Bedrohungsdaten-Briefing: Pandemie-Fallout belastet Cybersicherheit und Resilienz

Während die COVID-19-Pandemie weiter wütet, erweitert und verändert sie die Cyber-Risiken, denen sich Unternehmen gegenübersehen, und stellt den Begriff der Cybersicherheit und -resilienz selbst unter erheblichen Druck.

Dies war die eindeutige Einschätzung während des Q3 2020 Threat Intelligence Briefings von Mimecast für Nordamerika, Großbritannien und EMEA. Die Cybersecurity-Experten, die das Briefing am 27. Oktober präsentierten, hoben mehrere wichtige Entwicklungen und ihre Auswirkungen hervor:

• Als Reaktion auf das Coronavirus und die damit einhergehende Zunahme des Remote Computing beschleunigen vier von zehn Unternehmen ihre Umstellung auf die Cloud.
• Das Phänomen der Heimarbeit, das durch COVID-19 ausgelöst wurde, wird die Pandemie überdauern. 84 % der Unternehmen gaben an, dass sie auch nach Abklingen der Gesundheitskrise weiterhin Heimarbeitsplätze anbieten werden.
• Die zunehmende Nutzung der Cloud bietet Cyberkriminellen eine größere Angriffsfläche - mehr Möglichkeiten, um in die Netzwerke ihrer Ziele einzudringen.
• Menschliches Versagen, das in den meisten Unternehmen bereits den größten Beitrag zum Cyberrisiko leistet, ist zu einem noch größeren Faktor geworden, da die plötzliche Zunahme der Fernarbeit die Wahrscheinlichkeit einer Fehlkonfiguration des Netzwerks erhöht hat und Mitarbeiter, die von zu Hause aus arbeiten, anfälliger für Fehler sind.

Angesichts der steigenden Bedrohungslage betonten die Experten von Mimecast, dass E-Mail nach wie vor der Einstiegspunkt für fast alle gemischten Angriffe ist. "E-Mail verbindet Ihre Mitarbeiter mit Ihrem Unternehmen", sagte Thom Bailey, Sr. Director, Product/Strategy bei Mimecast und einer der Referenten des Briefings, "aber es verbindet sie auch mit dem Unternehmensrisiko".

Bei gemischten Bedrohungen handelt es sich um mehrgleisige Angriffe auf vernetzte Computer. Sie verwenden eine Mischung aus Viren, Würmern, Trojanern und anderen Arten von bösartigem Code und sind darauf ausgelegt, sich schnell zu verbreiten. In der zweiten Oktoberhälfte stellte das Mimecast Threat Intelligence Center eine starke Zunahme dieser Art von Angriffen fest - bis zu 10 Millionen pro Tag. Dazu gehörten:

• Ein Anstieg von 26,3 % bei Spam-E-Mails und anderen opportunistischen Angriffen
• Ein Anstieg von 35,6 % bei per E-Mail verbreiteter Malware
• Ein Sprung von 55,8 % bei den in E-Mails eingebetteten bösartigen URLs
• Und ein Anstieg von 30,3 % bei Nachahmungsversuchen per E-Mail

Cyberangreifer spielen mit der durch COVID-19 hervorgerufenen Verwirrung

Um ihre Opfer zu entwaffnen, nutzen viele dieser Angriffe die durch COVID-19 verursachte Verwirrung aus. So lautete beispielsweise die Betreffzeile einer kürzlich vom Threat Intelligence Center identifizierten E-Mail mit einem falschen Namen "RE: COVID-19 Update". Die E-Mail wurde angeblich vom IT-Service-Desk des Zielunternehmens versandt, und im Hauptteil der Nachricht wurde erklärt, dass das IT-Team die planmäßigen Wartungsarbeiten nach COVID abgeschlossen habe und nun eine Reihe von Anwendungen, darunter ein neues Mitarbeiterverzeichnis und der Zugriff auf die Gehaltsabrechnungen der Mitarbeiter, verfügbar seien. Die Mitarbeiter wurden dann angewiesen, auf einen Link zu einer SAP COVID-19-Aktualisierungsseite zu klicken, um ihre Registrierungen abzuschließen.

Der Link öffnete eine offiziell aussehende Registrierungsseite für die Outlook-Webanwendung, auf der die Benutzer ihre E-Mail-Adresse, ihren Benutzernamen und ihr Kennwort eingeben mussten. Dies waren natürlich die Informationen, auf die es der Angreifer abgesehen hatte. Eine genaue Prüfung der E-Mail hätte ergeben, dass es sich bei der URL für den Link in Wirklichkeit um eine bit.ly-Adresse handelte, die das wahre Ziel des Links verschleierte, aber das war etwas, das ein gestresster Mitarbeiter, der durch Kinder, Ehepartner oder ein anderes Element in seiner häuslichen Umgebung abgelenkt war, leicht hätte übersehen können.

Um ihre Ziele zu täuschen, versuchen viele solcher E-Mails, ein Gefühl der Dringlichkeit zu vermitteln, erklärte Kiri Addison, Leiterin der Abteilung Data Science für Threat Intelligence und Overwatch bei Mimecast und eine weitere Referentin des Briefings. Zu den üblichen Tricks gehören Nachrichten, die den Anschein erwecken, als kämen sie vom Chef oder Geschäftsführer des anvisierten Opfers, und E-Mails, die am späten Freitagnachmittag eintreffen und die Aufforderung enthalten, ein bestimmtes Projekt abzuschließen, bevor die Arbeit für das Wochenende beendet wird.

Ransomware-Angriffe, die versuchen, sich die aktuelle Arbeitslandschaft zunutze zu machen, haben während der Pandemie ebenfalls stark zugenommen. Bei einer anderen Art von gemischter Bedrohung erklärt Addison, dass der Ransomware-Code häufig über Emotet verbreitet wird, eine Art Trojaner, der hauptsächlich über Word-Dateianhänge in Phishing-E-Mails verbreitet wird. Seit Juli hat die US-Behörde für Cybersicherheit & Infrastructure Security Agency (CISA) nach eigenen Angaben rund 16.000 Warnungen im Zusammenhang mit Emotet-Aktivitäten entdeckt. [i]

"Emotet ist schwer zu bekämpfen", so die CISA, "wegen seiner 'wurmähnlichen' Eigenschaften, die netzwerkweite Infektionen ermöglichen. Darüber hinaus verwendet Emotet modulare Dynamic Link Libraries, um seine Fähigkeiten kontinuierlich weiterzuentwickeln und zu aktualisieren."

Gegen Emotet verteidigen

Um Emotet und ähnliche E-Mail-Angriffe abzuwehren, empfiehlt die CISA die Einhaltung einer Reihe von bewährten Praktiken, darunter die folgenden:

• Scannen und Entfernen verdächtiger E-Mail-Anhänge sowie Sicherstellen, dass jeder Anhang seinem "echten Dateityp" entspricht und dass die Dateierweiterung mit der Dateiüberschrift übereinstimmt.
• Blockieren von E-Mail-Anhängen, die häufig mit Malware in Verbindung gebracht werden, wie z. B. .dll- und .exe-Dateien.
• Blockieren von E-Mail-Anhängen, die versuchen, die Malware-Erkennung zu umgehen, wie z. B. .zip-Dateien. Oder Bestätigung, dass Ihr E-Mail-Sicherheitssystem .zip-Dateien verarbeiten kann.
• Implementierung eines Antivirenprogramms und eines formellen Patch-Management-Prozesses.
• Verwendung von Filtern am E-Mail-Gateway und Blockierung verdächtiger IP-Adressen oder Webdomänen.
• Implementierung einer Domain-Based Message Authentication, Reporting & Conformance (DMARC) Durchsetzung.
• Deaktivierung von Datei- und Druckerfreigabediensten oder - falls diese Dienste erforderlich sind - Verwendung von starken Passwörtern oder Active Directory-Authentifizierung.
• Erzwingen einer mehrstufigen Authentifizierung.
• Überwachung der Surfgewohnheiten der Nutzer und Einschränkung des Zugangs zu verdächtigen oder riskanten Websites.
• Beschränkung des Zugangs der Mitarbeiter zu Informationen, die nicht ausdrücklich zur Erfüllung ihrer Aufgaben erforderlich sind.

Während des Briefings zu den Bedrohungen forderten die Mimecast-Experten das Sicherheitspersonal auf, ihre Risikobewertungen zu überdenken und ähnliche Praktiken anzuwenden, wie sie von der CISA empfohlen werden. Darüber hinaus stellte Bailey von Mimecast fest, dass das Sicherheitspersonal seine Bemühungen oft auf den Schutz von Mitgliedern der Unternehmensleitung konzentriert, die in der Regel einen besseren Zugang zu wichtigen Informationen haben. In Wirklichkeit haben es Angreifer jedoch häufig auf jüngere Mitarbeiter abgesehen, die weniger erfahren sind und leichter dazu verleitet werden können, ihre Netzwerkanmeldedaten preiszugeben. Um dem entgegenzuwirken, schlug Bailey vor, dass die Unternehmen alle ihre Mitarbeiter regelmäßig in Sachen Cybersicherheit schulen sollten, was eine weitere bewährte Praxis sei.

Die Quintessenz

COVID-19 und die Ausbreitung der Heimarbeit haben zu einer stärkeren Abhängigkeit von E-Mails und dem Internet geführt - dies hat jedoch auch neue Wellen von E-Mail-basierten Cyberangriffen zur Folge. Um dem entgegenzuwirken, müssen die Unternehmen ihre Sicherheitsmaßnahmen überdenken und ihre gesamte Belegschaft in Sachen Cybersicherheit schulen, und zwar auf einer

[i] " Warnung (AA20-280A) Emotet Malware ," Cybersecurity & Infrastructure Security Agency