Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Warum man im Cybersecurity-Bereich immer von einem erfolgreichen Angriff ausgehen sollte

Geschrieben von Yaki Faitelson | Jul 6, 2022 8:00:00 AM

Im Februar tauchten Informationen über die sehr erfolgreiche Ransomware-Gruppe Conti auf, nachdem sie ihre volle Unterstützung für die russische Regierung erklärt und versprochen hatte, auf jeden Angriff gegen Russland – sei es ein Cyberangriff oder ein anderer – mit „allen verfügbaren Mitteln zu reagieren, mit dem Ziel, die kritischen Infrastrukturen des Feindes zu attackieren“.

Radikale Umstände führen zu radikalen Veränderungen. Man muss sich nur einmal vor Augen führen, wie sich die Welt und unser Verhalten durch Covid-19 fast über Nacht verändert haben.

Ich möchte einige Punkte aus den geleakten Conti-Chats hervorheben.

Was die geleakten Gruppenchats der Hacker enthüllen

Es wird Ihnen schwer fallen, einen Incident Responder zu finden, der in den letzten zwei Jahren nicht mehrmals mit der Conti-Ransomware-Gruppe zu tun hatte.

Die geleakten Gespräche zeigen eine Organisationsstruktur und Gehaltsliste, die denen eines seriösen Unternehmens ähneln. Als Organisation mit etwa 65 bis 100 Hackern betragen die Gehaltszahlungen jährlich anscheinend etwa 6 Millionen US-Dollar. Conti war sehr erfolgreich darin, Daten zu stehlen und viel Geld zu erpressen – Berichten zufolge hat die Gruppe im Jahr 2021 180 Millionen US-Dollar erpresst.

Die Chats zeigen, dass die Gruppe Datenbanken gekauft hat, um Nachforschungen zu ihren Opfern zu betreiben, überzeugende Phishing-Angriffe gegen Mitarbeitende und Geschäftspartner durchzuführen und abzuleiten, wie viel ihre Opfer zu zahlen bereit wären. Die Gruppe kauft Sicherheitsprodukte, um ihre Malware darauf zu testen, wie gut sie diese umgehen kann. Die Gespräche zeigen, dass die Gruppe erwägt, Exploits und Backdoors von Dritten zu kaufen – und dabei ihre Bilanz sorgfältig im Auge behält.

Conti verfolgt einen disziplinierten Ansatz mit Sicherheitsregeln für seine Mitglieder, die zahlreiche Aspekte abdecken – von der Passworthygiene bis hin zu Best Practices, um die Anonymität sowohl online als auch offline zu wahren. Die Dokumentation und Anweisungen enthalten Video-Tutorials, um weniger erfahrenen und technisch weniger gewandten Hackern zu helfen, schnell gefährlich zu werden. Und wie bei jedem Unternehmen besprechen Gangmitglieder ihre Techniken mit anderen in der Gruppe.
 

Conti ist nur ein Beispiel für eine cyberkriminelle Gruppe. Nach der Invasion der Ukraine müssen wir nun berücksichtigen, wie sich die radikalen Umstände auf Conti und andere Gruppen auswirken werden.

Die Cyberkriegsführung ist in vollem Gange, und staatliche Akteure gehen immer ausgeklügelter vor. Ihre Techniken werden sich schnell auch in die Geschäftswelt ausbreiten, wie zuvor schon geschehen. Der Fortschritt, den wir in der allgemeinen Programmierung gesehen haben – mit Entwicklungs-Frameworks, Automatisierung und No-Code-Programmierung – wirkt sich bereits auf die Cyberkriminalität aus. Für Angreifer wird es so deutlich einfacher, dazuzulernen, sich weiterzuentwickeln und zu skalieren.

Jetzt, da Russland erklärt hat, dass Urheberrechte für „unfreundliche“ Länder nicht mehr geschützt werden, welche Konsequenzen könnten die Leute davon abhalten, zu Cyberkriminellen zu werden? Da nun viele Cyber-versierte Menschen in Russland plötzlich ihren Arbeitsplatz verlieren oder unter Sanktionen leiden, ist offen, wie viele Sicherheitsexperten Cyberkriminalitätsgruppen beitreten oder neue bilden werden. Ransomware-Banden könnten zu anerkannten Unternehmen oder zu externen Forschungs- und Entwicklungsabteilungen werden. In jedem Fall zielen sie auf Ihre Daten ab.

Warum man immer „eine Verletzung annehmen“ sollte

Wie die durchgesickerten Chats von Conti zeigen, kann jedes System, Konto und jede Person zu jeder Zeit ein potenzieller Angriffsvektor sein. Bei einer derart großen Angriffsfläche müssen Sie davon ausgehen, dass Angreifer mindestens einen Vektor durchbrechen – sofern sie dies noch nicht getan haben.

Wenn Sie eine Verletzung annehmen, denken Sie darüber nach, wohin ein Angreifer am wahrscheinlichsten gehen würde, wenn er seine Gewinne maximieren wollte. Bei den meisten Unternehmen wären dies direkt die größten, kritischen Datenspeicher.

Diese Logik zeigt sich auch in unseren Beobachtungen: Sobald sie sich in den Zielsystemen befinden, etablieren die Angreifer die Remote-Kontrolle, nutzen alle offensichtlichen Schwachstellen aus, suchen nach Konten mit Zugriff auf hoher Ebene und verwenden diese dann, um Daten zu stehlen. Leider wird ihnen meistens wenig entgegengesetzt, sobald sie erst einmal eingedrungen sind.

Wenn Sie wissen möchten, wie viel Mühe ein Angreifer sich geben müsste, um auf Ihre kritischen Daten zuzugreifen, nehmen Sie sich einen Mitarbeitenden mittleren Ranges und untersuchen Sie, wie groß sein potenzieller Schaden wäre – also all die Daten, die ein Angreifer stehlen könnte, wenn dieser Mitarbeitende kompromittiert würde. Kann der Mitarbeitende bzw. Angreifer auf kritische Daten zugreifen, oder muss er mehr Aufwand betreiben, indem er andere Systeme kompromittiert?

Womöglich braucht es seitens der Angreifer nicht einmal viel Mühe – sie müssen oft nur einen einzigen Benutzer kompromittieren. In den meisten Unternehmen haben die meisten Mitarbeitenden Zugriff auf Tausende oder sogar Millionen von Dateien.

Woher würden Sie wissen, ob ein Angreifer oder bösartiger Insider auf eine ungewöhnliche Menge kritischer Daten zugreift? In unserer Praxis sehen wir nur sehr wenige Unternehmen, die Angreifer früh genug erkennen können, um Datenverlust zu vermeiden.

Apropos Insider: Ihre Mitarbeitenden sind Ihr Unternehmen. Obwohl die meisten Mitarbeitenden ehrlich sind, sollten Sie im Hinterkopf behalten, dass ein bösartiger Insider Zugriff auf viele Daten haben und massiven Schaden anrichten kann. Wenn Sie einen weiteren Grund zur Sorge benötigen: Ransomware-Banden suchen aktiv nach Mitarbeitenden, die bereit sind, ihnen Insiderzugriff zu gewähren.

Wie Sie die Arbeit der Angreifer erschweren können 

Ihre Aufgabe ist es, Ihren potenziellen Schaden so gering wie möglich zu halten (d. h. Benutzer können nur auf die Daten zugreifen, die sie benötigen). Außerdem müssen Sie in der Lage sein, einen ungewöhnlichen Zugriff zu erkennen, der auf einen Angriff hindeuten könnte. Jeder zusätzliche Schritt, zu dem Sie einen Angreifer oder Insider zwingen kann, verlangsamt ihn und gibt den Verteidigern die Möglichkeit, einen Angriff zu erkennen und zu verhindern.

Der erste Schritt besteht darin, eine Bestandsaufnahme Ihrer wichtigsten Daten zu erstellen – also der Daten, auf die es Angreifer abgesehen haben. Wo sind Ihr geistiges Eigentum, Ihr Quellcode sowie Ihre Kunden- und Mitarbeitendendaten?

Im nächsten Schritt sollten Sie eine Bestandsaufnahme der Kontrollmaßnahmen rund um Ihre kritischen Daten durchführen. Haben die richtigen Mitarbeitenden Zugriff – sowohl innerhalb als auch außerhalb des Unternehmens? Sind Sie in der Lage, ungewöhnliche Aktivitäten an diesen wichtigen Daten zu erkennen? Wenn eine wichtige Konfiguration geschwächt wurde, wie ließe sich das erkennen und rückgängig machen?

Sobald Sie eine Bestandsaufnahme Ihrer kritischen Daten und der jeweils am nächsten liegenden Kontrollmaßnahmen durchgeführt haben, können Sie sich auf konkrete Schritte zur Optimierung und Wartung dieser Kontrollmaßnahmen konzentrieren. Bei so vielen möglichen Angriffsvektoren macht es mehr Sinn, darüber nachzudenken, wo der Angreifer herkommt, nachdem Sie sein Angriffsziel gesichert haben – Ihre kritischen Daten.

Und denken Sie immer daran: Nach Ihren Mitarbeitenden sind Ihre Daten Ihr wertvollstes Kapital.

Dieser Artikel wurde ursprünglich in Forbes veröffentlicht.