Danke an Bill Kearney von Sophos Rapid Response für seine Arbeit an diesem Artikel.
Wenn Sie den aktuellen Sophos 2021 Threat Report gelesen haben, wissen Sie, dass wir bewusst einen Abschnitt über all die Malware aufgenommen haben, die keine Ransomware ist.
Sicher, Ransomware beherrscht verständlicherweise die Schlagzeilen in den Medien, aber Cyberkriminalität geht weit über Ransomware-Attacken hinaus.
Wie wir bereits festgestellt haben, sind viele Ransomware-Vorfälle auf andere Malware zurückzuführen, die zuerst in Ihr Netzwerk eingedrungen ist und die Ransomware später eingeschleust hat.
In der Tat geht es bei vielen Netzwerkeinbrüchen gar nicht um Malware, denn Cyberkriminelle haben viele andere Möglichkeiten, Geld aus Ihren Benutzern, Ihrem Unternehmen oder aus beiden herauszuholen.
Hier ein Beispiel, auf das das Sophos Rapid Response Team kürzlich gestoßen ist – ein opportunistischer Netzwerkeinbruch, der weit weniger ausgeklügelt war als ein typischer Ransomware- oder Datendiebstahlsangriff, aber dennoch gefährlich und beunruhigend.
Schlimmer noch für die Mitarbeiter des Unternehmens: Diese Gauner hatten es nicht speziell auf das Unternehmen als Ganzes abgesehen, sondern schienen das Netzwerk einfach deshalb anzugreifen, weil es eine bequeme Möglichkeit darstellte, viele Personen gleichzeitig zu hacken.
Ganz einfach ausgedrückt, hatten es die Gauner auf so viele Konten wie möglich abgesehen, um so schnell wie möglich so viele Geschenkkarten wie möglich zu kaufen.
Wie Sie wahrscheinlich wissen, werden Geschenkkarten, die Sie online kaufen, in der Regel per E-Mail mit einem Geheimcode und einem Registrierungslink an einen Empfänger Ihrer Wahl geliefert.
Der Erhalt eines Geschenkkartencodes ist also in etwa so, als würde man die Nummer, das Ablaufdatum und den Sicherheitscode einer Prepaid-Kreditkarte erhalten – grob gesagt, kann derjenige, der den Code hat, ihn ausgeben.
Auch wenn Geschenkkarten nur für den vorgesehenen Empfänger bestimmt sind – sie sollen nicht übertragbar sein -, gibt es nicht viel, was den Empfänger daran hindert, sie einer anderen Person zu überlassen, wenn er es wünscht, und das bedeutet, dass sie im Cybercrime-Underweb verkauft werden können.
Und obwohl ein Geschenkgutschein im Wert von 200 Dollar, der illegal online für, sagen wir, die Hälfte seines Nennwerts verkauft wird, nicht nach viel klingt…
…können Gauner mit Zugang zu einer ganzen Reihe von Nutzern eines Unternehmens – in diesem Fall unterstützte das VPN des Unternehmens etwa 200 Personen – versuchen, nicht nur eine, sondern möglicherweise Hunderte von vorausbezahlten Geschenkkarten in kurzer Zeit zu erwerben.
Den Kriminellen war es in diesem Fall egal, ob es sich bei den Opfern, die aus der Tasche gezogen wurden, um die einzelnen Mitarbeiter, das Unternehmen selbst oder um beide handelte.
Aufgescheucht und abgewehrt
Die gute Nachricht in diesem Fall ist, dass die Gauner es nur so weit brachten, dass sie das Geld anderer Leute im Wert von 800 Dollar ausgaben, bevor das Rapid Response Team sie aus dem Netz werfen konnte, und soweit wir wissen, wurden die betrügerischen Käufe rechtzeitig entdeckt und rückgängig gemacht, so dass niemand auf den Kosten sitzen blieb.
Wie Sie sehen werden, wurden die Gauner vor allem deshalb so früh aufgespürt und abgewehrt, weil ein Systemadministrator des betroffenen Unternehmens sofort handelte, als er bemerkte, dass etwas nicht stimmte.
Wenn Sie das Naked Security Live-Video von letzter Woche mit dem Titel „Beat the Threat“ gesehen haben, wissen Sie, dass wir in unseren Tipps am Ende des Videos sagten:
Jeder Hinweis, den Sie bekommen können, der darauf hindeutet, dass ein Gauner in Ihrem Netzwerk sein könnte, ist ein Tipp, den Sie beachten sollten. weil Sie etwas sehen, das Sie nicht ganz rechtfertigen können, das Sie aber schon einmal gesehen haben und das beim letzten Mal in Ordnung war – gehen Sie nicht davon aus, dass es auch dieses Mal in Ordnung ist. Das ist ein bisschen so, als würden Sie Ihren Rauchmelder in der Küche hören und denken: „Wissen Sie was, beim letzten Mal war es der Dampf aus dem Wasserkocher, der ihn versehentlich ausgelöst hat, also gehe ich einfach davon aus, dass es das ist, was passiert ist. Dieses Mal könnte es etwas auf der Herdplatte sein, das bereits in Brand geraten ist.
Wir sind zwar stolz darauf, dass das Sophos Rapid Response Team schnell reagieren und den Angriff abwehren konnte, aber das Entscheidende war, dass das Opfer überhaupt schnell eine angemessene Reaktion ausgelöst hat.
Wie es geschah
Diese Gauner hatten keine Zeit, hinter sich aufzuräumen – oder vielleicht hatten sie das auch gar nicht vor – aber soweit wir das beurteilen können, verlief der Angriff einfach und schnell.
Wir wissen nicht genau, wie die Gauner in das System eingedrungen sind, aber was wir wissen, ist:
- Der VPN-Server des Opfers war seit mehreren Monaten nicht mehr gepatcht worden. Dies allein könnte ausgereicht haben, um den Gaunern den Einbruch zu ermöglichen – für die alte Version gab es einen Exploit, der es den Gaunern theoretisch ermöglicht hätte, sich in das Netzwerk einzuschleichen.
- Der VPN-Server war nicht so eingerichtet, dass er 2FA erfordert. Das bedeutet, dass ein erfolgreiches Passwort, das von einem einzigen Benutzer gefälscht wurde, ausgereicht haben könnte, um ihnen einen Vorsprung zu verschaffen. (Trotz der ungepatchten Sicherheitslücke vermuten wir, dass die Angreifer dieses Mal auf diese Weise eingedrungen sind.)
- Sobald sie „innerhalb“ des VPN waren, konnten die Gauner intern RDP verwenden, um von Computer zu Computer zu springen. So konnten sie die Webbrowser auf den Computern der Benutzer öffnen und sehen, bei welchen Online-Konten diese nicht abgemeldet waren, einschließlich ihrer persönlichen E-Mail-Konten (z. B. Gmail und Outlook.com). Stellen Sie sicher, dass Sie RDP von innerhalb Ihres Netzwerks genauso gut absichern wie von außerhalb.
- Die Gauner verwendeten einzelne E-Mail-Konten, um eine Reihe von Kennwortrücksetzungen vorzunehmen. Auf Computern, auf denen die Gauner aufgrund von zwischengespeicherten Anmeldeinformationen auf E-Mail-Konten zugreifen konnten, aber nicht auf andere interessante Konten zugreifen konnten, weil der Benutzer bei diesen abgemeldet war, setzten sie die Kennwörter über das E-Mail-Konto zurück. Zu den Konten, auf die es die Gauner abgesehen hatten, gehörten Best Buy, Facebook, Google Pay, PayPal, Venmo und Walmart.
Glücklicherweise scheinen nur wenige der auf diese Weise angegriffenen Nutzer ihre Kreditkartendaten für die automatische Wiederverwendung bei Einkäufen gespeichert zu haben, weshalb es den Gaunern wahrscheinlich nur gelang, Geschenkkarten im Wert von einigen hundert Dollar zu kaufen, bevor sie entdeckt wurden.
Anscheinend bemerkten zahlreiche Nutzer, die ihre geänderten Passwörter zurücksetzen mussten, um wieder auf ihre Konten zugreifen zu können, dass in ihren Online-Warenkörben Geschenkkarten zum Kauf anstanden, die Gauner diese Käufe aber nicht abschließen konnten.
(Wir können nicht sagen, ob die Gauner die erfolglosen Käufe zurückgelassen haben, weil sie erwischt wurden, bevor sie aufräumen konnten, weil sie hofften, dass sie übersehen und später versehentlich vom rechtmäßigen Kontoinhaber gekauft würden, oder weil sie auf Schnelligkeit bedacht waren und sich nicht darum kümmerten, was danach geschah.)
Aber da ist noch mehr
Wie bei vielen Angriffen gab es auch bei diesem nicht nur ein einziges Ziel, obwohl die Beschaffung von „käuflichem Geld“ hier die Hauptmotivation gewesen zu sein scheint.
Die Gauner luden auch ein beliebtes kostenloses Dateisuchtool herunter und installierten es, um im gesamten Netzwerk nach interessanten Dateien zu suchen.
Dieses Tool hinterließ ein Logfile, aus dem hervorgeht, dass die Kriminellen aktiv auf der Suche nach persönlichen und vertraulichen Daten sowohl des Unternehmens als auch seiner Mitarbeiter waren.
Wir wissen nicht, ob und wie viel die Kriminellen aus den Dateien, auf die sie Jagd gemacht haben, erbeuten konnten, aber wir wissen, woran sie interessiert waren, nämlich an:
- Kontoauszügen von Einzelpersonen und dem Unternehmen.
- Händlerverträge für die Annahme von Kreditkartenzahlungen.
- Kreditkartenanträge.
- Rosterdaten für Firmenfahrer.
Soweit wir das beurteilen können, scheint das Durchsuchen von Dateien für diese Kriminellen nur von zweitrangigem Interesse gewesen zu sein, denn sie waren entschlossen und hartnäckig in ihren Versuchen, betrügerische Käufe bei so vielen Nutzern des Netzwerks wie möglich zu tätigen.
Aber egal, ob von zweitrangigem Interesse oder nicht, die Gauner waren nicht nur hinter Geschenkkarten her.
Schließlich haben auch persönliche und Unternehmensdaten, die eigentlich privat sein sollten, im Untergrund der Cyberkriminalität einen Wert – nicht nur für den Weiterverkauf an andere Kriminelle, sondern auch als Mittel zur Förderung krimineller Aktivitäten.
Schnelle Reaktion zahlt sich aus
Glücklicherweise scheinen sich die Gauner schon früh in ihrem Angriff festgefahren zu haben.
Vermutlich frustriert, weil sie nicht in die E-Mail-Konten so vieler Benutzer eindringen konnten, wie sie wollten, setzten sie die Passwörter verschiedener unternehmensbezogener Konten zurück, um ihren Zugriff zu erweitern.
Das hatte den Nebeneffekt, dass Benutzer, darunter einer der Systemadministratoren, von verschiedenen Unternehmenssystemen ausgesperrt wurden…
…und der Systemadministrator hat nicht nur das unmittelbare Problem behoben, um das „Was“ zu beheben, sondern auch eine Reaktion ausgelöst, um das „Warum“ herauszufinden.
Diese Reaktion führte sehr schnell dazu, dass die Gauner aus dem Netzwerk geworfen wurden.
Wie wir oben schon sagten, ist jeder Hinweis ein guter Hinweis!
Was ist zu tun?
Die Geschwindigkeit und Entschlossenheit dieser Gauner, die sich spekulativ in ein E-Mail-Konto nach dem anderen einloggten, ist eine ausgezeichnete Erinnerung daran, warum eine umfassende Verteidigung wichtig ist.
Alle diese Tipps hätten hier geholfen:
- Frühzeitig patchen, oft patchen. Das in diesem Artikel erwähnte anfällige VPN war in diesem Fall wahrscheinlich nicht der Weg, über den die Gauner Zugang erhielten, aber es war dennoch ein möglicher Einfallstor. Warum hinter den Gaunern zurückbleiben, wenn man ihnen voraus sein kann?
- Verwenden Sie 2FA, wo immer Sie können. Ein zweiter Authentifizierungsfaktor sowohl für das externe VPN als auch für die internen RDP-Server hätte ausgereicht, um diese Gauner abzuhalten.
- Melden Sie sich von Konten ab, wenn Sie sie nicht benutzen. Ja, es ist lästig, sich jedes Mal wieder bei Konten anzumelden, wenn Sie sie benutzen müssen, aber in Kombination mit 2FA wird es für Gauner viel schwieriger, Sie auszunutzen, wenn sie Zugriff auf Ihren Browser erhalten.
- Überdenken Sie beim nächsten Mal, welchen Websites Sie erlauben, Zahlungskartendaten online zu speichern. Unternehmen, die Zahlungskartendaten nur für bestimmte Einkäufe speichern, z. B. für die Bezahlung einer Stromrechnung, stellen ein weitaus geringeres Risiko dar als Online-Dienste, bei denen Sie mit Ihrer Karte für fast alles bezahlen können, insbesondere für Artikel, die sofort per E-Mail „geliefert“ werden.
- Blockieren Sie Malware nicht allein mit Ihrem Bedrohungsschutzprodukt. Blockieren Sie auch potenziell unerwünschte Anwendungen (PUAs) und Hacking-Tools. Cyberkriminelle greifen zunehmend auf legitime Cybersicherheits- und Netzwerkverwaltungssoftware zurück, die Sie bereits auf Ihrem System installiert haben, anstatt Malware zu verwenden – eine Technik, die als „Leben auf dem Land“ bezeichnet wird – in der Hoffnung, selbst wie ein Systemadministrator auszusehen. Fangen Sie sie ab, wenn Sie können.
- Sorgen Sie dafür, dass die Benutzer Sicherheitsprobleme irgendwo melden können. Wenn Sie unerwartet von Ihrem eigenen Konto ausgesperrt werden, stellen Sie sicher, dass Ihre Reaktion nicht nur lautet: „Ich muss wieder online gehen“, sondern auch: „Ich muss die zugrunde liegende Ursache finden.“ Eine leicht zu merkende E-Mail-Adresse oder Firmentelefonnummer für Berichte zur Cybersicherheit kann Ihnen dabei helfen, Ihr gesamtes Unternehmen zu Augen und Ohren für das IT-Sicherheitsteam zu machen.
- Halten Sie Ihre Benutzer auf dem Laufenden über die neuesten Trends beim Phishing. Ziehen Sie ein Anti-Phishing-Schulungsprodukt wie Sophos Phish Threat in Betracht. Wir können noch nicht sicher sein, aber es sieht so aus, als ob ein einziges gefälschtes Kennwort der Auslöser für diese Angriffe gewesen sein könnte.
- Lassen Sie sich nicht von spezifischen Bedrohungen wie Ransomware ablenken. Ransomware-spezifische Tools sind als Teil eines Defense-in-Depth-Ansatzes nützlich, hätten diesen Angriff aber allein nicht verhindern können. Ein ganzheitlicher Ansatz, der diese Gauner blockiert hätte, hätte jedoch höchstwahrscheinlich auch die meisten Ransomware-Angriffe gestoppt.