Wichtige Trends und Erkenntnisse zu Cyber-Bedrohungen auch für Ihr Unternehmen

Der renommierte amerikanische IT-Secu­rity-Spezialist CrowdStrike hat in seinem jüngst im Juli veröffentlichen jährlichen Bedrohungsreport die internationale Bedrohungslage und die aktuell erkennbaren Trends bei den Cyber-Angriffsmethoden, sowie Zielstellungen der unterschiedlich motivierten Angreifer-Gruppen für das abgelaufene Jahr 2019 analysiert. Daraus hat CrowdStrike aktuelle Schutz-Empfehlungen insbesondere auch für Wirtschaftsunternehmen abgeleitet. Wir haben den Bericht ins Deutsche übersetzt und wichtige ausgewählte Infos und Trends für Sie aufbereitet.

Nicht neu ist zunächst die Erkenntnis, dass es auch weiterhin im Prinzip jedes Unternehmen treffen kann, und durch Nachlässigkeit bei den Schutzvorkehrungen ein kaum abschätzbarer wirtschaftlicher Schaden für das betroffene Unternehmen daraus erwachsen kann.

Aktuelle Cyber-Bedrohungsaktivitäten

So wurde beobachtet, dass 2019 das Ausmaß der gezielten und kriminell motivierten Cyber-Erpressungsangriffe insbesondere bei Wirtschaftsunternehmen mittels Ransomware regelrecht eskalierte. Sowohl die Anzahl der Erpressungsszenarien (kurz BGH = „Big Game Hunting“), als auch die Höhe der Lösegeldforderungen durch kriminelle Hackergruppen stiegen weltweit an.

Dabei versorgten die einschlägigen im Untergrund kommerziell tätigen ‘Ransom-as-a–Service-Entwickler‘ (RaaS), auch „eCrime-Enabler“ genannt, die aktiven Cyber-Erpresser-Gruppen mit immer raffinierterer Ransomware und konnten so ihrerseits ihr Geschäft weiter ausbauen. Entwickler von Malware-as-a–Service (MaaS) führten Ransomware-Module nach dem Baukastenprinzip ein, was die Handhabbarkeit erleichtert, um so auch den Markt weniger anspruchsvoller Cyber-Krimineller zu bedienen. Monetarisiert wird das operative Geschäft sowohl durch Verkauf, als auch durch Vermietung dieser „Werkzeuge“ an e-Kriminelle. Bankentrojaner wurden zweckentfremdet und nun verstärkt für DaaS-Operationen (Download-as-a–Service) wiederverwendet, was die Verbreitung von Malware an Dritte unterstützte, und einen enormen Welleneffekt in der gezielten Anwendung von Ransomware (BGH-Erpressungs-Kampagnen) im kriminellen Ökosystem bewirkte. Bei den Malware-Enablern werden Betreiber von Spambots, Download-Diensten sowie Entwickler von kriminellen „Loadern“ unterschieden.

Es ist weiterhin zu beobachten, dass die RaaS- sowie MaaS-Entwickler als Enabler ihre Malware-Produkte im Trend zunehmend durch die gezielte Auswahl ihrer Kundenpartner liefern, um ihr Risiko bei der Geschäftsanbahnung bzw. Rückverfolgung zu minimieren.

Staatlich gesteuerte und geförderte Cyber-Angriffe mit der Absicht der gezielten Wirtschafts-/Industrie-Spionage liegen weiterhin stark im Trend und in der Expansion, und erhöht so die Gefahr des Diebstahls von geistigem Eigentum insbesondere in den Sektoren Gesundheitswesen, Automobilbau, Rüstung, Finanzen, aber auch bei Regierungsorganisationen. China, Russland, Iran und Nordkorea sind hier sehr aktiv.

Der Anteil der leichter bekämpfbaren Malware-Angriffe sank von 60% auf 49% (von 2018 auf 2019), während die schwieriger erkennbaren und damit gefährlicheren Malware-freien Intrusions-Angriffe im gleichen Zeitraum von 40% auf 51% anwuchsen. Nach Regionen betrachtet sind Unternehmen und Institutionen in Nord-Amerika am stärksten gefährdet, gefolgt von Europa und Naher Osten.

Als den wichtigsten Schutzparameter in der Cyberabwehr nennt CrowdStrike die Ausbruchszeit (breakout time), welche den Zeitraum vom Zeitpunkt des Eindringens des Bedrohungsakteurs in eine Netzwerkumgebung misst, bis zu dem Zeitpunkt, wo er sein eigentliches Angriffsziel erreicht bzw. seine Schadhandlung (mittels eingeschleuster Malware) unwiderruflich eingeleitet/umgesetzt hat. Eingerechnet ist somit auch die erforderliche Zeit des Angreifers für „lateral movement“ (verdecktes/unerkanntes, schrittweises Vordringen und Auskundschaften innerhalb des intrudierten Systems). Die Zielsetzungen reichen hierbei von Sabotage-Attacken zur unwiederbringlichen Zerstörung von Daten (unter Verwendung von Wiper-Malware), über gewollte Systemausfälle (z.B. auch durch DDoS-Attacken) zur Herbeiführung von Komplett-Abstürzen z.B. von Unternehmens-Websites bzw. Online-Diensten, bis hin zu gezielter Totalausfall-Sabotage von kritischen Infrastrukturen (wie z.B. Energie-/Wasserversorgung, Telekommunikation). Gerade auch das erfolgreiche und unerkannte Ausschleusen von sensiblen Datenbeständen durch eine zuvor programmierte  Backdoor im intrudierten System (d.h. nach Herstellung von Persistenz), ist ein leider weiterhin sehr reales Bedrohungsszenario.

Daher die klare Botschaft: CrowdStrike ermahnt geradezu jedes Unternehmen, sich in der Cyberabwehr systemisch und organisatorisch so aufzustellen, dass dieses in Stunden gemessene „Breakout-Zeitfenster“ nach den Anforderungen der 1-10-60-Regel geschützt bzw. Angriffsaktivitäten rechtzeitig abgeblockt werden können.

Dies heißt konkret: Erkennen von Bedrohungen innerhalb der ersten Minute, Verstehen der Bedrohungen innerhalb von 10 Minuten und Reaktion innerhalb von 60 Minuten.

Während sich die Ausbruchszeiten bei den eCrime-Intrusionen im Durchschnitt von 4,5h auf 9h erhöhten, sind die Ausbruchszeiten der weitaus gefährlicheren geheimdienstlich bzw. im Staatsauftrag agierenden Angreifer unverändert kurz. Daher ist eine schnelle Reaktionszeit in der Abwehr weiterhin essentiell.

Weitere Trends und TTPs des Jahres 2019 – Ein Auszug

Eine bemerkenswerte Änderung bei den Angriffs-TTPs (Taktiken, Techniken, Prozeduren) für 2019 ist der deutliche Anstieg von „Maskerading“, was sich durch die zunehmende Verwendung des EternalBlue-Exploit erklären lässt. Als Exploit bezeichnet man ein von Hackern genutztes Werkzeug und damit „Schadprogramm“, welches die Sicherheitslücke (Exploit-Gap) in einem Computersystem ausnutzt, um dort einzudringen. Von Maskerading wird gesprochen, wenn der Name oder Ort einer ausführbaren Datei böswillig manipuliert wird, um die Verteidigung zu unterlaufen.

Auch konnte beobachtet werden, dass bereits bekannte, voneinander unabhängige eCrime-Programme so raffiniert weiterentwickelt und miteinander kombiniert wurden, dass daraus unauffällige Programmstrukturen entstanden, die zunächst nicht detektiert werden konnten. Dies zeigt, dass eCrime-Gruppen voneinander lernen und sich durchaus gegenseitig inspirieren.

CrowdStrike verzeichnete einen allgemeinen Anstieg der e-kriminellen Akteure, welche kompromittierte Websites verwenden. So wurden u.a. mehrere schädliche Phishing-Seiten identifiziert, die zur Tarnung als Zielseite von Microsoft Office 365 fungierten. Die meisten dieser Seiten wurden wahrscheinlich auf legitimen Domains gehostet und durch Sicherheitslücken in CMS-Plugins gefährdet.

Im Bereich ‘DNS Tunneling‘ ist die Verwendung des DNS-Protokolls für Befehls- und Kontrollkommunikation (C2) eine nützliche Bedrohungstaktik für den Fall, dass andere gängige Internetprotokolle deaktiviert oder in einem Unternehmensumfeld engmaschig geknüpft sind.

Immer wieder beobachtete CrowdStrike erfolgreiche Eingriffe/Intrusionen in Netzwerkumgebungen, in denen Sicherheitskontrollen/-mechanismen vorhanden waren, welche den Angriff auch erfolgreich hätten abwehren können. Dennoch waren sie vom Unternehmen unzureichend konfiguriert oder aber nicht flächendeckend im Unternehmen bereitgestellt, aktiviert bzw. ausgerollt.

Daher die klare Botschaft: Bringen Sie Ihre Schutzmechanismen vollumfänglich zur Entfaltung und nutzen Sie Ihre Möglichkeiten voll aus, welche Ihre bestehenden Sicherheits-/Kontroll-Systeme bieten.

Angreifer erlangten und benutzten vermehrt gültige Anmeldeinformationen für eine Vielzahl von Cyberangriffs-Szenarien und bestätigen den Trend zu Malware-freien Angriffstechniken. Solange Unternehmen/Organisationen weiterhin grundlegende Benutzer-IDs und Passwörter für die Zugangs-Authentifizierung benutzen und es unternehmensintern an entsprechender Sensibilisierung der eigenen Mitarbeiter hinsichtlich der vielseitigen Möglichkeiten der unbefugten Erlangung von Zugangsmöglichkeiten im Rahmen der „Social-Engineering-Techniken“ gibt, solange wird sich dieser Trend weiter fortsetzen. Phishing-mails und –Links, darunter auch Email-Thread-Hijacking sowie Tandem-Drop, sowie Manipulation von Geschäftsemails sind hier nur ein Teil des eCrime-Repertoires.

Daher die klare Botschaft: Schützen Sie die Benutzer-Identitäten in Ihrem Unternehmen, sensibilisieren Sie Ihre Mitarbeiter durch gezielte Schulungsseminare und binden Sie diese bewusst und aktiv in den Kampf ein.

Haben wir Ihr Interesse geweckt? Haben Sie weitergehende Fragen oder Sorgen? Zögern Sie nicht und nehmen Sie einfach mit uns Kontakt auf. Wir helfen Ihnen gerne und beraten Sie zielgerichtet.