Blog

Wie man sich mit Managed Detection & Response gegen Malware verteidigt

Geschrieben von ForeNova | Oktober 16, 2024

Jährlich entstehen den Mitgliedern der EU Kosten in Milliardenhöhe durch Malware-Angriffe, einschließlich Ransomware. Ransomware, die von Malware ausgeht, führt zu Datenschutzverletzungen, Fernübernahmen kritischer Systeme und Finanzbetrug.  

Im Jahr 2024 sind deutsche Unternehmen weiterhin mit den Kosten von Cyberangriffen durch Malware und andere Angriffswerkzeuge konfrontiert.  

Eine aktuelle Umfrage von Reuters zeigt, dass Cyberkriminalität und andere Sabotageakte deutsche Unternehmen im vergangenen Jahr rund 267 Milliarden Euro ($298) kosteten. Dies entspricht einem Anstieg von 29 % im Vergleich zum Vorjahr. 

Die Bekämpfung von Malware, die von gegnerischen Tools für künstliche Intelligenz (KI) und maschinelles Lernen (ML) generiert wird, erschwert die ohnehin schon komplexe Problematik zusätzlich. Unternehmen, die trotz Endpoint Security und Incident Response mit Malware zu kämpfen haben, sollten in einen Managed Detection and Response (MDR)-Service des EU-Unternehmens ForeNova investieren.

Malware ist überall

Wie kann es trotz aller Sicherheitsvorkehrungen dazu kommen, dass Malware-Angriffe nie aufhören? Malware lässt sich einfach starten, ist profitabel und lässt sich leicht verändern. E-Mail-Phishing-Angriffe stellen nach wie vor eine erhebliche Gefahr für Unternehmen dar, da sie eine Vielzahl von Malware-Angriffen, darunter Viren und Ransomware, auslösen können.  

  • 35 % der Ransomware-Angriffe erfolgen über E-Mail“.
  • 91 % aller Cyberangriffe beginnen mit E-Mail-Phishing und Malware“. 

Der Zugang zu gegnerischer Malware ist recht einfach.Hacker und andere interessierte Akteure haben über das Dark Web Zugriff auf eine umfangreiche Bibliothek von Malware-Dateien. Im Untergrund arbeitende Hacker und Betrüger erstellen Malware-Dateien und stellen sie im Dark Web für jedermann zugänglich zur Verfügung. Für eine Gebühr, die in der Regel in Bitcoin oder einer anderen Cyberwährung bezahlt wird, kann jeder eine Malware-Datei herunterladen und sie an eine E-Mail anhängen oder als bösartigen Link auf eine Webseite hochladen.

 Es ist nahezu unmöglich, den Zugang zu Malware der nächsten Generation zu verhindern. Die einzige Möglichkeit, Malware-Angriffe zu stoppen, besteht darin, ihre Ausbreitung im Unternehmen zu verhindern.

Welche sind die fünf maßgeblichsten Malware-Angriffe im Jahr 2024?  

Unternehmen, die die Ausbreitung von Malware verhindern wollen, müssen genau auf bösartiges Verhalten in ihrem Netzwerk achten. Die Erfahrung zeigt, dass die meisten Malware-Angriffe entweder sofort ausgeführt werden oder mehrere Monate lang inaktiv bleiben, bevor sie aktiviert werden. 

  1. SocGholish

    SocGholish ist eine besonders schwer zu bekämpfende Malware. Die Malware erstellt die Datei in JavaScript und tarnt sich häufig als Software-Update, Browser-Update oder Flash-Update. Sobald SocGholish in das Gerät eingebettet ist, kopiert die Malware Dateien und nutzt Remote-Access-Tools sowie Ransomware, um ihren Angriff auf weitere Systeme auszudehnen.

  2. ArechClient2

    Diese spezielle Malware erstellt ein Profil der Geräte ihrer Opfer, stiehlt wertvolle Informationen, kopiert die Einstellungen des Browsers und greift versteckt auf die Krypto-Brieftasche des Benutzers zu.

  3. CoinMiner

    Diese spezielle Malware erstellt ein Profil der Geräte ihrer Opfer, stiehlt wertvolle Informationen, kopiert die Einstellungen des Browsers und greift versteckt auf die Krypto-Brieftasche des Benutzers zu.

  4. Agent Tesla

    Bei dem Agenten handelt es sich um ein Remote Access Tool (RAT). Das Tool ist im Dark Web oder bei Anbietern von Malware-as-a-Service erhältlich. Es erfasst Tastatureingaben, erstellt bösartige Screenshots und stiehlt Anmeldedaten. Des Weiteren führt das Tool Angriffe zur Datenexfiltration aus und lädt zusätzliche Malware, um den Angriffsvektor zu erweitern.

  5. Lumma Stealer

    Lumma Stealer ist eine weit verbreitete Malware, die im Dark Web zum Verkauf angeboten wird. Mit ihrer Hilfe können personenbezogene Daten, Anmeldeinformationen, Cookies und Bankdaten gestohlen werden. Lumma Stealer ist in der Lage, gängige Cyber-Abwehrtools wie E-Mail-Sicherheit, IPS und Next-Generation-Firewalls zu umgehen. Darüber hinaus ist Lumma Stealer in der Lage, effektiv virtualisierte Umgebungen zu infiltrieren und die Dateien seiner Opfer während des Angriffs zu verschlüsseln.   

Was ist ein Malware-as-a-Service-Angriff?  

„Laut ENISA zielen 29 % der Malware auf die Öffentlichkeit, 25 % auf die digitale Infrastruktur, 11 % auf die öffentliche Verwaltung und 9 % auf mehrere Sektoren gleichzeitig.“ 

Zudem ist eine Zunahme von Malware-as-a-Service oder MaaS zu verzeichnen. Hackergruppen nutzen MaaS, um Angriffe gegen ihre Opfer zu starten. MaaS-Anbieter sind im Dark Web zu finden. Hackergruppen, die sich Zugang zu diesen Diensten verschaffen, können sich schnell gegen Malware-Angriffe mobilisieren und ihre Angriffsvektoren schnell anpassen.  

Welche Maßnahmen sollten Unternehmen ergreifen, um sich auf einen potenziellen Malware-Angriff vorzubereiten? 

Die Vorbeugung von Malware erfordert die Akzeptanz, dass kein Malware-Angriff zu 100 % verhindert werden kann. Malware-Dateien, darunter Viren, Spam und Trojaner, sind nach wie vor ein fester Bestandteil von über einer Milliarde bösartiger Nachrichten, die Hacker täglich weltweit versenden. Microsoft 365, Google Workstation und E-Mail-Dienstanbieter sind in der Lage, einen Teil dieser bösartigen Nachrichten erfolgreich zu blockieren.  

Schließlich gelangen diese bösartigen Nachrichten in die E-Mail-Postfächer von Menschen.  

Da ein Großteil dieser bösartigen E-Mails die meisten Cybersicherheitssysteme umgeht, müssen Unternehmen mehrere Ebenen von Anti-Malware-Kontrollen der nächsten Generation, einschließlich Sicherheitsbewusstsein und Angriffssimulationen, in ihre Malware-Abwehrstrategie integrieren.  

Ausblick auf eine Defense-in-Depth-Strategie  

Um Malware zu stoppen, sind nicht nur eine, sondern mehrere Ebenen von Cybersicherheitslösungen erforderlich. Malware-Angriffe erfolgen über mehrere Kanäle, nicht nur per E-Mail oder SMS. Ein weiterer Angriffsvektor ist das Social Engineering, bei dem Hacker ihre Opfer über soziale Kanäle wie Facebook und LinkedIn kontaktieren. Diese Köder beinhalten beispielsweise das Klicken auf bösartige Links, den Zugriff auf Ihre Anmeldedaten oder die Bitte um ein Treffen mit einem CEO oder einer hochrangigen Führungskraft.  

Unternehmen, die der NIST-800-53-Architektur für Defense-in-Depth folgen, profitieren von einer bewährten Architektur, um Angriffe über verschiedene Kanäle zu stoppen. Dazu zählen Websites, hostbasierte Anwendungen, Endgeräte und Angriffe auf Benutzerpasswörter.  

Die Defense-in-Depth-Architektur fördert die Integration von Sicherheitskomponenten wie Firewalls, IPS, Verschlüsselung, Multi-Faktor-Authentifizierung, E-Mail-Sicherheit und Endgerätesicherheit. Die Komponenten arbeiten dabei mit minimaler Duplizierung zusammen. Das NIST veröffentlicht alle paar Jahre ein Update, um die notwendigen architektonischen Änderungen zu berücksichtigen. Zu den jüngsten Änderungen gehören die Einführung von künstlicher Intelligenz (KI) und maschinellem Lernen (ML), der Einsatz von Managed Detection and Response (MDR) und die Notwendigkeit einer besseren kontinuierlichen Überwachung.  

Erweiterte E-Mail-Sicherheit durch KI ermöglichen 

Microsoft 365 und Google Workstation für E-Mail-Dienste bieten Unternehmen erweiterte E-Mail-Sicherheit durch KI. Dazu stehen ihnen Anti-Malware-Tools innerhalb dieser Angebote zur Verfügung. Dennoch ist der Einsatz zusätzlicher E-Mail-Sicherheitsschichten von Anbietern wie Trustifi, Abnormal Security und Mimecast erforderlich, um die Anzahl der Malware zu reduzieren, die die Benutzerkommunikation ausnutzt. Diese Anbieter haben Künstliche Intelligenz erfolgreich in die Verteidigungsschichten der E-Mail-Sicherheit integriert. 

Schulung des Sicherheitsbewusstseins und Simulation von Angriffen

Unternehmen, die die Ausbreitung von Malware-Angriffen verhindern wollen, sollten auch die Schulung der Endbenutzer in Betracht ziehen, um das Risiko zu verringern. Durch eine bessere Kenntnis der Benutzer über die Erkennung von Malware in E-Mails, SMS-Nachrichten und Social-Engineering-Angriffen kann eine Verbreitung von Malware verhindert werden.

Der erste Schritt besteht darin, dass die Benutzer lernen, auf die Kopfzeilen von E-Mails zu achten, einen betrügerischen E-Mail-Anhang zu erkennen oder nicht auf bösartige Links zu klicken. Durch Schulungen zum Sicherheitsbewusstsein wird den Benutzern zudem vermittelt, wie sie sich verhalten sollten, wenn sie eine verdächtige E-Mail oder Datei von einer unbekannten Quelle erhalten. Die von SecOps gesponserten Schulungen vermitteln den Teilnehmern grundlegende Kenntnisse über verfügbare Tools und deren Bedeutung für die Reduzierung von Angriffen.  

Ein weiteres wichtiges Instrument, das von Unternehmen eingesetzt wird, ist die Simulation von Angriffen. Im Rahmen von Angriffssimulationen versenden SecOps-Teams verdächtige E-Mails mit Malware-Dateien an die Benutzergemeinschaft. Das Ziel besteht darin, mit diesem Tool zu messen, wie viele Benutzer entweder auf die Phishing-E-Mail geantwortet, die Malware-Datei angeklickt und heruntergeladen oder auf den Anhang geklickt haben. Auf Basis der Ergebnisse der Angriffssimulation bestimmt SecOps, welche Benutzer zusätzliche Schulungen benötigen, und belohnt diejenigen, die die verschiedenen Malware-Angriffe erfolgreich abwehren.  

Warum sollten Investitionen in die Endpunktsicherheit kein nachträglicher Gedanke sein? 

Die adaptive Endpunktkontrolle stellt eines der wichtigsten Instrumente zur Prävention von Cyberangriffen dar, in das Unternehmen investieren müssen. Die meisten Schwachstellen-Hacker konzentrieren ihre Angriffsvektoren kontinuierlich auf Endgeräte, die die wichtigste Angriffsfläche in jedem Unternehmen darstellen. Mobile Geräte, Tablets, PCs, Macs und intelligente Geräte sind zunehmend Ziele von Hackern. 

Durch Ausnutzung eines einzelnen Endgeräts ist es Hackern möglich, das Netzwerk ihres Opfers lateral auszudehnen. Zu den Endgeräten zählen Betriebssysteme, lokal installierte Anwendungen sowie verschiedene Browser, die für den Zugriff auf SaaS-basierte Anwendungen erforderlich sind. Eine nicht aktuelle Sicherheitssoftware birgt das Risiko, dass jede dieser Komponenten von Hackern ausgenutzt wird. 

Endpunkt-Sicherheitslösungen bieten einen proaktiven Schutz, insbesondere wenn die Geräte nicht mit den verschiedenen Patches und Updates Schritt halten. Die Lösung umfasst mehrere Präventionsschichten, darunter Anti-Malware, Anti-Spam und Anti-Virus. Dadurch können Versuche der Datenexfiltration durch Schurken zuverlässig verhindert werden.  

Welchen Stellenwert haben Managed Detection und Response für eine Anti-Malware-Strategie? 

Die Entwicklung einer effektiven Strategie zur Abwehr von Malware-Angriffen erfordert die Bereitstellung geeigneter Tools sowie die Einstellung von erfahrenen SecOps-Ingenieuren, die für die Bereitstellung, Wartung und Reaktion auf Vorfälle zuständig sind. Bei einer Defense-in-Depth-Strategie wie NIST 800 wird die Notwendigkeit erkannt, entweder erfahrene SecOps-Ingenieure einzustellen oder eine Partnerschaft mit MDR-Anbietern wie ForeNova in Betracht zu ziehen.

ForeNova verfügt über langjährige Erfahrung in den Bereichen Malware-Erkennung, -Prävention und -Beseitigung. Unternehmen können dadurch ihr Risiko für den Compliance-Status verringern, indem sie verschiedene kosteneffektive Services in Anspruch nehmen.  

Unternehmen erkennen den Bedarf an diesen Tools und wenden sich an Anbieter von Managed Detection and Response (MDR) wie ForeNova, um Unterstützung zu erhalten. ForeNova, ein in der EU ansässiger MDR-Anbieter, stellt seinen Kunden mehrere Ebenen der Malware-Prävention zur Verfügung. Dazu zählen die Überwachung, Erkennung und Reaktion auf Malware-Angriffe durch seine fortschrittlichen automatisierten Incident-Response-Dienste, sein verwaltetes Security Information Event Management (SIEM) und seine Endpunkt-Sicherheitslösungen.  

Der 24x7-Service von ForeNova unterstützt Unternehmen bei der Einhaltung der EU-Datenschutzvorschriften, einschließlich DORA, NIS2 und GPDR, durch einen umfassenden und kontinuierlichen Schutz. Für Unternehmen, die eine Cyber-Versicherung abschließen möchten, ist dieser Service mittlerweile eine Voraussetzung.