Zu Beginn des Jahres 2021 ist es ein guter Zeitpunkt, über die Bedrohungen nachzudenken, die die Check Point Research-Gruppe im Jahr 2020 gesehen hat, um sich auf das kommende Jahr vorzubereiten. Laut dem Cybersicherheit Report 2021 waren die Sunburst-Angriffe, bei denen Tausende von Regierungs- und Privatorganisationen verletzt wurden, nur die Spitze des Eisbergs im Hinblick auf Cyberangriffe im Jahr 2020. Tatsächlich erlebten 87 % der Unternehmen einen Ausnutzungsversuch einer bekannten Schwachstelle.
Neben dem nationalstaatlichen Angriff von Sunburst führen finanziell motivierte Bedrohungsakteure weiterhin Malware-Kampagnen durch. Sie entwickeln ihre Techniken weiter, um Voice-Phishing (Vishing), Double-Extortion-Ransomware, E-Mail-Thread-Hijacking und Angriffe auf Cloud-Infrastrukturen einzusetzen. Allerdings gibt es auch einige Lichtblicke am Horizont.
Im Cybersicherheit Report 2021 skizzierte die Check Point Research-Gruppe die wichtigsten Netzwerk-Sicherheitsprobleme , Bedrohungen und Trends des Jahres 2020.
Am 8. Dezember 2020 gab das Cybersicherheitsunternehmen FireEye bekannt, dass es die Sunburst-Malware in seinem Netzwerk entdeckt hatte. Die Untersuchung dieser Infektion deckte eine massive Cyberangriffskampagne auf, die 18.000 Organisationen, 425 Fortune-500-Unternehmen (einschließlich Microsoft) und auch Regierungsbehörden ins Visier nahm.
Die SUNBURST-Malware wurde über kompromittierte Updates der Verwaltungssoftware SolarWinds Orion Netzwerk verbreitet. Den Angreifern gelang es, SolarWinds mithilfe eines neuartigen Angriffs auf dessen Office 365-Konten zu kompromittieren, der es ihnen ermöglichte, ein Azure Active Directory-Token für ein privilegiertes Konto zu fälschen und sich mit kompromittierten Administratoranmeldeinformationen Zugriff auf den Update-Management-Server des Unternehmens zu verschaffen.
Mit Zugriff auf den SolarWinds-Update-Management-Server konnten die Angreifer Updates während der Entwicklungspipeline ändern, um die Backdoor-Malware einzubinden. Diese große Reichweite des Angriffs machte ihn zum bisher erfolgreichsten bekannten Supply-Chain-Angriff. Beim SolarWinds-Angriff erwies sich die Überwachung als unerlässlich, um den Angriff zunächst zu identifizieren und darauf zu reagieren.
Um zukünftige Angriffe zu verhindern, müssen bewährte Sicherheitspraktiken implementiert werden, wie zum Beispiel:
Während Phishing die bekannteste Art von Social-Engineering-Angriffen ist, können andere Techniken ebenso effektiv sein. Über das Telefon kann ein Visher Social-Engineering-Techniken einsetzen, um Zugang zu Anmeldeinformationen und anderen wichtigen Informationen zu erhalten, 2FA zu umgehen oder das Opfer dazu zu bewegen, eine Datei zu öffnen oder Schadsoftware zu installieren.
Vishing ist eine wachsende Bedrohung für die Cybersicherheit von Unternehmen. Im August 2020 gaben CISA und das FBI eine Warnung vor Vishing-Angriffen heraus, und Vishing wurde in Malware-Kampagnen und von APT-Gruppen eingesetzt. Ein aufsehenerregender Angriff ermöglichte es einem Teenager im Jahr 2020, mehrere Twitter-Konten von Prominenten zu übernehmen. Die Bedrohung durch Vishing wird nur noch schlimmer, wenn die Technologie zur Deepfake-Aufzeichnung verbessert wird und breiter verfügbar ist.
Vishing ist ein Low-Tech-Angriff, weshalb die Schulung der Mitarbeiter zum Schutz davor unerlässlich ist. Unternehmen können ihre Mitarbeiter dazu erziehen, vertrauliche Informationen nicht preiszugeben und die Anruferidentifikation unabhängig zu überprüfen, bevor sie Anfragen nachkommen.
Ransomware war im Jahr 2020 eine der teuersten Cyber-Bedrohungen für Unternehmen. Es kostete Unternehmen im Jahr 2020 20 Milliarden US-Dollar, gegenüber 11,5 Milliarden US-Dollar im Jahr 2019. Im dritten Quartal 2020 betrug die durchschnittliche Lösegeldzahlung 233.817 US-Dollar, ein Anstieg von 30 % gegenüber dem Vorquartal.
In diesem Quartal beinhaltete fast die Hälfte aller Ransomware-Vorfälle eine doppelte Erpressungsdrohung. Diese Innovation soll die Wahrscheinlichkeit erhöhen, dass das Opfer das Lösegeld zahlt. Dies geschieht durch den Einsatz einer neuen zweiten Bedrohung zusätzlich zur Verschlüsselung von Dateien, nämlich der Extraktion sensibler Daten und der Androhung der Offenlegung oder des Verkaufs der Daten an die Öffentlichkeit. Während Backups es einem Unternehmen möglicherweise ermöglichen, sich von einem Ransomware-Angriff ohne Bezahlung zu erholen, bietet die Gefahr eines Verstoßes gegen vertrauliche und persönliche Daten dem Angreifer einen zusätzlichen Einfluss.
Die Zunahme dieser doppelten Erpressungsangriffe bedeutet, dass Unternehmen eine Strategie zur Bedrohungsprävention einführen müssen und sich nicht nur auf die Erkennung oder Beseitigung von Bedrohungen verlassen dürfen. Eine präventionsorientierte Strategie sollte Folgendes umfassen:
Bei Thread-Hijacking-Angriffen werden Ihre eigenen E-Mails gegen Sie verwendet. Nach der Kompromittierung eines internen E-Mail-Kontos kann ein Angreifer auf einen E-Mail-Thread mit einem Anhang antworten, der Malware enthält. Diese Angriffe machen sich die Tatsache zunutze, dass der E-Mail-Thread legitim aussieht … weil er es auch ist.
Emotet-Banking-Malware, eines der größten Botnetze, führte die Malware-Rangliste an und zielte im Jahr 2020 auf fast 20 % der globalen Unternehmen ab. Nach der Infektion eines Opfers verwendet es die E-Mail-Adresse des Opfers, um schädliche Dateien an neue Opfer zu senden. Qbot, eine weitere Bank-Malware, nutzte ähnliche Techniken zum Sammeln von E-Mails.
Um sich vor Thread-Hijacking zu schützen, müssen Mitarbeiter darin geschult werden, E-Mails auf Anzeichen von Phishing zu überwachen, selbst wenn sie von einer vertrauenswürdigen Quelle stammen, und die Identität des Absenders durch einen Anruf zu überprüfen, wenn eine E-Mail verdächtig erscheint. Unternehmen sollten außerdem eine E-Mail-Sicherheitslösung bereitstellen, die mithilfe von KI Phishing erkennt und E-Mails mit bösartigen Anhängen und/oder Links unter Quarantäne stellt.
Der Anstieg der Fernarbeit im Zuge von COVID-19 machte den Fernzugriff im Jahr 2020 zu einem häufigen Ziel von Cyberkriminellen. Im ersten Halbjahr kam es zu einem dramatischen Anstieg der Angriffe auf Fernzugriffstechnologien wie RDP und VPN. Täglich wurden fast eine Million Angriffe gegen RDP entdeckt.
In der zweiten Hälfte konzentrierten sich Cyberkriminelle verstärkt auf anfällige VPN-Portale, Gateway und Anwendungen, da neue Schwachstellen in diesen Systemen bekannt wurden. Das Check Point-Sensornetz verzeichnete einen Anstieg der Angriffe gegen acht bekannte Schwachstellen bei Fernzugriffsgeräten, darunter Cisco und Citrix.
Um die Risiken der Remote-Access-Schwachstelle zu bewältigen, sollten Unternehmen anfällige Systeme direkt patchen oder virtuelle Patching-Technologien wie IPS einsetzen. Sie sollten auch Remote-Benutzer schützen, indem sie einen umfassenden Endgeräteschutz mit Technologien zur Endgeräteerkennung und -reaktion (EDR) bereitstellen, um die Behebung und Bedrohungssuche zu verbessern.
COVID-19 dominierte die mobile Bedrohungssphäre. Die Nutzung mobiler Geräte nahm aufgrund der Remote-Arbeit dramatisch zu, ebenso wie bösartige Apps, die sich als Apps im Zusammenhang mit Coronaviren tarnten.
Mobile Geräte waren auch Ziele großer Malware-Kampagnen, darunter Bank-Malware wie Ghimob, EventBot und ThiefBot in den USA. APT-Gruppen haben auch mobile Geräte ins Visier genommen, beispielsweise die iranische Kampagne zur Umgehung von 2FA, um iranische Expatriates auszuspionieren. Bemerkenswerte Schwachstellen auf mobilen Geräten waren Achilles 400-Schwächen in Qualcomm-Chips und Schwachstellen in Apps wie Instagram, Apples Anmeldesystem und WhatsApp.
Unternehmen können die mobilen Geräte ihrer Benutzer mit einer leichten mobilen Sicherheitslösung für nicht verwaltete Geräte schützen. Sie sollten Benutzer auch darin schulen, sich selbst zu schützen, indem sie nur Apps aus offiziellen App-Stores installieren, um das Risiko zu minimieren.
In unserer Zusammenfassung der wichtigsten Sicherheitsprobleme schließen wir den Kreis zu den SolarWinds-Angriffstechniken. Im Gegensatz zu früheren Cloud-Angriffen, die auf Fehlkonfigurationen beruhten, die Cloud-Assets wie S3-Buckets ungeschützt ließen (und die immer noch Anlass zur Sorge geben), wird jetzt auch die Cloud-Infrastruktur selbst angegriffen.
Die SolarWinds-Angreifer hatten es auf Active Directory Federation Services (ADFS)-Server abgesehen, die auch im Single Sign-On (SSO)-System des Unternehmens für den Zugriff auf Cloud-Dienste wie Office 365 verwendet wurden. Zu diesem Zeitpunkt nutzten die Angreifer eine Technik namens Golden SAML, um dauerhaften und schwer zu erkennenden vollständigen Zugriff auf die Cloud-Dienste des Opfers zu erlangen.
Andere Angriffe auf Cloud-Identitäts- und Zugriffsmanagementsysteme (IAM) waren ebenfalls bemerkenswert. IAM-Rollen können mithilfe von 22 API missbraucht werden, die in 16 AWS-Services zu finden sind. Diese Angriffe basieren auf einem tiefen Verständnis der Komponenten, Architektur und Vertrauensrichtlinien von IaaS- und SaaS-Anbietern.
Unternehmen benötigen ganzheitliche Transparenz über öffentliche Cloud-Umgebungen und stellen einheitliche, automatisierte Cloud-native Schutzmaßnahmen bereit. Dadurch können Unternehmen die Vorteile der Cloud nutzen und gleichzeitig kontinuierliche Sicherheit und Compliance gewährleisten.
Durch COVID-19 sind Gesundheitsorganisationen für alle, auch für Cyberkriminelle, in den Fokus gerückt. Einige Malware-Kampagnen versprachen, Angriffe auf das Gesundheitswesen einzustellen, doch die Versprechen hielten nichts von der Substanz – Krankenhäuser waren immer noch ein Schwerpunkt für Maze- und DopplePaymer-Malware.
Im Oktober veröffentlichten CISA, FBI und DHS eine Warnung vor Angriffen auf das Gesundheitswesen und erwähnten die Trickbot-Malware, die zur Verbreitung der Ryuk-Ransomware eingesetzt wurde. Außerdem richteten sich landesweit geförderte APT-Angriffe gegen Institutionen, die an der Entwicklung von COVID-19-Impfstoffen beteiligt sind.
Das Gesundheitswesen in den USA war das Hauptziel von Cyber-Angreifern. Check Point Research verzeichnete von September bis Oktober einen Anstieg von 71 % und im November und Dezember einen weltweiten Anstieg von über 45 %.
Während wir die Sicherheitsbedrohungen des Netzwerks im Jahr 2020 verstehen, ist es auch wichtig, die vielen erfolgreichen Maßnahmen der Strafverfolgungsbehörden – unterstützt von der Cybersicherheit-Community – zur Kenntnis zu nehmen, um zahlreiche Einzelpersonen und Bedrohungsgruppen, die weltweit an Cyberkriminalität beteiligt sind, aufzuspüren und anzuklagen.
Einige Beispiele für erfolgreiche Cyber-Strafverfolgungseinsätze im Jahr 2020 sind:
Die Cyberbedrohungen und Netzwerksicherheitsbedenken des Jahres 2020 beschränken sich nicht nur auf das Jahr 2020. Viele dieser Angriffstrends halten an und das Jahr 2021 bringt neue Netzwerksicherheitsprobleme und Innovationen im Bereich der Cyberkriminalität mit sich. Zum Schutz vor der sich entwickelnden Cyber-Bedrohungslandschaft haben wir die folgenden Empfehlungen zusammengestellt:
Um mehr über die größten Netzwerk-Sicherheitsprobleme von heute zu erfahren, lesen Sie den vollständigen Cybersicherheit-Report 2021. Sie können auch gerne einen Sicherheitscheck anfordern, um die Probleme zu identifizieren, die die Sicherheit Ihres Unternehmens gefährden.