Datenexfiltration ist eine kostspielige Sicherheitsverletzung, die praktisch jedes Unternehmen betreffen kann. Hacker verwenden verschiedene Techniken, darunter E-Mail-Phishing-Angriffe, um gegnerische Werkzeuge für ihren Datendiebstahl zu inszenieren. Die Werkzeuge der Hacker, wie zum Beispiel der laterale Werkzeugtransfer, bewegen sich innerhalb des Netzwerks ihres Opfers von Osten nach Westen. Dieses Werkzeug nutzt bekannte Schwachstellen aus, darunter das Server Message Block (SMB)-Protokoll. Diese Schwachstelle ermöglicht es Angreifern, sich von einem Host zu einem anderen zu bewegen, um bösartige Dateiübertragungen durchzuführen.
Die Angriffsmethode ist in der MITRE ATT&CK T1570 gut dokumentiert. Die Verhinderung dieses Angriffs beginnt damit, dass Unternehmen erweiterte Erkennungs- und Reaktionsdienste (XDR) sowie verwaltete Erkennungs- und Reaktionsdienste (MDR) einsetzen. XDR ist mit künstlicher Intelligenz ausgestattet und sammelt die Sicherheitstelemetrie aller Geräte und Hosts.
Unternehmen, die mit XDR oder MDR nicht vertraut sind, sollten dringend in Erwägung ziehen, mit einem Managed Security Service Provider (MSSP) wie Forenova zusammenzuarbeiten.
Die Angriffsmethode ist ausführlich in der MITRE ATT&CK T1570 beschrieben. Um diesen Angriff zu verhindern, sollten Unternehmen erweiterte Erkennungs- und Reaktionsdienste (XDR) sowie verwaltete Erkennungs- und Reaktionsdienste (MDR) implementieren. XDR, unterstützt durch künstliche Intelligenz, erfasst die Sicherheitstelemetrie aller Geräte und Hosts. Unternehmen, die mit XDR oder MDR nicht vertraut sind, wird dringend empfohlen, mit einem Managed Security Service Provider (MSSP) wie Forenova zusammenzuarbeiten.
Seitliche Angriffe sind schwer zu erkennen. Hacker nutzen oft Standardprotokolle wie SMB und FTP. Software-Ingenieure, Anwendungsentwickler und Kundensupport-Teams verwenden FTP, um Dateien von internen Systemen in Cloud-Speicher zu verschieben.
Seitliche Angriffe beinhalten oft verschiedene Formen von Malware. Ransomware-Angriffe beginnen beispielsweise häufig mit einer E-Mail-Phishing-Kampagne. Diese E-Mails enthalten bösartige Links, die Malware, laterale Werkzeuge, Keylogger und betrügerische Anhänge verbreiten.
Ein Computerwurm ist eine Art von Malware, die sich ohne menschliches Zutun von einem Computer zum anderen verbreitet, typischerweise über eine Netzwerkverbindung. Würmer verbreiten sich durch E-Mail-Phishing-Angriffe, Netzwerkausbreitung, Sicherheitslücken und den Austausch von Dateien.
Ransomware-Malware sperrt Ihre Daten oder Ihr Gerät, bis Sie den Angreifer bezahlen. Ransomware-Angriffe haben sich zu Doppel- und Dreifach-Erpressungsangriffen entwickelt, bei denen die Angreifer zusätzlich drohen, die Daten des Opfers zu stehlen und online zu veröffentlichen.
Selbst Opfer, die das ursprüngliche Lösegeld bezahlen oder über Datensicherungen verfügen, sind weiterhin gefährdet. Dreifach-Erpressungsangriffe gehen noch einen Schritt weiter, indem die gestohlenen Daten genutzt werden, um die Kunden oder Geschäftspartner des Opfers anzugreifen.
Die Malware-Dateien enthalten Funktionen zur Aufklärung, zum Diebstahl von Zugangsdaten und zur Ausnutzung von Protokollen. Wenn ein Host verschlüsselt wird, werden häufig auch mehrere andere Hosts zu Opfern.
„Das Sandworm Team ist eine Cyber-Bedrohungsgruppe, die mit der russischen GRU-Militäreinheit 74455 verbunden ist. Im Oktober 2020 klagten die USA sechs Offiziere der GRU-Einheit 74455 wegen Cyberangriffen an, darunter der NotPetya-Angriff 2017, die Cyberangriffe auf die Olympischen Winterspiele 2018 und auf die Ukraine.“
Sandworm (APT44) verwendet bösartige Software und technische Tools für Spionage und Informationsdiebstahl, die über E-Mails verbreitet werden. Indem sie Systeme infiltrieren und Hintertüren installieren, verschaffen sie sich Zugang, um die Systeme zu kontrollieren und mit Malware wie Remote Access Tools (RATs) Informationen zu stehlen.
„Der Bedrohungsakteur Aoqin Dragon hat es seit 2013 auf Regierungs-, Bildungs- und Telekommunikationsorganisationen in Südostasien und Australien abgesehen. Sie nutzen gut gestaltete KI-generierte E-Mails mit pornografischen Themen und USB-Verknüpfungstechniken, um Malware wie die Mongall- und Heyoka-Backdoors zu verbreiten.“
Indem sie ausführbare Dateien als harmlose Dokumente tarnen, verleiten sie Benutzer dazu, auf eine Backdoor zu klicken und diese auszuführen, um eine Verbindung zu einem C2-Server herzustellen. Diese Taktik, kombiniert mit überzeugenden E-Mail-Inhalten und einprägsamen Dateinamen, ist ein wirksames Mittel, um gezielte Angriffe durchzuführen.
APT32, eine Bedrohungsgruppe aus Vietnam, hat es seit 2014 auf verschiedene Branchen und Länder in Südostasien abgesehen.
Diese Gruppe verwendet maßgeschneiderte Malware-Tools und zielt auf ausländische Unternehmen in Branchen wie Fertigung, Hotellerie und Konsumgüter sowie auf Netzwerksicherheits- und Technologieunternehmen.
APT41 verwendet mehr als 46 Malware-Familien und Tools, um ihre Missionen zu erfüllen. Sie nutzen eine Vielzahl öffentlich verfügbarer Dienstprogramme, Malware, die mit anderen chinesischen Spionageoperationen geteilt wird, und E-Mail-Phishing. Eine häufige Taktik besteht darin, Spear-Phishing-E-Mails mit Anhängen an gezielte Personen innerhalb ihrer Zielorganisation zu versenden.
Cl0p Ransomware besitzt einige einzigartige Eigenschaften, die sie besonders gefährlich machen. Die Ransomware kann sich über ein Netzwerk verbreiten und mehrere Computer gleichzeitig infizieren. Sie verwendet digitale Signaturen, um einige Sicherheitskontrollen zu umgehen, und kann Windows-Systemwiederherstellungspunkte löschen, was die Wiederherstellung erheblich erschwert.
Die CL0p-Ransomware-Gruppe nutzte eine Zero-Day-Schwachstelle, um die MOVEit Transfer-Software anzugreifen, und begann mit einer SQL-Injektion über die Webanwendung. Sie verschickten auch Phishing-E-Mails an Mitarbeiter, um sich Zugang zu verschaffen. Cl0p Ransomware verschlüsselt Dateien mit dem AES-256-Algorithmus und verlangt ein Lösegeld für die Entschlüsselung.
Der Angriff richtete sich gegen die IT-Systeme von Colonial Pipeline, betraf jedoch nicht die Systeme, die für den Öltransport verantwortlich sind. DarkSide-Hacker drangen in das Netzwerk von Colonial Pipeline ein und stahlen innerhalb von zwei Stunden 100 GB an Daten. Anschließend verbreiteten sie Ransomware, die verschiedene Systeme, einschließlich der Abrechnungs- und Buchhaltungssysteme, beeinträchtigte.
Im Jahr 2017 infizierte die Ransomware WannaCry zahlreiche Computer weltweit, indem sie eine Schwachstelle in Windows ausnutzte. Obwohl ein Patch bereits vor dem Angriff verfügbar war, zögerten viele Unternehmen, das Update zu installieren.
„Chimera, eine chinesische Hackergruppe, nutzt den lateralen Tooltransfer, um Fernzugriffstools wie Cobalt Strike zwischen kompromittierten Systemen zu verschieben.“ Diese Tools entziehen sich den Sicherheitskontrollen und können jahrelang unentdeckt in Unternehmenssystemen verbleiben.
Störfall im ukrainischen Kraftwerk 2015-2016
„Im Dezember 2015 haben Hacker mithilfe der BlackEnergy 3-Malware die Stromversorgung in der Ukraine unterbrochen, indem sie aus der Ferne in die Informationssysteme von drei Energieversorgungsunternehmen eingedrungen sind.“
Der laterale Tool-Angriff folgte der folgenden Kill Chain:
Ungewöhnliche Netzwerkaktivitäten könnten darauf hindeuten, dass ein Endgerät mit Spyware oder Malware infiziert ist. Diese bösartigen Programme können eine Verbindung zu einem Kontrollserver herstellen und es Angreifern ermöglichen, Daten zu stehlen und sich im Netzwerk zu bewegen.
Schützen Sie sich vor unbefugten Zugriffsversuchen und der Eskalation von Privilegien mit einer robusten Privileged Access Management-Lösung. Befolgen Sie das Prinzip des geringsten Privilegs, um das Risiko des Missbrauchs von Zugangsdaten zu minimieren.
Unerwarteter Datenverkehr von unbekannten Orten könnte ein Hinweis auf unautorisierte oder bösartige Aktivitäten in Ihrem Netzwerk sein. Überprüfen Sie Anmeldeversuche aus Regionen wie Russland oder China, wenn Ihr Datenverkehr normalerweise aus den Vereinigten Staaten oder Indien stammt, um mögliche Probleme frühzeitig zu erkennen und zu vermeiden.
Ein Anstieg der Lesevorgänge in der Datenbank kann auf eine Sicherheitsverletzung hindeuten. Angreifer könnten auf Kundendatensätze zugreifen, was zu hohen Lesezahlen führt. Dieser Angriffsvektor kann zur Datenexfiltration oder zu nicht autorisierten Änderungen führen. Eine regelmäßige Überwachung der Datenbankaktivität ist wichtig, um ungewöhnliche Leseanfragen frühzeitig zu erkennen.
Wenn es viele Anfragen zu einer bestimmten Datei gibt, sollte dies Verdacht erregen und zu weiteren Untersuchungen führen.
Sicherheitsteams, die Netzwerkerkennung und -reaktion (Network Detection and Response, NDR) in Kombination mit XDR einsetzen, können diese Angriffe mithilfe von Seitentools erkennen. Die von MITRE definierten Merkmale lateraler Angriffe sind in der Richtlinien- und Regelbibliothek der NDR- und XDR-Tools hinterlegt.
„Systeme zur Erkennung und Reaktion auf Netzwerk-Eindringlinge verwenden Netzwerksignaturen, um bösartige Aktivitäten auf Netzwerkebene zu erkennen und zu verhindern, wie z.B. ungewöhnliche Datenübertragungen oder gegnerische Malware."
Die Multi-Faktor-Authentifizierung (MFA) erhöht die Sicherheit, indem sie zusätzliche Überprüfungsschritte erfordert und so das Risiko eines unbefugten Zugriffs verringert, selbst wenn ein Passwort kompromittiert wurde.
Die Netzwerksegmentierung ermöglicht es, die seitliche Bewegung des Datenverkehrs zu verhindern. Segmentierungsrichtlinien kontrollieren den Datenverkehr in alle Richtungen (Nord-Süd sowie Ost-West), indem sie nur bestimmte Ports und Protokolle innerhalb eines Segments zulassen. Wenn Ransomware oder laterale Tools versuchen, sich über einen nicht standardmäßigen oder nicht zugelassenen Port zu verbreiten, wird die Verbindungsanfrage blockiert.
Die Verhinderung von lateralen Tool-Angriffen beginnt mit der Implementierung adaptiver Kontrollen, einschließlich NDR, MFA, Netzwerksegmentierung und Patch-Verwaltung, um die Schwachstellen auf den verschiedenen Hosts und Geräten zu reduzieren. Durch die Minimierung dieser Schwachstellen werden die Angriffsflächen und das Risiko eines seitlichen Angriffs verringert.
MDR spielt eine entscheidende Rolle beim Stoppen von Lateral-Tool-Angriffen, indem es die verschiedenen adaptiven Kontrollen in einer XDR/SIEM-Lösung überwacht, um die Ausbreitung von Ost-West-Lateralbewegungen zu erkennen und zu verhindern. Unternehmen, die Schwierigkeiten haben, Cybersecurity-Ingenieure zu rekrutieren, sollten die Zusammenarbeit mit MSSPs in Betracht ziehen, um von deren Fähigkeiten in den Bereichen Incident Response, Überwachung und Berichterstattung zu profitieren.
Forenova Security ist ein führender Anbieter von Cybersicherheitsdiensten und MDR-Lösungen. Unternehmen, die einen Partner suchen, der ihr bestehendes Team für Sicherheitsoperationen (SecOps) ergänzt oder eine vollständige 24/7-Überwachung und -Reaktion, Bedrohungsdaten und andere Tools für die Cyberabwehr bereitstellt, können auf die erfahrenen Ingenieure von Forenova Security zurückgreifen, um ihre Geschäfts- und Compliance-Ziele zu erreichen.
Nehmen Sie noch heute Kontakt mit uns auf, um Ihren Datenschutz mit MDR zu besprechen.