Ransomware in der Cloud: Angreifer erkennen

[English]Laut Yahoo! Finance werden in diesem Jahr allein in den USA rund 65.000 Ransomware-Angriffe erwartet. Es scheint keine Rolle zu spielen, in welcher Region, in welchem Land oder in welcher Branche es passiert. Sicherheitsanbieter Vectra hat mir einige Überlegungen zur Verfügung gestellt, wie man Ransomware und Angreifer in der Cloud erkennen kann.


Anzeige

Es scheint schwierig, Angriffe per Ransomware zu stoppen. Denn die Cyberkriminellen haben in der Vergangenheit bewiesen, dass sie Ransomware-Angriffe auf jedes Unternehmen starten, von dem sie Geld erpressen oder etwas von Wert stehlen können. Bedeutet dies, dass es nur eine Frage der Zeit ist, bis ein Unternehmen in die Zwickmühle gerät, entweder ein hohes Lösegeld zu zahlen oder sich von wichtigen Assets und Daten zu verabschieden?

Vectra fordert neue Denkweise

Die Bekämpfung von Ransomware erfordert eine neue Denkweise, wie Hitesh Sheth, CEO von Vectra, es verdeutlicht. Diese Angriffe können mit vielen der aktuellen Sicherheitsstrategien, die Unternehmen einsetzen, nicht verhindert werden. Es sei jedoch möglich, zu erkennen, ob in der IT-Umgebung etwas Ungewöhnliches passiert, meint der CEO von Vectra. Wird der Angreifer erkannt, kann das Sicherheitsteam gefährliche Ereignisse wie Ransomware-Angriffe eindämmen.

Der Vectra Spotlight Report Vision and Visibility: Top 10 Threat Detections for Microsoft Azure AD and Office 365 zeigt, wie solche Erkennungen das Sicherheitsteam über das Verhalten in der IT-Umgebung informieren können. Vectra ist in dem Bericht noch einen Schritt weitergegangen und hat die Erkenntnisse nach Branchen aufgeschlüsselt. Ziel war es, sowohl einen Überblick über die Cloud-Sicherheitsprobleme bestimmter Branchen als auch über die Zuordnung von Erkennungen zum Verhalten von Angreifern, z. B. bei Ransomware oder Angriffen auf die Lieferkette, zu geben.

Dies beginnt mit der Sammlung der richtigen Daten und einer bedrohungsgesteuerten künstlichen Intelligenz (KI). Diese ermöglicht es, die Einzelheiten von Angriffen zu ermitteln und sich auf Bedrohungen zu konzentrieren, die gestoppt werden müssen. Die folgenden Brancheneinblicke basieren alle auf realen, anonymisierten Kundendaten. Es sind die Hinweise, die Unternehmen erhalten, um Angriffe über Office 365 und Azure AD zu erkennen. Vectra beschreibt vier zentrale Branchen:

Gesundheitswesen

Wie der Angriff auf die irische Gesundheitsbehörde Health Service Executive (HSE) gezeigt hat, können Ransomware-Angriffe auf Einrichtungen des Gesundheitswesens den Diebstahl medizinischer Aufzeichnungen und Daten bedeuten. Sie können aber auch weit über ein rein technisches Problem hinausgehen, da sie das Potenzial haben, die Lebensqualität und die Pflege, die Menschen zum Überleben benötigen, zu beeinträchtigen.

Die häufigste Erkennung bei den Kunden von Vectra im Gesundheitswesen war O365 Suspicious Power Automate Flow Creation, was darauf hindeuten könnte, dass ein Angreifer einen Persistenzmechanismus konfiguriert. Microsoft Power Automate ist zweifellos ein hilfreiches Tool für die Automatisierung alltäglicher Aufgaben, aber das Risiko besteht darin, dass es in Office 365 standardmäßig aktiviert ist und Hunderte von Konnektoren enthält. Es ist für Angreifer attraktiv, da es selbst mit einfachem, nicht privilegiertem Zugriff als Kanal genutzt werden kann, um auf ihre Ziele hinzuarbeiten. Weitere Einblicke in das Gesundheitswesen zeigen, wie Vectra-Kunden im Gesundheitswesen Angriffe in ihren Umgebungen abwehren.

Fertigung

Als Branche, in der die Betriebszeit höchste Priorität hat, kann Ransomware den Betrieb in kürzester Zeit zum Erliegen bringen, was Fertigungsunternehmen zu einem bevorzugten Ziel von Cyberangriffen macht. Ein Ransomware-Angriff, der sich auf den Betrieb auswirkt, würde ein Unternehmen unter Druck setzen, mit der Zahlung des Lösegelds zu reagieren, um die Abschaltung von Anlagen zu verhindern. Während viele Hersteller ein physisch verteiltes Netzwerk einsetzen, nutzen sie aus Gründen der Geschwindigkeit, Skalierbarkeit und Konnektivität wie andere Branchen auch die Cloud, was die Angriffsfläche um eine weitere Ebene erweitert.

Bei einem Blick auf die gängigen Entdeckungen, die Fertigungsbetriebe machen, waren zwei der drei häufigsten mit der Freigabe von Office 365 verbunden. Jede verdächtige Freigabeaktivität sollte von Sicherheitsteams untersucht werden, um zu gewährleisten, dass die Aktionen von autorisierten Benutzern durchgeführt werden und nicht von einem Angreifer. Dieser könnte versuchen, Daten zu exfiltrieren oder etwas zu tun, das Kriminellen helfen würde, in einem Angriffsprozess weiterzukommen. Weitere Informationen über verdächtige Aktivitäten, die diese Unternehmen auf ihrem Radar haben sollten, finden sich in den vollständigen Brancheneinblicken zur Fertigung.


Anzeige

Finanzdienstleistungen

Es gibt kaum ein attraktiveres Ziel für Cyberkriminelle als Finanzdienstleister. Dies ist einer der Gründe, warum die Branche nach wie vor zu den am stärksten regulierten Branchen gehört. Da die Cloud-Nutzung rasant zunimmt, haben Cyberkriminelle noch mehr Ansatzpunkte für Angriffe. Speziell bei Office 365 und Azure AD gaben die Kunden von Vectra aus dieser Branche einen hohen Prozentsatz an riskanten O365-Exchange-Vorgängen und der Erstellung redundanter Zugänge zu Azure AD an. Unabhängig davon, ob die Möglichkeit besteht, dass ein Angreifer Exchange manipuliert, um Zugang zu erhalten, oder ob er versucht, ein Konto zu übernehmen, sind diese Aktivitäten besorgniserregend. Sicherheitsteams sollten daher derlei Aktivitäten untersuchen, sobald sie entdeckt werden. Weitere Details über die Bedeutung dieser Entdeckungen finden sich in den vollständigen Brancheneinblicken zu Finanzdienstleistungen.

Bildungswesen

Aufgrund der Pandemie suchten Bildungseinrichtungen händeringend nach Lösungen, um Schüler und Lehrkräfte sicher, vernetzt und produktiv zu halten, was in vielen Fällen bedeutete, auf die Cloud zurückzugreifen. Ob Kommunikations- oder Produktivitätstools, die Cloud erwies sich der Aufgabe gewachsen und ermöglichte in vielerlei Hinsicht das Lernen in dieser schwierigen Zeit. Doch wie in den anderen oben genannten Branchen veränderte die Cloud auch für Bildungseinrichtungen das, was man über Sicherheit wusste. Vectra konnte feststellen, dass E-Mail- und Sharing-Aktivitäten in Hochschuleinrichtungen Bedrohungsmeldungen auslösten. Dies war keine Überraschung, da E-Mails und Sharing das Lernen und die Zusammenarbeit ermöglicht, es aber auch schwieriger macht, bösartige Datenlecks zu erkennen. Die Brancheneinblicke zum Bildungswesen zeigen, welche Erkennungen Kunden aus dem Bildungsbereichswesen verwenden, um Angriffe festzustellen.

Das Verhalten der Cloud-Accounts verstehen

Für Unternehmen ist es laut Vectra wichtig, eine klare Vorstellung davon zu haben, wie eine autorisierte Nutzung aussieht. Gleichzeitig sollten sie die Möglichkeit haben, Abweichungen von dieser Vorstellung zu überwachen und zu messen. Ohne diese beiden Dinge wird die Erkennung von Bedrohungen zu einer schwierigen Herausforderung, da man nicht weiß, ob die Aktivität, die man sieht, von einem autorisierten Benutzer oder von einem Angreifer ausgeht.

Es sei unwahrscheinlich, glaubt der CEO von Vetra, einen Ransomware-Angriff mit herkömmlichen Endpunkt-Sicherheitstools zu verhindern, da diese von Cyberkriminellen regelmäßig umgangen werden. Daher war es noch nie so wichtig wie heute, das Verhalten einzelner Accounts zu erkennen, zu analysieren und Schlüsse zu ziehen. (via)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Cloud, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.