KW 17 / 2023

Trojaner finden neue Angriffswege

Einfallstore für Ransomware müssen geschlossen werden

Mit Qbot, GuLoader und Emotet befinden sich derzeit drei modular aufgebaute und hochgefährliche Trojaner unter den „Top 3“, die auch zur Verbreitung anderer Malware genutzt werden können. Die Sicherheitsforscher von Check Point warnen zudem vor einer großen Emotet-Kampagne gegen Microsoft OneNote. Dennoch warnen die Sicherheitsexperten: Das Bedrohungspotenzial durch Ransomware ist nach wie vor sehr hoch und das Anklicken von Phishing-Mails öffnet Ransomware Tür und Tor. Abhilfe verspricht der Einsatz einer XDR-Plattform (Extended Detection and Response), die viele Teilbereiche zu einem effizienten Ganzen vereint.

Die ChannelAcademy hilft Resellern das Geschäftsmodell im Bereich Ransomware-Angriffe zu erweitern.



In der aktuellen Kampagne verfolgen die Angreifer eine neue Strategie: Sie versenden Spam-Mails, die eine schädliche OneNote-Datei enthalten. Sobald diese geöffnet wird, erscheint eine gefälschte Nachricht, die das Opfer dazu verleitet, auf das Dokument zu klicken, wodurch die Emotet-Infektion heruntergeladen wird. Sobald die Malware installiert ist, kann sie E-Mail-Nutzerdaten wie Login- und Kontaktinformationen sammeln. Die Angreifer verwenden die gesammelten Informationen, um die Reichweite der Kampagne zu vergrößern und zukünftige Angriffe zu erleichtern.

Obwohl große Technologieunternehmen ihr Bestes geben, um Cyberkriminelle so früh wie möglich zu stoppen, ist es nahezu unmöglich, jeden Angriff zu verhindern, der die Sicherheitsmaßnahmen umgeht. Emotet ist ein hochentwickelter Trojaner, der in der Lage ist, die neuen Abwehrmaßnahmen von Microsoft zu umgehen. Das Wichtigste, was jeder Einzelne tun kann, ist, für angemessene E-Mail-Sicherheit zu sorgen, das Herunterladen unerwarteter Dateien zu vermeiden und der Herkunft und dem Inhalt von E-Mails mit großer Skepsis zu begegnen.

Im Idealfall sollten Ransomware-Angriffe natürlich gar nicht erst ins Netzwerk gelangen. Um diesen Wunsch zu erfüllen, arbeiten Anbieter von Sicherheitslösungen ständig daran, mit den Angreifern Schritt zu halten. Ein hundertprozentiger Schutz vor neuen Sicherheitsbedrohungen wie APTs (Advanced Persistent Threats) und Zero-Day-Exploits ist jedoch noch nicht möglich.

Die IDC-Studie "The State of Ransomware and Disaster Preparedness: 2022" zeigt, dass 93 Prozent aller Unternehmen in den letzten 12 Monaten datenbedingte Geschäftsunterbrechungen verzeichnet haben. Und 67,8 Prozent der befragten Unternehmen hatten sogar vier oder mehr solcher Störungen in einem Kalenderjahr. IT-Sicherheit ist die erste Verteidigungslinie, kann aber natürlich nicht alle Angriffe abwehren.Sicherheitsforscher haben im März 2023 eine neue Malware-Kampagne des berüchtigten Emotet-Trojaners entdeckt. Seit der Ankündigung von Microsoft, Makros in Office-Dateien zu blockieren, suchen Emotet-Angreifer nach alternativen Wegen, um schädliche Dateien zu verbreiten.

Unternehmen müssen sich auf das Worst-Case-Szenario eines erfolgreichen Angriffs vorbereiten.

Um sich auf einen erfolgreichen Angriff vorzubereiten, verlassen sich die meisten Unternehmen auf eine altbekannte Technologie zur Wiederherstellung, die sie bereits implementiert haben: Backups.

Organisationen nutzen Backups seit langem als Standardwerkzeug zur Sicherung ihrer Daten. Der Ansatz traditioneller Backups hat sich in den letzten Jahrzehnten kaum verändert, von der magnetischen Bandspeicherung in den 1950er Jahren bis zum modernen Cloud-Backup: Daten werden in festgelegten Intervallen auf ein zweites Medium oder einen zweiten Speicherort kopiert. Längere Intervalle sind zwar mit Datenverlusten verbunden, aber mit der heute fast überall angewandten 3-2-1-Backup-Strategie lassen sich in den allermeisten Fällen fast alle Daten wiederherstellen.

Allerdings haben Backups die Schwäche, dass sie nur einzelne Server schützen, nicht aber komplette Anwendungen als Ganzes, die in der Regel aus verschiedenen Komponenten (z.B. Datenbank, Webserver) bestehen. Die Folge dieser siloartigen Fokussierung auf einzelne Server sind Wiederherstellungszeiten von Tagen bis Wochen. Denn nach der Wiederherstellung der Daten muss eine funktionierende Anwendung erst wieder manuell aus ihren zahlreichen Bestandteilen zusammengesetzt werden.

Kein Wunder also, dass die meisten Unternehmen kein Vertrauen in ihre aktuellen Backup- und DR-Lösungen haben. Nur 28 Prozent der Befragten gaben in der IDC-Studie an, dass sie davon überzeugt sind, dass ihr Backup-System alle Daten zeitnah wiederherstellen kann.

Überwachung der Endpunkte

Endpoint Detection and Response (EDR) gilt als das grundlegende Tool zur Überwachung und Erkennung von Bedrohungen für Endgeräte und als Grundlage jeder Cyber-Sicherheitsstrategie. Diese Lösung stützt sich auf Software-Agenten oder Sensoren, die auf den Endpunkten installiert werden, um Daten zu sammeln, die dann zur Analyse an ein zentrales Repository gesendet werden.

Managed Detection and Response (MDR) ist im Prinzip eine EDR-Lösung, die als Dienstleistung erworben wird. Dieser Dienst verwaltet die Endpunktsicherheit und konzentriert sich auf die Eindämmung, Beseitigung und Behebung von Bedrohungen durch ein dediziertes, erfahrenes Sicherheitsteam.

Um die Komplexität der Bedrohungen durch Cyberkriminalität in den Griff zu bekommen, empfehlen die meisten Sicherheitsexperten heute XDR. XDR rationalisiert die Erfassung von Sicherheitsdaten, die Analyse und die Arbeitsabläufe im gesamten Sicherheitsbereich eines Unternehmens, verbessert die Sichtbarkeit verborgener und komplexer Sicherheitsbedrohungen und vereinheitlicht die Reaktion.

Effizienter Umgebung mit Bedrohungen

Eine XDR-Plattform sammelt und korreliert Daten aus der gesamten Infrastruktur, um die Sichtbarkeit von Bedrohungen im gesamten Unternehmen zu verbessern, Sicherheitsprozesse zu beschleunigen und Risiken zu reduzieren. XDR analysiert, priorisiert und rationalisiert diese Daten, um sie den Sicherheitsteams in einem standardisierten Format über eine einzige konsolidierte Konsole zur Verfügung zu stellen. Zu diesem Zweck bieten XDR-Plattformen typischerweise die folgenden Funktionen:

• vielseitige, domänenübergreifende Sicherheitsüberwachung
• Bedrohungsorientierte Ereignisanalyse
• Bedrohungserkennung und Priorisierung der Datenzuverlässigkeit,
• Datensuche, Untersuchung und Erkennung von Bedrohungen über mehrere Domänen hinweg und
• Reaktion zur Abschwächung und Beseitigung der Bedrohung.

Bisherige Lösungen zur Bedrohungserkennung konzentrieren sich jeweils auf eine Schicht der Sicherheitsarchitektur. Beispielsweise überwachen EDR-Lösungen Endpunkte, während Lösungen zur Analyse des Netzwerkverkehrs ausschließlich auf den Netzwerkverkehr ausgerichtet sind. Die Daten aus diesen Tools werden selten integriert oder vereinheitlicht, so dass die Organisation keinen vollständigen und genauen Überblick über das gesamte Unternehmen hat.

Unternehmen, die mehrere einzelne Sicherheitsprodukte kaufen, um eine mehrschichtige Sicherheitsarchitektur aufzubauen, können unbeabsichtigt einen komplexen Sicherheitsstapel schaffen, der viele Warnungen ohne den richtigen Kontext liefert. Je mehr Tools beteiligt sind, desto schwieriger wird es, Untersuchungen durchzuführen, was einer der Gründe dafür ist, dass die Zeit, die zur Identifizierung einer Sicherheitsverletzung benötigt wird, mit der Einführung des mehrschichtigen Sicherheitsmodells zugenommen hat.

Darüber hinaus führt die Abhängigkeit von einzelnen Sicherheits-Tools häufig zu Silos und Lücken in der Sicherheitsarchitektur. Je komplexer die Sicherheitssilos sind, desto größer ist die Wahrscheinlichkeit, dass eine Sicherheitslücke entsteht und unbemerkt bleibt, bis es zu einer Verletzung kommt.

XDR löst diese und andere Probleme, die häufig mit einer mehrschichtigen Verteidigungsstrategie verbunden sind. XDR koordiniert und erweitert den Wert isolierter Sicherheitstools, indem es die Sicherheitsanalyse, -untersuchung und -behebung in einer konsolidierten Konsole vereinheitlicht und rationalisiert. Auf diese Weise verbessert XDR die Sichtbarkeit von Bedrohungen, beschleunigt Sicherheitsprozesse, senkt die Gesamtbetriebskosten (TCO) und reduziert den Bedarf an Personal für die Sicherheit..

Reseller mit Sicherheitsexpertise haben zahlreiche Möglichkeiten, Organisationen zu unterstützen

• 24/7-Sicherheitsservice, insbesondere an Wochenenden und Feiertagen
• Erstellung von Notfallplänen für Unternehmen
• Aktualisierung von Abwehrlösungen, insbesondere Endpoint Detection & Response Technologien
• Aufbau und Betrieb von Backup- und Continuous Data Protection-Infrastrukturen
• Implementierung einer 3-2-1-Backup-Strategie, einschließlich Offline-Backups
• Durchführung von Wiederherstellungstests mit kurzen Wiederherstellungszeiten
• Sensibilisierung der Mitarbeiter für Phishing-Attacken durch ein Security Awareness-Programm
• Ergreifung von Maßnahmen gegen CaaS

© ROUTMAIL Redaktion
Author Rainer Huttenloher

Weitere Informationen:

    Podcast

    Ausgewählte Fokusthemen sind auch als Podcast verfügbar. Wir freuen uns, wenn Sie unseren Podcast abonnieren.

    EXKLUSIV: WISSENSVORSPRUNG FÜR RESELLER