Lacework, Anbieter einer datenbasierten Plattform für Cloud-Security, hat heute seinen vierteljährlichen Cloud Threat Report veröffentlicht. Darin werden aktuelle Techniken und Wege erläutert, mit denen sich Cyberkriminelle Zugang zu Unternehmen verschaffen.
Die Verlagerung von IT-Infrastrukturen und Anwendungen in die Cloud schafft bei vielen Unternehmen neue Sicherheitslücken. Cyberkriminelle machen sich diese Schwachstellen vermehrt zunutze, um Daten zu stehlen, die Vermögenswerte von Unternehmen auszunutzen und sich unerlaubt Zugriff zu verschaffen.
Cyberkriminalität kosten Unternehmen vier Milliarden US-Dollar
„Unternehmen sollten Cyberkriminelle als ernsthafte Bedrohung ansehen“, sage James Condon, Director of Research bei Lacework. „Allein im letzten Jahr kostete Unternehmen der Schaden durch Cyberkriminalität und Ransomware-Attacken rund vier Milliarden US-Dollar.* Da nun immer mehr Unternehmen auf Cloud-Umgebungen umsteigen, steigt die Nachfrage nach gestohlenen Zugangsdaten von Cloud-Konten. Gleichzeitig werden die Angriffsmethoden von Cyberangreifern immer ausgefeilter, was Unternehmen noch anfälliger macht.“
Zentrale Erkenntnisse des Reports
Lacework beschäftigt ein spezielles Forschungsteam namens Lacework Labs, das sich auf neue Bedrohungen und Angriffsszenarien in der öffentlichen Cloud konzentriert. Es beleuchtet die Crimeware- sowie wachsende Ransomware-Landschaft hinsichtlich neuer Bedrohungsmodelle und aufkommender Herausforderungen für die Cybersicherheit. Der Cloud Threat Report basiert auf anonymisierten Daten der Lacework-Plattform im Zeitraum von Anfang Mai bis Ende Juli 2021. Die zentralen Erkenntnisse des Reports sind:
Initial Access Brokers (IABs) weiten sich auf Cloud Konten aus
-
Opportunistische Angreifer machen sich die zunehmende Auslagerung vieler Unternehmen in die Cloud zunutze, um daraus Kapital zu schlagen. Angreifern bietet der unerlaubte Zugriffe auf Cloud-Infrastrukturen von Unternehmen mit wertvollen Daten/Ressourcen oder der auf andere Organisationen eine enorme Investitionsrendite. Lacework Labs fand heraus, dass sich vor allem administrative Konten für Amazon AWS, Google Cloud und Azure auf Untergrundmarktplätzen großer Beliebtheit erfreuen.
Die Kampagnen der Cyberangreifer entwickeln sich weiter
-
Lacework Labs hat eine Vielzahl bösartiger Aktivitäten beobachtet, die von bekannten Angreifergruppen und Malware-Familien ausgehen. Der Report beleuchtet vor allem die zentralen Akteure mit besonders hoher Rendite.
-
8220-Gang Botnet und Custom Miner: Lacework entdeckte vor kurzem ein neues Aktivitätscluster, das mit einer Kampagne der 8220-Gang in Verbindung steht. Diese infizieren Hosts – hauptsächlich über gängige Cloud-Dienste – mit einem benutzerdefinierten Miner und einem IRC-Bot für weitere Angriffe und Fernsteuerung. Dieses Cluster zeigt, dass sich die Operationen auf vielen Ebenen weiterentwickeln, einschließlich neuer Techniken, um das Ausmaß des Botnetzes und die Mining-Gewinne zu verbergen, was darauf hindeutet, dass die Angriff immer komplexer werden.
-
TeamTNT Docker Image Compromise: Das Lacework-Labs-Team entdeckte Versuche von TeamTNT, legitime Docker-Images in einem Supply-Chain-ähnlichen Angriff zu backdoorn. Es wurden Netzwerke unwissentlich infiziert, auf denen das vertrauenswürdige Image lief.
Entwicklerteams sollten sicher sein, was in dem von ihnen bezogenen Image enthalten ist. Die Quelle sollte validiert sein, um nicht unbeabsichtigt einen Zugang zur Netzwerkumgebung zu schaffen.
-
Beliebte Cloud-relevante Crimeware und Akteure
-
Der Open-Source-Multialgorithmus-
Miner cpuminer wird seit Jahren legal eingesetzt. Lacework Labs beobachtete jedoch eine Zunahme illegaler Nutzungsversuche für das Cryptomining von Altcoins.
-
Monero und XMRig sind die gängigsten Konten für das Kryptomining von Cloud-Ressourcen, so dass auf weniger bekannte Münzen und Tools abzielende Aktivitäten häufiger unentdeckt bleiben.
-
Sondierung von Cloud-Diensten
-
Lacework Labs erfasst unterschiedliche Telemetriedaten sowohl im Rahmen von Produktimplementierungen als auch in benutzerdefinierten Honeypots. Das ermöglicht Unternehmen, relevante Trends für die Cloud-Abwehr zu erkennen. Für diese quellen werden zahlreiche Cloud-relevante Anwendungen beobachtet. Dabei fand Lacework heraus, dass AWS S3, SSH, Docker, SQL und Redis bei weitem am häufigsten ins Visier genommen wurden.
Empfehlungen
-
Unternehmen sollten sicherstellen, dass Docker-Sockets nicht öffentlich zugänglich und geeignete Firewall-Regeln /Sicherheitsgruppen sowie andere Netzwerkkontrollen vorhanden sind. Damit lässt sich unbefugter Zugriff auf Netzwerkdienste verhindern.
-
Über die Konsole festgelegte Zugriffsrichtlinien für S3-Buckets sollten nicht von einem Automatisierungstools außer Kraft gesetzt werden können. Regelmäßige Überprüfungen der S3-Richtlinien und der Automatisierungen bei der Erstellung von S3-Buckets stellen sicher, dass die gespeicherten Daten privat bleiben.
www.lacework.com