Case

Detect & Respond – weil Cyberattacken Realität sind

Uhr

Cyberattacken zählen zu den grössten Businessrisiken. Dabei fordern die Ransomwares Nephilim, Ryuk, Trickbot, Emotet und seit Neustem Conti zunehmend die Cybersicherheit von Schweizer Unternehmen heraus. Hohe Sicherheitsmauern alleine reichen schon längst nicht mehr aus. Wie ein Managed Service bei der Erkennung und Reaktion auf Cyberattacken helfen kann, zeigen die Erkenntnisse aus realen Sicherheitsvorfällen.

Angesichts der steigenden Anzahl Cyberangriffe, die immer ausgeklügelter sind, müssen Unternehmen stetig ihre Sicherheitsmassnahmen anpassen und verbessern. Dies zeigen auch zahlreiche Sicherheitsvorfälle auf Schweizer Unternehmen in diesem Jahr. So wurde beispielswiese ein Schweizer Industrieunternehmen im Frühjahr Opfer einer gezielten Cyberattacke mit der Ransomware Nephilim. Dabei wurden nicht nur vertrauliche Daten entwendet und verschlüsselt, sondern gleich das gesamte Netzwerk. Zwar konnten die Daten dank einer sehr guten Back-up-Strategie sowie der schnellen und professionellen Reaktion der internen IT-Abteilung rasch wiederhergestellt werden. Für die weitere Analyse und Wiederherstellung des ganzen Betriebs brauchte es jedoch erfahrene Experten, weshalb das CSIRT (Computer Security Incident Response Team) der InfoGuard beigezogen wurde.

RDP, Citrix und VPN werden gezielt ausgenutzt

Aktuell sind viele der erfolgreichen Angriffe auf schlecht gesicherte externe Zugangsdienste wie RDP, Citrix oder VPN zurückzuführen. Diese sind folglich (und üblicherweise) nicht mit einer Multi-Faktor-Authentisierung geschützt. Dies erlaubt es Angreifern, zum einen Brute-Force-Angriffe durchzuführen und zum anderen sich mit Benutzernamen sowie Passwörtern einzuloggen, die sie zuvor durch Phishing-Angriffe auf gefälschten Login-Portalen gestohlen haben.

InfoGuard untersuchte auch einige Fälle, bei denen die Angreifer schon initial den Account eines Domänenadministrators knacken konnten. Dies hat den weiteren Angriff natürlich massiv vereinfacht und beschleunigt. Nicht zu vernachlässigen sind aber immer noch Phishing-E-Mails, die aktiven Content wie beispielsweise Makros enthalten. Eingesetzt wird diese Methode beispielsweise bei der Vortäuschung von Gewinnspielen, in manipulierten Bewerbungsunterlagen mit Makro-Funktionen oder in gezielten E-Mails, bei welchen eine bestehende E-Mail-Kommunikation aufgezeichnet und gezielt darauf reagiert wird. Erst kürzlich konnte wieder eine Emotet-Angriffswelle beobachtet werden. Dabei hat der neue Threat-Aktor TA542 in den USA sowie in Grossbritannien E-Mails verschickt, die im Anhang manipulierte Word-Dokumente oder Links zu entsprechenden Dokumenten enthielten.

Cyberattacken werden minutiös geplant

Durch solche Angriffe können professionelle Hackergruppierungen eine Backdoor installieren, wodurch sie einen permanenten Zugang zum Unternehmensnetzwerk erhalten. Oftmals wird bei dieser Methode auch weitere Schadsoftware wie Trickbot nachgeladen. Trickbot entwendet in erster Linie Login-Daten privilegierter Accounts von Domain-Administratoren. Dadurch erhalten die Angreifer quasi einen Passepartout-Schlüssel für das Ziel­objekt und können jederzeit mit ihrem Command & Control (C2) Server kommunizieren. Oftmals bleiben diese Aktionen vom betroffenen Unternehmen unentdeckt, da die Detektionsmassnahmen fehlen. Für die C2-Verbindungen wird in den meisten Fällen das Angriffs-Framework Cobalt Strike eingesetzt.

Ist der Angreifer einmal im Netz, versucht er, weitere Informationen über das Zielnetzwerk zu sammeln. Um sich lateral durch das Netz zu bewegen und gezielt Bridgeheads aufzubauen, werden nicht selten bekannte Tools wie PsExec und «wmi» eingesetzt. Bridgeheads nutzen Cyberkriminelle, um von dort aus den weiteren Angriff durchzuführen. In diesem Jahr haben wir einige Fälle bearbeitet, bei welchen der Angreifer in dieser Phase ein noch viel lohnenderes Ziel entdeckte als das ursprünglich anvisierte. Dabei wurden ursprünglich KMUs infiltriert, welche aber nur als Sprungbrett zu grösseren Unternehmen missbraucht wurden.

Der Angriff geht blitzschnell

Der eigentliche Angriff, sprich die Entwendung von sensitiven Unternehmensdaten und die Verschlüsselung des Netzwerks, geschieht jeweils sehr schnell. Nur wenige Minuten nach der initialen Kontaktaufnahme mit dem C2-Server werden die ersten Daten entwendet. So folgten auch im beschriebenen Fall in den darauffolgenden Tagen weitere Files. Damit der Vorgang möglichst unerkannt blieb, handelte es sich jeweils nur um ­relativ kleine Datenvolumen.

Hat der Angreifer die gewünschten Informationen entwendet, startet der zweite Teil des Angriffs – die Verschlüsselung von Systemen im Unternehmensnetzwerk, vorrangig Server-Systeme. Was danach folgt, kennt man aus entsprechenden Medienberichten: Erpressungen in Millionenhöhe, die meist in Bitcoins zu bezahlen sind. Bei Nichtbezahlung drohen die Erpresser mit der Veröffentlichung der entwendeten Daten. Diese Forderung ist durchaus ernst zu nehmen, denn oftmals wird ein Teil dieser Daten kurzzeitig im Darknet publiziert, was den Druck auf das betroffene Unternehmen zusätzlich erhöht.

Incident Response braucht Expertise

Unternehmen sind gut beraten, sich konsequent mit aktuellen und neuen Cyberrisiken auseinanderzusetzen und der Informa­tionssicherheit das nötige Gewicht beizumessen. Dabei darf man sich nicht nur auf die eigentliche Abwehr, sprich IT-Sicherheitsmassnahmen, fokussieren. Angreifer werden früher oder später einen Weg finden, diese zu umgehen. Somit können Sicherheitsvorfälle jederzeit eintreten. Bei der Bewältigung einer solchen Situation braucht das betroffene Unternehmen die sofortige Unterstützung von erfahrenen, oft externen Spezialisten. Meist fehlt es intern an Know-how und Ressourcen, um so eine Situation entsprechend managen zu können. Denn nebst technischen Hürden gilt es auch die Kunden, Geschäftspartner und nicht zuletzt die Mitarbeitenden sowie eventuell die Öffentlichkeit zu informieren. Daher empfiehlt es sich, frühzeitig einen geeigneten Partner zu evaluieren und die vertraglichen Details für die Unterstützung bei der Bewältigung eines Cyberangriffs vorab zu klären.

Cybersecurity ist mehr als nur IT-Sicherheit

Unternehmen müssen heutzutage damit rechnen, früher oder später Ziel einer Cyberattacke zu werden. Deshalb reichen präventive Massnahmen nicht mehr aus. Sicherheitsverantwort­liche sollten eine Strategie für Incident Detection & Response ausarbeiten. Managed und Cloud-Services, beispielsweise von InfoGuard, bieten hier wertvolle Unterstützung. Die Cybersecurity-Strategie bildet dabei den bereichsübergreifenden, strategischen Rahmen. Ein systematischer Sicherheitsansatz ist das A und O erfolgreicher Cybersecurity. Dabei müssen sowohl das Risikomanagement, der Schutz der Informationen, die Erkennung und Reaktion auf Sicherheitsvorkommnisse sowie auch die Wiederherstellung und Optimierung berücksichtigt werden. Internationale Standards wie ISO 27001 oder das NIST Cyber Security Framework bieten dazu anerkannte Modelle für die Errichtung, Umsetzung, Überprüfung und kontinuierliche Verbesserung der eigenen Cyber Resilience. Mithilfe eines CSIRT in einem dedizierten Cyber Defence Center lassen sich die Dauer eines Sicherheitsvorfalls und der dadurch verursachte Schaden minimieren. Ein Cyber Defence Center sollte aber nicht nur auf Gefahren reagieren, sondern auch aktiv nach Bedrohungen und Anzeichen eines Angriffs suchen.

Detect & Respond als Service

Da sich die Risikosituation stetig ändert, ist Cybersecurity keine einmalige Angelegenheit. Es gilt, die aktuelle Bedrohungslage zu beobachten und das Sicherheitsdispositiv kontinuierlich zu verbessern – eine anspruchsvolle Aufgabe, insbesondere in Zeiten des Fachkräftemangels. Daher empfiehlt es sich, professionelle Unterstützung in Form eines Managed Security Services beizuziehen, beispielsweise in Form von Endpoint Detection & Response (EDR) Services oder Incident Response Services durch das CSIRT von InfoGuard. Mit dem EDR-Service auf Basis der Tanium-Plattform können Unternehmen ihr gesamtes Netzwerk innerhalb von Sekunden sichern, kontrollieren und verwalten. Dadurch erhalten Sicherheits- und IT-Betriebsteams jederzeit Einblick in den Zustand sämtlicher Endpunkte und können Cyberattacken schneller erkennen sowie umgehend Massnahmen einleiten – und zwar bevor ein Schaden entsteht. Dies sind entscheidende Elemente, um die Cyber Resilience zu stärken und den Schutz der Unternehmenswerte nachhaltig zu verbessern.

==================

InfoGuard AG

Mathias Fuchs

Head of Investigation & Intelligence

Lindenstrasse 10

6340 Baar

Tel: +41 41 749 19 00

info@infoguard.ch

www.infoguard.ch

Webcode
DPF8_200485

Dossiers

» Mehr Dossiers

Aktuelle Ausgabe

Direkt in Ihren Briefkasten CHF 60.- » Magazin Abonnieren » Zum shop » Newsletter