Branchen ihre Cyber Security verbessern sollten, da sie momentan im Fokus der Angreifer stehen. Darüber hinaus wird es durch die sich ständig verändernde Art der Ransomware-Angriffe immer schwieriger sich effektiv zu verteidigen. 

In den letzten 12 Monaten gab es zum Beispiel neue Arten von Erpressungsversuchen durch Ransomware-Betreiber. Die von Cyberangriffsgruppen wie Maze entwickelte doppelte Erpressung (Diebstahl sensibler Daten und Androhung ihrer Veröffentlichung, wenn das Opfer nicht zahlt), ist inzwischen zum Standardverfahren geworden.  

Darüber hinaus haben einige Ransomware-Betreiber, wie z. B. die SunCrypt-Bande, nachfolgende Denial-of-Service-Angriffe (DoS) durchgeführt, um den Opfern das Handwerk zu legen. Andere Banden nutzen die gestohlenen Daten, um weitere Angriffe auf die Partner oder Lieferanten des ursprünglichen Opfers zu verüben, wie beim Blackbaud-Angriff. 

ist eine schnellere Erkennung von vorteil? 

Die Zeit, die Cyberkriminelle in kompromittierten Netzwerken verbringen, wird immer kürzer. Das mag zwar wie ein Schritt in die richtige Richtung klingen, doch aufgrund des weltweiten Anstiegs von Ransomware-Angriffen verbringen Hacker weniger Zeit in Netzwerken. 

Forscher analysierten Hunderte von Vorfällen und fanden heraus, dass die durchschnittliche Verweildauer - die Zeitspanne zwischen dem Beginn eines Sicherheitseinbruchs und seiner Identifizierung - auf unter einen Monat bis zu 24 Tage gesunken ist. 

Die kürzere Verweildauer ist zum Teil auf bessere Erkennungs- und Reaktionsmöglichkeiten zurückzuführen, aber auch die Zunahme von Ransomware hat eine Rolle gespielt. Diese Art von Angriffen sind für Cyberkriminelle äußerst lukrativ, aber im Gegensatz zu den meisten anderen Formen der Cyberkriminalität läuft Ransomware langfristig nicht unter dem Radar. Die Opfer von Ransomware-Angriffen wissen, dass sie Opfer eines Angriffs geworden sind. 

Wenn Hacker erfolgreich sind, nutzen sie die kompromittierte Assets, um Nachrichten zu übermitteln, die sie identifizieren (natürlich unter Pseudonym), und fordern das Lösegeld über nicht zurück verfolgbare Zahlungsmittel wie Bitcoin. Anschließend sind die in Panik geratenen Unternehmen unglaublich anfällig und zahlen unter solchen Umständen oft sofort.

Modus operandi eines Ransomware-Angriffs 

Je weniger Sie über den Angreifer wissen, desto mehr Möglichkeiten hat er, Ihrem Unternehmen auf betrügerische Weise Geld abzuknöpfen. Ein geschickter und entschlossener Cyberkrimineller kann mehrere Zugangspunkte nutzen, um Verteidigungsmaßnahmen zu umgehen, innerhalb von Minuten in Ihr Netzwerk eindringen und sich monatelang der Entdeckung entziehen. 

So machen sie es:  

  1. Erkennung und Kompromittierung: In der anfänglichen Aufklärungsphase vor einem Angriff recherchieren und sammeln Kriminelle Informationen über die Zielorganisation. Sie suchen nach Netzwerkbereichen, IP-Adressen und Domänennamen. Angreifer versuchen auch, die E-Mail-Adressen von Schlüsselpersonen in einem Unternehmen ausfindig zu machen oder gefährdete Mitarbeiter zu identifizieren, indem sie Phishing-E-Mails versenden. Außerdem suchen Sie nach Schwachstellen im Netzwerk. Diese Aktivitäten können Monate dauern, aber die Angreifer sind geduldig.  
  1. Anmeldedaten gewinnen: Nachdem sie sich Zugang zum Netz verschafft haben, versuchen die Kriminellen, weiter in das Netz einzudringen, indem sie sich Zugriffsrechte verschaffen. Angreifer verwenden verschiedene Tools, um Anmeldedaten zu stehlen. Dadurch können sie ihren Zugang auf die Administratorebene erweitern und unbemerkt in Back-Office- und Betriebsnetzwerke eindringen. 
  1. Übermittlung betrügerischer Nachrichten: Angreifer infiltrieren das Netzwerk mit Hilfe von Schadprogrammen, die es ihnen ermöglichen, sich in mehreren Systemen zu verstecken und Malware in wichtige Systeme einzuschleusen. Im nächsten Schritt beginnen sie damit, betrügerische Zahlungsanweisungen für das Lösegeld zu starten, indem sie sich als Bediener oder als eine Person mit Genehmigungen ausgeben. 
  1. Die Beweise verstecken: Sobald die Lösegeldzahlungen gesendet wurden, verwischen die Angreifer ihre Spuren und verbergen die Beweise für ihre Aktionen. Mithilfe verschiedener Tools und Techniken löschen oder manipulieren sie Aufzeichnungen und beschädigen Systeme, um forensische Experten zu verwirren. 

Es ist besser, Angriffe innerhalb des Netzwerks schnell zu erkennen, als sie gar nicht zu erkennen. Aber der beste Weg, das Unternehmen vor Cyber-Bedrohungen zu schützen, besteht darin, sie zu erkennen oder zu verhindern, bevor sie überhaupt eine Chance hatten, das Netzwerk zu kompromittieren. Viele Ransomware-Angriffe können verhindert werden, aber es müssen sowohl die richtigen Tools und Technologien ausgewählt werden, als auch ein grundlegendes Verständnis für die ständig verändernde Bedrohungslandschaft erlangt werden.

Im zweiten Teil dieser Serie werden wir die neuesten Phishing-Trends unter die Lupe nehmen und herausfinden, wie Sie verhindern können, dass Sie zum Opfer werden.