Die Gaming-Industrie erlebt derzeit einen sprunghaften Anstieg an Cyberangriffen. Reich an sensiblen Kundendaten und Finanztransaktionen sowie einer zweifelhaften Reputation unterliegend, entpuppt sich das Glücksspiel aktuell als Goldgrube für Angreifer. Das ThreatLabz-Team von Zscaler bestätigte Mitte des Jahres in seinem Ransomware-Report, dass Angriffe mit Erpressungstrojanern im Vergleich zum Vorjahr insgesamt um 37 Prozent zugenommen haben.
Verantwortlich für die Angriffe auf die Glücksspielbranche scheint mit UNC3944 ein Ableger der BlackCat Ransomware-Gruppe zu sein. Bei den jüngsten Cyberangriffen auf die Casinos spielten vor allem Social Engineering-Taktiken per Telefon eine wichtige Rolle. Da Ransomware-Angriffe einer gleichbleibenden Vorgehensweise folgen, hilft der Einblick in die Infektionsabfolge beim Aufbau von Sicherheitsstrategien auf Basis von Zero Trust, die für effizienten Schutz sorgen.
Die Gruppe UNC3944 ist seit Mai 2022 aktiv und auch bekannt unter den Namen Scattered Spider, Muddled Libra, 0ktapus und Scatter Swine. Die ersten Angriffe richteten sich gegen Telekommunikationsunternehmen, wobei Techniken wie SIM-Swap-Betrug, Multi-Faktor-Authentifizierung Fatigue-Angriffe und SMS-Phishing eingesetzt wurden. In jüngster Zeit hat sich UNC3944 zu einer Partnergruppe für die BlackCat/ALPHV-Ransomware entwickelt – eine berüchtigte Malware-Familie, die nach Angaben des ThreatLabz-Reports von Zscaler zum Stand der Ransomware 2023 zu den fünf aktivsten Gruppierungen gehört.
Phishing und Spam-Emails zählten lange Zeit zu den bevorzugten Angriffsvektoren für die Erstinfektion eines Systems. Nachdem mit Emotet und Qakbot zwei der berüchtigtsten Spamquellen von Strafverfolgungsbehörden ausgehoben wurden, beobachten die ThreatlabZ-Analysten einen Rückgang dieser Vektoren. Die Angriffe auf die Gaming-Industrie zeigen nun die Wandlungsfähigkeit der Angreifer. Es kommt hierbei verstärkt zu Social Engineering, das nicht mehr per E-Mail, sondern per Telefon umgesetzt wird. Diese Taktik scheint erfolgversprechend zu sein, da hier noch ein Mangel an Aufklärung besteht im Unterschied zur Erkennung von Spam. Sind die Angreifer auf diese Weise ins Netzwerk eingedrungen, gehört die laterale Fortbewegung innerhalb eines Netzwerks auf der Suche nach Administratorrechten zu den Methoden der BlackCat-Gruppierung.
Die folgenden drei Techniken und Taktiken werden derzeit von Ransomware-Gruppen am häufigsten eingesetzt und kamen auch bei den Vorfällen in der Glücksspielbranche zum Tragen:
- Ransomware-as-a-Service: Viele der populärsten und schädlichsten Ransomware-Gruppen des letzten Jahres sind in der Lage, ihre Gewinne und Operationen mithilfe eines Ransomware-as-a-Service-Modells (RaaS) zu skalieren. Bei diesem Modell lagern Ransomware-Gruppen die Infiltration, die lateralen Bewegungen, den Datendiebstahl und die endgültige Bereitstellung der Ransomware-Payload gegen eine Provision aus.
- Double-Extortion: Bei Ransomware mit doppelter Erpressung verschlüsseln die Bedrohungsakteure nicht nur die Daten auf den Systemen der Opfer, sondern exfiltrieren sie zuvor. Sie drohen anschließend mit der Veröffentlichung der Daten, wenn kein Lösegeld gezahlt wird. Im Jahr 2021 beobachtete das ThreatLabz-Team nur 19 Ransomware-Gruppen, die bei ihren Cyberangriffen einen doppelten oder mehrfachen Erpressungsansatz verfolgen. Diese Zahl ist inzwischen auf 44 angestiegen. Die Datenerpressungskomponente des Angriffs ist so profitabel geworden, dass viele Akteure inzwischen ihre Angriffe ohne Verschlüsselung durchführen. Diese verschlüsselungslosen Ransomware-Aktivitäten haben den Nebeneffekt, dass sie bei den Strafverfolgungsbehörden weniger Aufmerksamkeit erregen, aber dennoch sehr lukrativ für die Cyberkriminellen sind.
- Social Engineering als Kompromittierungsmethode: UNC3944 nutzt häufig Social Engineering-Taktiken, um Systeme zu kompromittieren. Viele ihrer jüngsten Angriffe begannen mit Phishing, um Anmeldedaten zu erbeuten und darüber Zugang zu Systemen zu erhalten, ohne Sicherheitskontrollen auszulösen. Allerdings wurde bei den Angriffen auf die Glücksspielindustrie vor allem auf das Telefon zurückgegriffen.
Schutz vor Ransomware durch Zero Trust-Ansatz
Um Ransomware-Angriffe zu stoppen, sollte eine Sicherheitsstrategie an möglichst vielen Punkten der Angriffskette ansetzen. Die folgenden Punkte tragen zu einem umfänglichen Sicherheitskonzept bei:
- Verhindern der Erstinfektion durch die Implementierung umfassender SSL-Überprüfungsfunktionen, Browser-Isolierung, Inline-Sandboxing und eine richtliniengesteuerte Zugriffskontrolle. So können Zugriffe auf bösartige Websites vereitelt, Kanäle für eine erste Kompromittierung blockiert und unbekannte Bedrohungen erkannt werden, bevor diese die Anwender erreichen.
- Stoppen von kompromittierten Usern und Insider-Bedrohungen durch die Kombination von Inline-Anwendungsinspektion und Identity Threat Detection & Response (ITDR) mit integrierten Täuschungsfunktionen. Dadurch sind Unternehmen in der Lage, potenzielle Angreifer zu erkennen, zu täuschen und effektiv zu stoppen, unabhängig davon, ob es sich um externe Bedrohungen oder Insider mit böswilligen Absichten handelt.
- Minimieren der externen Angriffsfläche und das Ausschalten von seitlichen Bewegungen durch eine Zero Trust Network Access (ZTNA)-Architektur, die für eine direkte Verbindung von Benutzern zu Anwendungen und von Anwendungen zu Anwendungen sorgt. Besteht keine Exposition im Internet, tun sich Angreifer schwerer, ihr Ziel zu erreichen, bzw. sie können sich durch Mikrosegmentierung nicht mehr durch das Netzwerk manövrieren.
- Verhindern von Datenverlusten durch Inline-Data Loss Prevention mit vollständiger TLS-Prüfung. Daten werden dann sowohl „in transit“ als auch „at rest“ gründlich geprüft, um Datendiebstahl wirksam zu unterbinden.
- Durchführung regelmäßiger Audits hilft dabei, Compliance zu gewährleisten und Schutzlücken in User-Trainings zu erkennen.
- Regelmäßige Schulungen tragen dazu bei, Wissenslücken zu schließen und Veränderungen im Bewusstsein der Mitarbeitenden herbeizuführen, um auch neuartige Techniken zu erkennen.
Fazit
Alle Unternehmen, die mit sensiblen oder personenbezogenen Daten umgehen, sollten einen proaktiven Ansatz für Cybersecurity-Gegenmaßnahmen verfolgen. Hierfür eignet sich eine Zero-Trust-Architektur, um die Zugriffsanfragen kontinuierlich zu verifizieren. Ransomware-Angriffe folgen stets einer standardisierten Angriffsabfolge. Ein Einblick in diese Abfolgen und die Implementierung von Sicherheitsmaßnahmen und -strategien an mehreren Stellen ist entscheidend für moderne Cybersicherheitsabwehr.
www.zscaler.com