Der zur Allianz gehörende Industrieversicherer AGCS warnt vor steigender Zahl von Onlineerpressungsangriffen auf die stockenden globalen Lieferketten wie unter anderem heise und die ZEIT berichteten.
„Weltweit leiden Industrie und Handel unter Lieferschwierigkeiten, die globalen Lieferketten geraten zunehmend unter Druck; Werke wie Opel in Eisenach müssen aufgrund von Lieferengpässen ihren Betrieb unterbrechen. Apple kann wegen der globalen Lieferengpässe Millionen Smartphones nicht produzieren. (…)Kriminelle Cyberbanden könnten die Situation nun noch verschlimmern, befürchten Experten des größten deutschen Versicherers Allianz. Der zur Allianz gehörende Industrieversicherer AGCS warnt vor einer steigenden Zahl von Onlineerpressungsangriffen auf die stockenden globalen Lieferketten. Unternehmen, die für Wirtschaft und Gesellschaft essenzielle Güter ausliefern, gehören nach AGCS-Einschätzung zu den besonders gefährdeten Zielen. (…)
Laut AGCS steigen nicht nur die bei Ransomware-Angriffen geforderten Lösegeldsummen, sondern vor allem auch die Kosten für die Wiederherstellung und die entstandenen Ausfallzeiten.
„Dabei könnten nach Einschätzung der AGCS-Fachleute viele Cyberangriffe abgewehrt beziehungsweise der Schaden begrenzt werden. “Hinter achtzig Prozent der Schäden stehen einfache Fehler”, sagt AGCS-Manager Michael Daum – als Beispiel nannte er Server mit veralteten Betriebssystemen und entsprechenden Sicherheitslücken. Unternehmen müssten nicht nur auf Prävention setzen, sondern bräuchten auch “digitale Alarmanlagen”, um einen einmal gestarteten Hackerangriff noch rechtzeitig erkennen und stoppen zu können.“
Dazu ein Kommentar von Jochen Rummel, Illusive:
„Bei den aktuellen Cyberangriffen kann man sinnfällig beobachten, wie risikobehaftet und anfällig schlecht gesicherte Netzwerke und Systeme sind. Diese Art von Angriffen ist mit herkömmlichen Mitteln extrem schwer zu stoppen. Sie konzentrieren sich in erster Linie auf den Diebstahl und Missbrauch von Anmeldeinformationen, gefolgt von der typischen schleichenden lateralen Bewegung im Netz, um sich zu wichtigen Assets vorzuarbeiten. Letztendliches Ziel ist es, ungehindert auf Systeme und Daten zuzugreifen. Das Lateral Movement ist eine typische Komponente moderner Cyberangriffe im Allgemeinen und von Ransomware-Angriffen im Besonderen. Weil es Angreifern oftmals gelungen ist, unerkannt bis zu den „Kronjuwelen“ eines Unternehmens vorzudringen, war es zwischenzeitig möglich, die Lösegeldforderungen auf zweistellige Millionenbeträge hoch zu schrauben. Wer solche Angriffe nicht erkennt und stoppt, bleibt anfällig. Firmen sollten diesbezüglich ihre Strategien überdenken.
Wenn es einem Angreifer gelingt, den Perimeter zu umgehen, ist es für ihn vergleichsweise einfach, sich lateral im Netz zu bewegen, ohne entdeckt zu werden. Eine längere Verweildauer im Netz erhöht zwar das Risiko der Entdeckung. Im Umkehrschluss kann es dem Angreifer aber gelingen, legitime Verbindungen und normales Benutzerverhalten ausnutzen, um die Anomalien-basierte Erkennung zu unterlaufen. Die meisten Angriffe gehen mithin auf unnötige oder überflüssige Informationen zurück, die Unternehmen einem Cyberkriminellen quasi auf dem Silbertablett servieren. Dabei spricht man von sogenannten „Living-off-the-Land“-
Unsere Erfahrungen bestätigen das. Bei den Identity Risk Audits, die wir in den Umgebungen unserer Kunden durchführen, weist durchschnittlich einer von fünf Endpunkten unnötige – also für den Geschäftszweck nicht notwendige – und überschüssige privilegierte Administratorenkonten auf. Deshalb wird heute vielerorts von „Identity is the new perimeter“ gesprochen. Diese Art von Sicherheitslücken hat ihre Ursache nicht in einem unzureichenden Patch Management.
Vielmehr braucht es genau die angesprochene „digitale Alarmanlage“, um einen erfolgreichen Angriff rechtzeitig zu erkennen und zu stoppen. Und es gibt einige Stellschrauben, mit denen sich das Risiko senken lässt. Tatsächlich ist die erste noch wenig spektakulär und besteht in durchaus bekannten Hygiene-Maßnahmen. Nämlich die Zahl unnötiger privilegierter Konten und allzu leicht zugänglicher Systeme zu senken. Die mit der Bereinigung betrauten Mitarbeiter sollten die Risiken hinter den jeweiligen Credentials schnell einschätzen und die richtigen Maßnahmen ergreifen können.
Unserer Erfahrung nach lassen sich zwischen 70 % und 90 % der gefundenen Schwachstellen beziehungsweise Regelabweichungen automatisch bereinigen, ohne den täglichen Betrieb zu beeinträchtigen. Neben der Risikominimierung spart das Firmen sehr viel Zeit und senkt Personalaufwand und Kosten. Der nächste Schritt besteht darin, die Zahl von interessanten Informationen für die Angreifer mit Köderverbindungen und falschen Zugangsberechtigungen weiter auszudehnen. Diese Phase kostet Angreifer ohnehin viel Zeit und hat das Potenzial, Cyber-Kriminelle auf Irr- und Umwege zu schicken. Sobald ein Köder für die Weiterbewegung benutzt wird, gibt es einen zuverlässigen und frühzeitigen Alarm und der Angreifer ist erkannt und gestoppt. In Sachen Ransomware arbeiten wir mit einer speziellen Falle, Ransomware Trap. Sobald eine Verschlüsselung auf einem der Endpunkte beginnt, löst dieser Vorfall die nämliche Falle aus. Sie tut im Wesentlichen zwei Dinge: Sie verlangsamt den Verschlüsselungsprozess und sorgt zusätzlich dafür, dass sich die Ransomware auf die Fake-Dateien konzentriert. Ist die Ransomware als solche erkannt, lässt sich der identifizierte Verschlüsselungsprozess stoppen und forensische Details vom betreffenden Endpunkt sammeln. Security-Teams können ohnehin jeden verdächtigen Schritt mit forensischen Methoden und gezielter Triage analysieren und dokumentieren.
Damit schwindet der bei Ransomware-Attacken so extrem ausgeprägte Angreifer-Vorteil: Cyberkriminelle müssen sich weitaus länger als in einem weniger gut geschützten Netz mit Zielen abgeben, die sie ins Nichts führen, und die Sicherheitsfachleute haben mehr Zeit und schärfer ausgerichtete Werkzeuge für die Erkennung zur Verfügung.“
www.illusive.com